Audyt Bezpieczeństwa informatycznego daje pełną wiedzę:

 

  •     o wykorzystywanym w Twojej firmie oprogramowaniu/systemach i ich wzajemnej korelacji,
  •     lukach w jego zabezpieczeniach,
  •     skuteczności i efektywności stosowanych zabezpieczeń technicznych,
  •     potencjalnych zagrożeniach wycieku danych/zagrożeniach wynikających z umów z dostawcami usług IT (serwery/poczty elektroniczne etc.) oraz
  •     o najlepszych dla Twojej firmy rozwiązaniach IT i sposobie pracy poszczególnych użytkowników systemów.

 

Po wejściu w życie RODO informacje te będą szczególnie istotne. To na nich bowiem oparta jest w świecie dzisiejszej komputeryzacji idea ochrony nas i naszych danych. Jednym słowem naszego bezpieczeństwa w sieci. Analiza wyników audytu daje odpowiedź na pytanie jakie kroki podjąć by zapewnić odpowiednie zabezpieczenie danych osobowych, jakie i z czym związane ryzyka należy zminimalizować. Progres na płaszczyźnie technologii IT wymaga okresowych check-up’ów dostosowujących poziom bezpieczeństwa do aktualnego stopnia możliwości IT.

Audyt zgodności ODO tj. należytej ochrony i procedowania/administrowania danymi osobowymi

 

Niniejszy audyt jest pierwszym etapem wdrożenia RODO w organizacji. By móc je wdrożyć poprawnie zespół Kancelarii i Spółki pracujący nad wdrożeniem musi dokładnie zbadać procedury obowiązujące w danym podmiocie. Szczegółowej analizie poddawana jest istniejąca dokumentacja. Sprawdzane jest jak dane są administrowane, czy przedmiotowe procedury są odpowiednio opisane tj. czy
w organizacji w ogóle funkcjonuje Polityka Bezpieczeństwa Informacji – kluczowy dokument w świetle obowiązujących obecnie przepisów, czy jest to tylko „intuicyjne dbanie” o dane osobowe pracowników, klientów, wykonawców etc. Identyfikacji podlegają zbiory danych osobowych, opis ich struktury, oceniana jest adekwatność zakresu danych osobowych przetwarzanych w tych zbiorach w stosunku do celu ich przetwarzania wraz ze wskazaniem programów zastosowanych do przetwarzania danych, przeprowadzana jest analiza bezpieczeństwa fizycznego pomieszczeń, budynków, w których przetwarzane są dane, bezpieczeństwo osobowe tj. kto, gdzie, w jakich okolicznościach ma prawo do korzystania z tych pomieszczeń, jakie są procedury nadawania uprawnień, uzyskiwania kodów dostępu, sposoby zabezpieczeń fizycznych (szafy pancerne, serwerownie, szafki z kluczami etc.).

An tym etapie analizowane są środki techniczne i organizacyjne pod względem zapewnienia:

  -  poufności,

  - integralności,

  - rozliczności przy przetwarzaniu danych;

W dalszej części analizowany jest sposób przepływu (ekstrakcji) danych pomiędzy systemami, w przypadku przetwarzania danych w kilku systemach, co jest jednoczesnym wstępem do kolejnego etapu wdrożenia czyli audytu bezpieczeństwa informatycznego (IT).

W przypadku braku jakiejkolwiek dokumentacji dotyczącej ochrony danych osobowych tworzymy ją jako integralną część wdrożenia. Ponieważ RODO nie definiuje samo w sobie dokumentacji, Polityka Bezpieczeństwa Informacji oraz Instrukcja Zarządzania Systemem Informatycznym, jako takie tracą moc. Ale tylko nomenklaturalną. Wszystko to, co jest ich przedmiotem i tak musi zostać opisane w ramach nowego Rozporządzenia. Proszę pamiętać, że mimo iż RODO nie nazywa dokumentów w kształcie obecnie obowiązującym – oba wskazane dokumenty mają niezwykle praktyczny wymiar. Ich ideą i celem jest bowiem opisanie wszystkich procedur dotyczących ochrony i bezpieczeństwa danych osobowych jakie obowiązuję, czy też w wymiarze teoretycznym powinny obowiązywać w danym podmiocie, a więc co do zasady, powinny odpowiadać na wszystkie istotne pytania dotyczące administrowania danymi: kto? jak? na jakiej podstawie?

Audyt zakończony jest rekomendacjami lub raportem poaudytowym (w zależności od wyboru Klienta). Rekomendacje to wskazanie jakich zmian należy dokonać by administrowanie danymi osobowymi w organizacji było zgodne z obowiązującymi przepisami, zarówno obecnie, jak i od 25 maja 2018r.

