Czy wiesz, że istnieją proste, ale skuteczne zasady bezpieczeństwa danych? Oto 3 niezawodne sposoby na zmniejszenie ryzyka utraty, ujawnienia i udostępnienia danych. Wiele organizacji poszukuje drogich i skomplikowanych systemów informatycznych, które będą chroniły dane osobowe, zapominając, że jednym z ważnych czynników ryzyka jest człowiek. Zabezpieczenia informatyczne i techniczne są ważne, ale istnieją także 3 proste zasady bezpieczeństwa danych. Zostały oparte na normie ISO 27001 i należą do środków organizacyjnych wspierających wdrożenie systemu bezpieczeństwa informacji.

Należy pamiętać, że jednym z ważnych czynników ryzyka jest człowiek.

 

3 zasady bezpieczeństwa danych wg ISO 27001.

RODO bywa w wielu sprawach niejednoznaczne i bardzo ogólnikowe, a to zachęca organizacje i Inspektorów Ochrony Danych do poszukiwania innych, sprawdzonych źródeł postępowania. Jednym z nich jest norma ISO 27001, z której pochodzą 3 zasady bezpieczeństwa danych, o których piszę poniżej.

ISO 27001 to międzynarodowa norma systemu zarządzania bezpieczeństwem informacji, która może być świetną pomocą przy wdrożeniu RODO. Mogą z niej korzystać firmy, instytucje i Inspektorzy Ochrony Danych. 

Warto zapamiętać i stosować 3 następujące zasady – polityki bezpieczeństwa danych. To są jedne z tych środków organizacyjnych, które można wdrożyć od razu i praktycznie za darmo. Mają przede wszystkim na celu wprowadzenia takich zasad postępowania z danymi osobowymi, które będą zapobiegać nieuprawnionym dostępom do danych osobowych. 

Polityka czystego biurka.

Po zakończeniu pracy wszystkie dokumenty zawierające dane osobowe należy odpowiednio zabezpieczyć.

Jedną z tych zasad jest polityka czystego biurka. Polega na uniemożliwieniu dostępu do danych osobowych zgromadzonych na biurku oraz w jego otoczeniu. Słowo biurko należy odczytywać znacznie szerzej, niż tylko jako miejsce do bezpośredniej pracy z dokumentami. Zabezpieczenie przed dostępem osób trzecich powinno dotyczyć także szaf, półek, szuflad, tablic korkowych, lady do obsługi petentów. W tych miejscach należy zwrócić szczególną uwagę na niepozostawianie dokumentów oraz nośników zawierających dane osobowe bez kontroli.

Dane osobowe nie mogą być dostępne dla osób, które nie są do nich upoważnione. Po zakończeniu pracy pracownicy powinni mieć obowiązek zabezpieczenia dokumentów i nośników danych przed dostępem do nich osób trzecich. Sposobem na to może być, np. zamykanie ich w szufladach i szafach na klucz. Dokumenty zawierające dane osobowe nie mogą pozostawać bez nadzoru w łatwo dostępnych miejscach również w sytuacji, gdy pracownik na chwilę odchodzi od stanowiska pracy, a dokumenty zostaną w tym czasie bez nadzoru innych osób upoważnionych.

Jest to zasada znana od lat, jednak nadal nie jest wystarczająco stosowana. Bardzo często w trakcie audytów ochrony danych zdarza mi się natrafiać na dokumenty pozostawiane bez kontroli. Na przykład u pracownika recepcji, który rozłożył dokumenty na biurku, a następnie poszedł zrobić sobie kawę. Podobnie dzieje się w przypadku teczek i nośników danych, które są pozostawiane przez pracowników, często przez nieuwagę.

Polityka czystego ekranu.

Polityka czystego ekranu polega na uniemożliwieniu osobom nieupoważnionym dostępu do treści wyświetlanych na ekranie komputera. Zgodnie z tą zasadą bezpieczeństwa danych ekran monitora powinien zostać tak ustawiony, aby osoba nie można było odczytać wyświetlanych treści. Pracownicy nie powinni zatem, np. siedzieć tyłem do wejścia, nachylać monitora w stronę obsługiwanego klienta.

Ponadto, podczas odejścia od stanowiska pracy, również należy przestrzegać zasad bezpieczeństwa. Należy wylogować się z systemu operacyjnego lub przynajmniej skutecznie zablokować do niego dostęp. Można używać do tego odpowiedniego (w zależności od używanego systemu) skrótu klawiszowego. Powszechnie kiedyś stosowane tzw. wygaszacze ekranu nie mają obecnie zastosowania. Ich ustawianie wcale nie przyczynia się do zwiększenia poziomu bezpieczeństwa. Niektórzy pracownicy usprawiedliwiają nawet niewylogowywanie się z systemu, odchodząc od stanowiska, posiadaniem wygaszacza. Warto pracownikom uświadomić, że nawet 5 minut oczekiwania na wygaszenie to jest wystarczający czas na naruszenie danych. W zupełności wystarczy, aby podejrzeć dane osobowe, skrzynkę pocztową, pobrane dokumenty innej osoby.

Polityka czystego druku.

Jeżeli drukujemy, kserujemy lub skanujemy dokumenty zawierające dane osobowe to nie wolno zostawiać ich przy urządzeniu. Trzeba nieustannie obserwować czy nikt inny nie ma dostępu do tych dokumentów. Polityka czystego druku to bardzo ważna zasada, zwłaszcza w biurach wielkopowierzchniowych.  To często tam, na jednej przestrzeni, przebywa duża liczba pracowników z różnych działów, a urządzenia drukujące są wspólne. W przypadku takich wspólnych drukarek warto zastosować techniczne ograniczenia dostępu do nich. Jednym zd sposobów jest użycie kodu PIN per pracownik, lub czytnika kart pracowniczych. Wtedy wszelkie działania na tych urządzeniach są kontrolowane i rejestrowane. Dzięki temu skutecznie ograniczają ryzyko naruszeń bezpieczeństwa danych osobowych zawartych w dokumentach.

Zawsze należy się upewnić, że drukowane/kopiowane dokumenty są zabezpieczone!

 

Zasady bezpieczeństwa danych, które warto stosować.

Powyższe 3 zasady bezpieczeństwa danych, choć na pierwszy rzut oka wydają się oczywiste, bardzo często są ignorowane w miejscach pracy. Jest to mniej lub bardziej świadome działanie. Dobrze jest jednak przypilnować, by nawet tak małe kroki były podejmowane w naszej organizacji. Bardzo szybko zauważymy, że poprawieniu ulegnie nie tylko świadomość pracowników w kwestii danych osobowych, ale samo zabezpieczenie tych danych. Jeżeli stosujemy trzy powyższe praktyki w naszej organizacji, warto zamieścić je także w politykach wewnętrznych, opisujących zastosowane u nas środki organizacyjne i techniczne.

error: Nie kopiujemy!