WARTO WIEDZIEĆ

CZY STAŻYSTA MOŻE MIEĆ DOSTĘP DO DANYCH OSOBOWYCH I BYĆ DOPUSZCZONY DO ICH PRZETWARZANIA

Bernadet Gronowska, Jacek Rembikowski, Poznań 2013 Zgodnie z art. 37. Ustawy z dnia 29.08.1997 roku o ochronie danych osobowych, do przetwarzania danych osobowych mogą być dopuszczone jedynie osoby posiadające upoważnienie nadane przez Administratora Danych (Bank).   Jednocześnie art. 39 ust.1. Ustawy z dnia 29.08.1997roku o ochronie danych osobowych kładzie na Administratora Danych obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych, która powinna zawierać co najmniej: 1) imię i nazwisko osoby upoważnionej, 2) datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych, 3) identyfikator, jeżeli dane są przetwarzane w systemie informatycznym.   Zarówno dopuszczenie do przetwarzania danych osobowych osób posiadających upoważnienie, jak i prowadzenie ewidencji tych osób jest punktem wyjścia do spełnienia wymagania zawartego w art. 38. Ustawy z dnia 29.08.1997roku o ochronie danych osobowych, czyli zapewnienia kontroli nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane.   Natomiast osoby, które zostały upoważnione do przetwarzania danych, są obowiązane zachować w tajemnicy te dane osobowe oraz sposoby ich zabezpieczenia (art. 39. ust. 2. Ustawy z dnia 29.08.1997roku o ochronie danych osobowych).   Jak widać, ustawodawca nie określa precyzyjnie, czy osoby dopuszczone do przetwarzania danych osobowych powinny być związane jakąkolwiek umową cywilno-prawną z Administratorem. O tym, kto ma być dopuszczony do przetwarzania decyduje sam Administrator danych mając na uwadze zarówno własną organizację, jak i wymagania przytoczone powyżej.   Stażyści kierowani do pracy w Banku przez Urzędy Pracy nie są związani bezpośrednio z Bankiem umową o pracę, jednak Bank posiada o nich informacje wystarczające do wystawienia upoważnienia i uzupełnienia ewidencji osób upoważnionych, a z uwagi na to, że trudno znaleźć czynności, które nie wiązałyby się z dostępem do danych osobowych klientów (Bank przetwarza je przecież zarówno w formie papierowej, jak i elektronicznej), trudno przyjąć zasadę niedopuszczenia tych osób do dostępu i przetwarzania danych osobowych.   Należy jednak zaznaczyć, iż o ile samo dopuszczenie do dostępu i przetwarzania danych osobowych stażystów może mieć miejsce, o tyle należy wnikliwie przeanalizować zakres, w jakim mogą być oni upoważnieni. Uwzględnić tu należy możliwość odejścia tych osób z banku po odbyciu stażu, zarówno z inicjatywy Banku, jak i ich samodzielnej decyzji. Konsekwencją tej oceny może być np. niedopuszczenie lub ograniczenie uprawnień w systemie informatycznym służącym do przetwarzania danych osobowych.   Bezwzględnie należy też dochować obowiązku pobierania oświadczeń o zachowaniu w tajemnicy przetwarzanych danych osobowych oraz sposobów ich zabezpieczenia w stosunku do wszystkich osób przetwarzających lub posiadających dostęp do danych, w tym stażystów.   Podobnie rzecz się ma w przypadku praktycznie wszystkich działań innych stron trzecich, pracujących na rzecz banku w ramach jego struktur organizacyjnych oraz na terenie banku – jest to dość istotne rozgraniczenie, bo nie każda strona trzecia musi mieć kontakt z danymi osobowymi.   Skoro zatem Ustawodawca nie precyzuje form współpracy jako warunku dopuszczenia do przetwarzania danych, poprawnym podejściem wydaje się być traktowanie każdej pracującej na rzecz banku osoby na tych samych prawach, na jakich funkcjonują etatowi pracownicy – oceniając bowiem zakres praw i obowiązków danej osoby (niezależnie od formy współpracy) i odnosząc go do wykonywania działań w ramach etatu otrzymamy zawsze poprawną odpowiedź czy dopuszczenie i stosowne oświadczenia są w danym przypadku i zakresie potrzebne, czy też nie.   Jeżeli bank zatrudnia osoby do utrzymania czystości, to z pewnością nie muszą mieć dopuszczenia, ale muszą podpisać oświadczenie o zachowaniu poufności. Jeżeli te osoby zastąpimy firmą sprzątającą zmieni się jedynie podmiot wykonujący ale zakres odpowiedzialności i dostępności danych pozostanie taki sam. Stażysta to zatem taki sam pracownik banku, tyle że najczęściej ze znacznie mniejszym doświadczeniem i z pewnością wymagający większego nadzoru i zakresu szkoleń, ale na tym różnice się kończą, tym bardziej, że często stażyści wspierają działania banku w okresach intensywnych działań lub okresach urlopowych, a więc zastępując chociażby częściowo pracowników banku.

