PRZYKŁADOWE POSTĘPOWANIE W PRZYPADKU NARUSZENIA BEZPIECZEŃSTWA DANYCH OSOBOWYCH ( TZW. RAPORT Z NARUSZENIA BEZPIECZEŃSTWA)

Procedura winna być  sposób zrozumiała dla osób przetwarzających dane osobowe ; co ma zrobić w przypadku podejrzenia zagrożenia dla poufności danych, np. gdy widzi, że dane w formie papierowej są zabezpieczone niewłaściwie lub podejrzewa, że ktoś może mieć nieuprawniony dostęp do danych w systemie informatycznym. Należy określić procedury postępowania na każdym etapie: osoby, która zauważyła problem, osoby która podejmuje działania prewencyjne i wyjaśniające oraz kierownika jednostki organizacyjnej działającego w imieniu ADO. Poniżej przedstawiam tabele opisującą przykładową zagrożenia oraz sposoby postępowania w przypadku naruszenia bezpieczeństwa:

 

Tabela form naruszenia ochrony danych osobowych przez osoby zatrudnione przy przetwarzaniu danych

FORMY NARUSZEŃ SPOSOBY POSTĘPOWANIA
W ZAKRESIE WIEDZY
Ujawnianie sposobu działania aplikacji i systemu oraz jej zabezpieczeń osobom niepowołanym. Natychmiast przerwać rozmowę lub inną czynność prowadzącą do ujawnienia informacji. Sporządzić raport z opisem, jaka informacja została ujawniona, powiadomić administratora bezpieczeństwa informacji.
Ujawnianie informacji o sprzęcie i pozostałej infrastrukturze informatycznej.
Dopuszczanie i stwarzanie warunków, aby ktokolwiek taką wiedzę mógł pozyskać np. z obserwacji lub dokumentacji.
W ZAKRESIE SPRZĘTU I OPROGRAMOWANIA
Opuszczenie stanowiska pracy i pozostawienie aktywnej aplikacji umożliwiającej dostęp do bazy danych osobowych. Niezwłocznie zakończyć działanie aplikacji. Sporządzić raport
Dopuszczenie do korzystania z aplikacji umożliwiającej dostęp do bazy danych osobowych przez jakiekolwiek inne osoby niż osoba, której identyfikator został przydzielony. Wezwać osobę bezprawnie korzystającą z aplikacji do opuszczenia stanowiska przy komputerze. Pouczyć osobę, która dopuściła do takiej sytuacji. Sporządzić raport.
Pozostawienie w jakimkolwiek niezabezpieczonym, a w szczególności w miejscu widocznym, zapisanego hasła dostępu do bazy danych osobowych lub sieci. Natychmiast zabezpieczyć notatkę z hasłami w sposób uniemożliwiający odczytanie. Niezwłocznie powiadomić administratora bezpieczeństwa informacji. Sporządzić raport.
Dopuszczenie do użytkowania sprzętu komputerowego i oprogramowania umożliwiającego dostęp do bazy danych osobowych osobom nieuprawnionym. Wezwać osobę nieuprawnioną do opuszczenia stanowiska. Ustalić jakie czynności zostały przez osoby nieuprawnione wykonane. Przerwać działające programy. Niezwłocznie powiadomić administratora bezpieczeństwa informacji. Sporządzić raport.
Samodzielne instalowanie jakiegokolwiek oprogramowania. Pouczyć osobę popełniającą wymienioną czynność, aby jej zaniechała. Wezwać służby informatyczne w celu odinstalowania programów. Sporządzić raport.
Modyfikowanie parametrów systemu i aplikacji. Wezwać osobę popełniającą wymieniona czynność, aby jej zaniechała. Sporządzić raport.
Odczytywanie dyskietek i innych nośników przed sprawdzeniem ich programem antywirusowym. Pouczyć osobę popełniającą wymienioną czynność o szkodliwości takiego działania. Wezwać służby informatyczne w celu wykonania kontroli antywirusowej. Sporządzić raport.
W ZAKRESIE DOKUMENTÓW I OBRAZÓW ZAWIERAJĄCYCH DANE OSOBOWE
Pozostawienie dokumentów w otwartych pomieszczeniach bez nadzoru. Zabezpieczyć dokumenty. Sporządzić raport.
Przechowywanie dokumentów niewłaściwie zabezpieczonych przed dostępem osób niepowołanych. Powiadomić przełożonych. Spowodować poprawienie zabezpieczeń. Sporządzić raport.
Wyrzucanie dokumentów w stopniu zniszczenia umożliwiającym ich odczytanie. Zabezpieczyć niewłaściwie zniszczone dokumenty. Powiadomić przełożonych. Sporządzić raport.
Dopuszczanie do kopiowania dokumentów i utraty kontroli nad kopią. Zaprzestać kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić przełożonych. Sporządzić raport.
Dopuszczanie, aby inne osoby odczytywały zawartość ekranu monitora, na którym wyświetlane są dane osobowe. Wezwać nieuprawnioną osobę odczytującą dane do zaprzestania czynności, wyłączyć monitor. Jeżeli ujawnione zostały ważne dane – sporządzić raport
Sporządzanie kopii danych na nośnikach danych w sytuacjach nie przewidzianych procedurą. Spowodować zaprzestanie kopiowania. Odzyskać i zabezpieczyć wykonaną kopię. Powiadomić administratora bezpieczeństwa informacji. Sporządzić raport.
Utrata kontroli nad kopią danych osobowych. Podjąć próbę odzyskania kopii. Powiadomić administratora bezpieczeństwa informacji. Sporządzić raport.
W ZAKRESIE POMIESZCZEŃ I INFRASTRUKTURY SŁUŻĄCYCH DO PRZETWARZANIA DANYCH OSOBOWYCH
Opuszczanie i pozostawianie bez dozoru nie zamkniętego pomieszczenia, w którym zlokalizowany jest sprzęt komputerowy używany do przetwarzania danych osobowych, co stwarza ryzyko dokonania na sprzęcie lub oprogramowaniu modyfikacji zagrażających bezpieczeństwu danych osobowych. Zabezpieczyć pomieszczenie. Powiadomić przełożonych. Sporządzić raport.
Wpuszczanie do pomieszczeń osób nieznanych i dopuszczanie do ich kontaktu ze sprzętem komputerowym. Wezwać osoby bezprawnie przebywające w pomieszczeniach do ich opuszczenia, próbować ustalić ich tożsamość. Powiadomić przełożonych i administratora bezpieczeństwa informacji. Sporządzić raport.
Dopuszczanie, aby osoby spoza służb informatycznych i telekomunikacyjnych podłączały jakikolwiek urządzenia do sieci komputerowej, demontowały elementy obudów gniazd i torów kablowych lub dokonywały jakichkolwiek manipulacji. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport.
W ZAKRESIE POMIESZCZEŃ W KTÓRYCH ZNAJDUJĄ SIĘ KOMPUTERY CENTRALNE I URZĄDZENIA SIECI
Dopuszczenie lub ignorowanie faktu, że osoby spoza służb informatycznych i telekomunikacyjnych dokonują jakichkolwiek manipulacji przy urządzeniach lub okablowaniu sieci komputerowej w miejscach publicznych (hole, korytarze, itp.). Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i ew. opuszczenia pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport.
Dopuszczanie do znalezienia się w pomieszczeniach komputerów centralnych lub węzłów sieci komputerowej osób spoza służb informatycznych i telekomunikacyjnych. Wezwać osoby dokonujące zakazanych czynność do ich zaprzestania i opuszczenia chronionych pomieszczeń. Postarać się ustalić ich tożsamość. Powiadomić służby informatyczne i administratora bezpieczeństwa informacji. Sporządzić raport.

