Czynności audytowe oraz zakres badania bezpieczeństwa

Charakterystyka organizacji: 
•    nazwa organizacji,
•    nazwa komórek organizacyjnych zlokalizowanych w obiekcie oraz charakter realizowanych przez nie zadań w zakresie istotnym dla ochrony danych osobowych,
•    charakterystyka zatrudnienia,
•    opis obiektu i jego otoczenia,
•    podmioty na terenie obiektu (budynku),
•    charakterystyka budynku i obszaru przetwarzania danych osobowych.

Sprawdzenie dokumentacji:

  • Czy została opracowana polityka bezpieczeństwa oraz instrukcja zarządzania systemami informatycznymi?
  • Czy oba dokumenty są zgodne z obowiązującymi przepisami?
  • Czy osoby dopuszczone do przetwarzania danych osobowych otrzymały pisemne upoważnienia (na tym etapie sprawdza się tylko, czy administrator wystawia takie upoważnienia i czy ich wzór jest zgodny z przyjętym i obowiązującym w organizacji)?
  • Czy wszystkie osoby, które mają dostęp do danych osobowych, zostały zapoznane z przepisami oraz wewnętrznymi dokumentami z zakresu ochrony danych osobowych (administrator powinien mieć ich oświadczenia w tym zakresie)?
  • Czy prowadzona jest ewidencja upoważnień?
  • Czy ewidencja jest zgodna z posiadanymi upoważnieniami?

Ocena czynników zewnętrznych mających wpływ na przetwarzane dane osobowe:

  • zagrożenia ze strony grup przestępczych i osób wyłudzających dane osobowe itp. w danym rejonie,
  • zagrożenia ze strony konkurencyjnych firm,
  • zagrożenia naturalne (np. katastrofy, wypadki w bezpośrednim sąsiedztwie jednostki organizacyjnej, częste awarie linii energetycznych itp.),
  • uwarunkowania geopolityczne (np. zagrożenia rozruchami w związku z niepokojami społecznymi w danym rejonie, położenie w dużym mieście, sąsiedztwo innych budynków i instytucji).

Sprawdzenie czynników wewnętrznych mających wpływ na przetwarzane dane osobowe:

  • charakter działalności i wielkość organizacji,
  • liczba pracowników, w tym osób posiadających dostęp do przetwarzanych danych osobowych,
  • liczba przetwarzanych baz danych osobowych,
  • system zabezpieczeń fizycznych,
  • jakość personelu odpowiedzialnego za ochronę danych osobowych (wykwalifikowana kadra, ograniczenie rotacji pracowników),
  • organizacja systemu ochrony danych osobowych (nieadekwatna struktura organizacyjna, nieefektywny system przepływu informacji),
  • zarządzanie zasobami ludzkimi (niesprawiedliwa praktyka wynagradzania, niskie wynagrodzenia, brak działań motywujących pracowników),
  • naruszenia obowiązujących przepisów z zakresu ochrony danych osobowych,
  • nieprzestrzeganie przez pracowników jednostki, pracowników ochrony, osoby z zewnątrz (np. interesantów) obowiązujących instrukcji i zarządzeń porządkowych (np. przeciwpożarowych, gospodarki kluczami do pomieszczeń),
  • potencjalne obejścia procedur kontrolnych, naruszenia prawa lub regulacji wewnętrznych.

 

Opis stref i obszarów przetwarzania danych osobowych:

  • określenie i wskazanie miejsc oraz obszarów jednostki, w których są przetwarzane lub przechowywane dane osobowe, ze szczególnym uwzględnieniem systemów teleinformatycznych wykorzystywanych w tym procesie (serwerownia, miejsca przechowywania kopii zapasowych, liczba i rozmieszczenie stanowisk komputerowych) oraz archiwów zakładowych i składów akt poszczególnych komórek organizacyjnych.

