Biznes Jak wygląda audyt bezpieczeństwa informacji w urzędzie? Autor: Redakcja Serwisu Data publikacji: 23 maja 2022 Audyty bezpieczeństwa informacji należy przeprowadzać we wszystkich firmach, które na co dzień zajmują się w pewnym stopniu ich przetwarzaniem. Szczególnym przykładem instytucji, w których audyty bezpieczeństwa odgrywają niezwykle ważną rolę są urzędy i instytucje publiczne mające stały dostęp do wrażliwych danych osobowych wielu osób. W ich przypadku audyt, którego celem jest identyfikowanie zagrożeń i przygotowanie odpowiednich dla nich zabezpieczeń może uchronić przed zwiększonym ryzykiem utraty wrażliwych danych personalnych obywateli. Audyt taki jest wymagany prawem. Jak wygląda i kto go przeprowadza? Audyt bezpieczeństwa informacji w urzędzie Audyty bezpieczeństwa w urzędach, instytucjach i organizacjach, w których informacja ma charakter krytyczny będą miały na celu identyfikację zagrożeń dla poufności, integralności i dostępności organizacji. Wykorzystanie zebranych podczas audytu informacji ma przyczynić się do poprawy bezpieczeństwa danych, które w urzędzie dotyczą często bardzo dużej liczby osób. W przypadku urzędów, audyt bezpieczeństwa informacji jest wymogiem prawnym stawianym przez rozporządzenie z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności. Według rozporządzenia, urzędy mają obowiązek zapewnienia okresowego audytu wewnętrznego w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok. Audyt taki ma być przeprowadzony przez inspektora ochrony danych powołanego wewnętrznie przez instytucję lub działającego na zasadzie outsourcingu IOD. Jakie elementy są brane pod uwagę podczas audytu bezpieczeństwa informacji? Audyt ma identyfikować zagrożenia w zakresie poufności, dostępności i integralności informacji przetwarzanych w ramach działalności urzędu. Wymogi prawne mówią o tym, że urząd ma obowiązek opracowania, ustanowienia, wdrożenia, eksploatowania, monitorowania i doskonalenia systemu bezpieczeństwa informacji. Prowadzone audyty bezpieczeństwa informacji pozwalają utrzymać kontrolę nad wprowadzonym systemem bezpieczeństwa i upewnić się, że wszystkie podjęte w ramach niego działania odgrywają właściwą rolę. Podczas audytu bezpieczeństwa informacji, wszystkie działania i zabezpieczenia oceniane są pod kątem: Autentyczności, w ramach której sprawdza się czy pochodzenie i treść informacji przechowywanych i przetwarzanych przez urząd są zgodne ze stanem faktycznym. Sprawdzenie autentyczności powinno umożliwić zlokalizowanie danych, które zostały nieprawidłowo zmienione lub uszkodzone. Rozliczalności. Audyt pozwala przypisać określone działania do osoby fizycznej, która działania takie prowadziła. W szczególności chodzi tu o możliwość zidentyfikowania kto odpowiedzialny jest za określone procesy i przetwarzanie danych oraz w jaki sposób uzyskuje do nich dostęp. Niezaprzeczalności. Audyt bezpieczeństwa informacji może weryfikować, czy osoby które miały być odpowiedzialne za bezpieczeństwo i przetwarzanie danych nie zaniedbały swoich obowiązków lub czy nie przekazały ich na ręce innych, nieuprawnionych do tego osób. Wprowadzone zabezpieczenia powinny umożliwiać pełną weryfikację tego kto i w jakim momencie otrzymuje dostęp do danych. Jak przeprowadza się audyt bezpieczeństwa informacji w urzędzie? Audyty bezpieczeństwa informacji są przeprowadzane w oparciu o odgórnie określone kryteria, które dla urzędów zostały ustalone w § 20 ust. 2 rozporządzenia w sprawie systemów teleinformatycznych. Jeśli zakres audytu miałby zostać rozszerzony, dobrym wyznacznikiem kryteriów dla audytu będzie norma PN-ISO/IEC 27001. W ramach audytu bezpieczeństwa informacji sprawdzana jest infrastruktura IT, aktualny poziom bezpieczeństwa informacji, proces wymiany i ochrony danych osobowych, możliwości techniczne w zakresie przywracania danych po awarii, tworzone kopie zapasowe, dostępne możliwości rozbudowy sprzętu i technologii IT, zarządzanie infrastrukturą IT, a dopiero w końcowym etapie przygotowanie pracowników, którzy o bezpieczeństwo i prawidłowe przetwarzanie danych mają zadbać w ramach pracy urzędu. Bezpieczeństwo informacji jest ściśle uzależnione od bezpieczeństwa nowych technologii informatycznych stosowanych w urzędach. Wraz z ich rozwojem konieczne jest częste i dokładne prowadzenie audytów bezpieczeństwa informacji oraz wnikliwe szacowanie zagrożeń dla integralności, dostępności i poufności danych przetwarzanych przez urzędy. Audyty coraz częściej skupiają się nie tylko na stosowanych zabezpieczeniach, ale i technicznej analizie bezpieczeństwa stosowanych systemów IT. Zatrudnienie zewnętrznego inspektora ochrony danych w formie outsourcingu IOD może zapewnić dostęp do specjalisty zdolnego przygotować kompleksowy, spełniający formalne wymagania i dający najbardziej wnikliwe wyniki analizy audytu bezpieczeństwa informacji w urzędzie czy innej instytucji przetwarzającej duże ilości wrażliwych danych osobowych.
Konrad Możdżeń „Chodź ze mną” – wywiad z autorem Powieść „Chodź ze mną” pozytywnie namieszała w świecie literatury grozy. Przedsprzedaż powieści wypadła znakomicie, …
Bierey, wrocławski następca Webera – o historii kapelmistrza teatralnego z dr Agnieszką Drożdżewską z Instytutu Muzykologii Uniwersytetu Wrocławskiego rozmawia Izabella Starzec