Produkty

Kurs e-learningowy - Ochrona danych osobowych dla osób upoważnionych

O potrzebie szkolenia

Zarówno rodzima ustawa dotycząca ochrony danych osobowych, jak i GDPR czyli jej europejski odpowiednik, obligują Administratora Danych Osobowych (ADO) do dołożenia staranności w zabezpieczaniu danych osobowych. Zgodnie z metodyką ADO powinien:

  1. określić co podlega ochronie (np. zbiory danych, nośniki, linie transmisyjne, dokumenty);
  2. oszacować ryzyka (np. kradzieży serwera czy danych, wyniesienia czy utraty danych);
  3. opracować politykę ochrony danych osobowych (obecnie np. politykę oraz instrukcje zarządzania systemem informatycznym);
  4. zapewnić rozwiązania techniczne dostosowane do wymagań technologicznych oraz wymagań bezpieczeństwa (np. zakupić serwery, firewall, wstawić odpowiednie zamki oraz drzwi);
  5. opracować rozwiązania organizacyjne dostosowane do potrzeb realizowanych procesów oraz odpowiadające na wyzwania wynikające z analizy ryzyka;
  6. przeszkolić personel;
  7. wdrożyć rozwiązanie;
  8. wykonać audyt skuteczności przyjętych rozwiązań;
  9. rozpocząć ten mini proces od początku...

Powszechnie wiadomo że w każdym procesie najsłabszym ogniwem są ludzie -  nawet najlepsze rozwiązania organizacyjne (3, 5) i techniczne (6) zależne są od zespołu, który się nimi w codziennej rzeczywistości posługuje. Szkolenie personelu (6, 7) jest absolutnie niezbędne dla sprawnego działania rozwiązania, którego przygotowanie bywa przecież bardzo kosztowne, ale konsekwencje utraty danych, w nowej rzeczywistości prawnej, mogą okazać się znacznie bardziej dotkliwe.

Wsparcie jakiego może udzielić Techne

Techne może pomóc w organizacji systemu ochrony danych osobowych (1-3, 6,8) i dostarcza rozwiązania informatyczne w tym zakresie. Panel ADO (jeden z modułów TechneSystem) pomaga ADO w organizacji systemu ochrony danych osobowych, Zaś kolejny moduł TechneSystem - Prowadzenie dydaktyki zdalnej - może pomóc w przeszkoleniu teoretycznym z dowolnej innej dziedziny. Potrzebny jest tylko odpowiedni kurs. Takim kursem jest Ochrona danych osobowych dla osób upoważnionych - produkt opracowany przez Techne we współpracy ze specjalistami z zakresu prawa ochrony danych osobowych, metodykami e-learningu oraz z Polskim Instytutem Kontroli Wewnętrznej.

Opis kursu

W zamyśle kurs składa się z dwóch bloków - części ogólnej - jaką Klient otrzymuje "po wyjęciu z pudełka" oraz części "dedykowanej" zawierającej opis polityki konkretnego ADO, która to część wykonywana jest na indywidualnie zamówienie.

Część ogólna stanowi podbudowę teoretyczną. Cześć dedykowana prezentuje osobom upoważnianym wewnętrzną politykę i procedury dotyczące ochrony danych.

W zamyśle kurs kierowany jest do osób, które dopiero mają być przez ADO upoważnione - jest to warunek wstępny niezbędny do uzyskania przez pracownika upoważnienia. Kurs kończy się testem, którego zaliczenie pozwala pracownikowi na wydruk certyfikatu. A jeśli taka jest wola ADO może to być równocześnie gotowe upoważnienie do przetwarzania danych osobowych wraz ze wszelkimi niezbędnymi oświadczeniami.

 

W tym miejsce możemy - z oczywistych powodów - przedstawić wyłącznie opis bloku ogólnego. Należy podkreślić że blok ten jest systematycznie aktualizowany do obowiązujących wymogów prawnych.

