Audyt bezpieczeństwa informacji

Kan­ce­la­ria Praw­na Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni prze­pro­wa­dza we współ­pra­cy z Pro­tec­tus Sp. z o.o. Sp.k. (dalej: „Pro­tec­tus”) audy­ty bez­pie­czeń­stwa infor­ma­cji, któ­re słu­żą zwe­ry­fi­ko­wa­niu pozio­mu bez­pie­czeń­stwa sys­te­mów tele­in­for­ma­tycz­nych m.in. u naszych klien­tów z War­sza­wy i Gdań­ska (“audyt bez­pie­czeń­stwa infor­ma­cji War­sza­wa”, “audyt bez­pie­czeń­stwa infor­ma­cji Gdańsk”). W ramach audy­tu bez­pie­czeń­stwa infor­ma­cji bada­my rów­nież ist­nie­nie odpo­wied­nich pro­ce­dur oraz to czy są one prze­strze­ga­ne przez zatrud­nio­nych w fir­mie pra­cow­ni­ków oraz pod­mio­ty z nią współ­pra­cu­ją­ce. 

Spraw­dza­my czy wpro­wa­dzo­ne u klien­tów zabez­pie­cze­nia są zgod­ne zarów­no z pra­wem pol­skim, mię­dzy­na­ro­do­wym oraz wspól­no­to­wym (a w szcze­gól­no­ści roz­po­rzą­dze­niem Par­la­men­tu Euro­pej­skie­go i Rady UE 2016/679 z dnia 27 kwiet­nia 2016 r. w spra­wie ochro­ny osób fizycz­nych w związ­ku z prze­twa­rza­niem danych oso­bo­wych i w spra­wie swo­bod­ne­go prze­pły­wu takich danych oraz uchy­le­nia dyrek­ty­wy 95/46/WE — RODO), jak rów­nież norm ISO.

Celem wyżej wska­za­nych dzia­łań podej­mo­wa­nych w ramach audy­tów bez­pie­czeń­stwa infor­ma­cji jest zabez­pie­cze­nie klien­tów przed wycie­kiem infor­ma­cji (rów­nież takich, któ­re sta­no­wią tajem­ni­cę przed­się­bior­stwa).

Audyt bezpieczeństwa informacji — zakres

Celem audy­tu bez­pie­czeń­stwa infor­ma­cji jest:

  1. ochro­na infor­ma­cji nie­jaw­nych, do któ­rych nale­ży rów­nież tajem­ni­ca przed­się­bior­stwa;
  2. ochro­na danych oso­bo­wych.

Audyt bezpieczeństwa informacji — ochrona informacji niejawnych oraz normy ISO

Nale­ży pod­kre­ślić, iż wśród infor­ma­cji, któ­re mogą zostać bez­praw­nie ujaw­nio­ne mogą zna­leźć się rów­nież infor­ma­cje, któ­rych ujaw­nie­nie mogło­by spo­wo­do­wać dla pro­wa­dzo­nej przez przed­się­bior­cę dzia­łal­no­ści gospo­dar­czej szko­dę – zarów­no mate­rial­ną, jak rów­nież wize­run­ko­wą (np. ujaw­nie­nie tajem­ni­cy przed­się­bior­cy), któ­ra w kon­se­kwen­cji może rów­nież oka­zać się dla fir­my bar­dzo kosz­tow­na (dopro­wa­dze­nie do utra­ty klien­tów). Dla­te­go tak waż­ne jest wdro­że­nie w fir­mach pro­ce­dur orga­ni­za­cyj­nych i tech­nicz­nych celem zapew­nie­nia ochro­ny infor­ma­cji nie­jaw­nych.

Nor­my z zakre­su ochro­ny infor­ma­cji nie­jaw­nych zosta­ły stwo­rzo­ne przez Mię­dzy­na­ro­do­wą Orga­ni­za­cję Nor­ma­li­za­cyj­ną (Inter­na­tio­nal Orga­ni­za­tion for Stan­dar­di­za­tion – ISO). Orga­ni­za­cja ta w swej dzia­łal­no­ści doko­nu­je stan­da­ry­za­cji (ujed­no­li­ce­nia) wszel­kich zasad i norm orga­ni­za­cyj­nych oraz tech­nicz­nych w celu uła­twie­nia wymia­ny usług oraz pro­duk­tów. W ramach pro­wa­dzo­nej przez ISO dzia­łal­no­ści jest two­rze­nie norm mają­cych na celu wspo­ma­ga­nie przed­się­bior­ców w two­rze­niu narzę­dzi do bar­dziej efek­tyw­ne­go oraz bez­piecz­niej­sze­go pro­wa­dze­nia przez nich dzia­łal­no­ści gospo­dar­czej.

Nor­my mię­dzy­na­ro­do­we stan­da­ry­zu­ją­ce sys­te­my zarzą­dza­nia bez­pie­czeń­stwem infor­ma­cji  są zawar­te w stwo­rzo­nym przez ISO doku­men­cie — ISO/IEC 27001. W doku­men­cie tym odno­szą­cym się bez­po­śred­nio do sys­te­mów tele­in­for­ma­tycz­nych przed­się­bior­ca może zna­leźć wska­zów­ki m.in. w jaki spo­sób powi­nien iden­ty­fi­ko­wać zagro­że­nia oraz wpro­wa­dzać zabez­pie­cze­nia, któ­rych celem jest mini­ma­li­za­cja zagro­żeń. 