Procedury przebywania w strefach oraz obszarach przetwarzania danych osobowych oraz dostępu do systemów komputerowych:

  • procedury dostępu do miejsca i obszarów przetwarzania lub przechowywania danych osobowych (system pobierania kluczy do pomieszczeń, system kontroli dostępu),
  • nadawanie i odbieranie uprawnień do dostępu do obszarów przetwarzania danych osobowych,
  • ustalenie, do jakich zbiorów danych i w jakim zakresie mają dostęp pracownicy i czy otrzymali odpowiednie upoważnienia,
  • ustalenie, czy osoby, które nie powinny mieć już prawa do dostępu do danych osobowych (np. byli pracownicy), mają odwołane upoważnienia,
  • loginy i hasła do systemów informatycznych do przetwarzania danych osobowych.

Procedury zarządzania kluczami i kodami do szaf, pomieszczeń oraz obszarów, w których są przetwarzane dane osobowe:

  • klucze użytku bieżącego oraz klucze zapasowe,
  • kody do urządzeń do przechowywania danych osobowych.

Procedury reagowania osób odpowiedzialnych za ochronę i przetwarzanie danych osobowych oraz personelu bezpieczeństwa w przypadku zagrożenia utratą lub ujawnieniem danych:

  • obowiązki administratora bezpieczeństwa informacji,
  • obowiązki administratora systemu informatycznego,
  • obowiązki osób przetwarzających dane osobowe w zakresie posiadanych upoważnień, procesorów.

Sprawdzenie bezpieczeństwa teleinformatycznego:

  • Sprawdzenie zasad nadawania/zmieniania/odbierania uprawnień do systemów informatycznych.
  • Czy przestrzegane są zasady rozpoczęcia i zakończenia pracy w systemie?
  • Czy pracownicy blokują system podczas opuszczenia stanowiska pracy w trakcie dnia pracy?
  • Czy osoby dopuszczone do pracy w systemie mają odpowiednie upoważnienia?
  • Czy stosuje się identyfikatory i hasła dla użytkowników zgodnie z wymogami formalnymi?
  • Czy systemy informatyczne służące do przetwarzania danych osobowych zapewniają odpowiedni poziom ochrony przed osobami trzecimi?
  • Czy sam sprzęt komputerowy jest odpowiednio zabezpieczony systemowo i fizycznie (np. przed wyniesieniem)?
  • Czy tworzone są kopie zapasowe i czy umożliwiają odzyskanie danych?
  • Czy systemy służące do przetwarzania danych osobowych odnotowują wszelkie czynności wykonywane przez użytkowników na danych osobowych?
  • Czy pracownicy niszczą dane wygenerowane z systemów, gdy są już niepotrzebne?
  • Przeprowadzenie wywiadów z pracownikami, by porównać teorię z praktyką.

Sprawdzanie stanu faktycznego na podstawie obserwacji oraz wywiadów z pracownikami:

  • Czy w praktyce stosowane są zasady określone w polityce bezpieczeństwa?
  • Sprawdzenie ustawień sprzętu komputerowego w pomieszczeniach – czy uniemożliwia dostęp do ekranu monitorów osobom postronnym?
  • Czy dokumenty zawierające dane osobowe są odpowiednio zabezpieczone (czy są przechowywane w sposób uniemożliwiający dostęp do nich osobom nieupoważnionym)?
  • Czy pracownicy przestrzegają procedur związanych z zabezpieczeniem danych w trakcie pracy (na podstawie obserwacji oraz rozmów z nimi)?
     
  • Uwaga: Należy zadawać pytania, ale nie komentować, nie krytykować, nie zwracać uwagi na złe zachowania.
  • Czy niepotrzebne dokumenty są we właściwy sposób niszczone?
  • Czy wszystkie dane są przetwarzane legalnie, czyli czy został spełniony jeden z warunków postawionych w art. 23 ust. 1 ustawy?
  • Czy wypełniono należycie obowiązek informacyjny wynikający z art. 24 ustawy?
  • Czy respektowane są prawa osób, których dane są przetwarzane?

Postępowanie z danymi osobowymi w sytuacjach kryzysowych lub awaryjnych:

  • Czy są ustalone plany postępowania w przypadku sytuacji kryzysowych?
  • Czy są ustalone plany postępowania w przypadku stanów nadzwyczajnych?