SZBI w oświacie - System Zarządzania Bezpieczeństwem Informacji

Czym jest SZBI w oświacie, co się składa na System Zarządzania Bezpieczeństwem Informacji i co musi zrobić placówka oświatowa aby spełnić wymogi dotyczące SZBI.

Czym jest  system zarządzania bezpieczeństwem informacji i dlaczego jest niezbędny

System zarządzania bezpieczeństwem informacji to udokumentowany, ciągły proces ochrony informacji w organizacji, który ma zapewnić poufność, integralność i dostępność tych informacji. To zbiór zasad oparty na politykach, procedurach oraz środkach organizacyjnych i technicznych dobieranych tak, by były adekwatne do zidentyfikowanego ryzyka. W sektorze publicznym, w tym w szkołach, jego wdrożenie jest obowiązkiem wynikającym z rozporządzenia w sprawie Krajowych Ram Interoperacyjności.

Rozporządzenie Rady Ministrów z 21 maja 2024 r. w sprawie Krajowych Ram Interoperacyjności, nakazuje podmiotom realizującym zadania publiczne wdrożenie i doskonalenie systemu zarządzania bezpieczeństwem informacji. Zgodnie z rozporządzeniem podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający:

• poufność informacji - pewność, że informacja jest dostępna wyłącznie dla osób do tego uprawnionych;

• dostępność informacji - pewność, że uprawnieni użytkownicy mają dostęp do systemów i informacji wtedy, kiedy jest to potrzebne;

• integralność informacji - pewność, że informacja nie została zmieniona, uszkodzona ani zniszczona przypadkowo lub celowo.

Konieczne jest tu uwzględnienie także takich atrybutów, jak:

• autentyczność - pewność, że pochodzenie lub zawartość danych opisujących dany obiekt (np. dokument, osobę lub zdarzenie) są dokładnie takie, jak zadeklarowano;

• rozliczalność - możliwość przypisania konkretnego działania w systemie do konkretnej osoby;

• niezaprzeczalność - brak możliwości wyparcia się wykonanego działania;

• niezawodność - zdolność systemu do działania zgodnie z oczekiwaniami w sposób stabilny i przewidywalny.

Rozporządzenie doprecyzowuje co składa się na ten obowiązek. Wymienia m.in. okresowe analizy ryzyka, zarządzanie uprawnieniami osób przetwarzających informacje, regularne szkolenia, inwentaryzację sprzętu i oprogramowania, ochronę przed nieautoryzowanym dostępem, aktualizacje oprogramowania, ujmowanie wymogów bezpieczeństwa w umowach z dostawcami czy przeprowadzanie okresowego audytu wewnętrznego nie rzadziej niż raz na rok.

SZBI ściśle wiąże się także z innymi obowiązkami prawnymi placówki oświatowej - w szczególności wynikającymi z RODO, ustawy z 10 maja 2018 r. o ochronie danych osobowych, prawa oświatowego oraz ustawy z 15 kwietnia 2011 r. o systemie informacji oświatowej.

Filary systemu

Skuteczny system zarządzania bezpieczeństwem informacji w oświacie to nie pojedynczy dokument ani jednorazowy projekt. To wzajemnie przenikające się i uzupełniające obszary. Zaniedbanie jednego z nich sprawia, że system traci spójność i rzeczywistą wartość ochronną.   Na system ten składa się m.in:

1. Dokumentacja zgodności z wymogami – spełnienie wymogów prawnych określonych w RODO, rozporządzeniu w sprawie KRI oraz w przepisach dotyczących ochrony danych osobowych i informacji. To opracowanie i wdrożenie dokumentów takich jak polityka ochrony danych osobowych, rejestr czynności przetwarzania, umowy powierzenia, realizacja obowiązku informacyjnego, nadawanie upoważnień do przetwarzania danych osobowych.

2. Zabezpieczenia - w celu ochrony np. systemów informatycznych, poczty, urządzeń, kopii zapasowych i nośników papierowych. To zabezpieczenia organizacyjne (podział ról i odpowiedzialności, stosowanie zasad bezpieczeństwa, przestrzeganie wymagań dotyczących ochrony prywatności), zabezpieczenia osobowe (np. uświadamianie i zobowiązania do zachowania poufności, umowy o nieujawnianiu informacji), zabezpieczenia technologiczne (np. szyfrowanie, oprogramowanie antywirusowe, bezpieczne uwierzytelnienie) oraz zabezpieczenia fizyczne (np. szafy i pomieszczenia zamykane na klucz, fizyczne ograniczenia dostępu do obszarów i obiektów, bezpieczeństwo przenośnych nośników poza siedzibą szkoły).

