68
BEZPIECZNA FIRMA
HAKIN9 11/2009
W
słowniku języka polskiego nie
znajdziemy pojęcia audytu. W
literaturze przedmiotu możemy
znaleźć różne określenia. Jedni definiują
audyt, jako ocenę danej osoby, organizacji,
systemu, procesu lub produktu w oparciu o
przeprowadzone testy. Według drugich, audyt
to ocena przez kompetentny i niezależny
zespół audytujący, czy dany przedmiot audytu
spełnia wymagania. Jeszcze inni określają
audyt jako niezależną, obiektywną doradczą
działalność, której celem jest dodanie wartości
i ulepszanie operacji danej organizacji poprzez
wprowadzenie systematycznego podejścia do
oceny i podwyższania skuteczności procesów
zarządzania ryzykiem, procesów kontroli i
nadzoru. Krótko mówiąc audyt to sprawdzenie
zgodności.
Natomiast kontrola, to zgodnie ze
słownikiem języka polskiego, porównywanie
stanu faktycznego ze stanem wymaganym
lub ze stanem założonym (wzorcem).
Według innych, kontrola to ustalenie stanu
obowiązującego (wyznaczeń), ustalenie
stanu rzeczywistego (wykonań), porównanie
wykonań z wyznaczeniami w celu stwierdzenia
ich zgodności lub niezgodności, wyjaśnianie
przyczyn stwierdzonych różnic między
wykonaniami i wyznaczeniami.
Skoro znamy już pojęcie audytu i kontroli
oraz różnice pomiędzy nimi, to możemy przejść
do audytu i kontroli danych osobowych.
ANDRZEJ GUZIK
Z ARTYKUŁU
DOWIESZ SIĘ
co to jest audyt i kontrola,
poznasz rodzaje audytu
i kontroli oraz standardy,
wytyczne oraz metodyki audytu
i kontroli danych osobowych.
CO POWINIENEŚ
WIEDZIEĆ
znać podstawowe zasady
ochrony danych osobowych.
Ochrona danych osobowych
Dane osobowe w rozumieniu ustawy o
ochronie danych osobowych są to wszelkie
informacje dotyczące zidentyfikowanej lub
możliwej do zidentyfikowania osoby fizycznej.
Natomiast pod pojęciem bezpieczeństwa
danych osobowych należy rozumieć ochronę
poufności, rozliczalności i integralności danych
osobowych bez względu na sposób ich
przetwarzania, tradycyjny (manualny), czy też
w systemie informatycznym. Bezpieczeństwo
danych osobowych należy zapewnić przed
rozpoczęciem oraz w trakcie przetwarzania
danych osobowych. Obowiązek ochrony danych
osobowych spoczywa na administratorze
danych. Administratorem danych w rozumieniu
ustawy jest organ, jednostka organizacyjna,
podmiot lub osoba, decydująca o celach i
środkach przetwarzania danych osobowych.
Zgodnie z art. 36 ust. 1 ustawy, administrator
danych jest obowiązany zastosować środki
techniczne i organizacyjne zapewniające
ochronę danych osobowych odpowiednią
do zagrożeń oraz kategorii danych objętych
ochroną. Przepisy ustawy enumeratywnie
wskazują zagrożenia związane z przetwarzaniem
danych osobowych. Dane osobowe należy
zabezpieczyć przed ich udostępnieniem
osobom nieupoważnionym, zabraniem
przez osobę uprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą, utratą,
uszkodzeniem lub zniszczeniem. W celu
Stopień trudności
Audyt a kontrola
danych
osobowych
Kontrola danych osobowych najczęściej kojarzy się z kontrolą
wykonywaną przez inspektorów GIODO. Jest to tylko jedna
z wielu możliwych rodzajów kontroli. Zwykle dotyczy ona
zgodności przetwarzania danych osobowych z przepisami
o ochronie danych osobowych
69
AUDYT A KONTROLA DANYCH OSOBOWYCH
HAKIN9
11/2009
nadzorowania przestrzegania zasad
ochrony danych osobowych w
organizacji wyznacza się administratora
bezpieczeństwa informacji (ABI). ABI
odpowiada między innymi za: nadzór nad
zakresem dostępu osób upoważnionych
do przetwarzania danych osobowych,
nadzór nad sposobem przetwarzania
danych osobowych w systemach
informatycznych, za kontrolę zgodności
systemu informatycznego z wymaganiami
określonymi w przepisach prawa oraz
za reakcję na incydenty naruszenia
bezpieczeństwa danych osobowych.
Audyt danych osobowych
W praktyce najczęściej możemy spotkać
się z audytami zgodności przetwarzania
danych osobowych z przepisami
ustawy o ochronie danych osobowych.
