Audyt bezpieczeństwa informacji

Przeprowadzamy audyty bezpieczeństwa informacji celem zweryfikowania u naszych klientów poziomu bezpieczeństwa (procedur oraz ich praktycznego wykonywania, również w systemach teleinformatycznych). Sprawdzamy, czy istniejące zabezpieczenia spełniają wymagania norm ISO oraz rozporządzenia Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych – RODO) celem zabezpieczenia klientów przed możliwością wycieku informacji (a w tym informacji stanowiących tajemnicę przedsiębiorstwa).

Zakres audytu bezpieczeństwa informacji

Audyt bezpieczeństwa informacji obejmuje następujące obszary:

  1. ochronę informacji niejawnych (tzw. tajemnica przedsiębiorstwa itp.);
  2. ochronę danych osobowych;
  3. informatyzację działalności podmiotów realizujących zadania publiczne.

Ochrona informacji niejawnych – normy ISO

Zarówno na gruncie ustawodawstwa krajowego, jak również międzynarodowego, w tym unijnego brakuje unormowań, jakie winien przestrzegać przedsiębiorca celem uniknięcia wycieku informacji przez siebie przetwarzanych, a w tym informacji mających charakter tajemnicy przedsiębiorstwa, których ujawnienie mogłoby spowodować szkody dla prowadzonej przez niego działalności.

Z pomocą przychodzi jednak Międzynarodowa Organizacja Normalizacyjna (International Organization of Standardization – ISO), której głównym zakresem działalności jest standaryzacja (ujednolicenie) wszelkich rozwiązań technicznych oraz organizacyjnych celem ułatwienia wymiany usług oraz produktów. Organizacja ta tworzy normy, które w swych założeniach mają pomagać w tworzeniu narzędzi do bardziej efektywnego i bezpieczniejszego prowadzenia działalności gospodarczej.

Na gruncie systemów teleinformatycznych jedną z nich jest ISO/IEC 27001. Dzięki niej przedsiębiorca może m. in.:

  1. identyfikować zagrożenia;
  2. wprowadzać zabezpieczenia celem minimalizacji zagrożeń;
  3. zdobyć zaufanie swych kontrahentów;
  4. spełniać wymogi przetargowe.

Ochrona danych osobowych – wymagania wprowadzone w RODO

Przedsiębiorcy oraz podmioty publiczne na gruncie przepisów RODO zostali zobowiązani do wdrożenia tzw. odpowiedniego stopnia bezpieczeństwa w przetwarzaniu danych osobowych. To na administratorach i podmiotach przetwarzających spoczywa zatem ciężar przestrzegania przepisów związanych z ochroną danych osobowych.

Do jednego z podstawowych obowiązków administratora danych osobowych jest wdrażanie odpowiednich środków technicznych i organizacyjnych. Jak wyjaśniono w przepisach RODO przedsiębiorcy winni brać pod uwagę m. in. stan wiedzy technicznej oraz koszt ich wdrażania.

Informatyzacja działalności podmiotów realizujących zadania publiczne

Polski ustawodawca uregulował zasady zabezpieczeń wszelkich danych i informacji przetwarzanych przez podmioty publiczne. Również przedsiębiorcy nie posiadający statusu podmiotów publicznych mogą jednak korzystać ze standardów zaproponowanych przez ustawodawcę celem ochrony swych uzasadnionych interesów (np. zabezpieczenie tajemnicy przedsiębiorstwa, ochrona przed nieuczciwą konkurencją itp.).

Zgodnie z rozporządzeniem Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (dalej: „Rozporządzenie”) istnieje obowiązek przeprowadzania audytu wewnętrznego w zakresie bezpieczeństwa informacji – nie rzadziej niż raz na rok.

Jednym z celów przeprowadzania audytów jest sprawdzenie czy podmioty wdrożyły odpowiednie środki zabezpieczające oraz systemy teleinformatyczne. Zgodnie z rozporządzeniem systemy takie winny – od etapu projektowania, poprzez wdrażanie po ich eksploatację – brać pod uwagę ich funkcjonalność, niezawodność, wydajność czy zgodność z powszechnymi normami, standardami i metodykami. Co więcej, wymagania takie są uznawane za spełnione, gdy działania, o których mowa powyżej odbywają się z uwzględnieniem norm PN-ISO/IEC 20000-1 i PN-ISO/IEC 20000-2.

Ustawodawca wprowadza również m. in.

  1. wymogi szyfrowania;
  2. wymóg wprowadzania protokołów komunikacyjnych;
  3. standardy kodowania znaków;
  4. formaty udostępniania zasobów informacyjnych, itp.

Podsumowanie

Każdy przedsiębiorca dbający o interes prowadzonej przez siebie działalności winien przeprowadzać systematyczny, niezależny audyt w obszarach technologii informacyjnej, zaś osoby odpowiedzialne za ich przeprowadzanie powinny posiadać odpowiednie kwalifikacje. Audyty takie muszą być przeprowadzane z wykorzystaniem standardów międzynarodowych i dobrych praktyk.

Artykuł dotyczący audytu bezpieczeństwa informacji:

 

Masz pytania lub wątpliwości?

Zadzwoń

801 50 10 50