Załącznik do uchwały nr 86/2022 Naczelnej Rady Adwokackiej
DOBRE PRAKTYKI DOTYCZĄCE CYBERBEZPIECZEŃSTWA
W DZIAŁALNOŚCI KANCELARII ADWOKACKICH
I PRACY ADWOKATA
WPROWADZENIE
Niniejszy dokument stanowi zbiór dobrych praktyk dotyczących cyberbezpieczeństwa w działalności kancelarii adwokackiej i pracy Adwokata. Dobre Praktyki mają charakter zaleceń, których stosowanie nie jest obligatoryjne a brak ich stosowania nie rodzi bezpośrednich negatywnych skutków w odpowiedzialności zawodowej czy dyscyplinarnej. Nie wyłącza to jednak obowiązków adresatów Dobrych Praktyk w zakresie dołożenia należytej staranności w dochowaniu Tajemnicy zawodowej, określonych przepisami prawa i aktów samorządu adwokackiego, w szczególności regulujących zasady etyki zawodowej adwokata.
Dobre Praktyki przedstawione w niniejszym dokumencie nie stanowią wyczerpującej listy zaleceń z zakresu cyberbezpieczeństwa. Kancelarie, w tym adwokaci prowadzący indywidualną praktykę zawodową, powinni dołożyć należytej staranności w doborze środków technicznych i organizacyjnych pozwalających na utrzymanie właściwych zabezpieczeń teleinformatycznych i ich stosowaniu. W przypadkach, w których Adwokat nie posiada wystarczającej wiedzy teleinformatycznej i z zakresu cyberbezpieczeństwa zaleca się korzystnie z usług specjalistycznych podmiotów trzecich. Kancelarie posiadające Personel mogą rozważyć zasadność włączenia do jego składu odpowiednich specjalistów.
Dobre Praktyki nie zawierają rekomendacji w zakresie stosowania narzędzi i technologii pochodzących od określonych producentów i dostawców. Przedstawienie w Dobrych Praktykach przykładów narzędzi byłoby niewskazane z uwagi na charakter Dobrych Praktyk, a także brak możliwości przeprowadzania systematycznej analizy poszczególnych narzędzi w celu podtrzymania ww. rekomendacji.
Mając powyższe na uwadze, stosowanie Dobrych Praktyk nie gwarantuje pewności ochrony przed Incydentami i nie zwalnia Kancelarii i danego Adwokata z odpowiedzialności za dochowanie należytej staranności w zapewnieniu bezpieczeństwa w powyższym zakresie. Adresaci Dobrych Praktyk powinni dokonać zmapowania procesów i zabezpieczeń stosowanych wewnątrz własnej organizacji, a następnie – w oparciu o rzetelną analizę ryzyka – podjąć decyzję w przedmiocie stosowania określonych środków technicznych i organizacyjnych, w tym poszczególnych zaleceń zawartych w Dobrych Praktykach. Jeśli w oparciu o ww. analizę, a także specyfikę przetwarzanych danych, stosowanie określonych zaleceń nie byłoby właściwe, Kancelaria lub dany Adwokat powinien pominąć dane zalecenia.
Dobre Praktyki nie stanowią również wytycznych w zakresie dochowania przez Kancelarię i Adwokata zgodności przetwarzania przez nich danych osobowych z stosownymi przepisami prawa, w tym rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. W szczególności, z uwagi na obowiązki określone powyższymi przepisami, konieczne może być przyjęcie wyższych standardów ochrony danych niż wskazane w niniejszym dokumencie.
Na Dobre Praktyki składają się zalecenia przedstawione w głównej części w formie tabel pogrupowanych według pól tematycznych (m.in. technologicznych, procesowych) wraz z ich rozróżnieniem na adresatów zawartych zaleceń, a także załącznik zawierający omówienie poszczególnych zaleceń. Główna część podzielona jest na wprowadzenie, rozdział I (zawierający zalecenia podstawowe dla wszystkich adresatów, w tym Kancelarii jednoosobowych) oraz rozdział II (zawierający zalecenia dodatkowe, przeznaczone dla pozostałych grup Kancelarii).
Ze względu na różnice w skali występującego ryzyka oraz możliwości techniczne, organizacyjne i procesowe poszczególnych grup adresatów, przyjęto podział na następujące grupy kancelarii:
GRUPA |
OPIS |
jednoosobowe
|
Adwokaci prowadzący kancelarie w formie jednoosobowych działalności gospodarczych, którzy swoją praktykę prowadzą samodzielnie, tj. bez zatrudniania stałego Personelu kancelarii. Przez zatrudnienie stałego Personelu należy rozumieć zawarcie z daną osobą umowy o pracę lub umów cywilnoprawnych, w tym umowy o współpracę z osobą prowadzącą jednoosobową działalność gospodarczą, jeśli z umowy i praktyki wynika, że osoby te pełnia rolę stałych pracowników lub współpracowników Kancelarii. Osoby współpracujące z Kancelarią jako niezależny zewnętrzny współpracownik (np. of Counsel) powinny być traktowane jako osoba trzecia, z którą należy zawrzeć odpowiednie umowy lub udzielić stosownych upoważnień. |
Małe |
Kancelarie adwokackie prowadzone w dowolnej formie prawnej (jednoosobowe działalności gospodarcze, zespoły adwokackie, spółki osobowe), których skład osobowy (wspólników i Personelu) mieści się między 2 a 10 osób. Przez zatrudnienie stałego Personelu należy rozumieć zawarcie z daną osobą umowy o pracę lub umów cywilnoprawnych, w tym umowy o współpracę z osobą prowadzącą jednoosobową działalność gospodarczą, jeśli z umowy i praktyki wynika, że osoby te pełnia rolę stałych pracowników lub współpracowników Kancelarii. Osoby współpracujące z Kancelarią jako niezależny zewnętrzny współpracownik (np. of Counsel) powinny być traktowane jako osoba trzecia, z którą należy zawrzeć odpowiednie umowy lub udzielić stosownych upoważnień. |
Średnie |
Kancelarie adwokackie prowadzone w dowolnej formie prawnej (jednoosobowe działalności gospodarcze, zespoły adwokackie, spółki osobowe), których skład osobowy (wspólników i Personelu) mieści się między 11 a 20 osób. Przez zatrudnienie stałego Personelu należy rozumieć zawarcie z daną osobą umowy o pracę lub umów cywilnoprawnych, w tym umowy o współpracę z osobą prowadzącą jednoosobową działalność gospodarczą, jeśli z umowy i praktyki wynika, że osoby te pełnia rolę stałych pracowników lub współpracowników Kancelarii. Osoby współpracujące z Kancelarią jako niezależny zewnętrzny współpracownik (np. of Counsel) powinny być traktowane jako osoba trzecia, z którą należy zawrzeć odpowiednie umowy lub udzielić stosownych upoważnień. Kancelaria taka powinna korzystać z usług wsparcia IT, celem odpowiedniego zabezpieczenia informacji. |
Duże |
Kancelarie adwokackie prowadzone w dowolnej formie prawnej (jednoosobowe działalności gospodarcze, zespoły adwokackie, spółki osobowe), których skład osobowy (wspólników i personelu) wynosi powyżej 20 osób. Przez zatrudnienie stałego Personelu należy rozumieć zawarcie z daną osobą umowy o pracę lub umów cywilnoprawnych, w tym umowy o współpracę z osobą prowadzącą jednoosobową działalność gospodarczą, jeśli z umowy i praktyki wynika, że osoby te pełnia rolę stałych pracowników lub współpracowników Kancelarii. Osoby współpracujące z Kancelarią jako niezależny zewnętrzny współpracownik (np. of Counsel) powinny być traktowane jako osoba trzecia, z którą należy zawrzeć odpowiednie umowy lub udzielić stosownych upoważnień. Kancelaria taka powinna korzystać z usług IT, celem odpowiedniego zabezpieczenia informacji. |
Dobre Praktyki stosuje się odpowiednio do aplikantów adwokackich oraz prawników zagranicznych wpisanych na listę prawników zagranicznych prowadzoną przez właściwą okręgową radę adwokacką, z zastrzeżeniem, że odpowiedzialność nad stosowaniem właściwych Dobrych Praktyk z zakresu cyberbezpieczeństwa w przypadku:
a) aplikanta adwokackiego będącego członkiem Personelu – ponosi Kancelaria;
b) aplikanta adwokackiego prowadzącego jednoosobową działalność gospodarczą i świadczącego swoje usługi poza ramami stosunku prawnego członka Personelu – ponosi sam aplikant adwokacki w zakresie przewidzianym umową lub upoważnieniem.
