Obowiązki ABI - sprawdzenie planowe w praktyce

Data: 02-11-2015 r.

Prowadzenie sprawdzeń to nowy obowiązek, w związku z tym wielu ABI nie wie jak zabrać się do jego realizacji. Dlatego prezentujemy praktyczne wskazówki do przeprowadzenia sprawdzenia m.in. jak przygotować listę kontrolną, czy jak dokumentować sprawdzenie.

Prowadząc sprawdzenie, ABI powinien mieć na uwadze, że jego celem jest weryfikacja zgodności przetwarzania danych osobowych. Jak więc powinien postąpić, jeżeli w trakcie sprawdzenia uzna, że stosowane zabezpieczenia są zgodne z opisanymi w Polityce bezpieczeństwa, jednak niewystarczające.

ABI może również w trakcie sprawdzenia sprawować nadzór nad opracowaniem i aktualizowaniem dokumentacji. Chodzi w szczególności o Politykę Bezpieczeństwa i Instrukcję zarządzania systemem informatycznym.

Środki techniczne i organizacyjne powinny zapewniać ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W przypadku stwierdzenia niewystarczających zabezpieczeń ABI powinien podjąć niezbędne działania.

Nie każdy ABI ma wiedzę i umiejętności pozwalające mu na samodzielne sprawdzanie zabezpieczeń systemu informatycznego. Jednak w ramach sprawdzenia powinien upewnić się, że zabezpieczenia techniczne zostały prawidłowo dobrane, są monitorowane i testowane.

Dobrą praktyką jest, aby osoba sprawdzająca nie wykonywała powyższych czynności samodzielnie. Zostało to również uwzględnione w rozporządzeniu, zgodnie z którym: „w systemie informatycznym służącym do przetwarzania lub zabezpieczania danych osobowych czynności administratora bezpieczeństwa informacji mogą być wykonywane przy udziale osób upoważnionych do przetwarzania danych osobowych, w szczególności osoby zarządzającej tym systemem”.

Nie oznacza to, że ABI, który ma odpowiednią wiedzę, nie może przeprowadzić testów bezpieczeństwa systemu informatycznego. Powinno to jednak zostać wskazane w planie sprawdzeń, a same czynności muszą być bardzo dokładnie dokumentowane.

Lista kontrolna to proste, często stosowane narzędzie, które pozwala na uporządkowanie informacji zbieranych w trakcie sprawdzenia. Ułatwia pracę prowadzącemu sprawdzenie i zapewnia, że żaden z obszarów nie zostanie pominięty. Lista kontrolna może zawierać pytania, które ABI zada w trakcie sprawdzenia, i powinna być zgodna z określonym w planie sprawdzeń zakresem sprawdzenia.

Przygotowując listę pytań, ABI uwzględni wszystkie wymogi ustawy i rozporządzeń, jak również obowiązki wynikające z wewnętrznej dokumentacji (Polityki Bezpieczeństwa i Instrukcji zarządzania systemem informatycznym).

Dobrą praktyką jest samodzielne przygotowanie listy pytań. Posłużenie się znalezioną gdzieś w Internecie przykładową listą może doprowadzić do sytuacji, gdy ABI nie będzie rozumiał zadanego pytania, co z pewnością zostanie zauważone przez osoby objęte sprawdzeniem.

Efekty sprawdzenia zależą od współpracy z osobami, których czynności podlegają sprawdzeniu, i które będą nam udzielać informacji. Istotne będzie wyjaśnienie im celu sprawdzenia i zwrócenie uwagi, że dążymy do udoskonalenia działania systemu ochrony danych, a nie szukamy osób odpowiedzialnych za nieprawidłowości.

Warto również, by zarząd przekazał taką deklarację kierownikom poszczególnych komórek organizacyjnych. W praktyce spotykamy się z sytuacją, gdy kierownicy instruują pracowników, jakie informacje mają przekazywać audytorom. Doświadczony ABI wychwyci takie sytuacje.

Zgodnie z rozporządzeniem „Administrator bezpieczeństwa informacji dokumentuje czynności przeprowadzone w toku sprawdzenia, w zakresie niezbędnym do oceny zgodności przetwarzania danych osobowych z przepisami o ochronie danych osobowych oraz do opracowania sprawozdania”.

Jarosław Żabówka, trener, wykładowca, wieloletni administrator bezpieczeństwa informacji

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Biznesplan

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

Polecane artykuły

Polecamy kancelarię:

Array ( [docId] => 37958 )
Array ( [docId] => 37958 )

Array ( [docId] => 37958 )