Blok ogólny, w lekkiej, bogato ilustrowanej przykładami postaci zawiera omówienie obowiązujących przepisów prawnych (Ustawy, Rozporządzenia) oraz podstawy bezpieczeństwa informatycznego. Faktycznie struktura aktów prawnych staje się okazją do zapoznania kursanta z podstawami problematyki dotyczącymi ochrony danych osobowych.

 

Kurs składa się z 74 artykułów (lekcji) zawierających teksty, grafiki i prezentacje pogrupowane w moduły. Nie można przeskoczyć modułu bez jego zaliczenia. Zawsze można przerwać naukę i wrócić w to samo miejsce.

Większość artykułów ma część główną (traktowaną jako obowiązkową) oraz dodatki pogłębiające rozumienie (traktowane jako materiały nieobowiązkowe - wyróżnione kolorowym tłem). W dodatkach znajdują się przede wszystkim Ustawa i Rozporządzenie, ale znajdziemy tam zarówno komentarze prawnicze i lżejsze formy jak np. cytaty z forów dyskusyjnych.

Aby ożywić narrację oraz ułatwić zapamiętanie materiału w zasadniczym tekście znajdują się, krótkie wstawki narracyjne tworzące mniej lub bardziej powiązane "wątki sceniczne".

Każdy artykuł można spersonalizować - opatrzyć własną notatką oraz (lub) kolorowym znacznikiem (gwiazdka, znak zapytania itp).

Moduły kursu bloku ogólnego to:

  1. Przepisy ogólne;
  2. GIODO;
  3. Zasady przetwarzania danych osobowych;
  4. Prawa osoby, której dane dotyczą i wynikające z nich dalsze obowiązki administratora danych;
  5. Zabezpieczenie danych osobowych;
  6. Rejestracja zbiorów danych osobowych oraz administratorów bezpieczeństwa informacji;
  7. Przekazywanie danych osobowych do państwa trzeciego;
  8. Przepisy karne;
  9. Rozporządzenie;
  10. Wybrane zagadnienia bezpieczeństwa danych w systemach informatycznych;
  11. Test końcowy.

Klienci i odbiorcy

Kurs kierowany jest - zgodnie z nazwą - dla osób upoważnionych, ale również do osób, które właśnie zaczynają pracę czyli dopiero mają zostać upoważnione - są to oczywiście odbiorcy kursu. Klientem są podmioty gospodarcze i instytucje, które zgodnie z Ustawą o Ochronie Danych Osobowych są Administratorami Danych Osobowych.

Formy udostępnienia kursu

Klient ma kilka możliwości udostępnienia kursu swoim pracownikom. Staraliśmy się je zestawić z podsumowaniem ich zalet i wad.

Lokalizacja / Zakres Blok ogólny Blog ogólny i blok dedykowany
TechneEdu, kurs standardowy

Najtańsza opcja, udostępniamy klientowi określoną ilość kodów umożliwiających dostęp do kursu, zaświadczenie o ukończeniu kursu jest standardowe. Dane przechowywane są w chmurze dedykowanej klientom firmy Techne.

-
TechneEdu, kurs dedykowany

Jak wyżej, ale Klient zyskuje możliwość samodzielnego kontrolowania postępów swoich pracowników oraz możliwość dostosowania przykładów do realiów konkretnego ADO, Jest możliwe dostosowanie zaśẉiadczenia o ukończeniu kursu do potrzeb konkretnego ADO.

Jak przy bloku ogólnym a dodatkowo moduły odnoszące się wyłącznie potrzebom Klienta.
Dedykowane Klientowi platforma w zasobach Techne

Dane przechowywane są w prywatnej chmurze klienta przechowywanej w infrastrukturze firmy Techne. Możliwe jest skorzystanie z mechanizmów autoryzacji jakimi dysponuje Klient. Do jego dyspozycji są wszystkie moduły TechneSystem - z tego żyjemy. W wersji minimum Klient otrzymuje panel ADO.