Dobre Praktyki stosuje się również (w stopniu właściwym dla Kancelarii 1-osobowych) do Adwokatów i aplikantów adwokackich prowadzących jednoosobową działalność gospodarczą współpracujących z podmiotami gospodarczymi lub instytucjami w charakterze prawnika in-house, w zakresie w jakim korzystają oni ze sprzętu lub infrastruktury informatycznej takiego podmiotu gospodarczego lub instytucji. Głównym zaleceniem w ich przypadku jest jednak poinformowanie ww. podmiotów lub instytucji o istnieniu Dobrych Praktyk, a także podjęcie próby uwzględnienia Dobrych Praktyk w ochronie przed Incydentami w ramach możliwości technicznych, i organizacyjnych udostępnionych przez ww. podmiot lub instytucję.
Dobre Praktyki mają zastosowanie do Kancelarii małych, średnich i dużych prowadzonych w formie spółek osobowych, w których wspólnikami są również inne niż Adwokaci osoby wykonujące zawody określone w art. 4a ust. 1 ustawy z dnia 26 maja 1982 roku – Prawo o adwokaturze (j.t.: Dz.U. z 2020 r., poz. 1651 ze zm.).
Z uwagi na poruszaną w Dobrych Praktykach materię, dokument ten będzie podlegał okresowym przeglądom i zmianom, z zastrzeżeniem, że mając na uwadze krótki cykl zmian technologicznych oraz wzrastający poziom zagrożenia Incydentami, utrzymanie aktualnego charakteru zwartych w nim zaleceń może nie być możliwe. Rekomendowane jest zatem regularne śledzenie aktualnych zaleceń instytucji zajmujących się tematyką cyberbezpieczeństwa (np. ENISA[1]).
Podsumowując, zalecane jest stosowanie przez Adwokatów i Kancelarie środków technicznych, organizacyjnych i procesowych właściwych dla zapewnienia odpowiedniej ochrony danych objętych Tajemnicą zawodową, danych osobowych i pozostałych informacji prawnie chronionych znajdujących się w posiadaniu adwokata i Kancelarii, przed ich ujawnieniem w wyniku Incydentu.
DEFINICJE
Pojęcia wykorzystane w niniejszych Dobrych Praktykach wielką literą powinny być rozumiane zgodnie z poniższymi definicjami (niezależnie od wykorzystania ich w formie pojedynczej lub mnogiej):
Chmura Obliczeniowa |
pula współdzielonych, dostępnych na żądanie przez sieci teleinformatyczne, konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowych, aplikacji, usług), które mogą być dynamicznie dostarczane lub zwalniane przy minimalnych nakładach pracy zarządczej i minimalnym udziale ich dostawcy. Chmura Obliczeniowa dostarczana jest z reguły w 3 modelach usługowych (SaaS, PaaS, IaaS) i 4 modelach wdrożenia (chmura prywatna, publiczna, społecznościowa i hybrydowa).[2] |
Dobre Praktyki |
niniejsze Dobre Praktyki dotyczące cyberbezpieczeństwa w działalności Kancelarii i pracy Adwokata. |
Dostawca Usług Chmurowych |
podmiot, który dysponuje infrastrukturą i oprogramowaniem służącym do świadczenia Usług Chmurowych oraz świadczy te usługi. |
Dostawca Usług Online |
podmiot, który prowadząc, chociażby ubocznie, działalność zarobkową lub zawodową świadczy Usługi Online. Dostawcą Usług Online jest w szczególności Dostawca Usług Chmurowych. |
DPA |
umowa powierzenia przetwarzania danych osobowych, w tym zawierana poprzez akceptację regulaminu lub polityki przetwarzania danych osobowych dostawcy. |
EFTA |
Europejskie Stowarzyszenie Wolnego Handlu. |
EOG |
Europejski Obszar Gospodarczy. |
Hasło administratora |
hasło umożliwiające pełne zarządzanie systemem informatycznym, w tym nadawanie i odbieranie uprawnień poszczególnym użytkownikom. |
Kancelaria |
organizacja służąca wykonywaniu zawodu przez Adwokata, prowadzona w formie przewidzianej przepisami prawa (jednoosobowa działalność gospodarcza, zespół adwokacki, spółka osobowa). |
Klient poczty |
aplikacja na urządzenie mobilne lub komputer stacjonarny służąca do obsługi korespondencji e-mail. |
Incydent |
zdarzenie, które stanowi naruszenie lub zagrożenie naruszenia poufności, integralności lub dostępności systemu informatycznego lub informacji, którą system przetwarza, w tym przechowuje lub przesyła lub które stanowi naruszenie lub zagrożenie naruszenia zasad bezpieczeństwa, procedur bezpieczeństwa, lub zasad dopuszczalnego korzystania.[3] Incydentem jest w szczególności nieautoryzowane ujawnienie informacji, w tym informacji objętych Tajemnicą zawodową lub danych osobowych w rozumieniu RODO. |
Personel |
zespół Kancelarii złożony z osób zatrudnionych w Kancelarii na podstawie umowy o pracę lub umów cywilnoprawnych, w tym umów o współpracę zawartymi z osobami prowadzącymi działalność gospodarczą w formie jednoosobowej działalności gospodarczej (będącymi stałymi członkami zespołu Kancelarii a nie zewnętrznymi współpracownikami). |
RODO |
rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE. |
SaaS |
oprogramowanie jako usługa – model usługi chmurowej umożliwiający odbiorcy usług wykorzystanie aplikacji uruchomionych na infrastrukturze chmury dostarczanej przez dostawcę usług dostępnej na różnych urządzeniach klienckich za pośrednictwem np. przeglądarki internetowej lub klienta aplikacji oraz w przypadku której odbiorca usług nie zarządza ani nie kontroluje infrastruktury chmury, w tym sieci, serwerów, systemów operacyjnych, pamięci masowej, a nawet parametrów konfiguracyjnych aplikacji, z wyjątkiem ograniczonych ustawień konfiguracji aplikacji specyficznych dla użytkownika.[4] |
