Kancelaria Consultingowo-Usługowa

EFEKT

Usługi

W zakresie ochrony informacji niejawnych usługi skierowane są do szerokiego grona Klientów w oparciu o świadczenie usług w formie outsourcingu i innych form zatrudnienia określonych w ustawie o ochronie informacji niejawnych – pełnienie obowiązków Pełnomocnika ds. ochrony informacji niejawnych, Inspektora Bezpieczeństwa Teleinformatycznego i Administratora systemu. Realizacja usługi ściśle powiązana jest z potrzebami i oczekiwaniami Klienta, ale zawsze zgodnie z obowiązującym prawem.

Pełnomocnik ds. ochrony informacji niejawnych zgodnie z Ustawą z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych (Dz. U. z 2018r. poz. 1000 ze zm.)
  1. zapewnienie ochrony informacji niejawnych, w tym stosowanie środków bezpieczeństwa fizycznego;
  2. zapewnieniem ochrony systemu teleinformatycznego, w którym są przetwarzane informacje niejawne;
  3. zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka;
  4. aktualizacja planu ochrony informacji niejawnych oraz nadzorowanie jego realizacji, w tym w razie wprowadzenia stanu nadzwyczajnego, i nadzorowanie jego realizacji oraz innych dokumentów wymaganych ustawą;
  5. prowadzenie szkoleń w zakresie ochrony informacji niejawnych;
  6. kontrola ochrony informacji niejawnych oraz przestrzegania przepisów o ochronie tych informacji,
  7. prowadzenie zwykłych postępowań sprawdzających oraz kontrolnych postępowań sprawdzających;
  8. prowadzenie aktualnego wykazu osób zatrudnionych w jednostce organizacyjnej albo wykonujących czynności zlecone, które posiadają uprawnienia do dostępu do informacji niejawnych oraz osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub je cofnięto;
  9. przekazywanie odpowiednio ABW lub SKW do ewidencji, o których mowa w art. 73 ust. 1 ustawy, danych, o których mowa w art. 73 ust. 2 ustawy, osób uprawnionych do dostępu do informacji niejawnych, a także osób, którym odmówiono wydania poświadczenia bezpieczeństwa lub wobec których podjęto decyzję o cofnięciu poświadczenia bezpieczeństwa, na podstawie wykazu, o którym mowa w ppkt. h;
  10. podejmowanie działań zmierzających do wyjaśnienia okoliczności naruszenia przepisów o ochronie informacji niejawnych, zawiadamiając o tym Kierownika Jednostki Organizacyjnej, a w razie zaistnienia takiej konieczności również odpowiednie organy państwowe,
  11. nadzór nad pracą kancelarii niejawnej,
  12. konsultacje oraz doradztwo w zakresie wszelkich kwestii związanych z ochroną informacji niejawnych;
  13. analiza i ocena dokumentacji, pism, procedur, wniosków, zezwoleń, zapisów umownych i innych materiałów z zakresu informacji niejawnych.
Bezpieczeństwo teleinformatyczne

Dokumenty dotyczące bezpieczeństwa teleinformatycznego związane z przetwarzaniem dokumentów niejawnych w systemach teleinformatycznych zgodnie z wymaganiami ustawy z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych (Dz. U. z 2018r. poz. 1000 ze zm.) zostały określone w Rozdziale 8 oraz Rozporządzeniu Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz. U. 2011 r. Nr 159, poz. 948); tj.:

SWB – Szczególne Wymagania Bezpieczeństwa Systemu Teleinformatycznego,

PBE - Procedury Bezpiecznej Eksploatacji Sytemu Teleinformatycznego.

Bezpieczeństwo przemysłowe, jako zdolność do ochrony informacji niejawnych o klauzuli poufne lub wyższej jest świadectwo bezpieczeństwa przemysłowego wydane przez ABW albo SKW po przeprowadzeniu postępowania bezpieczeństwa przemysłowego. (Rozdział 9 ustawy z dnia 5 sierpnia 2010 roku o ochronie informacji niejawnych (Dz. U. z 2018r. poz. 1000 ze zm.)

