Instrukcja ochrony danych osobowych w systemie informatycznym

Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wraz ze zmianami dostosowującymi polskie przepisy do obowiązującego prawa w Unii Europejskiej oraz związane z nią akty wykonawcze nakładają na podmioty przetwarzające dane osobowe obowiązek zapewnienia właściwej ich ochrony. W szczególności wymagania te dotyczą zabezpieczania systemów informatycznych wspomagających procesy związane z przetwarzaniem tego rodzaju informacji.
Niniejsza publikacja stanowi przykładową instrukcję zabezpieczenia danych osobowych przetwarzanych przy użyciu systemu informatycznego. Prezentowane zalecenia mają charakter uniwersalny i mogą stać się podstawą do opracowania wytycznych dla ochrony danych osobowych w każdym przedsiębiorstwie.
Książka uwzględnia zmiany wprowadzone rozporządzeniem MSWiA z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. Nr 100, poz. 1024).
Adam Gałach jest specjalistą w zakresie bezpieczeństwa systemów informatycznych - swoje bogate doświadczenie zdobył w trakcie realizacji projektów zarówno w Polsce, jak i za granicą. Posiada certyfikaty zawodowe, między innymi amerykański Certified Information Systems Security Professional (CISSP) oraz brytyjski BS 7799 - 2 Lead Auditor. Autor publikacji z zakresu zarządzania bezpieczeństwem informacji, wielokrotnie wygłaszał prezentacje na konferencjach branżowych w kraju i za granicą, prowadzi szkolenia w ramach studium podyplomowego CITCOM na Politechnice Warszawskiej.

Wstęp

1. Cel i zakres dokumentu
2. Odpowiedzialność za zabezpieczenie danych osobowych przetwarzanych w systemie informatycznym
3. Ogólne wymagania w zakresie zabezpieczenia systemu informatycznego
   
   
   1. Cel i strategia zabezpieczenia danych osobowych w systemie informatycznym
   2. Polityka bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym
   3. Zarządzanie ryzykiem
   4. Architektura systemu informatycznego
   5. Zabezpieczenia
   6. Dokumentacja
   
   
4. Szczegółowe wymagania w zakresie zabezpieczenia systemu informatycznego
   
   
   1. Lokalizacja systemu informatycznego
   2. Zabezpieczenie zasilania systemu informatycznego
   3. Uwierzytelnienie użytkownika
   4. Autoryzacja użytkownika
   5. Mechanizmy rozliczalności
   6. Mechanizmy bezpiecznego niszczenia danych
   7. Systemy antywirusowe
   8. Tworzenie kopii awaryjnych
   9. Nośniki przenośne
   10. Separacja sieci informatycznych
   11. Systemy kryptograficzne
   12. Zabezpieczenie monitorów ekranowych
   13. Mechanizmy wydruku danych
   14. Bazy danych osobowych
   15. Inne wymagania w zakresie zarządzania bezpieczeństwem systemu informatycznego
   16. Kontrola wnioskowania
   
   
5. Zarządzanie uprawnieniami do korzystania z systemu informatycznego
6. Szkolenia w zakresie bezpieczeństwa danych osobowych przetwarzanych w systemie informatycznym
7. Instrukcja zarządzania systemem informatycznym przetwarzającym dane osobowe
8. Instrukcja postępowania w przypadku naruszenia ochrony danych osobowych.
9. Instrukcja korzystania z komputerów przenośnych przetwarzających dane osobowe.
10. Przetwarzanie danych osobowych przez podmiot zewnętrzny
11. Kontrola przestrzegania wymagań w zakresie ochrony danych osobowych
12. Wprowadzanie zmian do istniejących wytycznych i ich publikacja.