Fizyczne zabezpieczenie obszaru przetwarzania danych – kontrola dostępu

Praktycznie każda organizacja – spółka, urząd, szkoła  – prędzej czy później spotyka się z problemem kontrolowania dostępu osób postronnych do obszarów przetwarzania danych, czyli miejsc gdzie dane osobowe się znajdują. Problem ten w najmniejszym stopniu dotyka małe firmy, mające siedzibę w wynajętym mieszkaniu, czy wręcz pokoju. Nawet jednak tu możliwe są wizyty osób postronnych, hydraulików, szklarzy, dostawców wody etc. W większych organizacjach lista osób rośnie w postępie geometrycznym: serwis sprzątający, serwisanci różnorakich urządzeń, dostawcy kanapek, kurierzy, osoby zajmujące się konserwacją roślin biurowych. Listę można by ciągnąć w nieskończoność. W przypadku organizacji posiadających oddziały rozsiane po całej Polsce (czy świecie) dochodzą pracownicy tych oddziałów.

Przypomnijmy, że zgodnie z art. 36 ust. 1 Ustawy o Ochronie Danych Osobowych, Administrator danych ma obowiązek chronić dane między innymi przed ich udostępnieniem osobom nieupoważnionym oraz zabraniem przez osobę nieuprawnioną. Każdy Administrator Bezpieczeństwa Informacji lub inna osoba odpowiedzialna za fizyczne zabezpieczenie obszarów przetwarzania, powinna zastanowić się kto ma (lub może mieć) dostęp do tych obszarów oraz jak zabezpieczyć się przed płynącym z tego ryzykiem.

Dlatego też chciałbym przybliżyć Państwu zalecenia zawarte w normie ISO 27002:2005 będącej kodeksem dobrych praktyk zarządzania bezpieczeństwem informacji, które to zalecenia będą niezwykle przydatne w obszarze bezpieczeństwa danych osobowych, a które w praktyce niejednokrotnie wprowadzałem w życie.

Rozdział 9 – normy,  w części 9.1 opisuje sposoby ochrony  obszarów bezpiecznych w organizacji, a więc także obszarów przetwarzania danych osobowych.

Pierwszą, zewnętrzną „linią obrony” danych osobowych będzie wyznaczenie fizycznych granic obszaru bezpiecznego. Osoba odpowiedzialna za bezpieczeństwo powinna mieć na uwadze zabezpieczenie wszystkich drzwi oraz okien pozwalających dostać się do pomieszczeń. Zwracam uwagę, że sam fakt ulokowania obszarów przetwarzania na wyższych piętrach nie musi stanowić wystarczającego zabezpieczenia: jedna z audytowanych przeze mnie firm ma siedzibę na 4 piętrze biurowca, ale możliwe jest dostanie się przez okno z dachu sąsiedniego parkingu piętrowego. Dlatego pracownikom warto zwrócić uwagę na konieczność zamykania okien przy opuszczaniu pomieszczeń.

Jak można zabezpieczyć granice obszaru bezpiecznego? Oczywiście stosując odpowiedniej jakości zamki, systemy kontroli dostępu, instalacje alarmowe i monitoring wizyjny. Pisząc o instalacji alarmowej warto zwrócić uwagę, że norma zaleca, aby pomieszczenia, w których nikt nie pracuje oraz pomieszczenia szczególnie istotne (np. serwerownie) były chronione systemem alarmowym przez całą dobę. Warto zwrócić uwagę, że w zakresie ochrony danych osobowych, wbrew temu co dzieje się na rynku lub co próbuje się wykreować, nie ma żadnych wymaganych certyfikacji. Tak więc sprzęt może być dowolny, pod warunkiem, że rzeczywiście skutecznie chroni obszary przetwarzania.

Bezpośrednio przy wejściu na teren organizacji powinna być recepcja, gdzie na stałe pracują i przebywają pracownicy. Często zdarza się, że w sezonie urlopowym na recepcji będzie umieszczona kartka zapraszająca wszystkich interesantów na pierwsze piętro. Tak nie powinno być, zwłaszcza że zazwyczaj pracownicy pozostawiają w przegródkach  dokumenty, w tym zawierające dane osobowe. Co więcej, w przegródkach działu kadr często można znaleźć dokumenty zawierające dane wrażliwe, na przykład zwolnienia lekarskie.