Oprócz ww. audytu firmy komercyjne
oferują usługi audytu informatycznego,
audytu bezpieczeństwa (zabezpieczeń)
systemów informatycznych, audytu
bezpieczeństwa danych osobowych,
czy audytu systemu zarządzania
bezpieczeństwem danych osobowych.
Każdorazowo, przed skorzystaniem z takiej
usługi, należy sprawdzić zakres audytu,
stosowaną metodykę oraz kwalifikacje
audytorów i referencje firmy w obszarze
bezpieczeństwa danych osobowych.
Problematyka audytu w
omawianym zakresie nie doczekała
się dotąd regulacji prawnej. Audyty
zgodności przeprowadzane są na
ogół przez firmy audytorskie. Audyt taki
składa się z następujących etapów:
analizy dokumentacji, inwentaryzacji
zbiorów danych osobowych i
systemów informatycznych, w których
przetwarza się dane osobowe,
sprawdzenia wypełniania obowiązków
technicznych i organizacyjnych oraz
sprawdzenia wypełniania obowiązków
formalnoprawnych. Z kolei M. Molski i M.
Łacheta w książce Przewodnik audytora
systemów informatycznych podają inny
zakres audytu zgodności.
Uważne przestudiowanie Rozdziału
5 – Zabezpieczenie danych osobowych
ustawy o ochronie danych osobowych,
rozporządzenia wykonawczego do ustawy
w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków
technicznych i organizacyjnych, jakim
powinny odpowiadać urządzenia i
systemy informatyczne służące do
przetwarzania danych osobowych
oraz listy predefiniowanych środków
technicznych i organizacyjnych (pkt 16
wniosku rejestracyjnego systemu e-
GIODO), pozwala samemu opracować
listę kontrolną (ang. checklist) audytu
zgodności. Zalecenia wynikające z
poszczególnych punktów audytowych
należy zakwalifikować do jednej z klas:
spełnione, nie spełnione, spełnione
częściowo lub nie dotyczy. Przykładowo
dla standardu ISO 17799 lista kontrolna
obejmuje 127 punktów, a dla COBIT 302
punkty.
Przykład listy kontrolnej dla audytu
zgodności z przepisami ustawy o ochronie
danych osobowych zawiera Tabela 3.
Przepisy prawa nakładają na
administratora danych szereg obowiązków.
Administrator danych jest zobowiązany
m. in. zastosować odpowiednie środki
techniczne i organizacyjne, adekwatne
do zagrożeń i kategorii przetwarzanych
Tabela 1.
Różnica pomiędzy audytem a kontrolą
Audyt
Kontrola
Kładzie nacisk na przyczyny
niekorzystnego zjawiska
Reaguje przede wszystkim na objawy
niekorzystnego zjawiska
Może działać zapobiegawczo, wskazując
potencjalne ryzyka
Działa wyłącznie post factum
W dużej mierze niezależny
Ograniczona zakresem upoważnienia
- zależy od woli dającego zlecenie
Nastawiony na usprawnienie działalności Nastawiona na wykrycie sprawcy
nieprawidłowości
Działa na podstawie standardów
zawodowych, a w sektorze publicznym
także przepisów prawa
Działa na podstawie uregulowań
wewnętrznych
Tabela 2.
Zakres audytu zgodności
Lp. Zakres audytu zgodności
1
Inwentaryzacja zbiorów danych osobowych przetwarzanych w jednostce
organizacyjnej (danych klientów, pracowników, powierzonych przez inny podmiot)
2
Weryfikacja celu przetwarzania danych i weryfikacja podstaw prawnych
3
Analiza zasad gromadzenia i uaktualniania danych
4
Sprawdzenie przyjętej polityki bezpieczeństwa przetwarzania danych osobowych
5
Ocena procedur postępowania w sytuacji naruszenia ochrony danych
osobowych
6
Sprawdzenie prawidłowości zarządzania systemem informatycznym
przetwarzającym dane osobowe
7
Weryfikacja wypełnienia wymogów bezpieczeństwa dla systemów
informatycznych przetwarzających dane osobowe
8
Ocena zabezpieczeń obszaru przetwarzania danych osobowych
9
Sprawdzenie działań związanych z polityką szkoleń i dopuszczania osób do
danych osobowych
10 Weryfikacja wypełniania obowiązku informacyjnego (poprawności klauzul
informacyjnych oraz oświadczeń na formularzach do zbierania danych
osobowych)
11
Ocena procedur dotyczących udostępniania danych osobowych
12 Weryfikacja umów związanych z powierzeniem danych innym podmiotom
13 Ocena poprawności wypełniania wniosków do GIODO i ich aktualizacji
Źródło: M. Molski, M. Łacheta, Przewodnik audytora systemów informatycznych, Wydawnictwo Helion, 2007
BEZPIECZNA FIRMA
70
HAKIN9 11/2009
AUDYT A KONTROLA DANYCH OSOBOWYCH
71
HAKIN9
11/2009
danych osobowych. Zastosowane środki
powinny wynikać z analizy zagrożeń
(ryzyk) związanych z przetwarzaniem
danych osobowych oraz z przyjętego
poziomu bezpieczeństwa przetwarzania
danych osobowych w konkretnym
systemie informatycznym. Niezbędne
jest zapewnienie minimalnych środków
bezpieczeństwa dla przyjętego poziomu
bezpieczeństwa (podstawowego,
podwyższonego lub wysokiego) zgodnie
z wymogami określonymi w załączniku do
rozporządzenia wykonawczego do ustawy
o ochronie danych osobowych. Środki
ochrony powinny zapewniać rozliczalność
działań (osób i systemów) związanych z
przetwarzaniem danych osobowych.
