Audyt bezpieczeństwa informacji

Audyt bezpieczeństwa danych osobowych to analiza zgodności systemu ochrony danych osobowych w organizacji, z obowiązującymi w tym zakresie przepisami prawa, które zgodnie z rozporządzeniem Rady Ministrów (Rozporządzenie z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych) wprowadza obowiązkowe wymagania dla:

  • rejestrów publicznych
  • wymiany informacji w postaci elektronicznej
  • systemów teleinformatycznych.
Należy sprawdzić posiadany system informatyczny wszystkich podmiotów zajmujących się zadaniami publicznymi pod minimalne wymogi sprecyzowane ww. rozporządzeniu.

Szczególnie jeśli chodzi o:

  • specyfikację formatów danych oraz protokołów związanych z szyfrowaniem i komunikacją, które mają być wdrożone do oprogramowania interfejsowego,
  • sposoby na zapewnienie bezpieczeństwa w przypadku wymiany informacji,
  • standardy techniczne zapewniające przepływ informacji pomiędzy podmiotami publicznymi, uwzględniając wymianę transgraniczną,
  • sposoby na to, aby zapewnić osobom niepełnosprawnym dostęp do zasobów informacji podmiotów publicznych.

Jak wynika z wprowadzonego rozporządzenia, przeprowadzenie okresowego audytu wewnętrznego odnośnie bezpieczeństwa informacji przynajmniej raz na rok jest obowiązkowe.

Kierownictwo jest odpowiedzialne za to, aby odpowiednie rozwiązania zostały na pewno wdrożone. Do jego zadań należy zapewnienie odpowiedniej struktury danych w rejestrach, właściwego dysponowania systemami teleinformatycznymi, prawidłowego kodowania przesyłanych informacji oraz funkcjonalnego systemu zarządzania bezpieczeństwem informacji. Tego rodzaju system powinien być poufny, a przy tym zapewniać integralność i dostępność informacji, przy uwzględnieniu rozliczalności, autentyczności, niezawodności i niezaprzeczalności.

Pod funkcjonujący system bezpieczeństwa informacji stworzone zostały polskie normy, których nie trzeba wdrażać obowiązkowo, ale może to posłużyć za wystarczający dowód spełnienia ustalonych w Rozporządzeniu wymagań. Są to:

  • PN-ISO/IEC 27001- w odniesieniu do bezpieczeństwa informacji;
  • PN-ISO/IEC 17799 –w zakresie ustanawiania zabezpieczeń;
  • PN-ISO/IEC 27005 – odnośnie zarządzania ryzykiem;
  • PN-ISO/IEC 24762 – w obrębie odzyskiwania techniki informatycznej po katastrofie, co ma służyć zarządzaniu ciągłością funkcjonowania

Jak widać, nie trzeba koniecznie uzyskać certyfikacji ISO, ale sprecyzowane w rozporządzeniu wymogi muszą być spełnione, a dzięki normie ISO uzyskujemy całościowe podejście, bazujące na międzynarodowych standardach. Skorzystanie z niej jest więc korzystne podczas projektowania systemu, jak również przy wyborze najwłaściwszych zabezpieczeń.

Zależnie od Państwa indywidualnych zapotrzebowań, możemy:
  • przeprowadzić audyt wewnętrzny,
  • posłużyć pomocą przy wdrażaniu konkretnych rozwiązań,
  • przeszkolić pracowników odpowiedzialnych za procedurę przetwarzania informacji.

Wykonywane audyty są obiektywne i niezależne, spełniając przy tym współczesne standardy.