3. Zarządzanie ryzykiem utraty poufności, integralności i dostępności informacji, w tym identyfikacja i analiza ryzyka oraz postępowanie z ryzykiem.

4. Kultura bezpieczeństwa - świadomość zagrożeń, szkolenia, znajomość i stosowanie polityk bezpieczeństwa, procedur reagowania na incydenty, a także promowanie przez kierownictwo ciągłego doskonalenia systemu i wspieranie osób, które mają wpływ na jego skuteczność.

Co musi zrobić placówka oświatowa aby spełnić wymogi dotyczące systemu zarządzania bezpieczeństwem informacji?

Wdrożenie systemu nie musi oznaczać rewolucji organizacyjnej. W placówkach oświatowych skuteczne podejście opiera się na stopniowym, dobrze zaplanowanym procesie.

1. Zaangażowanie kierownictwa we wdrożenie systemu, zapewnienie koniecznych zasobów i wyznaczenie ról (zapewnienie wsparcia specjalistów, Inspektora Ochrony Danych, administratora systemów);

2. Audyt KRI - przeprowadzanie obowiązkowego audytu wewnętrznego bezpieczeństwa informacji nie rzadziej niż raz na rok na podstawie rozporządzenia w sprawie KRI. Audyt taki pozwoli na dokonanie oceny systemu zarządzania bezpieczeństwem informacji oraz przede wszystkim, zapewnia rozliczalność z obowiązku nałożonego przepisami prawa.

3. Analiza ryzyka i plan postępowania - dokonanie oceny zagrożeń dla poszczególnych kategorii danych, ich prawdopodobieństwa i skutków dla praw i wolności osób fizycznych, a następnie podjęcie decyzji, które ryzyka należy zredukować, przenieść lub zaakceptować, a których unikać.

4. Opracowanie polityk i procedur jak Polityka Bezpieczeństwa Danych Osobowych, Instrukcja Zarządzania Systemami Informatycznymi, Polityka Bezpieczeństwa Informacji, procedury nadawania uprawnień i upoważnień, postępowanie z dokumentacją.

5. Wdrożenie środków technicznych, fizycznych i organizacyjnych – np. szyfrowanie, kontrola dostępu, wykonywanie kopii zapasowych i aktualizacji oprogramowania, zamykane szafy i pomieszczenia, zabezpieczenia osobowe, podział obowiązków i odpowiedzialności, ewidencje i rejestry.

6. Szkolenia i komunikacja wewnętrzna – regularne szkolenia dla wszystkich pracowników, nie tylko administracyjnych i nauczycieli.

7. Reagowanie na incydenty – wdrożenie kanałów zgłaszania, procedury powiadomienia Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od stwierdzenia naruszenia ochrony danych osobowych (wraz ze wsparciem Inspektora Ochrony Danych), dokumentowanie naruszeń.

System zarządzania bezpieczeństwem informacji w oświacie to proces ciągły. Jego istotę oddaje cykl ciągłego doskonalenia wymagany zarówno przez normę ISO 27001 jak i Rozporządzenie w sprawie Krajowych Ram Interoperacyjności. Cykl ten sprowadza się do czterech etapów. Planuj - czyli m.in. analizuj ryzyko, projektuj polityki i procedury. Wykonuj - wdrażaj zabezpieczenia, szkol pracowników i dokumentuj działania. Sprawdzaj - monitoruj skuteczność systemu, weryfikuj realizacje polityk, przeprowadzaj coroczny audyt KRI. Działaj - koryguj system po przeglądach i incydentach, aktualizuj go i doskonal w odpowiedzi na zmiany, nowe technologie i zagrożenia.

SZBI w oświacie - System Zarządzania Bezpieczeństwem Informacji

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. W serwisie RODOsfera.pl piszemy o najważniejszych obowiązkach prawnych wynikających z Rozporządzenia o Ochronie Danych Osobowych oraz innych ważnych tematach dla oświaty. Jeżeli masz pytanie lub ciekawe tematy na POSTY, wyślij do nas taką informację - opublikujemy odpowiedź na BLOGU.

Dodatkowe informacje:

• Analiza Ryzyka w szkole

• Audyt KRI w jednostce oświatowej

• IOD - Inspektor Ochrony Danych w oświacie

• Wszystkie ważne informacje dla oświaty