POLITYKA BEZPIECZEŃSTWA INFORMACJI I FIZYKA KONTRA GWIEZDNE WOJNY

Jacek Rembikowski, Poznań 2011 W ramach działań określanych, jako Polityka Bezpieczeństwa Informacji często można zetknąć się z pytaniami klasy „a po co”, „a dlaczego” i odpowiedziami przypominającymi syndrom palacza, czyli „mnie to nie dotyczy”, „ja jestem zabezpieczony”. Jak ktoś nie wierzy, to niech spróbuje i pokaże palaczowi paczkę papierosów i spyta go co myśli o napisach na nich umieszczonych – gwarantuję, że dziewięć no może osiem osób na dziesięć zwyczajnie się uśmiechnie i tylko uśmiechnie.   Takie zachowania to nic dziwnego. Gdybyśmy nie podchodzili w ten sposób do zagrożeń, to większość z nas nigdy nie wyszłaby z domu, po wywrotce na rowerze już nigdy by na niego nie wsiadła itd. Jednak co innego spaść z konia, a co innego być święcie przekonanym i często tylko przekonanym, że mi nic nie grozi, że moje zabezpieczenia są najlepsze itd. Można tu dla żartu przywołać cytat z pewnego kultowego filmu – „niedoceniasz potęgi mocy” – wiemy jak ostatecznie skończył wypowiadający te słowa, choć moc ciemna była w nim nader silna, prawda.   W filmach już tak jest, że dobro zwycięża zło – w życiu wbrew pozorom też. Jednak w filmach nie widać wszystkiego. Nikt nie wie np. jak bardzo bolało Kopciuszka, że jest Kopciuszkiem, ile się musieli napocić bohaterowie Szklanej Pułapki aby w końcu wygrać ze złoczyńcami, nie mówiąc już o tym ile kosztowało budżet miasta odbudowanie infrastruktury po tym jak Bruce Willis ścigał się ciężarówką z eFem 35-tym. W filmie to nie istotne, kto za to sprzątanie zapłaci, w życiu już niekoniecznie. Nie raz okazuje się, że zwycięstwo ma jednak gorzki posmak porażki. Swoją drogą polecam tą bajkę pod tytułem Szklana Pułapka IV, zwłaszcza w kontekście komputerów i PBI.   Samą Politykę Bezpieczeństwa Informacji można przyrównać do fizyki, której zdecydowana większość z nas nie lubi, choć nie bardzo wiem dlaczego. Poziom przekonania do fizyki rośnie wraz ze wzrostem dostrzegania jej w otoczeniu. Piszę tak może dlatego, że moi nauczyciele m.in. od fizyki uczyli jej na bazie otaczającego nas świata i zjawisk, co dawało możliwość szybkiego przyswajania wiedzy i jej wykorzystywania na co dzień.   Podobnie jest z PBI. Jeżeli zaprzestaniemy ślepo wierzyć w technikę i moc zabezpieczeń i uwierzymy w możliwości ludzkiej wyobraźni oraz jeżeli zaczniemy uważnie obserwować rzeczywistość dostrzeżemy, że zagadnienia te wcale nie są takie trudne. Trudnym natomiast zadaniem jest niewątpliwie poszukiwanie „środka”, w którym leży prawda, czyli umiejętność dokonywania rzetelnej oceny zagrożeń.   Całkiem niedawno miałem do czynienia z kilkoma, a dokładniej mówiąc dwoma zjawiskami, które potwierdzają moją, być może nawet mocno subiektywną teorie.   Pierwsze z nich dotyczy kwestii uświadamiania pracowników co do zagrożeń niesionych za pośrednictwem wirusów. W odpowiedzi na zalecenie można przeczytać, iż poziom zabezpieczeń i obowiązujące procedury właściwie wykluczają konieczność prowadzenia wewnętrznych szkoleń z tej materii, czyli konieczność uświadamiania pracowników. Nie trzeba było długo czekać, a w sieci dało się przeczytać, że hakerzy podrzucili kilku bankom wirusy. Ktoś może powiedzieć, że widocznie te banki były słabo zabezpieczone. Może być to prawdą, choć trudno w to uwierzyć, bo dotyczy to wiodących, a więc i dostatecznie bogatych jednostek, których infrastruktura z pewnością nie przypomina domowej sieci, często funkcjonującej w trybie prowizorki. Uświadamianie natomiast, to jeden z lepszych sposobów na ograniczanie potencjalnego wystąpienia zagrożeń i szczerze mówiąc chyba jedno z najtańszych, a często mocno skutecznych.   Innym zagadnieniem, z którym przyznam się miałem dość sporo kłopotów była kwestia weryfikacji, że tak powiem praworządności kandydata do pracy. Dyskusja oparła się o to, że prawo z jednej strony zabrania gromadzenia danych wrażliwych bez zgody zainteresowanego, a z drugiej o dobre praktyki w tym zakresie. Do tego w dyskusji poruszono jeszcze dwa elementy jako przeciwstawne – możliwość weryfikacji danej osoby, pod kątem niekaralności oraz prawo do rehabilitacji osoby, która gdzieś tam w życiu zbłądziła ale swój błąd zrozumiała i chce być dobrym obywatelem. Prawda – w tym drugim zestawie trudno o udzielenie jednoznacznej odpowiedzi. Jednak co pomyślałby sobie każdy z nas jako klient np. banku, który zatrudnia Ala Capone lub jego krewnych. No właśnie… Ale zostawmy kwestie etyczno moralne i rzućmy okiem na otaczającą nas namacalną rzeczywistość.   