Защита данных: инструкции по управлению системой :: L-instruktor.pl

Одно из требований, предъявляемых к администраторам данных в соответствии с п Одно из требований, предъявляемых к администраторам данных в соответствии с п. 3 п. 1 Указа министра внутренних дел и администрации от 29 апреля 2004 года о документировании обработки персональных данных и технических и организационных условиях, которым должны соответствовать устройства и информационные системы, используемые для обработки персональных данных (Законодательный вестник № 100, пункт 1024) , это разработка политики безопасности и инструкций, которые определяют, как управлять ИТ-системой, используемой для обработки персональных данных. Мы уже писали о политике безопасности здесь , На этот раз пришло время для инструкций.

Инструкция должна быть одобрена контроллером данных и принята для использования в качестве документа компании. Руководство должно содержать общую информацию о ИТ-системе и файлах персональных данных, которые обрабатываются с их использованием, применяемые технические решения, а также рабочие процедуры и правила использования, которые использовались для обеспечения безопасности обработки персональных данных. Если контроллер данных использует для обработки не одну, а несколько систем, то в соответствии со сходством применяемых решений он должен разработать одну общую инструкцию по управлению или разработать отдельную инструкцию для каждой системы. Таким образом, в зависимости от принятого решения спектр проблем, возникающих в небольших центрах обучения водителей, будет различным, в которых персональные данные обрабатываются с использованием одного или нескольких компьютеров, а другой - в большом OSK, где существуют обширные локальные компьютерные сети с большим количеством серверов и рабочих станций. обработка данных с использованием многих ИТ-систем. Это может привести к простому выводу - стоит выделить один компьютер для службы РПК . Но будет ли это работать и будет комфортно?

Упомянутые инструкции должны указывать затронутые ИТ-системы, их местоположение, используемые методы доступа (непосредственно с компьютера, на котором установлена ​​система, в локальной компьютерной сети или через телекоммуникационную сеть, например, выделенную линию, Интернет ). Эта инструкция должна охватывать вопросы, связанные с обеспечением информационной безопасности, в частности элементы, перечисленные в § 5 Правил, которые включают:

  1. процедуры предоставления прав на обработку данных и регистрации этих прав в системе ИТ и указание лица, ответственного за эти действия,
  2. используемые методы и средства аутентификации и процедуры, связанные с их управлением и использованием,
  3. процедуры начала, приостановки и прекращения работ, предназначенных для пользователей системы,
  4. процедуры резервного копирования наборов данных и программ и программных средств, используемых для их обработки,
  5. Способ, место и срок хранения:
    - электронные носители информации, содержащие персональные данные,
    - резервные копии, указанные в пункте 4
  6. способ защиты системы ИТ от работы программного обеспечения, указанного в пункте 1 пункта III Приложения к Правилам (включая вирусы, трояны и т. д.),
  7. способ выполнения требований, указанных в § 7 п. 1 пункт 4 Регламента (информация о получателях, которым были предоставлены данные),
  8. процедуры выполнения проверок и обслуживания систем и носителей информации для обработки данных.

Чтобы обеспечить защиту обрабатываемых данных в отношении каждого из перечисленных выше пунктов, в инструкциях должны быть указаны принципы поведения, соответствующие используемым ИТ-системам. Общая информация о том, что находится в руководстве, чтобы соответствовать вышеупомянутым пунктам, описана ниже:

Процедуры присвоения прав на обработку данных и регистрации этих прав в системе ИТ и указание лица, ответственного за эти действия (§ 5, пункт 1 Регламента)
В этом пункте должны быть описаны правила предоставления пользователю идентификатора в ИТ-системе и правила назначения или изменения прав пользователя на системные ресурсы. Эти правила должны включать операции, связанные с предоставлением пользователям прав на работу в системе, начиная с создания учетных записей, путем назначения и изменения их прав до их удаления из системы. Также необходимо явно указать правила работы с паролями привилегированных пользователей (то есть пользователей с привилегиями на уровне системных администраторов), а также правила администрирования ИТ-системы в экстренных случаях, например, при отсутствии администратора. В инструкциях должны быть указаны лица, ответственные за выполнение процедур, а также за регистрацию и отмену регистрации пользователей в ИТ-системе.

