Audyt bezpieczeństwa danych osobowych to usługa, która ma na celu wyeliminowanie błędów w zakresie zarządzania bezpieczeństwem informacji i pozwoli na opracowanie procedur i dokumentacji zgodnej z obowiązującymi przepisami Krajowych Ram Interoperacyjności. Po skończonym audycie Klient otrzymuje pełne sprawozdanie wskazujące obszary, które należy poprawić.

SCHEMAT PRZEPROWADZENIA AUDYTU

SCHEMAT kri

button (4)

 

Zapewnienie bezpieczeństwa przetwarzania danych osobowych to jeden z kluczowych obowiązków administratorów danych. Powiatowy Urząd Pracy jako administrator danych musi spełniać nie tylko wymogi określone w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz w rozporządzeniu wykonawczym do tej ustawy, tj.  rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, ale również stosować przepisy zawarte w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz. U. 2012 poz. 526), zwanym dalej rozporządzeniem KRI. Rozporządzenie to nakłada na podmioty publiczne oraz realizujące zadania publiczne obowiązek przeprowadzenia co najmniej raz w roku audytu w zakresie przetwarzania informacji.

Z raportu NIK wynika, że choć wiele podmiotów spełnia wymogi z przepisów o ochronie danych osobowych (posiada politykę bezpieczeństwa informacji oraz wdrożone określone w niej środki bezpieczeństwa informacji) to nie spełnione są wszystkie wymogi z przepisów rozporządzenia KRI!

Dlaczego ważne są przepisy rozporządzenia KRI?

Przepisy te są zatem bardzo istotne bo wskazują na wiele elementów, które powinny znaleźć się w posiadanych w jednostkach dokumentach i być wdrożone, związanych z ustanowieniem
i zarządzaniem systemem bezpieczeństwa, takich jak:

  • zarządzanie kontrolą dostępu,
  • unikanie zagrożeń związanych z przetwarzaniem danych zapisanych na nośnikach papierowych jak i w systemach informatycznych,
  • ochroną pomieszczeń, w których zlokalizowane są przetwarzane dane,
  • ochroną przed zagrożeniami z sieci zewnętrznej, w tym ochrona antywirusową,
  • wykonywanie działań administracyjnych w odniesieniu do wykorzystywanych systemów związanych z ich aktualizacją, głównie w kontekście pojawiających się zagrożeń
    z wykrywanymi lukami ich bezpieczeństwa.

Z badań NIK wynika, że w 62.5 % objętych kontrolą jednostek, nie opracowano Polityki Bezpieczeństwa Informacji, lub opracowana i wdrożona polityka nie obejmują wielu elementów, o których mowa w rozporządzeniu KRI. Do najczęściej spotykanych uchybień należały:

  • Brak wykazu sprzętu i oprogramowania wykorzystywanego do przetwarzania informacji obejmującego ich rodzaj i konfigurację – brak realizacji wymogu zawartego w § 20
    ust 2 pkt 2 rozporządzenia KRI. Wg raportu NIK ww. inwentaryzacja nie była prowadzona w w 17,4 % objętych kontrola podmiotów;
  • Nieprawidłowości w sporządzaniu i przechowywaniu kopii zapasowych (ok 20% objętych kontrola NIK podmiotów);
  • Brak obligatoryjnego wskazania działań jakie należy wykonywać w celu zapewnienia odpowiedniego poziomu bezpieczeństwa, w tym: dbałości o aktualizacje oprogramowania, minimalizowaniu ryzyka utraty informacji w wyniku awarii, kontroli zgodności systemów teleinformatycznych odpowiednimi normami i politykami bezpieczeństwa, redukcji ryzyk wynikających z opublikowanych podatności technicznych systemów teleinformatycznych;
  • Brak wytycznych w zakresie sposobu i zakresu prowadzenia dzienników systemowych, w których odnotowuje się obligatoryjnie działania użytkowników lub obiektów systemowych polegających na dostępie do: 1) systemu z uprawnieniami administracyjnymi, 2) konfiguracji systemu w tym konfiguracji zabezpieczeń,
    3) przetwarzanych w systemach danych podlegającej prawnej ochronie w zakresie wymaganym przepisami prawa – wymóg zawarty w § 21 rozporządzenia KRI.

Te wszystkie elementy zatem muszą się znaleźć w opracowanej w jednostce dokumentacji aby nie naruszać przepisów rozporządzenia KRI.

Wykonanie oferowanego audytu pozwoli kierownictwu jednostki wyeliminować wiele istniejących nieprawidłowości w zakresie zarządzania bezpieczeństwem informacji wymaganym przepisami ww. rozporządzeń oraz wskaże optymalny sposób ich usunięcia. Zalecenia i rekomendacje wskazane w sprawozdaniu z przeprowadzonego audytu wskażą działania jakie należy wykonać w celu doprowadzenia do pełnej zgodności z przepisami prawa odnoszącymi się zarówno do bezpieczeństwa informacji jak i ochrony danych osobowych.

Ponadto wykonanie oferowanego audytu co najmniej jeden raz w roku, sprawi, że zlecająca go jednostka dopełniła wymagania określone w § 20 ust 2 pkt 14 rozporządzenia KRI.