Spotkałem się z rozwiązaniem, które ogranicza się do tego, że instytucje, w których swego czasu zaświadczenia o niekaralności stanowiły podstawę zatrudnienia, ograniczyły swoje działania do wymogu przedłożenia takiego dokumentu przez pracownika i odnotowania faktu przez kadry o zapoznaniu się z jego treścią. Super – zachowanie informacji w postaci jawnej też oznacza przechowywanie tych informacji ale ktoś może powiedzieć, że to naciągana teoria, wiec rzućmy okiem na inne faktycznie zdarzenie.   Jak możemy przeczytać w ostatniej Polityce, właśnie ujęto gang podrabiaczy dokumentów – ponoć można było zbudować sobie pełną historię, całkiem nowego życia. Szajkę złapano, teraz zamierzają łapać klientów szajki. Ponoć w komputerach znaleziono rejestr ich klientów – cóż za niedopatrzenie, prawda. Całkowity brak profesjonalizmu w zakresie ochrony danych, o braku zgłoszenia do GIODO nie wspominając. No ale to nie nasze zmartwienie i chciałbym zwrócić uwagę na zupełnie innych fakt.   Otóż, do Polskiego Towarzystwa Kryminalistycznego, zgłosiła się klientka, takiej fałszywej drukarni dokumentów i wylegitymowała się dyplomem wyższej uczelni – prawda, że brzmi jak opowieść rodem z literatury przedziwnej? No to proszę teraz wykorzystać wyobraźnię i pomyśleć, że ktoś przedstawia nam dokument o niekaralność, my piszemy, że i owszem i o.k. a tu psikus, bo taki dokument po prostu nie istnieje.   Przykłady zagrożeń można wręcz mnożyć. Co więcej, gdyby zebrać tylko opowieści o awariach wynikających ze zbagatelizowania tematu, to wyszłoby dzieło godne co najmniej Kafki, choć do rywalizacji ze znanym nam wszystkim „Procesem” bardziej nadaje się rzeczywistość ustawodawcza, tu dopiero można poszaleć, zwłaszcza w zakresie ochrony danych. Ostatnio bowiem znowu zadając trudne pytanie wprawiliśmy w zadumę Pana Urzędnika ale póki co czekamy na rozwiązanie zagadki, a jak już to nastąpi z pewnością podzielimy się wiedzą.

DANE OSOBOWE I KONTROLA INFORMACJI, A SPRAWA POLSKA

Bernadeta Gronowska, Jacek Rembikowski, Poznań 2009 Jak donoszą serwisy, właśnie rozpoczyna się dochodzenie w sprawie wycieku poufnych danych, dotyczących PGNiG. Podejrzanymi w sprawie są doradcy inwestycyjni. Na GPW wrze, dziennikarze mają temat, a maklerom poza sankcjami prawnymi, powiedzmy standardowymi grozi utrata prawa do wykonywania zawodu (Onet, 22. lipca 2009).   W zakresie informacji poufnej sprawa jest dość prosta. Wiadomo co jest poufne, a co nie, a przynajmniej co powinno być. Wiadomo kto ma prawo korzystać i w jakim zakresie z dostępnych dla niego danych. No i na koniec wiadomo, co grozi za naruszenie zasad poufności, choć czytając czasem wiadomości można w to zwątpić.     Niestety ciut gorzej sprawa się ma w przypadku ochrony danych osobowych, które jak to kiedyś stwierdził jedne z kolegów przez pięćdziesiąt lat były jawne, jak sygnalizacja świetlna, a teraz się okazuje, że jawnymi nie są.   Ustawa o ochronie danych osobowych obowiązuje nas od dawna. Można na nią patrzeć pod różnym kątem – zarówno jako na coś pozytywnego, jak i negatywnego, bo np. jak nie odnieść wrażenia, że ktoś coś kręci albo przynajmniej przesadza, bo skoro Klient nie pyta nas, co my z tymi danymi robimy, to po co tyle szumu? Nie można napisać prostej, jednozdaniowej ustawy, w której napisano by – dane chronić, nie rozpowiadać bo ktoś nas za to postawi do kąta?     Co więcej, żyjemy w kraju, w którym jakość zapisów prawnych pozostawia wiele do życzenia, co powoduje że wiele osób nie bardzo przejmuje się tym o czym stanowi prawo, a skupiają uwagę na prawie domniemanym. Nie raz mieliśmy do czynienia ze stwierdzeniami, że niczego rejestrować nie będę, bo jak to zrobię, to mnie skontrolują, a tak mam spokój. No i coś w tym jest, bo jak poważnie podejść do ustawy, przy której Komisja Przyjazne Państwo mogłaby się wykazać? Jak podejść do czegoś, czego do końca nie potrafią zinterpretować urzędy, nie mówiąc już o tym, że twórcy, pisząc ową ustawę zapomnieli o pewnych realiach. Jak się nie denerwować, kiedy człowiek czyta „o ile przepis innej ustawy nie stanowią inaczej”? Toż to ustawodawczy majstersztyk, porównywalny z budową dziur do łatania na drogach, czy ustawianiem domina z całą masą furtek, zakrętów i innych bardzo ciekawych sztuczek. Autor pewnie się obrazi, bo w zamyśle z pewnością miał uzupełnienie w późniejszym terminie setek ustaw, dając pole do popisu prawnikom w stylu - znajdź brakujący element, no i z resztą dał.     Całość ma prawo spotęgować także fakt, iż my sami generalnie nie przywiązujemy do tych zagadnień wagi. Raz z powodu braku czasu, którego i tak nie mamy w nadmiarze, dwa – i tak nie znamy całości prawa, więc wolimy nie dotykać, bo o lawinę nie trudno, no i trzy – chyba nie wszyscy uznają własne imię za swego rodzaju majątek – jedyny, którego do całkiem niedawna nie dało się ukraść.  