Zgodnie z wymaganiami rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności (dalej KRI) podmioty realizujące zadania publiczne mają obowiązek przeprowadzania audytu wewnętrznego w zakresie bezpieczeństwa informacji co najmniej raz w roku – mówi o tym §20 ust. 2 pkt 14). Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej RODO) natomiast nie narzuca wprost konieczności wykonywania przeglądu bezpieczeństwa danych osobowych, jednak Administrator Danych Osobowych zgodnie z art. 24 i 32 ma obowiązek wykazać, iż zapewnia odpowiedni poziom bezpieczeństwa przetwarzanych danych. Po przeprowadzeniu wymaganego szacowania ryzyka dla ochrony danych osobowych i adekwatnie do jego wyników, ADO dobiera techniczne oraz organizacyjne zabezpieczenia w celu eliminacji lub obniżenia skutków potencjalnego naruszenia danych. W tym przypadku audyt bezpieczeństwa danych jest najlepszym narzędziem pozwalającym ustalić stan faktyczny aktywów informacyjnych i ich zabezpieczeń.
Do wspomnianych powyżej przepisów prawa dodać możemy również trzecie wymaganie – jeśli organizacja posiada wdrożony System Zarządzania Bezpieczeństwem Informacji (dalej SZBI) zgodny z normą ISO/IEC 27001, to koniecznym jest przeprowadzanie przeglądu całego systemu co najmniej raz w roku. Co więcej, w treści KRI napisano wprost, że „wymagania wymienione w art. 20 ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym: ISO/IEC 27002, ISO/IEC 27005 oraz ISO/IEC 24762.”
Ponadto zgodnie z przepisami RODO każda jednostka publiczna przetwarzająca dane osobowe zobligowana jest do powołania Inspektora Ochrony Danych, na którym ciąży szereg zobowiązań. Idąc dalej, jednym z zadań IOD jest „monitorowanie przestrzegania RODO (…), w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty”.
Mając na uwadze powyższe, przeprowadzenie raz w roku audytu bezpieczeństwa informacji i danych osobowych przetwarzanych przez organizację „załatwia” nam kwestię spełnienia wymogów narzuconych przez kilka różnych aktów prawnych. Jednocześnie sporą korzyścią tego rozwiązania jest fakt, iż zatrudniając audytorów zewnętrznych w celu realizacji przeglądu oszczędzamy czas i zaangażowanie pracowników organizacji. Co również istotne, w jednostkach sektora publicznego plany finansowe sporządzane są w układzie zadaniowym na cały rok budżetowy, a ilość środków wydatkowanych na poszczególne zadania jest ograniczona. Przeprowadzając jeden audyt zawierający w sobie elementy weryfikacji zgodności z KRI, RODO, a dodatkowo z normą ISO/IEC 27001 organizacja oszczędzi pieniądze – nie zrujnuje swojego budżetu 😊 i będzie w stanie przeznaczyć środki finansowe np. na poprawę bezpieczeństwa systemu informatycznego.
Przegląd zgodności organizacji z KRI oraz przepisami o ochronie danych osobowych może być zrealizowany zarówno własnymi siłami (przez pracowników organizacji), jak i przy pomocy audytorów zewnętrznych. Jak pokazuje praktyka, najczęściej audyty wewnętrzne przeprowadzane są przez IOD lub pracowników specjalnie wydzielonej komórki organizacyjnej np. Wydział Kontroli i Audytu Wewnętrznego. Z drugiej jednak strony powierzenie przeprowadzenia audytu firmie zewnętrznej może być korzystniejsze dla organizacji ze względu na niższe koszty w porównaniu do zatrudniania pracownika, większą wiedzę i doświadczenie audytorów, szczególnie w zakresie systemów informatycznych, oraz elastyczność w określaniu czasu, przedmiotu i zakresu przeglądu.
W procesie organizacji działań audytowych należy przede wszystkim określić cel i zakres audytu, za co odpowiada organizacja. Na tej podstawie audytujący przygotowuje harmonogram przeglądu oraz jedno z najważniejszych narzędzi – listę kontrolną. Jest to bardzo ważny element poprawnie przeprowadzonego badania audytowego, ponieważ weryfikując zgodność z różnymi aktami prawnymi często okazuje się (a szczególnie w przypadku KRI i RODO), że obszary poddane audytowi muszą spełnić wymagania różnych przepisów. Jako przykład może posłużyć proces kontroli dostępu do informacji chronionych w organizacji, w tym do danych osobowych. Poniżej znajduje się lista przykładowych pytań, które mogą znajdować się na liście kontrolnej:
- Czy istnieje Polityka/Procedura/Instrukcja kontroli dostępu logicznego i fizycznego oraz zarządzania prawami dostępu do systemów informatycznych?
- W jaki sposób przyznawane są prawa dostępu do systemów informatycznych?
- Jakie są zasady udzielania dostępu dla administratorów systemu informatycznego?
- Jakie są metody uwierzytelniania dla administratorów systemu informatycznego?
- W jaki sposób przydzielane są hasła użytkownikom systemu informatycznego?
- Czy w organizacji odbywają się przeglądy praw dostępu użytkowników? Kiedy był ostatni przegląd praw użytkowników systemu informatycznego?
- Jakie wdrożono praktyki w zakresie wyboru i używania haseł dostępu do systemu informatycznego?
- Jakie są stosowane zasady kontroli dostępu fizycznego do obszarów bezpiecznych?
- Czy opracowano i wdrożono zasady ochrony fizycznej obszarów, w których przetwarzane są dane osobowe?
Znajdując odpowiedzi na powyższe pytania otrzymujemy informację w jaki sposób organizacja zarządza kontrolą dostępu zarówno do infrastruktury fizycznej służącej do przetwarzania informacji chronionych (np. pomieszczenia biurowe, serwerownie, archiwum), jak i do danych w systemie informatycznym. Postępując podobnie jesteśmy w stanie utworzyć spójną listę kontrolną, przy użyciu której łatwo przeprowadzić analizę spełnienia przez organizację jednocześnie wymagań KRI, RODO, normy ISO/IEC 27001 czy ustawy o krajowym systemie cyberbezpieczeństwa.
Autor: Tomasz Cieślik