W czasie audytu zgodności
sprawdzeniu podlegają zastosowane
przez administratora danych środki
techniczne. Wśród środków technicznych
służących do ochrony danych osobowych
można wymienić m. in. środki: sprzętowe,
programowe (oprogramowanie
systemowe, użytkowe, narzędziowe) oraz
telekomunikacyjne (oprogramowanie
urządzeń teletransmisji). Oprócz środków
technicznych do ochrony danych stosuje
się środki organizacyjne. Wśród środków
organizacyjnych należy wymienić przede
wszystkim: opracowanie i wdrożenie
dokumentacji przetwarzania danych
osobowych, wyznaczenie administratora
bezpieczeństwa informacji, wydanie
upoważnień do przetwarzania danych
osobowych, przydzielenie identyfikatorów,
zorganizowanie przeszkolenia dla osób
zatrudnionych przy przetwarzaniu danych
osobowych, itp.
W celu samodzielnego przygotowania
się administratora danych do takiego
audytu lub ewentualnej kontroli danych
osobowych przez inspektorów GIODO
można skorzystać z opracowania
Stowarzyszenia ISACA (Stowarzyszenie
do spraw audytu i kontroli systemów
informatycznych) Wytycznej zarządzania i
nadzoru nad systemami informatycznymi
pod kątem zgodności z ustawą
o ochronie danych osobowych
– UODO Survival Kit 2.1, dostępnej pod
adresem: https://www.isaca.org.pl/
index.php?m=show&id=247.
Wytyczne te przeznaczone są dla
wszystkich osób zainteresowanych
zapewnieniem zgodności działania
systemów informatycznych z ustawą.
Największym atutem opracowania
jest lista pytań kontrolnych. Polecam
korzystanie z Wytycznych w codziennej
pracy z danymi osobowymi.
Dodatkowo, pomocny może być
również brytyjski podręcznik audytu
ochrony danych (ang. Data Protection
Audit Manual), w którym opisana została
metodologia prowadzenia audytu.
Podręcznik ten jest dostępny na stronie
internetowej: http://www.ico.gov.uk/upload/
documents/library/data_protection/
detailed_specialist_guides/ data_
protection_complete_audit_guide.pdf.
Integralną częścią podręcznika są listy
kontrolne, które mogą stanowić pomoc
przy przeprowadzaniu audytu.
Audyty zgodności wykazują szereg
nieprawidłowości związanych z procesem
przetwarzania danych osobowych. Jak
wynika z praktyki audytorskiej oraz z
ostatniego sprawozdania z działalności
GIODO (za 2007 rok) instytucje nie radzą
sobie z obowiązkiem zabezpieczenia
danych osobowych, wynikającym
z art. 36 – 39 ustawy (Rozdział 5
- Zabezpieczenie danych), w tym z
obowiązkiem prowadzenia dokumentacji
opisującej sposób przetwarzania danych
osobowych oraz zastosowaniem środków
technicznych i organizacyjnych, które
mają zapewnić ochronę przetwarzanych
Nieprawidłowości w zakresie przetwarzania
danych osobowych wynikające z kontroli GIODO
•
nieopracowanie i niewdrożenie polityki bezpieczeństwa danych osobowych
• niedopracowanie i niewdrożenie instrukcji zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych
• dokument polityki bezpieczeństwa danych osobowych nie spełnia wymagań
wynikających z rozporządzenia
• dokument instrukcji zarządzania systemem informatycznym służącym do
przetwarzania danych osobowych nie spełnia wymagań wynikających z
rozporządzenia
• niewyznaczenie administratora bezpieczeństwa informacji
• nienadanie upoważnień osobom dopuszczonym do przetwarzania danych
osobowych
• nieprowadzenie ewidencji osób upoważnionych do przetwarzania danych
osobowych
• niezgłoszenie do rejestracji zbiorów danych osobowych
• rozwiązania organizacyjne i techniczne nie zapewniają ochrony przetwarzanych
danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych
ochroną
• systemy informatyczne służące do przetwarzania danych osobowych nie spełniają
wymogów o charakterze technicznym
• niezapewnienie mechanizmów kontroli dostępu do danych osobowych
• niedopełnienie wobec osób, których dane dotyczą obowiązku informacyjnego
wynikającego z art. 24 ust. 1 ustawy o ochronie danych osobowych
• niewykonywanie kopii zapasowych zbiorów danych oraz programów służących do
przetwarzania danych osobowych
• zbieranie danych osobowych pracowników w szerszym zakresie, niż to wynika
Rysunek 1.