Szyfrowanie |
szyfrowanie danych „w spoczynku” (np. szyfrowanie przechowywanych plików, kopii zapasowych, informacji zgromadzonych w bazie danych). |
Szyfrowanie |
szyfrowanie danych w trakcie transmisji (przesyłania) danych (np. podczas przesyłania danych w sieci teleinformatycznej, w tym z/do Chmury Obliczeniowej). |
Tajemnica zawodowa |
tajemnica zawodowa w rozumieniu art. 6 ustawy z dnia 26 maja 1982 roku – Prawo o adwokaturze (j.t.: Dz.U. z 2020 r., poz. 1651 ze zm.), obejmująca w szczególności tajemnicę obrończą. |
UK |
Zjednoczone Królestwo Wielkiej Brytanii i Irlandii Północnej, z wyłączeniem terytoriów zależnych. |
Usługi Chmurowe |
gotowe do użycia, wystandaryzowane zasoby Chmury Obliczeniowej służące przetwarzaniu informacji, wstępnie skonfigurowane przez Dostawcę Usług Chmurowych i przez niego dostarczane. Usługi Chmurowe mogą być bezpośrednio dostarczane Kancelarii lub stanowić element usług innego dostawcy. |
Usługi Online |
usługi świadczone drogą elektroniczną, bez jednoczesnej obecności stron (na odległość), poprzez przekaz danych na indywidualne żądanie usługobiorcy, przesyłanej i otrzymywanej za pomocą urządzeń do elektronicznego przetwarzania, włącznie z kompresją cyfrową, i przechowywania danych, która jest w całości nadawana, odbierana lub transmitowana za pomocą sieci telekomunikacyjnej. Usługami Online są w szczególności Usługi Chmurowe. |
Dobre praktyki dotyczące cyberbezpieczeństwa w działalności kancelarii adwokackich i pracy Adwokata
Na Dobre Praktyki składają się zalecenia przedstawione poniżej w formie tabel pogrupowanych według obszarów tematycznych (m.in. technologicznych, procesowych) wraz z ich rozróżnieniem na adresatów zawartych zaleceń.
Poszczególne zalecenia uwzględnione w tabelach zostały oznaczone przy adresatach jako:
|
zalecane
|
ZO |
zalecane
|
Z |
|
niezalecane
|
N |
Poniższy rozdział I określa zalecenia podstawowe dla wszystkich grup Kancelarii, a w szczególności dedykowane Kancelariom jednoosobowym. Rozdział II określa zalecenia uzupełniające rozdział I o zalecenia przeznaczone dla Kancelarii małych, średnich i dużych, którym wskazuje się stosowanie również do zaleceń określonych w rozdziale I. Kancelarie jednoosobowe mogą stosować się również do zaleceń określonych w rozdziale II, w zależności od wyników oceny ryzyka naruszenia przetwarzania informacji.
ROZDZIAŁ I
ZALECENIA PODSTAWOWE
(dedykowane dla Kancelarii jednoosobowych, bazowe dla pozostałych grup Kancelarii)
Poniższe zalecenia są zaleceniami minimalnymi, powalającymi na zwiększenie bezpieczeństwa Tajemnicy zawodowej w świecie cyfrowym. W zależności od wiedzy, posiadanych umiejętności i wyników własnej oceny ryzyka przetwarzania informacji Adwokat może stosować wyższe standardy zabezpieczeń, w tym zalecenia dodatkowe wskazane w Rozdziale II.
- 1. Zalecenia ogólne
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
1.1 |
Korzystanie wyłącznie z licencjonowanego i aktualnego oprogramowania przeznaczonego do komercyjnego zastosowania. |
Z |
1.2 |
W przypadku korzystania z aplikacji lub usług, w ramach których dostawcy uzyskają dostęp do danych osobowych przetwarzanych przez Kancelarię, zawarcie stosownej DPA, zgodnej z przepisami RODO i zasadami dostępu do Tajemnicy zawodowej. |
Z |
1.3 |
Korzystanie z rozwiązań i usług informatycznych tylko od zaufanych dostawców, posiadających siedzibę na terytorium EOG, którzy umożliwiają (gdy dochodzi do powierzenia przetwarzania danych osobowych) zawarcie stosownej DPA, a także przetwarzających powierzone dane na terytorium EOG. |
Z |
1.4 |
Zapewnienie fizycznych zabezpieczeń dostępu do miejsc przechowywania sprzętu i nośników danych. |
Z |
1.5 |
Korzystanie ze sprzętu należącego do osób trzecich, w szczególności przy dostępie do informacji objętych Tajemnicą zawodową. |
N |
1.6 |
Okresowy przegląd cyberzagrożeń i dostosowanie stosownych środków technicznych i organizacyjnych przy uwzględnieniu istniejących i potencjalnych ryzyk. |
Z |
1.7 |
Regularne szkolenia w zakresie wdrożonych polityk bezpieczeństwa i zasad korzystania ze sprzętu i usług. |
Z |
1.8 |
Posiadanie ubezpieczenia w zakresie odpowiedzialności dotyczącej cyberbezpieczeństwa i RODO. |
ZO |
- 2. Komputery PC i przenośne
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
2.1 |
Stosowanie silnych haseł dostępowych. |
Z |
2.2 |
Stosowanie jednego hasła do kilku kont dostępowych. |
N |
2.3 |
Przeprowadzanie okresowej zmiany haseł lub stosowanie menadżera haseł. |
Z |
2.4 |
Stosowanie uwierzytelniania wieloskładnikowego (MFA). |
Z |
2.5 |
Stosowanie szyfrowania danych i komunikacji. |
Z |
2.6 |
Stosowanie darmowego oprogramowania antywirusowego przeznaczonego do użytku osobistego. |
N |
2.7 |
Stosowanie oprogramowania antywirusowego w standardzie biznesowym z rozbudowanymi modułami zapory sieciowej i ochroną korespondencji e-mail. |
Z |
2.8 |
Wykonywanie okresowych kopii zapasowych systemu operacyjnego i danych. |
Z |
2.9 |
Utrzymanie stałej kontroli nad wykorzystywanym sprzętem. |
Z |
2.10 |
Stosowanie wygaszacza ekranu zabezpieczonego hasłem. |
Z |
2.11 |