 

 Audyt Bezpieczeństwa Danych Osobowych

Audyt Bezpieczeństwa Informacji

By móc skutecznie i profesjonalnie wprowadzać zmiany i aktualizować wdrożone już rozwiązania całość należy odpowiednio udokumentować. Dokumentacja, poza oczywiście koniecznością jej posiadania w razie ewentualnej kontroli, daje znakomity punkt odniesienia, pozwala wprowadzać zmiany i skutecznie śledzić je, a tym samym eliminować zbędne elementy.

 

Mało który przedsiębiorca zdaje sobie sprawę z doniosłości systemowej całej struktur ochrony danych osobowych w swojej firmie. To od niej się zaczyna, a wdrożona szybko wkracza na kolejne płaszczyzny funkcjonowania przedsiębiorstwa np. zdanie sobie sprawy z łatwości przepływu danych, ich dostępności „dla każdego” jeżeli nie wdroży się odpowiednich modeli zarządzania nimi, a za tym często idzie kolejna łatwość w postaci uzyskania informacji w zakresie tajemnic przedsiębiorstwa, informacji handlowych czy jego struktury. Polityka bezpieczeństwa w firmach to firma, wiedza o niej, pracownicy, ich zachowania, lojalność i wszystko to, co na co dzień stanowi o jej funkcjonowaniu. Jej brak w dzisiejszym świecie „łatwo” może przynieść odwrotny efekt, a sukces przemienić w porażkę bo prowadzi do tego droga oparta między innymi na tych samych fundamentach: tajemnica, ludzie, struktura, wiedza. Nienależycie zarządzana, prędzej czy później przyniesie negatywny rezultat.

Strona przedmiotowa audytu:

 

    Analiza i wykrycie zagrożeń lub potencjalnych zagrożeń związanych z nienależytą migracją danych lub ich utratą;

    Analiza bezpieczeństwa systemu poczty elektronicznej.

    Analiza bezpieczeństwa wewnętrznych systemów ekstrakcji/przepływu danych np. systemów zamówień, systemów sprzedaży etc.

    Analiza zabezpieczeń sieci Wi-Fi.

    Testy socjotechniczne weryfikujące fizyczne i techniczne środki zabezpieczeń.

    Testy sprawdzające stabilność i dostępność działania systemów.

    Weryfikacja krytycznych aplikacji www.

    Opracowanie instrukcji zarządzania systemem informatycznym lub na życzenie Klienta Polityki zarządzania systemem bezpieczeństwem informacji.

    Opracowanie dokumentacji dotyczącej zabezpieczeń systemu zarządzania bezpieczeństwem informacji.

 

Audyt zakończony jest raportem definiującym poziom bezpieczeństwa informatycznego w Państwa firmie. Opisany w nim stan faktyczny daje odniesienie na linii „jak jest – jak powinno być”, określa skalę ryzyka i sposób jego minimalizacji poprzez nasze rekomendacje dotyczące ochrony danych osobowych. Implementowanie ich jest zależne od Klienta, niemniej jednak uzyskane w drodze audytu informacje pozwolą na wprowadzenie konkretnych zmian w infrastrukturze informatycznej w przedsiębiorstwie.

 

Dlaczego to Audyt Bezpieczeństwa Informacji sp. z o.o. powinna być tym podmiotem, który powinien przeprowadzić audyt?

 

Jako jedni z nielicznych jesteśmy podmiotem powiązanym a nasza działalność to PRAWO. IT. BEZPIECZEŃSTWO. Mało który podmiot z branży analizuje np. ekstrakcję danych pod kątem zarówno informatycznym jak i prawnym. My tak. Punktem krytycznym RODO jest odpowiedzialność. Jej refleksem odpowiedzialność przedsiębiorcy za dane. Nie wystarczy tylko wiedzieć jaki przepływ mają dane, ale również jaką drogę i na czyim „terenie” ją pokonują. Czy Cloud jest bezpieczny, administrator serwera czy właściciel/licencjodawca oprogramowania w podpisanej z nami umowie bierze na siebie należytą odpowiedzialność za nasze dane? Gdzie jest serwer? Czy dane migrują za granicę? Odpowiadamy na te i dziesiątki innych pytań bo stawiając na jakość wykonujemy powierzone nam zadania kompleksowo.