Используемые методы и средства аутентификации и процедуры, связанные с их управлением и использованием (§ 5, пункт 2 Правил ).
Этот пункт должен включать описание режима назначения паролей (устный или письменный) и рекомендации относительно степени их сложности. Также должны быть указаны лица, ответственные за распределение паролей. Эта индикация может быть определена функционально или лично. Рекомендуется избегать передачи паролей третьими лицами или через незащищенные электронные письма. После получения пароля пользователь должен быть обязан немедленно изменить его, если система не разрешает такую ​​операцию. Вы также должны предоставить дополнительную информацию о паролях, например, требования к их повторяемости или требования к набору символов, которые их создают. В OSK пароль, аутентифицирующий пользователя в системе, должен содержать не менее 8 символов, содержать буквы верхнего и нижнего регистра, а также цифры или специальные символы . Это связано с необходимостью применения мер безопасности на высоком уровне. Он также должен содержать информацию о требуемой частоте (не реже, чем каждые 30 дней) и методе смены пароля, например, если ИТ-система через определенное время принудительно меняет пароль или сам пользователь должен помнить об этом. Пароли в системе должны храниться в зашифрованном виде. Следует указать, как хранить пароли пользователей с правами администратора и как записывать их экстренное использование. Кроме того, в случае использования методов проверки личности пользователя, отличных от идентификатора и пароля, например, микропроцессорных карт или биометрических методов, в инструкции по их использованию должны быть включены инструкции. Для микропроцессорных карт, например, указывается способ их персонализации, а для биометрических методов - метод сбора биометрических данных в процессе регистрации пользователя в системе и способ их хранения.

Процедуры начала , приостановления и прекращения работ предназначены для пользователей системы (п. 5, п. 3 Правил ).
Этот пункт должен содержать дальнейшие шаги, которые необходимо предпринять для запуска ИТ-системы, в частности правила поведения пользователей в процессе аутентификации ( входа в систему ). Также необходимо указать методы действий в ситуации временного прекращения работы в результате ухода с работы или в случаях, когда посторонний человек может увидеть данные, отображаемые на мониторе. Пользователь должен знать, что вам необходимо выйти из системы, прежде чем выключать компьютер, и знать, как это сделать. Процедуры, предназначенные для пользователей, должны указывать, что делать, если есть подозрение на нарушение безопасности системы, например, если вы не можете войти в свою учетную запись или обнаружите физическое вмешательство в обрабатываемые данные или в используемые программные или аппаратные средства.

Процедуры резервного копирования наборов данных, а также программ и программных средств, использованных для их обработки (п. 5, п. 4 регламента ).
На этом этапе вам необходимо описать методы и частоту резервного копирования данных и системных резервных копий, используемых для их обработки. Вы должны указать, какие данные будут переданы в резервные копии , какие копии будут сохранены и какими инструментами вы будете создавать. В процедуре копирования следует указать расписание резервного копирования для отдельных наборов данных, указав соответствующий метод создания копий (инкрементное резервное копирование - в резервную копию добавляется только часть последних данных, обогащение содержимого копии или всей копии - каждая созданная резервная копия содержит все собранные данные) данные). Процедуры, определяющие объем и способ создания резервных копий, должны указывать периоды ротации и общее время использования отдельных носителей данных (например, как часто его следует обменивать, используя для записи и чтения pendrives). Должны быть процедуры для ликвидации носителей, содержащих резервные копии данных после их изъятия из-за потери пригодности или повреждения

Способ, место и срок хранения:
а) электронные носители информации, содержащие персональные данные,
б) резервные копии, указанные в §5 пункт 4 таинства .
На этом этапе в инструкциях должны быть указаны способ и продолжительность хранения всех типов носителей информации (компакт-дисков, pendrives). Необходимо указать помещения, предназначенные для хранения носителей информации, и способы защиты этих носителей от несанкционированного захвата, чтения, копирования или уничтожения. При разработке этих рекомендаций следует учитывать, что резервные копии хранятся в местах, защищающих их от несанкционированного захвата, изменения, повреждения или уничтожения. Следует также принять во внимание требование, чтобы экстренные копии были удалены сразу после прекращения их использования. В случае предоставления информации внешним объектам с целью их безопасного хранения (например, часто используемой для хранения резервных копий в банковских хранилищах), должны быть определены процедуры предоставления носителей информации этим объектам и должны быть указаны способы защиты носителей информации от несанкционированного доступа во время их транспортировки / передачи.

Способ защиты системы ИТ от действий программного обеспечения, указанных в пункте III (1) Приложения к Правилам (пункт 5 пункта 6 Правил ).
Этот пункт должен содержать области системы, подверженные влиянию компьютерных вирусов и любого другого типа вредоносного программного обеспечения. Необходимо указать возможные источники проникновения вредоносных программ в систему и действия, которые необходимо предпринять, чтобы минимизировать вероятность заражения. Независимо от указания превентивных действий в инструкциях также должны указываться прикладные программные средства, задачей которых является противодействие вирусам. Вы должны предоставить установленное антивирусное программное обеспечение, указать методы и периодичность обновления определений вирусов и лиц, ответственных за управление программным обеспечением. Пользовательские процедуры также должны быть представлены для выявления конкретных типов угроз. Пользователь должен быть проинформирован о действиях, которые он должен выполнить в случае, если антивирусная программа указывает на наличие угрозы. В случае, когда используются методы, отличные от программного обеспечения - они должны быть указаны, и должны быть указаны процедуры, связанные с их использованием. Такие методы могут включать, среди прочего физическое отключение устройств, которые позволяют считывать данные со съемных носителей ИТ отдельных компьютерных станций (например, отсоединять дисковод компакт-дисков, дисковод и т. д.) и определять выделенную позицию в компьютерной сети для обмена данными с использованием внешних носителей.