To wszystko powoduje, że połowa ustawy faktycznie jest martwa. Ustalamy formularze, zasady, których wykorzystanie w przyszłości jest bardzo wątpliwe – no to jak się człowiek ma nauczyć czegoś, co i tak mu się w najbliższej przyszłości nie przyda?     Rozważanie tego typu można by ciągnąć w nieskończoność, chociażby dlatego, że interpretatorów w kraju mamy często tylu ilu nas tu mieszka, a i tak może się okazać, że tematu nie wyczerpiemy i naprawdę, taka postawa nie jest godna polecenia.     Warto bowiem jednak spojrzeć na ODO z zupełnie innej strony. A wszystko dlatego, że w tej całej rzeczywistości musimy się odnaleźć i nadal funkcjonować.   Ustawa jest, to fakt. Obowiązywały i/lub obowiązują nas zatem jakieś zasady. Co więcej, powoli rośnie nam pokolenie ‘amerykańskich prawników’, którzy pod przykrywką rzekomego działania na rzecz Klienta, kopią niczym górnicy w stertach akt i zapisów, tropiąc haczyki, których można się czepić oraz dziury, w które można wrzucić nieświadomą zagrożenia ofiarę.   Jak zatem wygląda nasza ustawa, a właściwie nasze podejście do niej? W wolnych chwilach, tropiąc coś, czego można by się złapać, udało nam się natknąć m.in. na przypadki niby niegroźne, a jednak…   Otóż, przychodzi Klient do banku i prosi o kredyt. Bank odpowiada, że i owszem. Daje do wypełnienia wniosek i rozpoczyna procedurę sprawdzania wiarygodności, sięgając do BIKu…  No i problem gotowy. W tym przypadku nie dla banku, w końcu kto pyta nie błądzi. Tylko kto pozwolił udostępniać BIKowi dane stronie trzeciej? Ale spokojnie…     Sami Klienci póki co korzystają z BIKu w ciut inny sposób. Składają wnioski, potem sprawdzają BIK i idą do tych, których nie znajdą w rejestrze – sprytne prawda? Generalnie w wielu przypadkach na etapie umowy pojawia się zapis, zgodny z ustawą o tym, że bank będzie przekazywał nasze dane do BIK ale BIK, to podmiot obcy i dalsza dyspozycja nie jest już taka oczywista.     Problem chyba tkwi w tym, że skupiamy się na ogólnie tworzonych, nazwijmy je ‘mitach’ w myśl których Klient oświadcza nam, że wyraża zgodę na przetwarzanie danych w ramach umowy, choć ustawa wcale tego nie wymaga (art. 23 ust.1 lit 3 Ustawy o ochronie danych osobowych – Dz. U. rok 2002, nr 101, poz. 926 z późn. zmianami) i mamy wrażenie, że wszystko jest OK. Niestety sprawa, aż tak banalna nie jest…     Brak uporządkowania wielu kwestii, a w tym przypadku dbałości o zapisy może okazać się bardziej zgubny niż się wydaje na pierwszy rzut oka.   Ręka do góry kto posiada w umowach lub regulaminach zapis, dotyczący zgody lub informację o dłuższym przechowywaniu danych? Ustawa dopuszcza taki przypadek ale musi mieć to formę jawną, w przeciwnym razie Klient może nam się zagotować i bigos gotowy (art. 23 ust.2 Ustawy o ochronie danych osobowych – Dz. U. rok 2002, nr 101, poz. 926 z późn. zmianami). Ale tropmy dalej…     Skoro zgodnie z zapisem dane w stosownym momencie mają być usunięte lub ich wykorzystanie ma ograniczony charakter, a ustawodawca nakłada na administratora odpowiedzialność za dane, to dalsze dysponowanie nimi w BIKu nie powinno mieć miejsca. A co to oznacza? A no to, że w umowie brak zapisu o tym, że dane będą przechowywane dłużej (dopuszczalne jest 12 lat – art. 105a Ustawy Prawo Bankowe z dnia 29 sierpnia 1997 r. z późn. zmianami) skutkuje koniecznością ich usunięcia i cała idea BIKu ulatuje niczym babie lato, co więcej może się okazać, że ktoś narobi przy tej okazji bałaganu, krzycząc na całe gardło, że ktoś tu łamie prawo – zwłaszcza ten, co ma problemy ze spłatą zadłużenia, bo nagle okaże się, że wartość jego imienia bez względu na wzgląd osiągnie niewyobrażalny poziom. Na całe szczęście okres 10 lat okazał się okresem owocnym i doczekaliśmy się stosownych aktualizacji – przecież kilka akapitów wyżej o tym pisaliśmy, że tak będzie tylko później…   Nowelizacja Ustawy Prawo Bankowe zmienia obraz sytuacji na zgoła inną i wprowadza zasadę mówiącą o tym, że Klient, który ‘nawala’ nie ma prawa głosu, natomiast zgodę może wyrazić i odwołać w każdej chwili ten, co nie ma nic do ukrycia, a więc wywiązuje się z zobowiązań:   Instytucje, o których mowa w ust. 1, mogą, z zastrzeżeniem ust. 3, przetwarzać informacje stanowiące tajemnicę bankową w zakresie dotyczącym osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inną instytucją ustawowo upoważnioną do udzielania kredytów, pod warunkiem uzyskania pisemnej zgody osoby, której informacje