Tworząc system bezpieczeństwa najlepiej zastosować kilka zabezpieczeń zamiast polegać tylko na jednym. W końcu alarm może ulec uszkodzeniu, a na recepcji może chwilowo nikogo nie być…

Kolejna „linia obrony”, to fizyczne zabezpieczenie wejścia, czyli zastosowanie takich mechanizmów, które zapewnią dostęp jedynie osobom upoważnionym oraz odpowiedni poziom kontroli dostępu osób postronnych. Zaczynając od wspomnianej wyżej recepcji – idealnym rozwiązaniem jest ulokowanie miejsc, do których osoby postronne mogą mieć dostęp właśnie w pobliżu recepcji i jednoczesne oddzielenie pozostałych pomieszczeń systemem kontroli dostępu. Wszystkie spotkania, a przynajmniej ich większość, odbywają się w wydzielonych pomieszczeniach, dostawcy zaopatrzenia czy kurierzy także mają dostęp jedynie do tego ograniczonego obszaru, w którym z założenia nie dochodzi do przetwarzania danych osobowych. Oczywiście w praktyce będzie zdarzało się, że goście będą musieli uzyskać dostęp do pozostałych pomieszczeń. Serwisant klimatyzacji będzie musiał wejść do serwerowni, osoby sprzątające będą prawdopodobnie miały dostęp do wszystkich pomieszczeń. I norma i zdrowy rozsądek podpowiadają, że takie osoby powinny poruszać się wyłącznie pod nadzorem osób upoważnionych. O ile w przypadku osób zajmujących się serwisowaniem urządzeń biurowych, dostawców wody itp. jest wykonalne w praktyce, to już ciągły nadzór nad osobami sprzątającymi może być, delikatnie mówiąc, trudny do zrealizowania. Pół biedy jeśli sprzątaniem zajmuje się przysłowiowa pani Stasia, zajmująca się tym od ponad 20 lat. Bardzo często jednak sprzątaniem zajmują się wyspecjalizowane firmy, które dziś przyślą panią X, a jutro panią Y. W dodatku Administrator Danych nie ma na to wpływu. Zalecanym rozwiązaniem jest wymóg sprzątania w godzinach pracy. Jeśli z jakichś przyczyn jest to niemożliwe, to konieczne będzie wprowadzenie i egzekwowanie polityki czystych biurek. Warto pamiętać, że osoby sprzątające w żadnym wypadku nie powinny zostać upoważnione do przetwarzania danych, co jest bardzo częstym błędem administratorów danych. W każdym przypadku, gdy goście mają uzyskać dostęp do obszarów ograniczonych (a najlepiej zawsze) dane gościa wraz z datą i godziną wejścia i wyjścia powinny zostać zapisane w księdze gości. Proszę przy tym pamiętać o spełnieniu obowiązku informacyjnego i wreszcie o bezpiecznym zniszczeniu zapełnionych ksiąg!

Dobrą praktyką jest wprowadzenie obowiązku noszenia w widocznym miejscu identyfikatorów. Powinny one umożliwiać szybkie rozróżnianie pracowników, podwykonawców i gości – popularne jest na przykład stosowanie identyfikatorów w różnych kolorach. Na identyfikatorach pracowników i stałych podwykonawców powinny znajdować się zdjęcia, wystarczające duże i wyraźne, aby na pierwszy rzut oka dawało się stwierdzić, czy ktoś nie posługuje się identyfikatorem innej osoby. Pracownicy powinni być zobowiązani do zwracania szczególnej uwagi na osoby posługujące się identyfikatorami gości. Powinni też bezwarunkowo reagować na pojawienie się osób nie posiadających identyfikatora.

Wreszcie, na sam koniec, kilka słów o informacjach, do których dostęp mogą uzyskać osoby odwiedzające organizację, a które wykorzystane w niewłaściwy sposób mogą prowadzić do uzyskania nieautoryzowanego dostępu do danych.

Po pierwsze: tabliczki przy wejściach do pomieszczeń. Zaleca się, aby przy pomieszczeniach istotnych z punktu widzenia bezpieczeństwa nie podawać zbyt wielu przydatnych potencjalnym hakerom i włamywaczom informacji, np.  nie „Serwerownia”, ale „pomieszczenie techniczne”.

Po drugie: firmowe książki telefoniczne, bezcenna skarbnica wiedzy dla każdego, kto będzie próbował uzyskać informacje metodami socjotechnicznymi. Dobrą praktyką jest ujawnianie danych kontaktowych takich jak imię, nazwisko, telefon, adres e-mail jedynie tych osób, które powinny mieć zapewniony kontakt ze „światem zewnętrznym”. Na przykład, w przypadku działu IT, dane jego kierownika zazwyczaj są powszechnie dostępne, dane szeregowych pracowników już nie.

Autor: Maciej Karczewski

About Redakcja 310 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.