Способ выполнения требований, указанных в § 7 п. 1 балл 4.
В соответствии с § 7 абз. 1 балл 4 Регламента, для каждого лица, чьи персональные данные обрабатываются в системе ИТ, эта система должна обеспечивать запись информации об обмене данными между получателями, как это определено в ст. 7 баллов 6 Закона, содержащая информацию, кому, когда и в какой степени были предоставлены личные данные , если только ИТ-система не используется для обработки данных, содержащихся в открытых файлах. Отсюда следует, что ИТ-система, используемая для обработки персональных данных, должна иметь функции для записи вышеупомянутой информации. Метод и форма записи, как показано в § 5 балла 7 правил должны быть указаны в инструкции. Особое внимание следует обратить на тот факт, что недостаточно регистрировать информацию о том, кто, когда и в какой степени были предоставлены данные данного лица . Следовательно, инструкция не может обеспечить такой способ выполнения этого требования. Это было бы несовместимо с определением системы ИТ, представленным в законе.

Процедуры проверки и обслуживания систем и носителей информации для обработки данных (п. 5, п. 8 Правил)
В этом пункте должны быть указаны цель, область применения, частота и процедуры для проведения технического обслуживания и проверки системы . Вы должны указать лиц и лиц, уполномоченных для этого. Процедуры для выполнения таких действий, например, путем ввода их в эксплуатацию специалистам из внешних компаний, должны указывать, каким образом контролер данных контролирует эти действия. В случае передачи на носители информации, содержащей персональные данные, необходимо указать способ удаления данных с этих носителей, прежде чем передавать их. Процедуры ремонта компьютерного оборудования должны учитывать требование о том, чтобы устройства, диски или другие электронные носители данных, содержащие персональные данные, подлежащие ремонту, были предварительно сохранены таким образом, который препятствует их восстановлению, или должны ремонтироваться под надзором лица, уполномоченного контроллером. ,

Источник :
Генеральный инспектор : Советы по разработке инструкций по управлению ИТ-системой, используемой для обработки персональных данных, с особым акцентом на требованиях информационной безопасности.

фото: sxc.hu

Похожие

Спарклер на кухне • www.rybnik.com.pl
Уважаемый Читатель! Мы хотим предоставить вам лучшие и лучшие журналистские материалы и улучшить функции нашего веб-сайта. Для этого нам нужно ваше согласие на лучшее соответствие маркетингового контента вашим потребностям. Благодаря им мы можем собрать средства на развитие нашего портала. Поэтому ниже мы представляем вам информацию о нашей политике безопасности и ваших правах:
Купить Canon PowerShot G3 X
... покупку с помощью Product Care®. Получите новую замену, если ваш продукт испытывает допустимую неисправность в рамках нашей бесплатной поддержки, а также пользуйтесь целым рядом эксклюзивных преимуществ, таких как проверка работоспособности продукта и бесплатные распечатки каждый год, так что вы испытываете новый продукт еще больше. Откройте для себя все преимущества Product Care®: защита С Product Care® вы можете расслабиться, зная, что ваша покупка защищена. После
Купить Smeg 50s Style Blender
Защитите свою покупку с помощью Product Care®. Получите новую замену, если ваш продукт испытывает допустимую неисправность в рамках нашей бесплатной поддержки, а также наслаждайтесь целым рядом эксклюзивных преимуществ и скидок каждый год, чтобы вы еще больше испытали свой новый продукт. Откройте для себя все преимущества Product Care®: защита С Product Care® вы можете расслабиться, зная,
... pl имеет в своем предложении множество оригинальных моделей купальников в разных цветовых вариантах, среди ко...
... pl имеет в своем предложении множество оригинальных моделей купальников в разных цветовых вариантах, среди которых, безусловно, каждая женщина выберет ту, в которой она будет отлично выглядеть и чувствовать себя прекрасно. Какие модели и моды в моде этим летом? Смотрите сами! Бикини всегда на высоте традиционный, купальник из двух частей это было в верхней части списка самых
TUTTU.pl - туристический магазин
У нас есть путешествия на природе! Добро пожаловать в мир гренландских оленей - туристический магазин TUTTU.pl. Познакомьтесь с нашей командой в действии! В блоге мы сообщаем о поездках, во время которых мы тестируем рекомендуемое спортивное снаряжение и одежду на собственной шкуре. Мы вдохновлены философией сочетания страсти с работой и заботой об окружающей среде ведущих производителей наружной рекламы, таких
горшки
Какие туристические горшки выбрать для кемпинга? Лагеря переживают свое возрождение в Польше. Лишь несколько лет назад они были связаны в основном с местом проведения отпуска лицами с ограниченным бюджетом, которые не могут позволить себе более комфортных поездок. В настоящее время, благодаря высокоразвитой санитарной инфраструктуре на площадках для кемпинга и удобной туристической мебели, проводить время за городом в палатке или трейлере может быть одинаково приятно. Это возможно в
Но будет ли это работать и будет комфортно?
Какие модели и моды в моде этим летом?
Новости