Korzystanie z oprogramowania umożliwiającego zdalne zablokowanie dostępu lub usunięcie danych ze sprzętu w przypadku zgubienia lub kradzieży sprzętu. |
Z |
2.12 |
Korzystanie z prywatnego sprzętu w celach zawodowych. |
N |
2.13 |
Korzystanie w celach zawodowych wyłącznie ze sprzętu służbowego. |
Z |
2.14 |
Udostępnianie sprzętu osobie trzeciej (w tym członkowi rodziny) do korzystania. |
N |
2.15 |
Korzystanie z zewnętrznego serwisu IT (świadczonego przez podmiot nie zweryfikowany w zakresie bezpieczeństwa informacji) w formie zdalnej bez bieżącego nadzoru. |
N |
2.16 |
Przekazywanie sprzętu do naprawy (z danymi) bez nadzoru. |
N |
2.17 |
Ograniczenie lub wyłączenie działania w tle aplikacji i standardów komunikacji (np. bluetooth i wi-fi), które nie są wykorzystywane w sposób stały i konieczny. |
Z |
- 3. Smartfon
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
3.1 |
Stosowanie silnych haseł dostępowych. |
Z |
3.2 |
Stosowanie jednego hasła do kilku kont dostępowych. |
N |
3.3 |
Przeprowadzanie okresowej zmiany haseł lub stosowanie menadżera haseł. |
Z |
3.4 |
Stosowanie uwierzytelniania wieloskładnikowego (MFA). |
Z |
3.5 |
Stosowanie szyfrowania danych i komunikacji. |
Z |
3.6 |
Stosowanie darmowego oprogramowania antywirusowego przeznaczonego do użytku osobistego. |
N |
3.7 |
Stosowanie oprogramowania antywirusowego w standardzie biznesowym. |
Z |
3.8 |
Wykonywanie okresowych kopii zapasowych danych na urządzeniu zewnętrznym. |
Z |
3.9 |
Wykonywanie okresowych kopii zapasowych danych objętych Tajemnicą zawodową w Usługach Online producenta sprzętu lub operatora telekomunikacyjnego. |
N |
3.10 |
Utrzymanie stałej kontroli nad wykorzystywanym sprzętem. |
Z |
3.11 |
Korzystanie z oprogramowania umożliwiającego zdalne zablokowanie dostępu lub usunięcie danych ze sprzętu w przypadku zgubienia lub kradzieży sprzętu. |
Z |
3.12 |
Korzystanie z prywatnego sprzętu w celach zawodowych. |
N |
3.13 |
Korzystanie w celach zawodowych wyłącznie ze sprzętu służbowego. |
Z |
3.14 |
Udostępnianie sprzętu osobie trzeciej (w tym członkowi rodziny) do korzystania. |
N |
3.15 |
Ograniczenie lub wyłączenie działania w tle aplikacji i standardów komunikacji (np. bluetooth), które nie są wykorzystywane w sposób stały i konieczny. |
Z |
3.16 |
Korzystanie z usług telekomunikacyjnych, których abonentem nie jest Kancelaria. |
N |
- 4. Serwery i urządzenia NAS
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
4.1 |
Stosowanie silnych haseł dostępowych. |
Z |
4.2 |
Stosowanie jednego hasła do kilku kont dostępowych. |
N |
4.3 |
Przeprowadzanie okresowej zmiany haseł lub stosowanie menadżera haseł. |
Z |
4.4 |
Stosowanie uwierzytelniania wieloskładnikowego (MFA). |
Z |
4.5 |
Stosowanie szyfrowania danych i komunikacji. |
Z |
4.6 |
Stosowanie darmowego oprogramowania antywirusowego przeznaczonego do użytku osobistego. |
N |
4.7 |
Stosowanie oprogramowania antywirusowego w standardzie biznesowym z rozbudowanymi modułami zapory sieciowej i ochroną korespondencji e-mail. |
Z |
4.8 |
Wykonywanie okresowych kopii zapasowych systemu operacyjnego i danych. |
Z |
4.9 |
Zapewnienie redundancji łączy i narzędzi sieciowych. |
Z |
- 5. Komunikacja w sieci Internet / sieć
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
5.1 |
Stosowanie szyfrowania danych i komunikacji. |
Z |
5.2 |
Korzystanie z publicznej (w tym udostępnianej przez osoby trzecie) sieci wi-fi bez jednoczesnego korzystania z zaufanego połączenia VPN. |
N |
5.3 |
Korzystanie z prywatnej (udostępnianej przez inne podmioty, w tym klientów) sieci wi-fi bez jednoczesnego korzystania z zaufanego połączenia VPN. |
N |
5.4 |
korzystanie w miejscach publicznych z sieci udostępnianej samodzielnie od operatora telekomunikacyjnego (np. korzystając z funkcji hotspot w telefonie). |
Z |
5.5 |
Stosowanie biurowej sieci wi-fi o standardzie szyfrowania komunikacji co najmniej WPA-2. |
Z |
5.6 |
Korzystanie wyłącznie z odpowiednio zabezpieczonych przeglądarek internetowych. |
Z |
- 6. Poczta elektroniczna
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
6.1 |
Stosowanie silnych haseł dostępowych. |
Z |
6.2 |
Stosowanie jednego hasła do kilku kont dostępowych. |
N |
6.3 |
Przeprowadzanie okresowej zmiany haseł lub stosowanie menadżera haseł. |
Z |
6.4 |
Stosowanie uwierzytelniania wieloskładnikowego (MFA). |
Z |
6.5 |
Stosowanie szyfrowania wiadomości e-mail w przypadku braku szyfrowania komunikacji pomiędzy Klientami pocztowymi. |
Z |
6.6 |
Stosowanie szyfrowania lub hasłowania załączników wiadomości e-mail. |
Z |
6.7 |
W przypadku korzystania z aplikacji lub usług, w ramach których dostawcy uzyskają dostęp do danych osobowych przetwarzanych przez Kancelarię, zawarcie stosownej DPA, zgodnej z przepisami RODO i zasadami dostępu do Tajemnicy zawodowej. |
Z |
6.8 |
Korzystanie z własnego serwera pocztowego. |
N |
6.9 |
W przypadku korzystania z poczty elektronicznej w ramach Usług Online, korzystanie w modelu biznesowym wraz z zawarciem DPA. |
Z |
6.10 |
Korzystanie z darmowych skrzynek pocztowych, w tym przeznaczonych do innych niż biznesowych celów. |
N |
6.11 |
