BEZPIECZEŃSTWO DANYCH OSOBOWYCH PRAKTYCZNY PRZEWODNIK

ISBN: 978-83-65611-35-2

dodatek: cd-rom 311 stron
format: A5
oprawa: twarda
Rok wydania: 2017

Jakie są najczęstsze zagrożenia dla bezpieczeństwa danych? Kto powinien być zaangażowany w ochronę danych osobowych? Jak zagwarantować zabezpieczenia fizyczne, organizacyjne i techniczne? Jak wypełnić obowiązki dokumentacyjne w zakresie ochrony danych?Wraz z wejściem w życie rozporządzenia ogólnego obowiązkiem wszystkich organizacji będzie dostosowanie systemów bezpieczeństwa danych osobowych do nowych przepisów. W publikacji w praktyczny sposób omówiono obowiązki ADO, ABI i innych podmiotów zaangażowanych w przetwarzanie danych osobowych oraz wytłumaczono najważniejsze pojęcia z zakresu ochrony danych.Przedstawione zostały zasady formułowania polityki bezpieczeństwa i instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Przewodnik zawiera także cenne wskazówki dotyczące sposobów ochrony danych przed pozyskiwaniem ich przez osoby nieupoważnione.Autorzy poruszyli również tematykę audytów wewnętrznych, sprawdzających wdrożone sposoby zabezpieczeń danych osobowych, oraz zakres odpowiedzialności uczestników procesów przetwarzania danych. Całość została uzupełniona o wzory przydatnych dokumentów, m.in.: oświadczenia o zachowaniu tajemnicy, upoważnienia do przetwarzania danych, ewidencji, wykazów środków zabezpieczeń czy planu audytu. Są one dostępne również w wersji edytowalnej na dołączonej do przewodnika płycie CD.