Różnica pomiędzy audytem a kontrolą
���������
�����������
�����
BEZPIECZNA FIRMA
70
HAKIN9 11/2009
AUDYT A KONTROLA DANYCH OSOBOWYCH
71
HAKIN9
11/2009
danych osobowych. Dokumentacja
bezpieczeństwa danych osobowych (na
którą składa się Polityka bezpieczeństwa
danych osobowych oraz Instrukcja
zarządzania systemem informatycznym
służącym do przetwarzania danych
osobowych) opisuje sposób i zasady
przetwarzania danych osobowych u
administratora danych.
Rozporządzenie Ministra Spraw
Wewnętrznych i Administracji z dnia 29
kwietnia 2004 r. w sprawie dokumentacji
przetwarzania danych osobowych oraz
warunków technicznych i organizacyjnych,
jakim powinny odpowiadać urządzenia
i systemy informatyczne służące do
przetwarzania danych osobowych (Dz. U. z
2004 r. Nr 100, poz. 1024) konkretyzuje ten
obowiązek.
Paragraf 4 rozporządzenia
enumeratywnie wylicza, co powinien
zawierać dokument polityki
bezpieczeństwa. Na dokument ten
składają się wykazy i tabele opisujące:
obszar przetwarzania danych osobowych,
zbiory danych osobowych, strukturę
zbiorów danych osobowych, sposób
przepływu danych pomiędzy systemami
informatycznymi oraz środki organizacyjne
i techniczne zapewniające ochronę
przetwarzanych danych osobowych.
Natomiast paragraf 5 rozporządzenia
określa zawartość Instrukcji zarządzania
systemem informatycznym służącym do
przetwarzania danych osobowych. Na
dokument ten składają się procedury
zarządzania systemem informatycznym, w
tym procedury związane z zapewnieniem
bezpieczeństwem danych osobowych.
Dokumentacja przetwarzania danych
osobowych może być pomocna przy
opracowaniu listy kontrolnej do audytu
zgodności.
Od dokumentacji przetwarzania
danych osobowych najczęściej
rozpoczyna się kontrola u administratora
danych.
W praktyce obserwuje się dwie
tendencje albo dokumentacja
opracowana przez administratora danych
jest zbyt lakoniczna, nie zawiera wszystkich
wymaganych informacji, albo jest zbyt
szczegółowa (zawiera za dużo szczegółów
technicznych). Częstym błędem jest
publikacja ww. dokumentacji na stronie
WWW administratora danych w zakładce
BIP (Biuletyn Informacji Publicznej). W
tym miejscu warto zauważyć, że sposób
zabezpieczenia danych osobowych
stanowi tajemnicę administratora danych
i wymaga zachowania poufności. Dostęp
do szczegółów, zgodnie z zasadą
wiedzy koniecznej powinien mieć wąski
krąg osób, tylko osoby uprawnione i
upoważnione.
Z audytu zgodności sporządzane
jest sprawozdanie. Integralną częścią
sprawozdania jest lista niezgodności,
w tym niezgodności krytycznych (o ile
takowe występują). Wartością dodaną
audytu zgodności są rekomendacje, które
zawierają działania korekcyjne (działania
przywracające stan zgodny z prawem)
i działania korygujące (działania, które
mają usunąć przyczyny stwierdzonych
nieprawidłowości).
Kontrola danych osobowych
Problematyka kontroli przetwarzania i
ochrony danych osobowych uregulowana
została w ustawie o ochronie danych
osobowych w sposób ogólny. Ustawa
zawiera stosunkowo niewiele przepisów
z tego zakresu. Kontrola ta może być
realizowana przez różne podmioty.
