MagikINFO w kontekście RODO

MagikINFO zgodne z RODO (GDPR) oraz jako system wspierający procesy administratora w realizacji wytycznych rozporządzenia o ochronie danych osobowych.

MagikINFO w kontekście RODO

Slider

System MagikINFO zgodny z RODO

25 maja 2018 zaczyna obowiązywać rozporządzenie o ochronie danych osobowych znane jako RODO (GDPR, czyli General Data Protection Regulation). Rozporządzenie unifikuje ochronę danych osobowych we wszystkich państwach Unii Europejskiej.

Rozporządzenie nakazuje wprowadzenia procesów regulujących dostęp do danych osobowych, rewizji systemów informatycznych oraz obowiązek wprowadzenia procedur sprawdzających bezpieczeństwo przechowywanych danych.

 Jak wypada MagikINFO w kontekście RODO? Z naszego punktu widzenia temat można podzielić na dwa zagadnienia:

  • Zgodność MagikINFO z RODO
  • MagikINFO jako system do realizacji wytycznych RODO

Zgodność MagikINFO z RODO

 W kontekście wprowadzenia rozporządzenia systemy informatyczne muszą dostosować swoją funkcjonalność by umożliwić odpowiednie procedury zarządzania danymi osobowymi. Można rozważać trzy aspekty ochrony danych.

Zabezpieczenie dostępu do danych osobowych

System MagikINFO umożliwia zabezpieczenie dostępu do danych na podstawie uprawnień poszczególnych administratorów. Nadanie odpowiednich uprawnień w systemie umożliwia w prosty sposób regulować dostęp do danych. Zawężenie zakresu dostępu do zbiorów danych podyktowane jest zakresem obowiązków konkretnego pracownika, który z racji na charakter wykonywanych czynności musi mieć dostęp tylko do ewidencji fizycznego majątku firmy, ewidencji i analizy zakupionych licencji, wybranych kategorii helpdesku, itp.

Wszystkie dane przechowywane są w bazie MS SQL, która zabezpieczona jest hasłem oraz może być szyfrowana na poziomie serwera sql-owego (zależne od edycji). Dodatkowo pliki zawierające dane monitoringu szyfrowane są unikatowym kluczem.

Monitoring dostępu do systemu

MagikINFO zawiera system logowania metadanych dotyczących operacji logowania do systemu. Dodatkowo system umożliwia logowanie wszelkich zmian danych osobowych, w praktyce dotyczy to edycji, dodawania oraz kasowania wpisów w katalogu osób.

Anonimizacja danych osobowych (Prawo do bycia zapomnianym)

Osoba, której dane osobowe są przechowywane, w tym przypadku pracownik, może powołać się na prawo do bycia zapomnianym. Prawo stosowane jest po rozwiązaniu umowy z pracownikiem lub w innych przypadkach nieuzasadnionego przetwarzania lub przechowywania danych osobowych.

Pracodawca powinien stosować się do powyższego prawa i dane osobowe należy wykasować. System MagikINFO zawiera funkcjonalność umożliwiającą masową anonimizację wszystkich danych osób, które już nie są pracownikami firmy, lub którym ustawiono odpowiedni status z innych powodów.

MagikINFO jako system do realizacji wytycznych RODO

RODO nakłada na administratora obowiązek nadzoru nad procesem przetwarzania danych osobowych.System MagikINFO dostarcza administratorowi narzędzia pozwalające na realizację tych wytycznych.

Standaryzacja i bezpieczeństwo

Audyt stacji i serwerów daje administratorowi pełny obraz środowisk, w których dane są przetwarzane. Na bezpieczeństwo środowiska wpływa między innymi aktualność systemu operacyjnego, aktualność zainstalowanych aplikacji oraz sam fakt występowania potencjalnie groźnych programów. Moduł audytowy umożliwia również sprawdzenie stanu (Uruchomiony) oraz trybu (Uruchamiany automatycznie) odpalanych usług w systemie (w tym np. antywirusa). System umożliwia zbiorcze aktualizacje oraz masowe usuwanie niepożądanych programów.

Nadzór nad środowiskiem przetwarzania

Moduł monitorujący daje administratorowi obraz sposobu pracy użytkownika na komputerze. Można stwierdzić, czy odpalane programy/procesy nie stanowią zagrożenia dla zasobów danych, wykazać odwiedzanie niebezpiecznych stron www czy kopiowanie danych na zewnętrzne nośniki. Monitoring umożliwia również pilnowanie dostępu do zasobów wyświetlając nazwy plików otwieranych np. w Excelu. Informacje o plikach uzupełnia moduł audytowy umożliwiając zbieranie informacji o wskazanych typach plików zdefiniowanych przez administratora (doc, docx, xls, xlsx, ...).

Proaktywne zabezpieczenia

Częścią modułu MagikMONITOR są mechanizmy blokujące niepożądane czynności użytkownika. System umożliwia zablokowanie dostępu do wybranych stron, serwerów poczty i innych usług (blokowanie wszystkich protokołów na danej domenie). Blokowane może być odpalanie wskazanych programów (rozwiązuje problem aplikacji portable). Zabezpieczyć można również nośniki danych ograniczając dostęp do pendrive na urządzenia z białej listy, dostęp do nośników cd/dvd. Monitoringowi poddana jest również kolejka wydruków, administrator ma możliwość wyłapania osób drukujących dokumenty zawierające dane poufne/osobowe. System umożliwia również ograniczenie zbierania danych, które można uznać za dane osobowe. Z monitoringu można wykluczyć wybrane komputery lub np. z monitoringu aplikacji wybraną listę aplikacji.

Obowiązek zgłaszania incydentów danych, rejestracji i archiwizowania dostępów

RODO nakłada na wielu administratorów obowiązek prowadzenia rejestru czynności przetwarzania. Taki rejestr można z powodzeniem zrealizować w systemie MagikHELPDESK łącząc go zarazem z rejestrem próśb o dostęp do procesów/zbiorów. MagikHELPDESK umożliwia tym samym realizację wytycznych RODO i rejestrowanie danych potrzebnych ADO (Administrator Danych Osobowych) lub ABI (Administrator Bezpieczeństwa Informacji) w jednym miejscu.

Dla kategorii związanych z prośbami dostępu do procesów przetwarzania danych można ustawić automatyczne generowanie żądań do ADO o zatwierdzenie dostępu. Dopiero po zgodzie ADO lub ABI, serwisant może zrealizować zadanie.

Wszystkie decyzje podjęte w związku z uprawnieniami dostępu są rejestrowane i przechowywane w bazie danych. W każdym momencie można zweryfikować komu zostały nadane/odebrane uprawnienia do wskazanego procesu.

Z drugiej strony każda osoba posiadająca dostęp do procesu przetwarzania danych osobowych, lub zbiorów danych osobowych ma obowiązek raportowania naruszenia (lub podejrzenia naruszenia) bezpieczeństwa danych osobowych. Po analizie takiego zgłoszenia i podjęciu odpowiednich kroków, takie zgłoszenie powinno być zarchiwizowane. MagikHELPDESK realizuje tę potrzebę bez dodatkowej pracy i umożliwia administratorowi opisanie procedur naprawczych. Takie zgłoszenie można opublikować w Bazie wiedzy dostępnej wszystkim pracownikom lub tylko serwisantom.