SPIS TREŚCI

Wykaz skrótówRozdział 1. Wprowadzenie1.1. Źródła prawa1.2. Podstawowe pojęcia z zakresu ochrony danych osobowych 1.2.1. Dane osobowe 1.2.2. Dane wrażliwe1.2.3. Dane jawne1.2.4. Administrator danych1.2.5. Procesor (podmiot przetwarzający)1.2.6. Administrator bezpieczeństwa informacji1.2.7. Przetwarzanie danych1.2.8. Zbiór danych1.2.9. System informatyczny1.3. Dobre praktyki w zakresie bezpieczeństwa danychRozdział 2. Osoby zaangażowane w zabezpieczanie danych osobowychi ich obowiązki2.1. Administrator danych2.1.1. Zapewnienie środków technicznych i organizacyjnych służących do ochrony przetwarzanych danych osobowych2.1.2. Upoważnianie osób dopuszczonych do przetwarzania danych2.1.3. Powoływanie i odwoływanie osób funkcyjnych2.1.4. Wdrożenie dokumentacji opisującej sposób przetwarzania danych osobowych2.1.5. Zapewnianie przestrzegania przepisów o ochronie danych osobowych2.1.6. Przydzielenie obowiązków ADO innym osobom2.2. Administrator bezpieczeństwa informacji i jego zastępcy2.2.1. Niezbędne kompetencje i odrębność organizacyjna2.2.2. Zgłoszenie do rejestru GIODO2.2.3. Zakres zadań2.2.4. Powołanie zastępcy lub zastępców ABI2.2.5. Korzyści z powołania ABI2.2.6. Odwołanie ABI2.3. Administratorzy systemu informatycznego2.4. Użytkownicy2.5. Inne osoby2.5.1. Bez powołania ABI2.5.2. Wsparcie dla ABI2.5.3. Wsparcie dla ASIRozdział 3. Zabezpieczenia organizacyjne3.1. Polityka bezpieczeństwa (danych osobowych)3.1.1. Obszar przetwarzania danych osobowych3.1.2. Wykaz zbiorów danych osobowych i programów stosowanych do ich przetwarzania3.1.3. Opis struktury zbiorów danych3.1.4. Sposób przepływu danych pomiędzy poszczególnymi systemami3.1.5. Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych3.2. Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych3.2.1. Procedury nadawania uprawnień3.2.2. Metody i środki uwierzytelnienia3.2.3. Procedury rozpoczęcia, zawieszenia i zakończenia pracy3.2.4. Procedury tworzenia kopii zapasowych3.2.5. Sposób, miejsce i okres przechowywania elektronicznych nośników informacji i kopii zapasowych3.2.6. Sposób zabezpieczenia systemu informatycznego przed złośliwym oprogramowaniem3.2.7. Sposób odnotowania w systemie informacji o udostępnieniu danych osobowych odbiorcom3.2.8. Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji3.3. Upoważnienia do przetwarzania danych i ewidencja osób upoważnionych3.3.1. Upoważnienia do przetwarzania danych3.3.2. Ewidencja osób upoważnionych3.4. Zgoda na przebywanie w miejscu przetwarzania danych3.5. Zapisy dotyczące poufności danych osobowych3.6. Organizacyjne zasady pracy (dobre praktyki)3.7. Inne procedury wpływające na bezpieczeństwo danych osobowych3.7.1. Zasady udostępniania danych osobowych3.7.2. Zasady powierzania przetwarzania danych osobowych3.7.3. Procedury reagowania na incydenty3.7.4. Procedura używania komputerów przenośnychRozdział 4. Zabezpieczenia fizyczne4.1. Zasady ogólne4.2. Przykłady adekwatnych zabezpieczeń fizycznych4.2.1. Szacowanie ryzyka4.2.2. Katalog zabezpieczeń fizycznych4.2.3. Polityka czystego biurka i czystego ekranu4.2.4. Przykłady stosowania adekwatnych zabezpieczeń4.2.5. Przetwarzanie danych poza obszarem ich przetwarzania4.3. Zabezpieczenia fizyczne przewidziane w normie ISO 27001 jako przykład dobrych praktykRozdział 5. Zabezpieczenia techniczne (informatyczne)5.1. Minimalne wymogi wskazane w przepisach wykonawczych do ustawy o ochronie danych osobowych5.1.1. Zasady ogólne5.1.2. Środki techniczne przewidziane przez przepisy prawa5.1.3. Uwierzytelnienie5.1.4. Oprogramowanie antywirusowe5.1.5. Szyfrowanie danych5.1.6. Komunikacja i udostępnianie danych w chmurze obliczeniowej5.1.7. Przydzielanie zróżnicowanych uprawnień5.1.8. Kopie zapasowe5.1.9. Monitorowanie zabezpieczeń5.1.10. Obligatoryjne funkcjonalności systemu informatycznego5.2. Zabezpieczenia techniczne (informatyczne) przewidziane w normie ISO 27001 jako przykład dobrych praktyk5.3. Inne przepisy prawne odnoszące się do bezpieczeństwa infrastruktury ITRozdział 6. Zagrożenia dla bezpieczeństwa danych i najczęściej popełniane błędy6.1. Typowe błędy użytkowników6.1.1. Hasła6.1.2. Nośniki6.1.3. Praca na koncie z pełnymi uprawnieniami6.1.4. Niebezpieczne strony WWW6.2. Narzędzia programowe wykorzystywane do ataków na bezpieczeństwo informacji6.2.1. Wirusy6.2.2. Robaki6.2.3. Trojany (konie trojańskie)6.2.4. Backdoor6.2.5. Rootkity6.2.6. Keyloggery6.2.7. Spyware6.2.8. Exploity6.2.9. Dialery6.3. Socjotechnika6.3.1. Socjotechnika werbalna6.3.2. Phishing6.3.3. Smishing6.3.4. PharmingRozdział 7. Audyt bezpieczeństwa danych osobowych7.1. Wymogi prawne7.1.1. Pojęcie audytu7.1.2. Sprawdzenia przeprowadzane przez ABI7.1.3. Sposób prowadzenia sprawdzeń7.1.4. Sprawozdanie ze sprawdzenia7.1.5. Nadzór nad dokumentacją ochrony danych osobowych7.2. Przygotowanie audytu bezpieczeństwa danych osobowych7.2.1. Cel audytu7.2.2. Planowanie audytu7.2.3. Opisywanie niezgodności w raporcie z audytu7.2.4. Listy kontrolne7.3. Zakres podmiotowy i przedmiotowy audytu bezpieczeństwa danych osobowych7.3.1. Zakres podmiotowy7.3.2. Zakres przedmiotowy7.4. Dobre praktyki audytowe przewidziane w normie ISO 19011Rozdział 8.Odpowiedzialność z tytułu naruszenia obowiązkówdotyczących zabezpieczenia danych osobowych8.1. Odpowiedzialność administracyjna8.2. Odpowiedzialność karna8.3. Odpowiedzialność cywilnoprawna8.4. Odpowiedzialność wynikająca z prawa pracyWzory dokumentówWybrane akty prawneBibliografiaIndeks