Klient zyskuje możliwość samodzielnego kontrolowania postępów swoich pracowników oraz możliwość dostosowania przykładów do realiów konkretnego ADO, Jest możliwe dostosowanie zaśẉiadczenia o ukończeniu kursu do potrzeb konkretnego ADO. Dodatkowo możliwe jest zarządzanie kontami na platformie, w szczególności zbieranie oświadczeń woli pracowników

Jak przy bloku ogólnym dodatkowo moduły odnoszące się wyłącznie potrzebom Klienta. 
Platforma w zasobach Klienta Platforma instalowana jest w infrastrukturze Klienta. Techne prowadzi serwis zdalny platformy. Inne opcje jak powyżej. Jak przy bloku ogólnym dodatkowo moduły odnoszące się wyłącznie potrzebom Klienta. 

 Przykładowa lekcja

Z początkowymi lekcjami, stylem pracy z kursem można zapoznać się na na naszej platformie demonstracyjnej, poniżej  prezentujemy przykładowy artykuł.

 


Wybrane zagadnienia bezpieczeństwa danych w systemach informatycznych

Bezpieczeństwo danych i dlaczego mnie to dotyczy 

Niniejszy moduł nie jest poradnikiem jak zabezpieczyć system informatyczny. Tematyka koncentruje  się przede wszystkim na zachowaniach użytkowników mogących podnieść lub obniżyć bezpieczeństwo danych w systemie informatycznym. Staraliśmy się tak dobrać treści, aby były one użyteczne dla użytkowników również w ich życiu prywatnym wykazując - mamy nadzieję - że bezpieczeństwo naszych danych w systemach informatycznych przekłada się wprost na nasze osobiste bezpieczeństwo.

Bezpieczeństwo danych

Posiłkując się określeniami z Ustawy i Rozporządzenia można pokusić się o zdefiniowanie bezpieczeństwa w systemie informatycznym jako stanu, w którym dane w są poufne oraz integralne. W systemach przetwarzających dane osobowe zgodnie z Ustawą należałoby jeszcze uwzględnić rozliczalność działań użytkowników.

O ile poufność danych jest raczej cechą ewidentną - chodzi o to aby dostęp do nich miały osoby upoważnione, to integralność może wymagać dodatkowych wyjaśnień.

Integralność w tej definicji oznacza dokładność i kompletność informacji oraz metod jej przetwarzania. To pewność, że dane nie zostały zmienione czy usunięte w niekontrolowany sposób, czy to przez użytkowników (świadoma lub przypadkowa), czy przez osoby obce czy też przez oprogramowanie (błędy aplikacji lub działalność szkodliwego kodu - wirusy, trojany itd.) czy też na skutek awarii lub wadliwego działania sprzętu.

Zaznaczmy jednak,  że bezpieczeństwo w systemie informatycznym to stan pożądany, to cel do osiągnięcia. Nie powinno się mówić o nim jako o stanie osiągniętym, a raczej o procesie stałego jego osiągania.

Powtórzmy: bezpieczeństwo jest jak łańcuch, którego wytrzymałość zależy od najsłabszego ogniwa.

Jak pamiętamy z Ustawy, Instrukcja zarządzania systemami informatycznymi jest częścią dokumentacji, którą zobowiązany jest przygotować i wdrożyć każdy Administrator Danych Osobowych. Powinny znajdować się w niej zagadnienia związane z bezpieczeństwem danych (w szczególności danych osobowych) w systemach informatycznych. W niniejszym module nie będziemy jednak odnosić się do żadnej konkretnej instrukcji zarządzania systemem informatycznym. Skoncentrujemy się na zagadnieniach, które mogą pomóc w zrozumieniu dowolnej instrukcji zarządzania a może nawet opracować własną, prywatną politykę bezpieczeństwa.

Czy to mnie dotyczy?