Najczęściej jednak mamy do czynienia
z kontrolą instytucjonalną, sprawowaną
Podstawowe pojęcia związane z ochroną danych
osobowych
• dane osobowe – wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zidentyfikowania osoby fizycznej,
• administrator danych – organ, jednostka organizacyjna, podmiot lub osoba,
decydująca o celach i środkach przetwarzania danych osobowych,
• administrator bezpieczeństwa informacji – osoba nadzorująca przestrzeganie zasad
ochrony danych osobowych,
• zbiór danych – każdy posiadający strukturę zestaw danych o charakterze osobowym,
dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
rozproszony lub podzielony funkcjonalnie,
• przetwarzanie danych – jakiekolwiek operacje wykonywane na danych osobowych,
takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych,
• system informatyczny – zespół współpracujących ze sobą urządzeń, programów,
procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu
przetwarzania danych,
• zabezpieczenie danych w systemie informatycznym – wdrożenie i eksploatacja
stosownych środków technicznych i organizacyjnych zapewniających ochronę danych
przed ich nieuprawnionym przetwarzaniem,
• hasło – ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie
uprawnionej do pracy w systemie informatycznym,
• identyfikator użytkownika – ciąg znaków literowych, cyfrowych lub innych jednoznacznie
identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie
informatycznym,
• uwierzytelnianie – działanie, którego celem jest weryfikacja deklarowanej tożsamości
podmiotu,
• poufność danych – właściwość zapewniająca, że dane nie są udostępniane
nieupoważnionym podmiotom,
• rozliczalność – właściwość zapewniająca, że działania podmiotu mogą być przypisane
w sposób jednoznaczny tylko temu podmiotowi,
• integralność danych – właściwość zapewniająca, że dane osobowe nie zostały
zmienione lub zniszczone w sposób nieautoryzowany,
• usuwanie danych – zniszczenie danych osobowych lub taka ich modyfikacja, która nie
pozwala na ustalenie tożsamości osoby, której dane dotyczą,
• raport – przygotowane przez system informatyczny zestawienia zakresu i treści
przetwarzanych danych,
• teletransmisja – przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej,
• sieć publiczna – publiczna sieć telekomunikacyjna wykorzystywana głównie do
świadczenia publicznie dostępnych usług telekomunikacyjnych.
BEZPIECZNA FIRMA
72
HAKIN9 11/2009
AUDYT A KONTROLA DANYCH OSOBOWYCH
73
HAKIN9
11/2009
Tabela 3.
Lista kontrolna – audyt aplikacji przetwarzających dane osobowe
Lista kontrolna
Audyt aplikacji przetwarzających dane osobowe
Lp.
PYTANIE
TAK NIE ND
1
Czy stanowiska przeznaczone do przetwarzania danych osobowych są oznaczone?
2
Czy ustawienie monitorów jest zgodne z ustawą o ODO?
3
Czy jest ustanowiony ABI?
4
Czy jest ustanowiony ASI?
5
Czy mają zdefiniowane zakresy obowiązków?
6
Czy administrator prowadzi ewidencję osób upoważnionych do dostępu do DO?
7
Czy wszystkie osoby mające dostęp do danych osobowych:
7.1
zostały zapoznane z przepisami o ochronie danych osobowych?
7.2
zostały przeszkolone w zakresie zabezpieczeń systemu informatycznego?
7.3
uzyskały wpis do swojej karty zadań, określający indywidualny zakres odpowiedzialności danej osoby za
ochronę danych osobowych?
7.4
złożyły oświadczenie według wzoru?
8
Czy oświadczenie, o którym mowa w pkt 7.4 zostało dołączone do akt osobowych pracownika?
9
Czy w celu przetwarzania danych osobowych wdrożono odpowiedni poziom zabezpieczeń?
10
Czy zostały podjęte odpowiednie kroki lub zastosowano odpowiednie środki administracyjne ograniczające
możliwość wystąpienia zagrożeń ze strony Internetu (zwłaszcza poczty elektronicznej) w systemach
przetwarzających dane osobowe?
11
Czy w ramach nadzoru nad dostępem użytkowników do systemu informatycznego stosuje się procedurę
przydziału uprawnień?
12
Czy uprawnienia dostępu do systemu informatycznego udzielone są wyłącznie osobom zatrudnionym przy
przetwarzaniu danych osobowych?
13
Czy osoby niezatrudnione a wykonujące doraźne prace mają dostęp do danych osobowych?
14
Czy osoby mające dostęp do danych osobowych zobowiązane są do zachowania danych w tajemnicy,
także po ustaniu zatrudnienia?
15
Czy przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą?
16
Czy administrator danych nie zmienia celu przetwarzania danych?
17
Czy dane przechowywane są w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż
jest to niezbędne do osiągnięcia celu przetwarzania?
18
Czy miało miejsce udostępnienie danych osobom nieupoważnionym?
18.1
umyślne
18.2
nieumyślne
19
Czy w przypadku danych osobowych przechowywanych w postaci zapisu elektronicznego stwierdzono:
19.1
kradzież danych?
19.2
uszkodzenie danych?
19.3
zniszczenie danych?