 

Audyt zgodności i wdrożenie RODO

 

Jest to ostatni etap wdrożenia RODO w organizacji. W jego ramach, na podstawie konkluzji etapów poprzednich, przeprowadzana jest kompleksowa weryfikacja zbiorów i procesów przetwarzania danych w organizacji, konwalidacja dotychczasowej dokumentacji w zakresie ochrony danych osobowych, weryfikacja podmiotów przetwarzających, którym powierzane są dane osobowe (weryfikacja umów/porozumień z podmiotami zewnętrznymi). Przeprowadzana jest analizy ryzyka osobowego, fizycznego i informatycznego - systemów teleinformatycznych, w których przetwarzane są dane osobowe.

Sprawdzamy i ewentualnie dokonujemy weryfikacji zbiorów i procesów, które będą podlegały obowiązkowi przeprowadzenia oceny skutków naruszenia danych (np. zbiory danych przetwarzanych na dużą skalę; zbiory, w których przetwarzane są dane wrażliwe).

Naszym następnym krokiem jest przeprowadzenie oceny skutków naruszenia danych i wpływu przetwarzania na prawa i wolność osób, których dane dotyczą oraz dokumentacja z przeprowadzonych ocen, określenie wymagań w zakresie wdrożenia środków technicznych i proceduralnych.

Weryfikujemy i określamy dane podlegające pseudonimizacji, a w przypadku konieczności zastosowania pseudonimizacji, określamy sposoby jej stosowania.

Finałem jest kompleksowe opracowanie dokumentacji przetwarzania danych osobowych, zasad i procedur spełniających wymagania Rozporządzenia czyli :

Rejestr czynności przetwarzania danych a w nim m.in.:

  • opis wszystkich procesów i operacji przetwarzania, w tym cel przetwarzania,
  • opis kategorii osób, których dane dotyczą oraz kategorii odbiorców,
  • okresy retencji danych,
  • opis stosowanych środków zabezpieczeń technicznych i organizacyjnych, jakie służą zapewnieniu poufności, integralności, dostępności i rozliczalności danych,
  • procedury postępowania w sytuacji naruszenia ochrony danych osobowych, w tym procedura zgłaszania incydentów do organu nadzorczego ochrony danych osobowych (Prezesa Urzędu Ochrony Danych Osobowych) oraz procedura powiadamiania osób, których naruszenie dotyczyło,
  • opis środków zapewniających zdolność do ciągłego utrzymania odporności systemów i usług przetwarzania danych na zagrożenia,
  • procedury zapewniające ciągłość działania,
  • procedury testowania, mierzenia i oceny skuteczności stosowanych środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania danych,

opis środków zapewniających rozliczalność, w tym:

  • określenie uprawnień użytkowników w systemach teleinformatycznych,
  • określenie zasad uwierzytelnienia użytkowników,
  • rejestrowanie zdarzeń,
  • rejestrowanie działań administratorów i użytkowników.

 

Tym samym, dokonując powyższych czynności możecie być Państwo pewni, że jesteście bezpieczni w zakresie procedur ochrony danych osobowych, a RODO jest wdrożone w należyty sposób.

Pragnę na zakończenie zwrócić Państwa uwagę, że RODO to nowy wymiar ochrony danych. Nowum powoduje, że nie ma uniwersalnej recepty na RODO. Nasza praca, której efektem jest RODO w organizacji (u Klienta) oparta jest na przepisach i procedurach zapisanych w Rozporządzeniu Ogólnym UE. Brak jest jeszcze „kodeksu dobrych praktyk”, kompleksowych wytycznych GIODO, komentarzy do poszczególnych instytucji prawnych rozporządzenia, a wytyczne Grupy Roboczej 29 nie odpowiadają na wszystkie pytania, z jakimi na co dzień spotykamy się wdrażając i przeprowadzając audyty. My, jako podmiot profesjonalny oczywiście śledzimy na bieżąco zmiany, ich kierunek, wskazówki Urzędu, śledzimy literaturę naukową w zakresie ochrony danych osobowych, czy też sami ją piszemy. Analizując praktykę, na pewno zajmie to jakiś czas obu stronom tj. administratorom i urzędowym kontrolerom zanim uzyskamy odpowiedź na wiele pytań, a przede wszystkim co to znaczy dobrze wdrożyć? Odpowiedzią będzie „kodeks dobrych praktyk”.

Tagi: RODO szkolenie Wrocław, Szkolenie ochrona danych Wrocław, Szkolenie ochrona danych Legnica, audyt bezpieczeństwa danych osobowych

Logo audyt bezpieczeństwa informacji

Audyt Bezpieczeństwa Informacji © 2018

Polityka Prywatności