ISO/IEC 27001 obej­mu­je m.in. takie zagad­nie­nia jak:

  1. poli­ty­ka bez­pie­czeń­stwa;
  2. zarzą­dza­nie sys­te­ma­mi i sie­cia­mi;
  3. kon­tro­la dostę­pu;
  4. zarzą­dza­nie cią­gło­ścią dzia­ła­nia;
  5. zarzą­dza­nie incy­den­ta­mi zwią­za­ny­mi z bez­pie­czeń­stwem infor­ma­cji. 

Audyt bezpieczeństwa informacji — ochrona danych osobowych

Wsku­tek wej­ścia w życie prze­pi­sów RODO fir­my, jak rów­nież pod­mio­ty publicz­ne, zosta­ły zobo­wią­za­ne m. in. do zapew­nie­nia w ramach pro­wa­dzo­nej przez sie­bie dzia­łal­no­ści odpo­wied­nie­go stop­nia bez­pie­czeń­stwa w prze­twa­rza­niu danych oso­bo­wych. Zgod­nie z prze­pi­sa­mi RODO to głów­nie na admi­ni­stra­to­rach oraz pod­mio­tach prze­twa­rza­ją­cych spo­czy­wa cię­żar ich prze­strze­ga­nia.

RODO nało­ży­ło na ww. pod­mio­ty obo­wią­zek wdro­że­nia odpo­wied­nich środ­ków tech­nicz­nych i orga­ni­za­cyj­nych, przy uwzględ­nie­niu przede wszyst­kim sta­nu wie­dzy tech­nicz­nej.

Audyt bezpieczeństwa informacji — informatyzacja 

Pol­ski usta­wo­daw­ca wpro­wa­dził zasa­dy zabez­pie­cza­nia danych, któ­re są prze­twa­rza­ne przez pod­mio­ty publicz­ne. Posta­no­wie­nia te mogą rów­nież sta­no­wić wska­zów­kę dla przed­się­bior­ców jak chro­nić ich uza­sad­nio­ne inte­re­sy poprzez odpo­wied­nie zabez­pie­cze­nie tajem­ni­cy przed­się­bior­stwa oraz wdro­że­nie wewnętrz­nych pro­ce­dur mają­cych na celu ochro­nę przed nie­uczci­wą kon­ku­ren­cją.

Na pod­sta­wie roz­po­rzą­dze­nia Rady Mini­strów z dnia 12 kwiet­nia 2012 r. w spra­wie Kra­jo­wych Ram Inte­ro­pe­ra­cyj­no­ści, mini­mal­nych wyma­gań dla reje­strów publicz­nych i wymia­ny infor­ma­cji w posta­ci elek­tro­nicz­nej oraz mini­mal­nych wyma­gań dla sys­te­mów tele­in­for­ma­tycz­nych (dalej: „Roz­po­rzą­dze­nie”) wpro­wa­dzo­no obo­wią­zek prze­pro­wa­dza­nia audy­tu wewnętrz­ne­go w zakre­sie bez­pie­czeń­stwa infor­ma­cji. Audyt taki winien być prze­pro­wa­dza­ny nie rza­dziej niż raz na rok.

Pod­czas audy­tów spe­cja­li­ści ds. cyber­bez­pie­czeń­stwa wery­fi­ku­ją, czy pod­mio­ty audy­to­wa­ne wdro­ży­ły środ­ki zabez­pie­cza­ją­ce ade­kwat­ne do dzia­łal­no­ści przez sie­bie pro­wa­dzo­nej oraz mają­ce na celu ochro­nę sys­te­mów tele­in­for­ma­tycz­nych.

Sys­te­my tele­in­for­ma­tycz­ne, zgod­nie z Roz­po­rzą­dze­niem powin­ny być:

  1. funk­cjo­nal­ne;
  2. nie­za­wod­ne;
  3. wydaj­ne;
  4. zgod­ne z powszech­ny­mi nor­ma­mi, meto­dy­ka­mi oraz stan­dar­da­mi.

Wszyst­kie ww. cechy sys­te­mu powin­ny być bra­ne pod uwa­gę na eta­pie pro­jek­to­wa­nia, wdra­ża­nia oraz eks­plo­ata­cji. Nad­to, win­ny one być zgod­ne z nor­ma­mi PN-ISO/IEC 20000–1 i PN-ISO/IEC 20000–2.

War­to wska­zać, iż wymo­gi wpro­wa­dzo­ne przez usta­wo­daw­cę obej­mu­ją m.in. takie zagad­nie­nia jak:

  1. obo­wią­zek szy­fro­wa­nia danych;
  2. pro­to­ko­ły komu­ni­ka­cyj­ne;
  3. stan­dar­dy w zakre­sie kodo­wa­nia zna­ków, itp.

Audyt bezpieczeństwa informacji a cyberbezpieczeństwo

Naszym zda­niem każ­dy przed­się­bior­ca winien prze­pro­wa­dzać cyklicz­ny, nie­za­leż­ny audyt w obsza­rach tech­no­lo­gii infor­ma­cyj­nej, aby w spo­sób nale­ży­ty chro­nić infor­ma­cje przez sie­bie prze­twa­rza­ne, tym bar­dziej, że licz­ba cyber­prze­stępstw z roku na rok rośnie, a dzia­ła­nia hake­rów przy­bie­ra­ją coraz bar­dziej wyra­fi­no­wa­ne for­my. Kan­ce­la­ria Praw­na Rad­kie­wicz Adwo­ka­ci i Rad­co­wie Praw­ni we współ­pra­cy z fir­mą Pro­tec­tus chęt­nie Pań­stwu pomo­że w tym zakre­sie, prze­pro­wa­dza­jąc w spo­sób rze­tel­ny i pro­fe­sjo­nal­ny w Pań­stwa fir­mie audyt bez­pie­czeń­stwa infor­ma­cji.

Powrót do pod­stro­ny Cyber­bez­pie­czeń­stwo