Zanim przejdziemy dalej odpowiedzmy sobie na powtarzające się w tym szkoleniu pytanie: na ile prezentowane zagadnienie dotyczy mnie osobiście? Czy jako "obywatel" internetu powinienem być zainteresowany bezpieczeństwem systemu, bezpieczeństwem danych? I co w takim przypadku jest systemem informatycznym? Czy granicą jest mój komputer, moja sieć czy też praktycznie nie ma żadnej granicy?

Powszechne staje się przechowywanie naszych osobistych danych w internecie. Systemy oferują wygodne rozwiązania, gdzie kluczem do naszego życia osobistego i zawodowego stają się nazwy kont oraz hasła. Od listy kontaktów w naszych telefonach, poprzez historię naszej korespondencji, po zawartość naszych kont bankowych - nasz ślad elektroniczny staje się coraz wyraźniejszy i coraz trwalszy.

Intruz zdobywający dostęp do naszych danych uzyskuje dostęp:

  1. do naszych (i o nas) mniej lub bardziej ważnych informacji - bez znaczenia: prywatnych czy służbowych;
  2. do naszej elektronicznej tożsamości - w skrajnym wypadku możemy stracić pracę czy nawet wylądować w więzieniu;
  3. do naszego portfela - bez znaczenia mniej lub bardziej zasobnego.

Warto zainteresować się własnym bezpieczeństwem. Warto zdać sobie sprawę, że wykorzystanie usług internetowych przesuwa granice naszego bezpieczeństwa na obszary, nad którymi nie możemy bezpośrednio zapanować.


[test]Poufność danych oznacza, że: ;1;wgląd do danych mają wyłącznie uprawnione osoby;prawo do modyfikacji danych mają wyłącznie uprawnione osoby.[/test]

maskiczb.png

[...]

Niektórzy ludzie wstają rano z łóżka, by odbębniać powtarzalne czynności w przysłowiowym kieracie. Ja miałem to szczęście, że zawsze lubiłem swoją pracę. Najwięcej wyzwań, sukcesów i zadowolenia przyniosła mi praca prywatnego detektywa. Szlifowałem tam swoje umiejętności w sztuce zwanej socjotechniką - skłanianiem ludzi do tego, by robili rzeczy, których zwykle nie robi się dla nieznajomych.

[...]

Wynajął mnie człowiek, który pisał książkę o gabinecie prezydenta w czasach Nixona i szukał informatora, który dostarczyłby mu mniej znanych faktów na temat Williama E. Simona, będącego Sekretarzem Skarbu w rządzie Nixona. Pan Simon zmarł, ale autor znał nazwisko kobiety, która dla niego pracowała. Był prawie pewny, że mieszka ona w Waszyngtonie, ale nie potrafił zdobyć jej adresu. Nie miała również telefonu, a przynajmniej nie było go w książce. Tak więc, kiedy zadzwonił do mnie, powiedziałem mu, że to żaden problem.

Jest to robota, którą można załatwić zwykle jednym lub dwoma telefonami, jeżeli zrobi się to z głową. Od każdego lokalnego przedsiębiorstwa użyteczności publicznej raczej łatwo wyciągnąć informacje. Oczywiście trzeba trochę nakłamać, ale w końcu czym jest jedno małe niewinne kłamstwo?

Lubię stosować za każdym razem inne podejście — wtedy jest ciekawiej. „Tu mówi ten-a-ten z biura dyrekcji” zawsze nieźle działało. Albo „mam kogoś na linii z biura wiceprezesa X”, które zadziałało też tym razem.

Trzeba wyrobić w sobie pewnego rodzaju instynkt socjotechnika. Wyczuwać chęć współpracy w osobie po drugiej stronie. Tym razem poszczęściło mi się — trafiłem na przyjazną i pomocną panią. Jeden telefon wystarczył, aby uzyskać adres i numer telefonu. Misja została wykonana.

[...]

Można powiedzieć, że istnieją dwie specjalizacje w zawodzie artysty-manipulatora. Ktoś, kto wyłudza od ludzi pieniądze, to pospolity oszust. Z kolei ktoś, kto stosuje manipulację i perswazję wobec firm, zwykle w celu uzyskania informacji, to socjotechnik.

