RODO nie obliguje wprost do audytowania systemu IT. Nie znaczy to jednak, że o audycie tym można zapomnieć. Wręcz przeciwnie, jest on zalecany, gdyż powinien pomóc w wyborze adekwatnych środków bezpieczeństwa danych. Sprawdź, dlaczego warto przeprowadzić audyt systemu IT i co powinien on obejmować.
Audyt systemu IT, jak już wskazano nie jest obligatoryjny. Niemniej jednak jego przeprowadzenie jest zalecane w kontekście obowiązku przeprowadzania ogólnej analizy ryzyka. Można sformułować 5 celów audytu. Otóż ma on służyć:
przeanalizowaniu, jakie oprogramowanie wykorzystuje administrator do przetwarzania danych i czy jest to oprogramowanie z ważnymi umowami licencyjnymi;
analizie luk w zabezpieczeniach oprogramowania prowadzących do ryzyka wycieku danych osobowych; chodzi tu nie tyle o luki w oprogramowaniu (wówczas audyt miałby charakter działań z zakresu informatyki śledczej, a to zupełnie inne koszty i zakres prac), ile o wskazanie, co w korzystaniu z oprogramowania można poprawić (np. że należy zmienić funkcję automatycznego tworzenia kopii zapasowej, tak aby kopia ta była tworzona częściej);
ocenie skuteczności stosowanych zabezpieczeń technicznych (np. antywirusów, firewalli, IDS) i ich adekwatności do kategorii i ilości przetwarzanych danych osobowych;
wskazaniu źródeł potencjalnych zagrożeń wycieku danych: brak zabezpieczeń fizycznych serwerów, niewystarczająca kontrola dostępu do infrastruktury sieciowej IT, osoby trzecie mające dostęp do sprzętu i oprogramowania (np. serwisanci), sposób pracy pracownika (np. notoryczne pozostawianie pendrive’a bez opieki na biurku w salonie sprzedaży, gdzie są klienci);
poinformowaniu audytowanego o najlepszych obecnie praktykach IT – zwłaszcza jeżeli ich zastosowanie w danej sytuacji audytor uważa za wysoce wskazane.
Przepisy nie regulują też treści dokumentacji audytowej. Niemniej jednak z uwagi na regułę rozliczalności (art. 5 RODO) oczywiste jest, że przeprowadzenie audytu należy udokumentować np. raportem. Dokument taki może zawierać
opis stanu prawnego obowiązującego u administratora, w tym lista regulacji wewnętrznych wraz z oznaczeniem ich wersji,
opis zastanego stanu faktycznego w zakresie systemów IT,
wnioski po audycie.
W praktyce odpowiednio przeprowadzony audyt powinien objąć nie tylko sam system IT ale także urządzenia ale i sam personel administratora.
|
Zakres przedmiotowy audytu systemu IT |
|
|
Urządzenia i oprogramowanie uczestniczące w obiegu danych osobowych |
komputery stacjonarne i serwery |
|
laptopy |
|
|
nośniki pamięci masowych |
|
|
aparaty fotograficzne |
|
|
drukarki |
|
|
niszczarki |
|
|
Ruch sieciowy |
wyjścia sieciowe (w tym sposób skonfigurowania usług chmurowych, filtracja ruchu przychodzącego) |
|
Konfiguracja usługi katalogowej Active Directory |
|
|
ustawienia polis (polices) |
|
|
uprawnień do zasobów sieciowych |
|
|
weryfikacja tożsamości użytkowników |
|
|
polityka zmiany haseł |
|
|
Systemy bezprzewodowe |
kwestie dotyczące zastosowanego szyfrowania i dostępu gości (np. udostępniania sieci osobom czasowo przebywającym w siedzibie administratora) |
|
Poczta elektroniczna |
ochrona antyphishingowa i antyspamowa |
|
sprawdzenie, na czym polega zastosowanie podwyższonych środków bezpieczeństwa (w przypadku danych szczególnej kategorii) |
|
|
Social engineering |
testy na pracownikach administratora dotyczące ich podatności na oddziaływanie socjologiczne |
|
Sytuacje awaryjne |
zapewnienie ciągłości działania systemów informatycznych, zwłaszcza w kontekście awarii zasilania |
|
wydajność użytkowanego sprzętu, zwłaszcza w przypadku chwilowych obciążeń szczytowych |
|
Jeśli chcesz przeczytać więcej ciekawych artykułów, załóż konto testowe i ciesz się bezpłatnym dostępem do wszystkich treści przez 24h!
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