 

Tabela zjawisk świadczących o możliwości naruszenia ochrony danych osobowych

FORMY NARUSZEŃ SPOSOBY POSTĘPOWANIA
Ślady manipulacji przy układach sieci komputerowej lub komputerach. Powiadomić niezwłocznie administratora bezpieczeństwa informacji oraz służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.
Obecność nowych kabli o nieznanym przeznaczeniu i pochodzeniu. Powiadomić niezwłocznie służby informatyczne. Nie używać sprzętu ani oprogramowania do czasu wyjaśnienia sytuacji. Sporządzić raport.
Niezapowiedziane zmiany w wyglądzie lub zachowaniu aplikacji służącej do przetwarzania danych osobowych.
Nieoczekiwane, nie dające się wyjaśnić, zmiany zawartości bazy danych.
Obecność nowych programów w komputerze lub inne zmiany w konfiguracji oprogramowania.
Ślady włamania do pomieszczeń, w których przetwarzane są dane osobowe. Postępować zgodnie z właściwymi przepisami. Powiadomić niezwłocznie administratora bezpieczeństwa informacji. Sporządzić raport.

 

W przypadku wystąpienia naruszenia sporządza się raport z naruszenia bezpieczeństwa zasad ochrony danych osobowych:

 

RAPORT

z naruszenia bezpieczeństwa zasad ochrony danych osobowych

w ……………………………………………………………………………….

 

 

  1. Data: ……………………. Godzina: …………………………………

(dd.mm.rr)                                                                   (gg:mm)

 

  1. Osoba powiadamiająca o zaistniałym zdarzeniu:

 

………………………………………………………..…………………………………………………………………………………………………..

(imię, nazwisko, stanowisko służbowe, nazwa użytkownika (jeśli występuje)

 

  1. Lokalizacja zdarzenia:

 

………………………………………………………..…………………………………………………………………………………………………..

(np. nr pokoju, nazwa pomieszczenia)

 

  1. Rodzaj naruszenia bezpieczeństwa oraz okoliczności towarzyszące:

………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..

 

  1. Przyczyny wystąpienia zdarzenia:

………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..

 

  1. Podjęte działania:

………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..

 

  1. Postępowanie wyjaśniające:

………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..………………………………………………………..…………………………………………………………………………………………………..

 

 

 

Data i podpis Administratora Danych

……………………………………………………….

 

 

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *