AUDYT BEZPIECZEŃSTWA INFORMACJI - podstawa prawna, zobowiązująca do przeprowadzenia audytu KRI - zakres przeprowadzanego audytu
- kto musi być obecny podczas audytu i jakie informacje należy przygotować
- co w przypadku gdy zostanie stwierdzona nieprawidłowość
- jak wygląda dokumentacja po audycie
punktem wyjścia do określenia czy istotnie Państwa organizacja podlega obowiązkowi przeprowadzania audytu z zakresu bezpieczeństwa informacji w rozumieniu rozporządzenia Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (KRI), będzie zdefiniowanie zakresu obowiązywania stosowanych regulacji oraz pojęcia podmiotu realizującego zadania publiczne.
Krajowe Ramy Interoperacyjności, zgodnie z §3 ust. 1 rozporządzenia określają:
„1) sposoby postępowania podmiotu realizującego zadania publiczne w zakresie doboru środków, metod i standardów wykorzystywanych do ustanowienia, wdrożenia, eksploatacji, monitorowania, przeglądu, utrzymania i udoskonalania systemu teleinformatycznego wykorzystywanego do realizacji zadań tego podmiotu oraz procedur organizacyjnych (…).”
Zgodnie z powyższym wymaganiami opisanymi w KRI objęte są nie tylko podmioty publiczne ale i te, które realizują zadania publiczne. W kontekście zdefiniowana na czym polega realizacja zadań publicznych należy odnieść się do wyroku Naczelnego Sądu Administracyjnego z dnia 28.01.2014 r., w ramach którego skład orzekający określił jak należy traktować pojęcie podmiotu realizującego zadania publiczne właśnie w kontekście jednostki oświatowej prowadzonej przez podmiot prywatny.
Z wyroku wynika, że podmiot prowadzący działalność oświatową realizuje zadanie publiczne w tym zakresie. Załączony link kieruje do pełnej treści wyroku:
Biorąc pod uwagę, przytoczone definicje oraz przepisy, należy przyjąć, że to nie sposób finansowania danego podmiotu a charakter jego działalności ma decydujący wpływ na obowiązki w zakresie wdrożenia wymagań dotyczących systemów informatycznych określonych w rozporządzeniu KRI.
ZAKRES PRZEPROWADZANEGO AUDYTU
Audyt obejmuje swoim zasięgiem obszary związane z bezpieczeństwem informacji a konkretnie środki techniczne i organizacyjne, które dany podmiot stosuje w celu minimalizacji prawdopodobieństwa utraty poufności, dostępności oraz integralności przetwarzanych danych lub skutków w przypadku naruszenia któregokolwiek z poniższych czynników.
KTO MUSI BYĆ OBECNY PODCZAS AUDYTU ORAZ JAKIE INFORMACJE NALEŻY PRZYGOTOWAĆ?
Podczas audytu powinien być obecny kierownik jednostki, jako osoba mająca dostęp do wszystkich zasobów (w tym polityk, zarządzeń i pozostałych regulacji wewnętrznych) oraz osoba, której wiedza techniczna pozwala na odniesienie się do pytań z zakresu stosowanych zabezpieczeń (np. informatyk lub osoba obsługująca jednostkę pod tym kątem)
CO W PRZYPADKU, GDY ZOSTANIE STWIERDZONA NIEPRAWIDŁOWOŚĆ?
Nieprawidłowości czy raczej niezgodności z normą, która stanowią punkt odniesienia dla prowadzonego badania powinny zostać zniwelowane do kolejnego badania. Zgodnie z rozporządzeniem KRI audyt wewnętrzny z zakresu bezpieczeństwa informacji powinien być wykonywany corocznie. Przeprowadzenie takiego audytu, poza wykazaniem podatności, które mogą negatywnie wpłynąć na funkcjonowanie jednostki, jest realizacją obowiązku prawnego oraz jednym z elementów wywiązywania się z zasady rozliczalności w myśl RODO, zgodnie z którą administrator musi móc wykazać, że podjął wszelkie działania pozostające w jego zasięgu, żeby skutecznie zabezpieczyć przetwarzane dane osobowe przed ich utratą, nieuprawnioną modyfikacją lub ujawnieniem.
JAK WYGLĄDA DOKUMENTACJA PO AUDYCIE?
Efektem końcowym przeprowadzonego audytu jest sprawozdanie, które zawiera uporządkowane obszary podlegające sprawdzeniu, określenie co wpływa na spełnienie wymogu, określenie stanu faktycznego oraz ocena czy spełnia on określony wymóg. Ocena dokonywana jest w skali 3-stopniowej: wymóg spełniony, wymóg spełniony częściowo, wymóg niespełniony.
Sprawozdanie kończy się podsumowaniem zawierającym wskazanie obszarów, które uznano, na podstawie stanu faktycznego za niespełniające kryteriów zgodności.
Możemy przeprowadzić taki audyt dla Państwa placówki w kilku wariantach więcej informacji >>