ABI, czyli Administrator Bezpieczeństwa Informacji, to główny specjalista dbający o bezpieczeństwo informacji w podmiotach publicznych i firmach. Jego działania nadzoruje powołujący ABI Administrator Danych Osobowych (ADO), aczkolwiek ABI jest względnie niezależny, gdyż właśnie po to jest powoływany – by zastąpić ADO w zakresie wdrażania i nadzorowania funkcjonującej w przedsiębiorstwie polityki bezpieczeństwa, czyli wszystkich regulacji i dyrektyw wprowadzonych by chronić dane osobowe, ale też handlowe, patentowe i inne, przed nieuprawnionym dostępem.
Od 1997 roku, gdy została powołana do życia ustawa o ochronie danych osobowych, Administratorzy Bezpieczeństwa Informacji dbają o należyte zabezpieczenie przechowywania i przetwarzania newralgicznych danych poprzez dwojakiego rodzaju działania formalne: będąc zatrudnianymi na etatach (dotyczy głównie dużych przedsiębiorstw), oraz pełniąc funkcję tzw. audytorów zewnętrznych, co sprowadza się do długofalowej współpracy ABI z firmą zlecającą realizowaną poprzez cykliczne pobyty w siedzibie zleceniodawcy i stałą współpracę z etatowymi ASI (Administrator Systemów Informatycznych).
Zadania ABI zwiększające bezpieczeństwo informacji
Do zadań ABI zwiększających bezpieczeństwo informacji należy szeroki obszar oddziaływań skojarzonych zarówno z aspektami prawnymi przetwarzania danych osobowych, jak i dbaniem o systemy informatyczne, a nawet drobne czynności, które nierzadko umykają uwadze. W szczególności należy wymienić:
- nadzór nad przetwarzaniem danych osobowych w zgodzie z ustawą – od weryfikacji polityki bezpieczeństwa po dbanie o to, czy w firmie znajduje się niszczarka,
- nadzór i tworzenie procedur uwierzytelniania użytkowników, korzystających z systemów teleinformatycznych, a także sprawowanie nad nimi kontroli nad użytkownikami,
- nadzorowanie przepływu danych w sieci wewnętrznej i zewnętrznej podmiotu,
- wykonywanie kopii zapasowych informacji chronionych i ich przechowywanie,
- nadzór nad systemami teleinformatycznymi służącymi do przetwarzania danych osobowych – konserwacja i aktualizowanie danych, wybór oprogramowania i inne,
- zabezpieczanie komputerów przed zagrożeniami zewnętrznymi w postaci wirusów oraz przed innymi złośliwymi programami,
- tworzenie haseł dostępu dla użytkowników systemu oraz tworzenie planu ich aktualizowania,
- nadzorowanie wszelkich napraw, zamian i aktualizacji sprzętu komputerowego, na którym znajdują się chronione dane,
- nadzór nad korzystaniem z komputerów przenośnych przez pracowników wraz z wprowadzeniem odpowiednich zasad i haseł dostępu,
- zapewnienie awaryjnego zasilania systemów informatycznych,
- nadzór nad pomieszczeniami, w których znajdują się zabezpieczone dane osobowe oraz wydanie dyrektyw związanych z dostępem do tych pomieszczeń – odpowiednie zamki, ochrona kluczy, lista osób, które mogą w pomieszczeniach przebywać.
Optymalne warunki pracy ABI
Administrator Bezpieczeństwa Informacji jest samodzielnym specjalistą, aczkolwiek współpracuje z kilkoma wyznaczonymi do ochrony danych osobowych pracownikami. Jest to przede wszystkim ADO, którego ABI niejako zastępuje. Ponadto ściśle współpracuje z ASI i jest to właściwie czynnik tworzący optymalne warunki pracy, które w najwyższym stopniu przekładają się na skuteczne zabezpieczenie informacji. Szczególnie w przypadku gdy ABI wykonuje swoją pracę na zlecenie, czyli nie jest pracownikiem etatowym firmy, dla której świadczy usługi, współpraca z ASI jest podstawowym elementem należytego zapewnienia bezpieczeństwa informacji.
W przypadku podmiotów, które nie zatrudniają na stałe ASI, praca ABI nieco się komplikuje. Dlatego też ustawa przewiduje możliwość powołania przez niego odpowiedniej osoby, która będzie dbała o prawidłowe funkcjonowanie systemów informatycznych pod jego nieobecność. W praktyce bowiem, „zewnętrzny ABI” wykonuje cykliczne wizyty w siedzibie firmy Klienta, zazwyczaj kwartalnie, a poza tym jest w stałym zdalnym kontakcie.
Powyższe rozwiązanie, które jest właściwie konieczne dla odpowiedniego zapewnienia bezpieczeństwa informacji, znacząco ułatwia fakt, iż funkcję ASI może spełniać Administrator Danych Osobowych, czyli osoba zlecająca audyt ABI, a może to mieć miejsce również wtedy, gdy ADO prowadzi firmę jednoosobową, bowiem jedną z wielu znaczących, wcześniej niewymienionych kompetencji ABI jest szkolenie pracowników w zakresie zapewnienia odpowiedniego bezpieczeństwa informacji i również ADO może być odbiorcą tej wiedzy.