te dotyczą. Zgoda ta może być w każdym czasie odwołana. Instytucje, o których mowa w ust. 1, mogą przetwarzać informacje stanowiące tajemnice bankowe dotyczące osób fizycznych po wygaśnięciu zobowiązania wynikającego z umowy zawartej z bankiem lub inna instytucją ustawowo upoważnioną do udzielania kredytów, bez zgody osoby, której informacje dotyczą, gdy osoba ta nie wykonała zobowiązania lub  dopuściła się zwłoki powyżej 60 dni w spełnieniu Świadczenia wynikającego z umowy zawartej z bankiem lub inna instytucja ustawowo upoważnioną do udzielania kredytów, a po zaistnieniu tych okoliczności upłynęło co najmniej 30 dni od poinformowania tej osoby przez bank lub inną instytucję ustawowo upoważniona do udzielania kredytów o zamiarze przetwarzania  dotyczących jej informacji stanowiących tajemnicę bankową, bez jej zgody.   (art. 105a Ustawy Prawo Bankowe z dnia 29 sierpnia 1997 r.; zmiana z dnia 26. 01. 2007r. – Dz.U. 2007. nr 42. poz. 272)       Uff, prawda – co za ulga, można odetchnąć – prawnicy z Sejmu się sprawili. Problem w tym, iż w wielu przypadkach cały ten okres – od wejścia ustawy do aktualizacji generalnie sprawa była dość kiepsko poukładana, a tak niestety wygląda wiele polskich ustaw. Co to oznacza?     A no wprowadzając stosowne informacje i rzetelnie informując Klienta faktycznie wpływamy na pozytywna stronę BIKu, nie robiąc tego budujemy wizerunek banku, który tylko czyha na błąd nieznającego prawa obywatela, a nie śledząc uważnie tego co dzieje się w ramach ODO, czyli traktując zabawę po macoszemu, sami narażamy się na to, że staniemy się pożywką dla ‘amerykańskich prawników’, znajdując się nagle po nie właściwej stronie barykady, bo to my okażemy się tym co prawa nie znają i muszą się nagle bronić, a to są niepotrzebne koszty i nerwy.   Dlatego właśnie konieczne jest przeglądanie umów pod kątem zapisów i ich odświeżanie, uwzględniające zmiany, aby uchronić się przed konsekwencjami nawet nieświadomego naruszenia prawa. Z tego samego powodu konieczne jest przeglądanie i akceptacja informacji publikowanych na zewnątrz, bo z jednej strony pełne publikowanie regulaminów i procedur, to niewątpliwie ruch  pro-kliencki, lecz z drugiej strony niedźwiedzia przysługa, którą możemy sami sobie zafundować…  

SZBI - ISTOTA SYSTEMU I PRZYCZYNY REALIZACJI WDROŻENIA

Jacek Rembikowski, Poznań 2010 W systemach zarządzania, ich istotą nie jest forma opracowanej dokumentacji, lecz jej użyteczności oraz zawartość merytoryczna - aktualna, zatwierdzona i dostępna w dowolnym momencie.   Istotą samego systemu jest sprawnie działający mechanizm, potrafiący obronić się przed wpływem negatywnych czynników, dającym jednoznaczne odpowiedzi, dotyczące celu zakresu i formy działań. Sama dokumentacja to jedynie zapis, gwarantujący trwałość przyjętych rozwiązań, stanowiący podstawę do ich późniejszej weryfikacji.   U podstaw systemu zarządzania, tak bezpieczeństwem informacji, jak i jakością leżą przede wszystkim: • świadomość - dzięki której dokładnie wiemy, co i dlaczego realizujemy; • cel - czyli to, do czego dążymy i wbrew ogólnie przyjętemu pojmowaniu tego elementu, nie oznacza to jedynie celu o jakościowej formule – celem, poprzez który będzie gwarantowana jakość usług może z powodzeniem być cel biznesowy, o czym często zapominamy; cel też powinien, a wręcz musi być konkretny i mierzalny aby możliwa była rzeczywista weryfikacja i ocena działań zbliżających nas do niego; • narzędzia – zarówno materialne, jak i niematerialne (np. zasada PDCA), które dotyczą zarówno działań w sferze bezpieczeństwa informacji, jak i jakości. Z praktycznych obserwacji wynika, iż często funkcjonujące zalążki SZBI, to tak naprawdę wierzchołek góry lodowej u podnóża, której znajdują się: • brak świadomości tego, czym jest bezpieczeństwo informacji i co należy chronić • realizacji funkcji SZBI o charakterze sloganowym – zapisy z wielu raportów wskazują na powielanie sformułowań z uwagi na ich wymagalność, a nie z powodu zaistnienia konieczności ich wprowadzenia • brak rzeczywistej wewnętrznej samokontroli o charakterze auditu wewnętrznego • w dużej mierze kojarzenie bezpieczeństwa informacji jedynie z funkcją pełnioną przez informatyka z pominięciem wielu zagadnień dotyczących dokumentacji tradycyjnej, jak też naszych zachowań • brak zidentyfikowanych zasobów i związanych z nimi zagrożeń, co zdecydowanie utrudnia bieżące działania • brak nadzoru nad zmiennością środowiska, tak fizycznego, technologicznego oraz prawnego   Główne problemy warunkujące wdrożenie SZBI • Problemy z ochroną danych nakładaną na podmioty przez Ustawę o