Ochrona Danych Osobowych

W zakresie ochrony danych osobowych usługa Inspektora Ochrony Danych może być realizowana w formie outsourcingu. Wyznaczenie inspektora spoza własnego zespołu niesie za sobą dwie podstawowe korzyści – niezależność i wynikającą z niej obiektywną ocenę skuteczności działań podejmowanych na rzecz bezpieczeństwa. Celem bezpośrednim jest wsparcia organizacji o wymagania prawne i techniczno – organizacyjne Administratora Danych Osobowych w codziennym funkcjonowaniu organizacji. Formuła powołania Inspektora Danych Osobowych pozwala spełniać wymogi niezależności, obiektywizmu, dbałości i rzetelności z jednoczesnym powiązaniem przepisów dotyczących bezpieczeństwa informacji i funkcjonowania systemów informatycznych w których dane są przetwarzane. Kancelaria Consultingowo – Usługowa jest też przygotowana do wdrożenia procedur, które obowiązują od 25 maja 2018 roku na podstawie ogólnego rozporządzenia Parlamentu Europejskiego. Polski ustawodawca z dniem 10 maja 2018 roku wprowadził ustawę o ochronie danych osobowych (Dz. U. z 2018r. poz. 1000) EFEKT pomoże pokonać nowe wyzwania stojące w tym zakresie przed organizacjami.

Administrator tworząc dokumenty związane z przetwarzaniem danych, powinien uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, wdrożył odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (art. 32 ust. 1 RODO).

Obecnie nie wymienia się dokumentów jakie administrator powinien posiadać. Natomiast ma wykazać, że:

  • stosuje się do ogólnych zasad przetwarzania – art. 5 RODO;
  • zapewnia, aby dane przetwarzane były zgodnie z prawem – art. 6-11 RODO;
  • zapewnia, aby przestrzegane były prawa osób, których dane są przetwarzane art. 12-13 RODO;
  • zapewnia wypełnianie ogólnego obowiązku w zakresie przetwarzania danych osobowych ciążących na administratorze i podmiocie przetwarzającym – art. 24-31 RODO;
  • zapewnia kontrolę nad przetwarzaniem danych poprzez monitorowanie przepisów i wdrożonych procedur – art. 27-43 RODO;
  • stosuje się do wymagań w zakresie przekazywania danych do państw trzecich – art. 44-49 RODO.

Rejestr czynności przetwarzania danych osobowych to jedynym dokumentem wymagany przez prawo, związanym z przetwarzaniem danych osobowych. Zgodnie z art. 30 ust. 1 RODO, w rejestrze tym zamieszcza się wszystkie następujące informacje:

  1. imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów;
  2. cele przetwarzania;
  3. opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych;
  4. kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione, w tym odbiorców w państwach trzecich lub w organizacjach międzynarodowych;
  5. gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej, w tym nazwa tego państwa trzeciego lub organizacji międzynarodowej, a w niektórych przypadkach także dokumentacja odpowiednich zabezpieczeń;
  6. jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych;
  7. jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa wymaganych przez RODO.
Obowiązek ten nie ma jednak zastosowania do przedsiębiorcy lub podmiotu zatrudniającego mniej niż 250 osób, chyba że przetwarzanie, którego dokonuje, może powodować ryzyko naruszenia praw lub wolności osób, których dane dotyczą, nie ma charakteru sporadycznego lub obejmuje szczególne kategorie danych osobowych lub dane osobowe dotyczące wyroków skazujących i naruszeń prawa.

Rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu administratora prowadzi podmiot przetwarzający zgodnie z zapisem art. 30 ust. 2 RODO. Jednak i w tym przypadku działa wyłączenie, o którym mowa powyżej – rejestru co do zasady można nie prowadzić, jeżeli zatrudnia się mniej niż 250 osób.

Powoływanie , status i zadania Inspektora ochrony danych określają art. 37 - 39 RODO

Art. 37 Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań.

Administrator i podmiot przetwarzający wyznaczają inspektora ochrony danych, zawsze gdy:

  1. przetwarzania dokonują organ lub podmiot publiczny, z wyjątkiem sądów w zakresie sprawowania przez nie wymiaru sprawiedliwości;
  2. główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
  3. główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.