Korzystanie z rozwiązań i usług tylko zaufanych dostawców, posiadających siedzibę na terytorium EOG, którzy umożliwiają (gdy dochodzi do powierzenia przetwarzania danych osobowych) zawarcie stosownej DPA, a także przetwarzających powierzone dane na terytorium EOG. |
Z |
6.12 |
Przechowywanie (retencja) danych na terytorium EOG. |
Z |
- 7. Back-up
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
7.1 |
Stosowanie silnych haseł dostępowych. |
Z |
7.2 |
Stosowanie jednego hasła do kilku kont dostępowych. |
N |
7.3 |
Przeprowadzanie okresowej zmiany haseł lub stosowanie menadżera haseł. |
Z |
7.4 |
Stosowanie uwierzytelniania wieloskładnikowego (MFA). |
Z |
7.5 |
Szyfrowanie kopii zapasowej danych. |
Z |
7.6 |
Wykonywanie dodatkowej lokalnej kopii zapasowej danych. |
Z |
7.7 |
Wykonanie kopii zapasowej systemu operacyjnego i danych przed aktualizacją oprogramowania. |
Z |
- 8. Przetwarzanie danych w Usługach Online
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
8.1 |
Stosowanie silnych haseł dostępowych. |
Z |
8.2 |
Stosowanie jednego hasła do kilku kont dostępowych. |
N |
8.3 |
Przeprowadzanie okresowej zmiany haseł lub stosowanie menadżera haseł. |
Z |
8.4 |
Stosowanie uwierzytelniania wieloskładnikowego (MFA). |
Z |
8.5 |
W przypadku korzystania z Usług Online, wybór tych Usług Online, których dostawca zapewnia szyfrowanie komunikacji i danych. |
Z |
8.6 |
Stosowanie dodatkowego (własnego) szyfrowania danych przetwarzanych w ramach Usług Chmurowych. |
Z |
8.7 |
W przypadku korzystania z aplikacji lub usług, w ramach których dostawcy uzyskają dostęp do danych osobowych przetwarzanych przez Kancelarię, zawarcie stosownej DPA, zgodnej z przepisami RODO i zasadami dostępu do Tajemnicy zawodowej. |
Z |
8.8 |
Korzystanie z rozwiązań i usług tylko zaufanych dostawców, posiadających siedzibę na terytorium EOG, którzy umożliwiają (gdy dochodzi do powierzenia przetwarzania danych osobowych) zawarcie stosownej DPA, a także przetwarzających powierzone dane na terytorium EOG. |
Z |
8.9 |
Korzystanie z Usług Online zapewniających możliwość kontroli logów i dostępów. |
Z |
8.10 |
Korzystanie z Usług Online wyłącznie w standardzie biznesowym. |
Z |
8.11 |
Przechowywanie (retencja) danych na terytorium EOG. |
Z |
- 9. Przekazywanie danych poza Kancelarię, w tym do klienta
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
9.1 |
Stosowanie silnych haseł dostępowych. |
Z |
9.2 |
Stosowanie szyfrowania danych. |
Z |
9.3 |
Przekazywanie danych poza Kancelarię przy wykorzystaniu Usług Chmurowych w standardzie biznesowym. |
Z |
9.4 |
Przekazywanie danych poza Kancelarię przy wykorzystaniu narzędzi lub usług darmowych, w tym niezapewniających standardów biznesowych i standardów ochrony danych osobowych (np. bez DPA). |
N |
9.5 |
Przekazywanie danych poza Kancelarię na nośnikach danych bez hasła dostępu. |
N |
- 10. Biura serwisowane
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
10.1 |
Stosowanie szyfrowania danych i komunikacji w przypadku wykorzystywania sieci teleinformatycznej dostarczanej w ramach usługi biura serwisowanego. |
Z |
10.2 |
Zawarcie DPA w przypadku korzystania z usług obsługi korespondencji (np. rejestracji poczty przychodzącej, skanowania poczty przychodzącej, przesyłania skanu poczty przychodzącej). |
Z |
10.3 |
Korzystanie z ogólnodostępnej sieci wi-fi zapewnianej przez administratora biura lub wynajmującego. |
N |
10.4 |
Korzystanie z ogólnodostępnego sprzętu komputerowego. |
N |
10.5 |
Korzystanie z ogólnodostępnego serwera. |
N |
10.6 |
Skanowanie lub drukowanie na sprzęcie ogólnodostępnym. |
N |
- 11. Komunikatory
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
11.1 |
Stosowanie silnych haseł dostępowych. |
Z |
11.2 |
Stosowanie jednego hasła do kilku kont dostępowych. |
N |
11.3 |
Przeprowadzanie okresowej zmiany haseł lub stosowanie menadżera haseł. |
Z |
11.4 |
Stosowanie uwierzytelniania wieloskładnikowego (MFA). |
Z |
11.5 |
Korzystanie z komunikatorów niezapewniających szyfrowania danych i komunikacji typu end-to-end. |
N |
11.6 |
Korzystanie z rozwiązań i usług tylko zaufanych dostawców, posiadających siedzibę na terytorium EOG, którzy umożliwiają (gdy dochodzi do powierzenia przetwarzania danych osobowych) zawarcie stosownej DPA, a także przetwarzających powierzone dane na terytorium EOG. |
Z |
- 12. Obsługa zewnętrzna IT
Numer Zalecenia |
Czynnik \ Adresat |
1 os. |
12.1 |
Korzystanie z usług zewnętrznego wsparcia informatycznego wyłącznie przy zachowaniu zasad bezpieczeństwa, w tym poufności danych znajdujących się w posiadaniu Kancelarii. |
Z |
12.2 |
Powierzenie funkcji Administratora Systemów Informatycznych zewnętrznemu dostawcy usług. |
Z |
12.3 |
Zawarcie DPA. |
Z |
12.4 |
Wsparcie lokalne w biurze Kancelarii. |
Z |
12.5 |
Wsparcie z dostępem zdalnym bez stałej kontroli dostępu przez członka Personelu Kancelarii. |
N |
ROZDZIAŁ II
ZALECENIA DODATKOWE – KANCELARIE MAŁE, ŚREDNIE I DUŻE
Poniższe zalecenia są uzupełniające w stosunku do zaleceń Rozdziału I dla Kancelarii małych, średnich i dużych. Zalecenia z Rozdziału I i II mają zastosowanie łącznie tylko do Kancelarii małych, średnich i dużych i stanowią minimalne zabezpieczenia przetwarzania informacji. Zalecenia Rozdziału I stosuje się wprost, chyba że w Rozdziale II przewidziano inne zalecenia.