Ochronie Danych Osobowych • Zabezpieczenie majątku organizacji, stanowiącego podstawę prowadzonej działalności • Utrzymanie ciągłości prowadzonych działań i zapobieganie zdarzeniom mogącym zagrozić stabilności procesów biznesowych • Problemy z ochroną informacji wrażliwej, od której zależy konkurencyjność organizacji • Nadzór nad dostępem do wydzielonych stref • Kompleksowe zarządzanie uwzględniające reguły bezpieczeństwa w taki sposób aby stanowiły one naturalny i niezakłócający działań proces, który dzięki doskonaleniu zwiększa gwarancję zachowania poufności, dostępności i integralność informacji   Konsekwencje z jakimi należy się liczyć w przypadku wystąpienie problemów • Narażenie Klientów/Pracowników na rozpowszechnienie informacji chronionej, a co za tym idzie konsekwencje prawne oraz finansowe, wynikające z: - Ustawy o Ochronie Danych Osobowych zwłaszcza w zakresie informacji o wyjątkowym znaczeniu (stanu zdrowia, wyznania, karalności, orientacji seksualnej…) - Odszkodowań z tytułu utraconych przez Klientów/Pracowników korzyści lub szkód wynikających z utraty poufności lub zagubienia przetwarzanych (w tym przechowywanych) danych • Utrata mienia poprzez brak rzeczywistego nadzoru lub zabezpieczenia, co w konsekwencji znajduje swoje odzwierciedlenie w kosztach działalności organizacji • Utrata możliwości świadczenia usług, w tym także brak możliwości realizacji działań zgodnie z zapisami umów, co może w konsekwencji oznaczać narażenie organizacji na koszty bezpośrednie w postaci utraty Klientów/Pracowników oraz pośrednie w postaci kar umownych wpływających negatywnie na rentowność prowadzonych działań • Szkody związane z informacją wrażliwą (poufną) to przede wszystkim konsekwencje związane z rozpowszechnieniem planów organizacji wśród konkurencji, „podpowiedź” w zakresie składanych ofert, a więc możliwość przegrania przetargu, odszkodowania od stron trzecich lub ze strony Klientów/Pracowników, wynikające z rozpowszechnienie informacji, która stanowiła ich tajemnicę (np. lista kontrahentów, stan konta, projekty biznesowe…) • Brak udokumentowanego, systemowego działania w zakresie PBI to m.in. brak możliwości dochodzenia odszkodowania od osób naruszających zasady bezpieczeństwa informacji z uwagi na możliwość podważenia reguł; wynika to z zasady, która mówi, że jeżeli ktoś sam nie pilnuje majątku, informacji itp. to mają one dla niego niewielkie znaczenie; natomiast sam brak rzeczywistego zarządzania bezpieczeństwem powoduje, że nie tylko sami tracimy pewność co do tego jak chronimy nasz majątek ale przede wszystkim podważamy nasz wizerunek jako organizacji, której można zaufać i powierzyć jakąkolwiek wartościową rzecz.   Przykładów bezpośrednio z życia wskazujących na fakt naturalnego chronienia naszego środowiska jest całkiem sporo. Inna jednak sprawa chronić samemu swój majątek, a inna chronić go w układzie zespołowym, tak aby każdy z członków zespołu mógł spać spokojnie.   Jeżeli ktoś się zastanawia dlaczego zagadnienia PBI są tak ważne, to wystarczy wyobrazić sobie kilka bardzo prostych sytuacji: • Czy zaufałbym bankowi, z którego wypłynęły dane o karalności pracowników? • Czy chciałbym pracować w organizacji, która nie dba o ochronę danych pracowników, nie mówiąc już o danych Klientów? • Czy w swoim domu pozostawię na wierzchu okablowanie, tak aby dzieci mogły się nim bawić? • Dlaczego mimo to, że ubezpieczam mieszkanie zamykam je wychodząc? Co więcej upewniam się, że drzwi zamknąłem • Dlaczego na parkingu w mieście nie zostawiam otwartego samochodu z kluczykami i dokumentami na desce rozdzielczej? • A może stać mnie na to aby w kawiarence internetowej zalogować się do swojego konta bankowego i wyjść, pozostawiają kartę kodów jednorazowych przy klawiaturze? • Dlaczego tak niechętnie oddałbym komuś kartę kredytową, dowód osobisty, tracąc te dokumenty z oczu? • I dlaczego nie mówimy nic sąsiadowi, którego podejrzewamy o plotkowanie? • Możemy też wyobrazić sobie, że wszelkie rachunki, gwarancje itp. nie dość, że trzymamy w nieładzie, to najlepiej jeszcze w zawilgoconej i sukcesywnie zalewanej piwnicy…   Jeżeli zostawimy samochód z dowodem i kluczykami nikt nam żadnego odszkodowania nie zapłaci. Jeżeli wygadamy się przed sąsiadem z jakiejś naszej tajemnicy to też nie możemy być zdziwieni, jak dotrze do nas, że wie o tym całe miasto. Nikt też nie chce się dowiedzieć, że ktoś posłużył się jego danymi, a teraz on musi spłacać kredyt, nie mówiąc już o tym, że chyba nikomu nie zależy na tym, aby będąc niewinnym spotkać się z prokuratorem tylko dlatego, że przez nieuwagę przyczyniliśmy się do popełnienia przestępstwa.   