Artykuł 38 Status inspektora ochrony danych

  1. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych.
  2. Administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, o których mowa w art. 39, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej.
  3. Administrator oraz podmiot przetwarzający zapewniają, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania tych zadań. Nie jest on odwoływany ani karany przez administratora ani podmiot przetwarzający za wypełnianie swoich zadań. Inspektor ochrony danych bezpośrednio podlega najwyższemu kierownictwu administratora lub podmiotu przetwarzającego.
  4. Osoby, których dane dotyczą, mogą kontaktować się z inspektorem ochrony danych we wszystkich sprawach związanych z przetwarzaniem ich danych osobowych oraz z wykonywaniem praw przysługujących im na mocy niniejszego rozporządzenia.
  5. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy lub poufności co do wykonywania swoich zadań – zgodnie z prawem Unii lub prawem państwa członkowskiego.
  6. Inspektor ochrony danych może wykonywać inne zadania i obowiązki. Administrator lub podmiot przetwarzający zapewniają, by takie zadania i obowiązki nie powodowały konfliktu interesów.

Art. 39 Zadania Inspektora ochrony danych

  1. informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
  2. monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty;
  3. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35;
  4. współpraca z organem nadzorczym;
  5. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem, w tym z uprzednimi konsultacjami, o których mowa w art. 36, oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

Zleceniobiorca wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

W zakresie bezpieczeństwa informacji

Usługa realizowana jest w oparciu o międzynarodową normę ISO 27001, która zawiera 7 zasad, które muszą być bezwzględnie spełnione w organizacji, aby można było mówić o ustanowieniu, wdrożeniu i utrzymaniu systemu bezpieczeństwa. W tym obszarze wykorzystywana jest norma PN-ISO/IEC 17799 w odniesieniu do ustanawiania zabezpieczeń, PN-ISO/IEC 27005 w odniesieniu do zarządzania ryzykiem oraz norma PN-ISO/IEC 24762 w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania. W procesie tym identyfikowane są obszary, w których występują nieprawidłowości, wskazując plan naprawczy. Usługa ta skierowana jest głównie do podmiotów publicznych, które zgodnie z zapisami § 20 pkt. 14 rozporządzenia Rady Ministrów w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych są zobligowane do przeprowadzenia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji nie rzadziej niż raz na rok.

KRI

§ 20. 1. Podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

§ 20. 2. Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:

  1. zapewnienia aktualizacji regulacji wewnętrznych w zakresie dotyczącym zmieniającego się otoczenia;
  2. utrzymywania aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację;
  3. przeprowadzania okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy;
  4. podejmowania działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji;
  5. bezzwłocznej zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt. 4;
  6. zapewnienia szkolenia osób zaangażowanych w proces przetwarzania informacji ze szczególnym uwzględnieniem takich zagadnień, jak:
    • zagrożenia bezpieczeństwa informacji,
    • skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    • stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich;
  7. zapewnienia ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, przez:
    • monitorowanie dostępu do informacji,
    • czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
    • zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji;
  8. ustanowienia podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość;
  9. zabezpieczenia informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie;
  10. zawierania w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji;
  11. ustalenia zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych;
  12. zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    • dbałości o aktualizację oprogramowania,
    • minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    • ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    • stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    • zapewnieniu bezpieczeństwa plików systemowych,
    • redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    • niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    • kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa;
  13. bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących;
  14. zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

W zakresie informacje prawnie chronionych

To szeroki spektrum informacji i danych prawnie chronionych. Dziś aby realizować politykę bezpieczeństwa należy stosować środki, które mają zapewnić sprawne i wydajne funkcjonowanie systemu bezpieczeństwa. Do takich środków należą działania w kierunku zapewnienia legalności, czyli zgodności z prawem oraz ogólnie obowiązującymi standardami. Dlatego też Kancelaria Consultingowo – Usługowa EFEKT pomaga w szukaniu i wdrożeniu stosowania takich środków aby nie narazić organizacji na kary wynikające z nieprzestrzegania prawa.