- 13. Zalecenia ogólne
Numer Zalecenia |
Czynnik \ Adresat |
małe |
średnie |
duże |
13.1 |
Stosowanie polityki zarządzania konfiguracją, dostępem oraz monitorowaniem dostępów i sieci. |
Z |
Z |
Z |
13.2 |
Wdrożenie w Kancelarii norm ISO z rodziny ISO/IEC 27000. |
ZO |
Z |
Z |
13.3 |
Wdrożenie wewnętrznych polityk bezpieczeństwa w zakresie przetwarzania w Kancelarii informacji (w szczególności dotyczącej przechowywania danych), w tym danych objętych Tajemnicą zawodową. |
ZO |
Z |
Z |
13.4 |
Wdrożenie planu ciągłości działania istotnych elementów infrastruktury (usług) informatycznej Kancelarii i odzyskiwania danych (data recovery). |
ZO |
Z |
Z |
13.5 |
Regularne szkolenia Personelu w zakresie wdrożonych polityk bezpieczeństwa i zasad korzystania ze sprzętu i usług. |
Z |
Z |
Z |
13.6 |
Powierzenie administrowania i nadzoru nad infrastrukturą informatyczną Kancelarii osobie pełniącej funkcję Administratora Systemu Informatycznego (ASI). |
ZO |
Z |
Z |
13.7 |
Posiadanie ubezpieczenia w zakresie odpowiedzialności dotyczącej cyberbezpieczeństwa i RODO. |
Z |
Z |
Z |
13.8 |
Aktualizacja oprogramowania przy wykorzystaniu środowiska testowego, w celu weryfikacji wpływu aktualizacji na działanie tych systemów i ewentualnego wykrycia podatności. |
ZO |
ZO |
Z |
- 14. Komputery PC i przenośne
Numer Zalecenia |
Czynnik \ Adresat |
małe |
średnie |
duże |
14.1 |
Korzystanie przez Personel z prywatnego sprzętu w celach zawodowych. |
N |
N |
N |
14.2 |
Korzystanie przez Personel w celach zawodowych wyłącznie ze sprzętu służbowego. |
Z |
Z |
Z |
14.3 |
Korzystanie z zewnętrznego serwisu IT w formie zdalnej bez bieżącego nadzoru członka Personelu. |
N |
N |
N |
14.5 |
Wdrożenie stosowania Haseł administratora. |
Z |
Z |
Z |
- 15. Smartfon
Numer Zalecenia |
Czynnik \ Adresat |
małe |
średnie |
duże |
15.1 |
Korzystanie przez Personel z prywatnego sprzętu w celach zawodowych. |
N |
N |
N |
15.2 |
Korzystanie przez Personel w celach zawodowych wyłącznie ze sprzętu służbowego. |
Z |
Z |
Z |
15.3 |
Prowadzenie ewidencji sprzętu powierzonego Personelowi. |
Z |
Z |
Z |
- 16. Serwery i urządzenia NAS
Numer Zalecenia |
Czynnik \ Adresat |
małe |
średnie |
duże |
16.1 |
Opracowanie i wdrożenie formalnej polityki bezpieczeństwa informacji. |
Z |
Z |
Z |
- 17. Poczta elektroniczna
Numer Zalecenia |
Czynnik \ Adresat |
małe |
średnie |
duże |
17.1 |
Korzystanie z własnego serwera pocztowego. |
N |
ZO |
Z |
- 18. Back-up
Numer Zalecenia |
Czynnik \ Adresat |
małe |
średnie |
duże |
18.1 |
Wdrożenie polityki wydawania danych uprawnionym organom w przypadkach określonych przepisami prawa. |
Z |
Z |
Z |
- 19. Przetwarzanie danych w Usługach Online
Numer Zalecenia |
Czynnik \ Adresat |
małe |
średnie |
duże |
19.1 |
Wdrożenie polityki wydawania danych uprawnionym organom w przypadkach określonych przepisami prawa. |
Z |
Z |
Z |
- 20. Przekazywanie danych poza Kancelarię, w tym do klienta
Numer Zalecenia |
Czynnik \ Adresat |
małe |
średnie |
duże |
20.1 |
Wdrożenie polityki przekazywania danych w przypadkach określonych przepisami prawa. |
Z |
Z |
Z |
- 21. Obsługa zewnętrzna IT
Numer Zalecenia |
Czynnik \ Adresat |
małe |
średnie |
duże |
21.1 |
Korzystanie z usług podmiotu posiadającego zweryfikowaną wiedzę z zakresu rozwiązań sieciowych i ISO z rodziny ISO/IEC 27000. |
ZO |
Z |
Z |
Załącznik nr 1 do Dobrych Praktyk dotyczących cyberbezpieczeństwa w działalności kancelarii adwokackich i pracy Adwokata
Niniejszy załącznik do Dobrych Praktyk stanowi opis zaleceń określonych w głównej części Dobrych Praktyk:
ROZDZIAŁ I
ZALECENIA PODSTAWOWE
(dedykowane dla Kancelarii jednoosobowych, bazowe dla pozostałych grup Kancelarii)
NUMER ZALECENIA |
CZEGO DOTYCZY? |
WYJAŚNIENIA |
1.1 |
Korzystanie wyłącznie z licencjonowanego i aktualnego oprogramowania przeznaczonego do komercyjnego zastosowania. |
Zalecane jest:
Niezalecane jest:
|
2.1 3.1 4.1 6.1 7.1 8.1 9.1 11.1 |
Stosowanie silnych haseł dostępowych. |
Zalecane jest:
Niezalecane jest:
|
2.2 3.2 4.2 6.2 7.2 8.2 11.2 |
Stosowanie jednego hasła do kilku kont dostępowych. |
Zalecane jest:
Niezalecane jest:
|
2.3 3.3 4.3 6.3 7.3 8.3 11.3 |
Przeprowadzanie okresowej zmiany haseł lub stosowanie menadżera haseł. |
Zalecane jest:
Niezalecane jest:
|
2.4 3.4 4.4 6.4 7.4 8.4 11.4 |
Stosowanie uwierzytelniania wieloskładnikowego (MFA). |
Uwierzytelnianie wieloskładnikowe (MFA) zwiększa poziom bezpieczeństwa procesu logowania i dostępu do danych przetwarzanych w zasobach, do których użytkownik podjął próbę logowania. W przypadku kompromitacji hasła, logowanie nie jest możliwe bez dodatkowej autoryzacji.