Dlatego też tyle się mówi o tym aby nie podawać danych wrażliwych w serwisach www.   Rodzice uczą dzieci aby te nie rozmawiały z nieznajomymi, a już pod żadnym pozorem nie wpuszczały ich do domu. Dlatego trzymamy zapałki poza zasięgiem maluchów aby ich nie kusiło. Ale to wszystko robimy we własnym zakresie, dla ochrony swojego majątku, swoich bliskich. A co z organizacją?   Każda organizacja, nawet ta najmniejsze to organizm złożony, a jak wiadomo aby ten organizm funkcjonował poprawnie, konieczne jest właściwe działanie poszczególnych elementów, a o jego sile stanowi najsłabszy element. Nie jest niczym nowym fakt, tracenia przez firmy korzyści wynikających bądź z wycieku informacji np. przegrane przetargi, obrażeni Klienci, czy też konsekwencje finansowo-prawne tytułem odszkodowań bo komuś się coś powiedziało, bo ktoś coś wyniósł, zgubił bądź np. ważne dane/dokumenty zostały zniszczone przez pożar, zalanie, kradzież czy atak hakerów lub wirusów.   Co jest źródłem tych kłopotów? W większości przypadków niestety człowiek, bo to on odpowiada za nadzór nad zasobami, bo to jemu często brakuje świadomości i darzy wszystkich zbytnim zaufaniem, bo zbyt często zdarzało się nie zamknąć drzwi albo zwyczajnie miał dostęp do zbyt dużej ilości informacji, nieadekwatnej do potrzeb biznesowych lub też pozostawił sprzęt czy też ważne dokumenty bez nadzoru.   Bywa też, że powodem jest brak znajomości prawa, które nakłada na nas ochronę pewnych obszarów lub zwyczajnie nie zastosowano zabezpieczeń, adekwatnych do zagrożeń, a to ostatnie z różnych powodów. Czasem jest to wynik braku właściwej wiedzy na temat tego, co może się wydarzyć lub jak się bronić, czasem z powodu tego, że wydaliśmy sporo pieniędzy na zabezpieczenia niekoniecznie potrzebne ale za to modne, no i zabrakło nam na te, których potrzebowaliśmy najbardziej…   Jak się bronić? Generalnie dla wielu systemów zarządzania dość ogólną ale trafną definicją, a zarazem odpowiedzią na pytanie wydaje się być słowo: porządek. O ile jednak jest to oczywiste dla każdego z nas, o tyle w grupie okazuje się, że te indywidualne definicje są prawie takie same i niestety tylko prawie.   Dlatego też powstało coś, co ma umożliwić jednoznaczne zdefiniowanie pewnych obszarów w taki sposób aby stały się czymś, co jest powtarzalne na tyle aby móc to kontrolować i doskonalić, a jednocześnie aby nie stanowiło to problemu w realizacji działań.   Zasady te określają normy, a w zakresie PBI norma ISO27001, która opierając się na regułach zawartych w ISO9001 definiuje obszary, które organizacja powinna poddać szczególnemu nadzorowi aby móc mówić o tym, że panuje nad aktywami w miarę swoich możliwości dążąc to zapewnienie jak najwyższego poziomu bezpieczeństwa. Wszystko to jest oparte na procesowym podejściu do działań i definiowane jako System Zarządzania Bezpieczeństwem Informacji.   Podobnie, jak norma ISO9001, tak i 27001 w głównej mierze opera się o: • Podstawę jaką jest odpowiedzialność kierownictwa, które odpowiada za całokształt polityki bezpieczeństwa, zagwarantowanie jej realizacji i doskonalenia • Nadzór nad dokumentami i zapisami przez które należy rozumieć zarówno działania w trybie tradycyjnym, jak i elektronicznym • Nadzór nad zasobami w tym nad zasobami ludzkimi i związanym z tym procesem szkoleń, uprawnień i przywilejów • Weryfikację poprawności działania systemu poprzez mechanizmy auditów i przeglądów oraz nadzór nad niezgodnościami wskazującymi słabe punkty systemu • Współpracę z dostawcami, która pozwala na rozłożenie zagrożeń, a co za tym idzie kosztów związanych z zabezpieczeniami • A wszystko to w oparciu o działania zaplanowane i realizowane w ramach wyznaczonych celów, wynikających z oceny stanu bieżącego.   Podobnie jak norma ISO9001 tak i 27001 nie narzuca jednoznacznych rozwiązań czy mechanizmów, pozostawiając swego rodzaju dowolność w zakresie organizacji bezpieczeństwa. Tu bowiem tak jak w przypadku SZJ wszelkie elementy muszą być dopasowane do struktury organizacji, profilu działania oraz możliwości realizacyjnych. „27001” nie zwalnia nas ze stosowania zdrowego rozsądku, jednak wymaga podejmowania decyzji na podstawie faktów i zgromadzonych danych.   Tym, co odróżnia normę ISO27001 od ISO9001 to konieczność odrębnego podejścia do każdej z lokalizacji tak pod względem funkcjonowania systemu, jak i pod względem certyfikacji – tu certyfikat nie jest przyznawany na organizację, a na każdą lokalizację poddaną auditowi, co powoduje, że system ten wymaga zdecydowanie większego uporządkowania i nadzoru niż standardowa norma ISO9001.  