20
Czy system informatyczny dla każdej osoby, której dane są w nim przetwarzane odnotowuje:
20.1
datę wprowadzenia danych tej osoby
20.2
identyfikator wprowadzającego dane
20.3
informację: komu, kiedy i w jakim zakresie dane zostały udostępnione, jeśli przewidziane jest udostępnianie
danych innym podmiotom, chyba że dane te traktuje się jako dane powszechnie dostępne
20.4
sprzeciw, o którym mowa w art. 32 ust. 1 pkt 7 ustawy o ochronie danych osobowych, po jego
uwzględnieniu, oraz sprzeciwu określonego w ar. 32 ust. 1 pkt 8 tej ustawy
BEZPIECZNA FIRMA
72
HAKIN9 11/2009
AUDYT A KONTROLA DANYCH OSOBOWYCH
73
HAKIN9
11/2009
przez organ ochrony danych osobowych
– Generalnego Inspektora Ochrony
Danych Osobowych (GIODO). Wówczas
celem kontroli jest ustalenie stanu
faktycznego w zakresie przestrzegania
przez podmiot kontrolowany przepisów
o ochronie danych osobowych oraz
udokumentowanie dokonanych ustaleń.
Kontrolę taką przeprowadza zespół
kontrolny składający się najczęściej z
trzech osób (2 prawników i 1 informatyk).
Podczas kontroli przestrzegania przepisów
o ochronie danych osobowych inspektorzy
zwracają szczególną uwagę na przesłanki
legalności przetwarzania danych, które
zostały wymienione w art. 23 ustawy.
Sprawdzeniu podlega również zakres i
cel przetwarzania danych, merytoryczna
poprawność danych i ich adekwatność
do celu przetwarzania. Weryfikacji
podlegają także podstawowe obowiązki
spoczywające na administratorze
danych, a w szczególności wypełnianie
obowiązku informacyjnego, zgłoszenie
zbiorów danych do rejestracji, o ile zbiory
podlegają rejestracji, przesłanki związane
z przekazywaniem danych osobowych
do państwa trzeciego, fakt powierzenia
przetwarzania danych osobowych,
jeśli miał miejsce oraz zabezpieczenie
danych osobowych (zabezpieczenia
organizacyjno-techniczne). Patrz
wykaz zabezpieczeń organizacyjnych i
technicznych (Tabela 7 i 8).
Oprócz zbiorów danych
przetwarzanych manualnie kontroli
podlegają zbiory danych przetwarzane
w systemach informatycznych, w których
przetwarzane są dane osobowe. Kontrola
obejmuje zarówno bezpieczeństwo
fizyczne, jak i bezpieczeństwo
teleinformatyczne danych osobowych.
W ramach bezpieczeństwa fizycznego
danych osobowych sprawdzane jest
zabezpieczenie pomieszczeń, w których
zlokalizowane są urządzenia systemów
informatycznych (serwery i stacje robocze,
urządzenia sieciowe) i nośniki informacji,
na których przechowywane są kopie
zapasowe oraz archiwalne. W ramach
bezpieczeństwa teleinformatycznego
danych osobowych inspektorzy
sprawdzają, czy systemy teleinformatyczne
spełniają wymagania w zakresie
funkcjonalności, tj. odnotowywania przez
system wszystkich zdarzeń wynikających z
rozporządzenia wykonawczego do ustawy
oraz czy zastosowano właściwy poziom
bezpieczeństwa przetwarzania danych
osobowych, adekwatny do kategorii
Tabela 3.
Lista kontrolna – audyt aplikacji przetwarzających dane osobowe
Lista kontrolna
Audyt aplikacji przetwarzających dane osobowe
Lp.
PYTANIE
TAK NIE ND
20.5
źródła pochodzenia danych
21
Czy system informatyczny umożliwia udostępnienie na piśmie, w powszechnie zrozumiałej formie, treści
danych o każdej osobie, której dane są przetwarzane wraz z informacjami, o których mowa w § 31 ODO?
22
Czy system informatyczny przetwarzający dane osobowe jest monitorowany w zakresie zabezpieczeń?
23
Czy istnieje harmonogram monitorowania systemu informatycznego przetwarzającego dane osobowe?
24
Czy ewidencjonowano i analizowano przypadki podejrzenia naruszenia zabezpieczeń systemu
informatycznego?
25
Czy ABI prowadzi rejestr, o którym mowa w ustawie ODO?
26
Czy przeprowadzono kontrolę ABI w zakresie sposobu prowadzenia rejestru, o którym mowa w ustawie ODO?
27
Czy miejsce przechowywania informacji jest należycie zabezpieczone?
28
Czy dane osobowe przechowywane są w postaci:
28.1
wydruków?
28.2
elektronicznej?
29
Czy wydruki zawierające dane osobowe przechowywane są w pomieszczeniach chronionych lub
obiektach [np. w szafach] odpowiednio zabezpieczonych?
30
Czy wydruki zawierające dane osobowe niszczone są niezwłocznie po ich wykorzystaniu?
