Audyt bezpieczeństwa

Audyt bezpieczeństwa jest zespołem czynności, których celem jest identyfikacja zbiorów danych osobowych podlegających ochronie w rozumieniu ustawy o ochronie danych osobowych oraz krytycznych elementów infrastruktury technicznej i teleinformatycznej, jak również osób mających do nich dostęp. Audyt bezpieczeństwa jak każdy proces składa się z szeregu elementów i jako taki wymaga odpowiedniego i metodycznego podejścia, które można porównać do metodyki zarządzania projektami.

Audyt Bezpieczeństwa
Audyt bezpieczeństwa jest punktem wyjścia do stworzenia Polityki Bezpieczeństwa i objęcia krytycznych zbiorów danych właściwą opieką.

Identyfikacja zbiorów

Właściwe określenie zbiorów danych podlegających ochronie jest niezwykle istotne, bowiem zdarza się, że koncentrujemy uwagę na zbiorach, które wcale nie muszą być przedmiotem ochrony a z drugiej strony może okazać się, że pomijamy te zbiory, które takiej ochrony wymagają, np. zbiory danych osobowych przekazane w tzw. powierzenie – czyli oddane do przetwarzania innym podmiotom. Klasycznym przykładem takiego powierzenia będą dane kadrowe, którymi na co dzień zajmuje się podmiot zewnętrzny.

Zabezpieczenia

W kolejnym etapie zidentyfikowane elementy uznane za istotne z punktu widzenia bezpieczeństwa informacji poddawana są szczegółowej analizie. Analiza ta odbywa się na dwóch płaszczyznach: (1) formalnej i organizacyjnej oraz (2) technicznej.

Zabezpieczenia organizacyjne

Przedmiotem analizy formalnej i organizacyjnej jest ustalenie sposobu przetwarzania posiadanych zbiorów informacji przez poszczególne osoby mające do nich dostęp. W wyniku tej analizy powstają zasady pracy z krytycznymi zbiorami pod kątem ich ochrony. Ustalane są osoby mające do nich dostęp oraz wprowadzane są procedury zabezpieczające w postaci szeregu dokumentów, takich jak oświadczenia, upoważnienia czy instrukcje postępowania.

Zabezpieczenia techniczne

Niezwykle istotne z punktu widzenia pracy z danymi osobowym jest również bezpieczeństwo na poziomie technicznym, a więc sposób zabezpieczenia infrastruktury technicznej – komputerów i oprogramowania przetwarzającego dane, jak również zabezpieczenie miejsc tego przetwarzania (pomieszczeń). Przykładowymi środkami zabezpieczającymi mogą tu być programy antywirusowe, ograniczanie dostępu do danych przez właściwą politykę haseł, szyfrowanie danych, zastosowanie urządzeń podtrzymujących napięcie, jak również materialne środki ograniczające dostępu do pomieszczeń, np. kraty w oknach, drzwi antywłamaniowe, systemy alarmowe itp.

Wyniki audytu

Wyniki audytu bezpieczeństwa są podstawą ustawowo wymaganej Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym, a także innych dokumentów towarzyszących, takich jak: regulaminy, klauzule czy instrukcje stanowiskowe, czyli dokumenty, których zadaniem jest zapewnienie odpowiedniego bezpieczeństwa organizacyjnego.

 

Audyt bezpieczeństwa nie jest działaniem jednorazowym, a na pewno nie powinien nim być. Jest to proces, który należy kontynuować, kontrolować i modyfikować w zależności od okoliczności.