CZYM JEST INCYDENT, PIERWSZE KROKI W PBI

Jacek Rembikowski, Poznań 2009  Incydent jest to zdarzenie, które chcemy aby drugi raz nie wystąpiło, a które ma wpływ na ciągłość prowadzonych działań biznesowych, dla których zagrożeniem mogą być konsekwencje, wynikające z przestoju, kar lub utraty aktywów czy też właściwej komunikacji, czyli jak to określa norma z utraty dostępności, poufności i integralności.   O ile same incydenty generalnie dzielimy z punktu widzenia wagi konsekwencji, jakie mogą z nich wynikać, o tyle w ramach działań naprawczych wg ogólnie przyjętych definicji rozróżniamy generalnie trzy typy: Korekcję – czyli działania, mające na celu usunięcie bezpośredniego skutku wystąpienia incydentu. Działania korygujące – czyli działania, pozwalające na usunięcie przyczyny wystąpienia incydentu. Działania zapobiegawcze – czyli działania, pozwalające usunięcie potencjalnej przyczyny, a więc czegoś co przewidujemy, że kiedyś może stanowić źródło incydentu.     Niestety nie zawsze wprost i nie zawsze łatwym zadaniem jest prawidłowe zdefiniowanie i zakwalifikowanie zdarzeń, z którymi mamy do czynienia. Jednak bardzo często okazuje się,  że działając zgodnie z logiką postępujemy właściwie. Po co zatem definiować coś co w i tak przebiega prawidłowo? Powody są generalnie dwa – dla porządku rzeczy, dzięki czemu łatwiej nam będzie przeprowadzać analizy np. ryzyka oraz dla potrzeb świadomego poruszania się po zagadnieniach związanych z bezpieczeństwem, dla których czy nam się to podoba czy nie ktoś ustalił reguły gry i zapisał je w stosownych dokumentach prawnych lub para prawnych.     Aby lepiej zobrazować pojęcie incydentu i sposobu postępowania posłużmy się przykładem rzeczywistego zdarzenia, które aby nie wskazywać rzeczywistego miejsca wystąpienia ubrane zostało w trochę inne „szaty”.   Na terenie przedsiębiorstwa aby w pewien sposób ułatwić życie pracownikom wydzielono teren z pomieszczeniami, w którym pracownicy mogli przechowywać swoje rzeczy, w tym m.in. rowery, skutery zwłaszcza w porze zimowej i jesiennej, kiedy jak wiadomo aura nie sprzyja pozostawianiu tego typu sprzętu na wolnym powietrzu. Całość znajdowała się na terenie przyległym do biurowca, z możliwością wejścia od strony ulicy. Klucze do bramy posiadali jedynie pracownicy korzystający z tego terenu i pomieszczeń. Pewnego dnia jedna z osób, niemająca nic wspólnego z przechowywanymi tam przedmiotami, stwierdziła obecność na tym terenie osób postronnych. Postanowiła niezwłocznie zgłosić ten fakt przełożonym. Pech chciał, że nikogo z nich nie było akurat w firmie, więc po otrzymaniu zgłoszenie, zawiadomili niezwłocznie firmę ochroniarską oraz policję. Ten o dziwo pojawiły się dość sprawnie pod wskazanym adresem, rozpoczynając dochodzenie. W międzyczasie do działań dołączyło kierownictwo, wracające ze spotkania, a całemu zajściu przyglądało się dodatkowo jeszcze kilku pracowników, bo śledczych jak wiadomo nigdy za wiele.   W wyniku dochodzenia okazało się, że widziane na terenie firmy osoby postronne to nikt inny, jak po prostu członkowie rodzinny jednego z pracowników. Co więcej wcale się nie włamywali, tylko zwyczajnie korzystając z klucza i bramy weszli na ów wydzielony skrawek firmowego terenu.   W czym zatem problem skoro z jednej strony mamy przecież do czynienia z mieniem pracowników, z drugiej z osobami posiadającymi prawo do tego mienia? A no problem leży w komunikacji i wynikającym z jej braku incydencie przebywania bądź, co bądź osób trzecich na terenie zamkniętym, należącym do firmy. Cały problem leżał w tym, że osoba, która przekazała klucze do bramy, nie poinformowała o tym nikogo. Osoba, która natomiast zgłosiła problem, postąpiła właściwie, nie próbując udawać bohatera i samemu dochodząc przyczyny obecności osób postronnych na terenie firmy. Prawidłowo też zachowały się osoby z kierownictwa, zgłaszając sprawę do właściwych organów. Efektem całego zdarzenia było natomiast wstrzymanie prac niejednej osoby z powodu sytuacji, której można by uniknąć. Dodatkowo incydent ten spowodował narażenie firmy na koszty, związane z interwencją, niemającą nic wspólnego z działaniem szkodliwym. Co było złe?   Po pierwsze przekazanie uprawnień osobom trzecim, czyli umożliwienie samodzielnego poruszania się po terenie firmy osób postronnych. Po drugie, niepoinformowanie nikogo z firmy o tym, że ktoś z rodziny odbierze rower, co w tej sytuacji najprawdopodobniej by wystarczyło. Patrząc na przywołaną sytuację wprost mamy incydent z zakresu naruszenie bezpieczeństwa fizycznego, a więc udzielenie praw dostępu bez wiedzy przełożonych. Skutki to całkiem niepotrzebne nerwy po stronie wszystkich uczestników, także i tych domniemanych włamywaczy oraz koszty wynikające z interwencji, których być nie powinno. Co zatem uczyniono w ramach naprawy sytuacji? Zgodnie z logiką, bo do niej norma nie jest potrzebna przeprowadzono działania korekcyjne, poprzez odebranie kluczy oraz przeprowadzono działania korygujące czyli przeprowadzono, że tak ją nazwijmy pogadankę edukacyjną z osobą, która była winna całej tej sytuacji. To, czy powinno się pójść o krok dalej i przyjąć działania na przyszłość w postaci ustalenia czy w innych obszarach działania firmy taka sytuacja nie może mieć miejsca i opracowania w związku z tym stosownych procedur, to oczywiście należałoby rozważyć odpowiednio do warunków otoczenia ale gdyby takową procedurą kazano się komuś zająć, zahaczylibyśmy o działania zapobiegawcze. Oczywiście warto też dodać na konie, że osoba, która zgłosiła fakt przebywania obcych na terenie firmy została nagrodzona przez szefostwo w postaci okolicznościowej premii, ale to już nie wynik działania wg normy tylko kultura zarządzania i to wysoka.   Jak widać można zadziałać zgodnie z tym co jest napisane w normach, czy rekomendacjach bo generalnie nie ma w nich nic bezsensownego. Inna kwestia to znaleźć klucz, który pozwoli nam się w tych zagadnieniach prawidłowo poruszać, co pozwoli nam na rzetelną i pewną odpowiedź na coś, co w ramach PBI zaczyna się od słów: Kierownictwo powinno upewnić się, że…