OBJAŚNIENIA UŻYTYCH ZNAKOW I SKRÓTÓW
ODO ochrona danych osobowych
ABI
Administrator bezpieczeństwa Informacji
ASI
Administrator Systemu Informatycznego
DO
dane osobowe
ND
nie dotyczy
Źródło: K. Czerwiński Audyt wewnętrzny, InfoAudit Sp. z o.o., Warszawa 2004
BEZPIECZNA FIRMA
74
HAKIN9 11/2009
AUDYT A KONTROLA DANYCH OSOBOWYCH
75
HAKIN9
11/2009
przetwarzanych danych (dane zwykłe lub
dane wrażliwe) oraz zagrożeń. Ostatnim
etapem kontroli bezpieczeństwa systemów
informatycznych jest szczegółowe
sprawdzenie stosowanych procedur
zarządzania systemami informatycznymi
służącymi do przetwarzania danych
osobowych oraz kontrola zastosowanych
środków bezpieczeństwa. W przypadku
systemów teleinformatycznych
szczegółowej kontroli poddawane są
mechanizmy ochrony teletransmisji.
Sprawdzeniu podlegają również
komputery przenośne wykorzystywane
do przetwarzania danych osobowych
poza obszarem przetwarzania, jak
i elektroniczne nośniki informacji
przekazywane poza ten obszar.
Kontrola instytucjonalna może być z
urzędu (z inicjatywy GIODO), na wniosek
(np. w wyniku skargi), kompleksowa
(obejmująca wszystkie zbiory danych
osobowych u administratora danych) oraz
częściowa (wówczas dotyczy wybranych
zagadnień procesu przetwarzania danych
osobowych).
Oprócz kontroli instytucjonalnej
(GIODO) możemy jeszcze wyróżnić
kontrolę indywidualną, zgodnie z art.
32 ust. 1 ustawy – sprawowaną przez
osoby, których dane dotyczą, kontrolę
funkcjonalną – sprawowaną przez
podmioty przetwarzające dane osobowe
(np. administratora danych, administratora
bezpieczeństwa informacji, podmioty
przetwarzające dane osobowe na
zlecenie) oraz kontrolę uzupełniającą
– sprawowaną przez inne podmioty (np.
sądy administracyjne na podstawie art. 21
ust. 2 ustawy oraz podmioty niewskazane
w przepisach ustawy np. prokuratura,
sądy powszechne, Trybunał Konstytucyjny,
Europejski Trybunał Praw Człowieka,
Europejski Trybunał Sprawiedliwości,
Rzecznik Praw Obywatelskich oraz niektóre
organy administracji publicznej).
Standardy i wytyczne audytu
i kontroli danych osobowych
Lista standardów i wytycznych w zakresie
audytu i kontroli danych osobowych jest
dość pokaźna. Standardy te określają
przede wszystkim co ma być wykonane
w trakcie prac audytowych/kontroli oraz
jak należy wykonywać prace audytowe/
kontrolę.
W praktyce można wykorzystać
wspomniane wcześniej Wytyczne
zarządzania i nadzoru nad systemami
informatycznymi pod kątem zgodności z
ustawą o ochronie danych osobowych
– UODO Survival Kit 2.1. Autorami
Wytycznych są audytorzy ISACA. Celem
opracowania jest pomoc wszystkim
osobom zainteresowanym zapewnieniem
zgodności działania firmowych systemów
informatycznych z ustawą o ochronie
danych osobowych, a w szczególności
pomoc w audycie przetwarzaniu danych
osobowych w systemach informatycznych.
Tabela 5.
Zawartość dokumentu Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
Lp. Instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych
1
Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz
wskazanie osoby odpowiedzialnej za te czynności
2
Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
3
Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
4
Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich
przetwarzania
5
Sposób, miejsce i okres przechowywania:
- elektronicznych nośników informacji zawierających dane osobowe
- kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
6
Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie
nieuprawnionego dostępu do systemu informatycznego
7
Sposób realizacji odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie
udostępnienia
8
Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych
Tabela 4.
Zawartość dokumentu Polityka bezpieczeństwa danych osobowych
Lp. Polityka bezpieczeństwa danych osobowych
1
Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w których przetwarzane są dane osobowe
2
Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
3
Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
4
Sposób przepływu danych pomiędzy poszczególnymi systemami
5
Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności
przetwarzanych danych
BEZPIECZNA FIRMA
74
HAKIN9 11/2009
AUDYT A KONTROLA DANYCH OSOBOWYCH
75
HAKIN9
11/2009
Z opracowania mogą skorzystać zarówno
osoby, które dopiero zaczynają zajmować
się ochroną danych osobowych w
systemach informatycznych, osoby,
które już wdrożyły mechanizmy ochrony
danych osobowych w systemach
informatycznych, osoby zarządzające
firmami, czy organizacjami (administratorzy
danych), jak i osoby, które chcą
zweryfikować zgodność z ustawą, które
chcą przeprowadzić audyt. Opracowanie
zawiera listę pytań kontrolnych (119
pytań), mapowanie artykułów ustawy
o ochronie danych osobowych i
rozporządzenia wykonawczego na
cele kontrolne schematu COBIT 4.1
(210 celów kontrolnych) oraz słownik
pojęć związanych z ochroną danych
osobowych w systemach informatycznych
(polsko-angielski). Lista pytań kontrolnych
adresowana jest do trzech grup
odbiorców: administratorów danych,
administratorów bezpieczeństwa informacji
i administratorów wykonawczych (np.
administratorów systemu/aplikacji/
serwera/danych). Ponadto lista pytań
Tabela 6.