[...]

Zeznając nie tak dawno temu przed Kongresem, wyjaśniłem, że często uzyskiwałem hasła i inne poufne informacje od firm, podając się za kogoś innego i po prostu o nie prosząc.

[...]

Dlaczego? Ponieważ to czynnik ludzki jest piętą achillesową systemów bezpieczeństwa.[...]

Wielu zawodowców z branży IT ma błędne mniemanie, że w dużym stopniu uodpornili swoje firmy na ataki poprzez zastosowanie standardowych produktów typu firewall, systemów detekcji intruzów i zaawansowanych rozwiązań uwierzytelniających, takich jak kody zależne od czasu lub karty biometryczne. Każdy, kto uważa, że same produkty zabezpieczające zapewniają realne bezpieczeństwo, tworzy jego iluzję.

[...]

Jak ujmuje to znany konsultant ds. bezpieczeństwa, Bruce Schneider: Bezpieczeństwo to nie produkt to proces. Rozwińmy tę myśl: bezpieczeństwo nie jest problemem technologicznym, tylko problemem związanym z ludźmi i zarządzaniem.

W miarę wymyślania coraz to nowych technologii zabezpieczających, utrudniających znalezienie technicznych luk w systemie, napastnicy będą zwracać się w stronę ludzkich słabości. Złamanie „ludzkiej” bariery jest o wiele prostsze i często wymaga jedynie inwestycji rzędu kosztu rozmowy telefonicznej, nie mówiąc już o mniejszym ryzyku.

[...]

Penetracja systemu bezpieczeństwa firmy często zaczyna się od zdobycia informacji lub dokumentu, który wydaje się nie mieć znaczenia, jest powszechnie dostępny i niezbyt ważny. Większość ludzi wewnątrz organizacji nie widzi więc powodów, dla których miałby być chroniony lub zastrzeżony.

[...]

Niektóre z opisanych tu historii mogą sugerować, że uważam pracowników firm za kompletnych idiotów, gotowych, a nawet chętnych, do wyjawienia każdego sekretu. Socjotechnik zdaje sobie sprawę, że to nieprawda. Dlaczego więc ataki socjotechników są takie skuteczne? Na pewno nie dlatego, że ludzie są głupi bądź pozbawieni zdrowego rozsądku. Jesteśmy tylko ludźmi — każdego z nas można oszukać. Pod wpływem pewnego rodzaju manipulacji możemy mogą źle ulokować nasze zaufanie.

Socjotechnik z góry zakłada, że napotka podejrzliwość lub opór, i jest zawsze przygotowany na przełamywanie barier nieufności. Dobry socjotechnik planuje swój atak niemal jak partię szachów, przewidując pytania, jakie ofiara może zadać, i przygotowując stosowne odpowiedzi.

[...]

Jak pokazuje wiele z opisanych tu zdarzeń, dobry socjotechnik często wybiera sobie jako ofiarę osobę o niskiej pozycji w hierarchii firmy. Łatwo jest manipulować takimi ludźmi i wyciągać od nich z pozoru błahe informacje, które przybliżają napastnika o krok do informacji poufnych.

Atakujący mierzy w osoby na niskich stanowiskach, ponieważ są one przeważnie nieświadome wagi pewnych informacji i konsekwencji różnego rodzaju działań. Poza tym są bardziej podatne na uleganie metodom socjotechnicznym — dzwoniący dysponuje autorytetem, wydaje się kimś miłym i przyjaznym, sprawia wrażenie, że zna różnych ludzi w firmie, rzecz, o którą prosi, jest bardzo pilna, a ofiara zakłada, że zdobędzie uznanie lub czyjąś wdzięczność.

"Sztuka Podstępu" Kevin Mitnick, przekład Jarosław Dobrzański

Wydawnictwo Helion, 2003