Zalecane jest:
Niezalecane jest:
|
2.5 3.5 4.5 5.1 5.5 6.5 6.6 7.5 8.5 8.6 9.2 10.1 11.5 |
Stosowanie szyfrowania danych i komunikacji. Stosowanie szyfrowania wiadomości e-mail w przypadku braku szyfrowania komunikacji pomiędzy Klientami pocztowymi (programami pocztowymi). Stosowanie szyfrowania lub hasłowania załączników wiadomości e-mail. Szyfrowanie kopii zapasowej danych. W przypadku korzystania z Usług Online wybór tych Usług Online, których dostawca zapewnia szyfrowanie komunikacji i danych. Stosowanie dodatkowego (własnego) szyfrowania danych przetwarzanych w ramach Usługi Chmurowej. Stosowanie szyfrowania danych i komunikacji w przypadku wykorzystywania sieci dostarczanej w ramach usługi biura serwisowanego. Korzystanie z komunikatorów niezapewniających szyfrowania danych i komunikacji typu end-to-end. |
Zalecane jest:
Niezalecane jest:
|
2.6 2.7 3.6 3.7 4.6 4.7 |
Stosowanie darmowego oprogramowania antywirusowego przeznaczonego do użytku osobistego. Stosowanie oprogramowania antywirusowego w standardzie biznesowym z rozbudowanymi modułami zapory sieciowej i ochroną korespondencji e-mail. |
Zalecane jest:
Niezalecane jest:
|
2.8 3.8 3.9 4.8 7.6 7.7 |
Wykonywanie okresowych kopii zapasowych systemu operacyjnego i danych. Wykonywanie okresowych kopii zapasowych danych na urządzeniu zewnętrznym. Wykonywanie okresowych kopii zapasowych danych objętych Tajemnicą zawodową w Usługach Online producenta sprzętu lub operatora telekomunikacyjnego. Wykonywanie dodatkowej lokalnej kopii zapasowej danych. Wykonanie kopii zapasowej systemu operacyjnego i danych przed aktualizacją oprogramowania. |
Zalecane jest:
Niezalecane jest:
|
2.9 2.10 2.11 2.12 2.13 2.14 2.15 2.16 3.10 3.11 3.12 3.13 3.14 4.9 |
Utrzymanie stałej kontroli nad wykorzystywanym sprzętem. Stosowanie wygaszacza ekranu. Korzystanie z oprogramowania umożliwiającego zdalne zablokowanie dostępu lub usunięcie danych ze sprzętu w przypadku zgubienia lub kradzieży sprzętu. Korzystanie z prywatnego sprzętu w celach zawodowych. Korzystanie w celach zawodowych wyłącznie ze sprzętu służbowego. Udostępnianie sprzętu służbowego osobie trzeciej (w tym członkowi rodziny) do korzystania. Korzystanie z zewnętrznego serwisu IT w formie zdalnej bez bieżącego nadzoru. Przekazywanie sprzętu do naprawy (z danymi) bez nadzoru. |
Zalecane jest:
Niezalecane jest:
|
2.17 3.15 |
Ograniczenie lub wyłączenie działania w tle aplikacji i standardów komunikacji, które nie są wykorzystywane w sposób stały i konieczny. |
Zalecane jest:
|
6.7 8.7 10.2
|
W przypadku korzystania z aplikacji lub usług, w ramach których dostawcy uzyskają dostęp do danych osobowych przetwarzanych przez Kancelarię, zawarcie stosownej DPA, zgodnej z przepisami RODO i zasadami dostępu do Tajemnicy zawodowej. Zawarcie DPA w przypadku korzystania z usług obsługi korespondencji (rejestracji poczty przychodzącej, skanowania poczty przychodzącej, przesyłania skanu poczty przychodzącej). Korzystanie z usług skanowania poczty przychodzącej. |
Zalecane jest:
Niezalecane jest:
|
5.2 5.3 5.4 5.5 5.6 10.3 |
Korzystanie z publicznej (w tym udostępnianej przez osoby trzecie) sieci wi-fi bez jednoczesnego korzystania z zaufanego połączenia VPN. Korzystanie z prywatnej (udostępnianej przez zaufane podmioty, w tym klientów) sieci wi-fi bez jednoczesnego korzystania z zaufanego połączenia VPN. Jeśli jest to konieczne, korzystanie w miejscach publicznych z sieci udostępnianej samodzielnie od operatora telekomunikacyjnego (np. korzystając z funkcji hotspot w telefonie). Stosowanie biurowej sieci wi-fi o standardzie szyfrowania komunikacji co najmniej WPA-2. Korzystanie wyłącznie z odpowiednio zabezpieczonych przeglądarek internetowych. Korzystanie z ogólnodostępnej sieci wi-fi zapewnianej przez administratora biura lub wynajmującego. |
Zalecane jest:
Niezalecane jest:
|
1.3 6.11 8.8 11.6 6.12 8.11
|
Korzystanie z rozwiązań i usług informatycznych tylko od zaufanych dostawców, posiadających siedzibę na terytorium EOG, którzy umożliwiają (gdy dochodzi do powierzenia przetwarzania danych osobowych) zawarcie stosownej DPA, a także przetwarzających powierzone dane na terytorium EOG. Przechowywanie (retencja) danych na terytorium EOG.
|
Zalecane jest:
Niezalecane jest:
|
6.8 6.9 6.10 6.12 6.13 |
Korzystanie z własnego serwera pocztowego. W przypadku korzystania z poczty elektronicznej w ramach Usług Online, korzystanie w modelu biznesowym wraz z zawarciem DPA. Korzystanie z darmowych skrzynek pocztowych, w tym przeznaczonych do innych niż zawodowych celów. Przechowywanie (retencja) danych na terytorium EOG. Przechowywanie (retencja) danych na terytorium poza EOG. |
Zalecane jest:
W nawiązaniu również do zaleceń określonych w pkt 6.5 i 6.6:
Niezalecane jest:
|
8.9 8.10 8.11
|
Korzystanie z Usług Online zapewniających możliwość kontroli logów i dostępów. Korzystanie z Usług Online wyłącznie w standardzie biznesowym. Przechowywanie (retencja) danych na terytorium EOG.
|
Zalecane jest:
Niezalecane jest:
|
9.3 9.4 9.5
|
Przekazywanie danych poza Kancelarię przy wykorzystaniu Usług Chmurowych w standardzie biznesowym. Przekazywanie danych poza Kancelarię przy wykorzystaniu narzędzi lub usług darmowych, w tym niezapewniających standardów biznesowych i standardów ochrony danych osobowych. Przekazywanie danych poza Kancelarię na nośnikach danych bez hasła dostępu.
|
Zalecane jest:
Niezalecane jest:
W przypadku oczekiwania klienta Kancelarii do przekazania mu danych go dotyczących w sposób sprzeczny z zasadami bezpieczeństwa (w szczególności bez szyfrowania danych lub zabezpieczenia hasłem), zalecane jest uzyskanie przez Kancelarię potwierdzenia wydania takiej dyspozycji przez klienta, po uprzednim ogólnym poinformowaniu klienta o możliwych ryzykach z tym związanych. |
10.4 10.5 10.6 10.7 |
Korzystanie z usług/najmu biur serwisowanych, jeśli nie zapewniają właściwych standardów bezpieczeństwa pozwalających na utrzymanie poufności danych znajdujących się w posiadaniu Kancelarii, w tym informacji objętych Tajemnicą zawodową. Korzystanie z ogólnodostępnego sprzętu komputerowego. Korzystanie z ogólnodostępnego serwera. Skanowanie lub drukowanie na sprzęcie ogólnodostępnym. |
Zalecane jest:
Niezalecane jest:
|
1.7 |
Regularne szkolenia w zakresie wdrożonych polityk bezpieczeństwa i zasad korzystania ze sprzętu i usług. |
Zalecane jest:
|
12.1 12.2 12.3 12.4 12.5 |
Korzystanie z usług zewnętrznego wsparcia informatycznego wyłącznie przy zachowaniu zasad bezpieczeństwa, w tym poufności danych znajdujących się w posiadaniu Kancelarii. Powierzenie funkcji Administratora Systemów Informatycznych zewnętrznemu dostawcy usług. Zawarcie DPA. Wsparcie lokalne w biurze Kancelarii. Wsparcie z dostępem zdalnym bez stałej kontroli dostępu przez członka Personelu Kancelarii. |
Zalecane jest:
Niezalecane jest:
|
1.4 |
Zapewnienie fizycznych zabezpieczeń dostępu do miejsc przechowywania sprzętu i nośników danych. |
Zalecane jest:
|
1.5 |
Korzystanie ze sprzętu należącego do osób trzecich, w szczególności przy dostępie do informacji objętych Tajemnicą zawodową. |
Zalecane jest:
Niezalecane jest:
|
1.8 |
Wykupienie ubezpieczenia w zakresie odpowiedzialności dotyczącej cyberbezpieczeństwa i RODO. |
Zalecane opcjonalnie jest:
|
ROZDZIAŁ II
ZALECENIA DODATKOWE – KANCELARIE MAŁE, ŚREDNIE I DUŻE
NUMER ZALECENIA |
CZEGO DOTYCZY? |
WYJAŚNIENIA |
1.1 |
Korzystanie wyłącznie z licencjonowanego i aktualnego oprogramowania przeznaczonego do komercyjnego zastosowania. |
Zalecane jest:
|
1.3 |
Korzystanie z rozwiązań i usług informatycznych tylko od zaufanych dostawców, posiadających siedzibę na terytorium EOG, którzy umożliwiają (gdy dochodzi do powierzenia przetwarzania danych osobowych) zawarcie stosownej DPA, a także przetwarzających powierzone dane na terytorium EOG. |
Zalecane jest:
|
1.6 |
Okresowy przegląd cyberzagrożeń i dostosowanie stosownych środków technicznych i organizacyjnych przy uwzględnieniu istniejących i potencjalnych ryzyk. |
Zalecane jest:
|
2.3 3.3 4.3 6.3 7.3 8.3 11.3 |
Przeprowadzanie okresowej zmiany haseł. |
Zalecane jest:
|
13.1 |
Stosowanie polityki zarządzania konfiguracją, dostępem oraz monitorowaniem dostępów i sieci. |
Zalecane jest:
Niezalecane jest:
W przypadku Kancelarii jednoosobowych stosowanie się do powyższych zaleceń może utrudnić funkcjonowanie Kancelarii bez istotnej poprawy poziomu bezpieczeństwa. Kancelarie tego typu powinny rozważyć (w przypadku posiadania niezbędnych kompetencji lub w przypadku planowanej zmiany ich statusu na Kancelarię małą) zasadność stosowania się do powyższych zaleceń. |
13.2 |
Wdrożenie w Kancelarii norm ISO z rodziny ISO/IEC 27000. |
Zalecane jest:
Uzyskanie certyfikatu zgodności z normami ISO nie jest konieczne. Wdrożenie ww. norm w Kancelarii małej jest zalecane opcjonalnie. |
13.3 |
Wdrożenie wewnętrznych polityk bezpieczeństwa w zakresie przetwarzania w Kancelarii informacji (w szczególności dotyczącej retencji danych), w tym danych objętych Tajemnicą zawodową. |
Zalecane jest:
W przypadku wdrożenia polityki bezpieczeństwa przetwarzanych informacji Kancelaria powinna zidentyfikować kluczowe zasoby informacji, w szczególności informacje i dokumenty klientów, kluczowe usługi i rejestry/zbiory, które mają krytyczne znaczenie dla jego działalności. Ponadto, polityka powinna zawierać przy tym m.in.: a) identyfikację potencjalnych zagrożeń i Incydentów (wraz z prawdopodobieństwem wystąpienia) oraz rozważeniem możliwych reakcji/środków; b) identyfikację procesów realizowanych w organizacji Kancelarii; c) politykę zarządzania siecią, sprzętem, usługami i uprawnieniniami; d) stosowną dokumentację z zakresu ochrony danych osobowych (jeśli jest wymagana). |
13.4 |
Wdrożenie planu ciągłości działania istotnych elementów infrastruktury (usług) informatycznej Kancelarii i odzyskiwania danych (data recovery). |
Zalecane jest:
|
13.5 |
Regularne szkolenia Personelu w zakresie wdrożonych polityk bezpieczeństwa i zasad korzystania ze sprzętu i usług. |
Zalecane jest:
|
13.6 |
Powierzenie administrowania i nadzoru nad infrastrukturą informatyczną Kancelarii osobie pełniącej funkcję Administratora Systemu Informatycznego (ASI). |
Zalecane jest:
W przypadku Kancelarii małych jest to zalecenie opcjonalne. |
13.7 |
Posiadanie ubezpieczenia w zakresie odpowiedzialności dotyczącej cyberbezpieczeństwa i RODO. |
Zalecane jest:
|
13.8 |
Aktualizacja oprogramowania przy wykorzystaniu środowiska testowego, w celu weryfikacji wpływu aktualizacji na działanie tych systemów i ewentualnego wykrycia podatności. |
Zalecane jest:
W przypadku Kancelarii małych i średnich jest to zalecenie opcjonalne. |
14.1 14.2 14.3 14.4 15.1 15.2 15.3 16.1 |
Korzystanie przez Personel z prywatnego sprzętu w celach zawodowych. Korzystanie przez Personel w celach zawodowych wyłącznie ze sprzętu służbowego. Korzystanie z zewnętrznego serwisu IT w formie zdalnej bez bieżącego nadzoru członka Personelu. Stosowanie Hasła administratora. Prowadzenie ewidencji sprzętu powierzonego Personelowi. Wdrożenie polityki bezpieczeństwa. |
Zalecane jest:
Niezalecane jest:
|
17.1 |
Korzystanie z własnego serwera pocztowego. |
Zalecane jest:
|
18.1 19.1 20.1 |
Wdrożenie polityki wydawania danych uprawnionym organom w przypadkach określonych przepisami prawa. |
Zalecane jest:
|
21.1 |
Korzystanie z usług podmiotu posiadającego zweryfikowaną wiedzę z zakresu rozwiązań sieciowych i ISO z rodziny ISO/IEC 27000. |
Zalecane jest:
W przypadku Kancelarii małych jest to zalecenie opcjonalne. |
[1] European Union Agency for Cybersecurity.
[2] Za National Institute of Standards and Technology, Definition of cloud computing, Special Publication 800-145.
[3] Za National Institute of Standards and Technology, Definition of security incident, Special Publication 800-128.
[4] Uchwała nr 97 Rady Ministrów z dnia 11 września 2019 r. w sprawie Inicjatywy "Wspólna Infrastruktura Informatyczna Państwa".
[5] Ochrona punktów końcowych.
[6] Wyskakujące okna na stronie internetowej nad, pod i przed treścią wyświetlaną na stronie internetowej. Z reguły wykorzystywane są w celach reklamowych lub informacyjnych.