Zakres kontroli zgodności
Lp. Zakres kontroli zgodności
1
Przesłanki legalności przetwarzania danych osobowych
2
Przesłanki legalności przetwarzania danych osobowych szczególnie
chronionych
3
Zakres i cel przetwarzania danych
4
Merytoryczna poprawność danych i ich adekwatność do celu przetwarzania
5
Obowiązek informacyjny
6
Zgłoszenie zbioru do rejestracji
7
Przekazywanie danych do państwa trzeciego
8
Powierzenie przetwarzania danych osobowych
9
Zabezpieczenie danych
Źródło: GIODO
Tabela 7.
Środki organizacyjne
Lp Środki organizacyjne
1
Wydane upoważnienia do przetwarzania danych osobowych (określony zakres dostępu do danych osobowych)
2
Przydzielone identyfikatory osobom przetwarzającym dane osobowe w systemach informatycznych
3
Przeszkolone osoby zatrudnione przy przetwarzaniu danych osobowych (z przepisów prawa i przepisów wewnętrznych o
ochronie danych osobowych)
4
Opracowane i wdrożone uregulowania wewnętrzne dotyczące ochrony danych osobowych (polityka bezpieczeństwa danych
osobowych, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, procedury
eksploatacyjne, itp.)
5
Opracowane procedury przekazywania urządzeń i nośników zawierających dane osobowe poza obszar przetwarzania
danych
6
Opracowane procedury oznakowania, przechowywania i niszczenia nośników zawierających dane osobowe (obowiązek
stosowania niszczarek)
7
Opracowane procedury likwidacji urządzeń zawierających dane osobowe
8
Określone zasady sprzątania pomieszczeń, w których przetwarza się dane osobowe (sprzątanie realizowane w godzinach
pracy i pod nadzorem)
9
Opracowane procedury pobierania/zdawania kluczy do pomieszczeń, w których przetwarza się dane osobowe
10 Wyznaczone pomieszczenia do przetwarzania danych osobowych (na podstawie analizy ryzyka)
11 Zainstalowane zabezpieczenia mechaniczne w pomieszczeniach, w których przetwarza się dane osobowe (kraty, rolety
antywłamaniowe, atestowane zamki, pełne drzwi, itp.)
12 Zapewniony nadzór nad komputerami przenośnymi, na których przetwarza się dane osobowe
13 Oznakowane komputery, na których przetwarza się dane osobowe
14 Przetwarzanie danych osobowych odbywa się na dedykowanych stanowiskach komputerowych lub w dedykowanych
lokalnych sieciach (w przypadku systemów sieciowych)
15 Zapewniona kontrola dostępu do pomieszczeń, w których przetwarza się dane osobowe
16 Konserwacja i naprawy sprzętu komputerowego przeprowadzane są pod nadzorem osoby upoważnionej
17 Przeprowadzana jest okresowo analiza ryzyka zabezpieczenia danych osobowych przetwarzanych manualnie i elektronicznie
w systemach informatycznych
18 Monitorowany jest stan ochrony danych osobowych, a w szczególności sposób reagowania na incydenty związane z
naruszeniem bezpieczeństwa przetwarzania danych osobowych
BEZPIECZNA FIRMA
76
HAKIN9 11/2009
zawiera dodatkowe pytania związane
z kontrolą wewnętrzną i audytami
zewnętrznymi (dodatkowe punkty kontrolne),
rekomendowane na podstawie własnych
doświadczeń autorów Wytycznych.
Znając mapowanie przepisów ustawy
na schemat COBIT możemy zastosować
go do ustalenia mechanizmów praktyk
kontrolnych dla systemów informatycznych,
w których przetwarza się dane osobowe
pod kątem zgodności z ustawą. Natomiast
opracowany słownik pojęć ułatwi nam
korzystanie z dokumentów w języku
angielskim.
Kolejnym opracowaniem ISACA
pomocnym w audycie i kontroli danych
osobowych są Standardy, wytyczne i
procedury audytowania i kontrolowania
systemów informatycznych. Opracowanie
składa się z trzech części. Zawiera kodeks
etyki zawodowej dla członków ISACA, dla
osób posiadających tytuł certyfikowanego
audytora systemów informatycznych
(CISA), dla osób posiadających
tytuł certyfikowanego managera
bezpieczeństwa informatycznego (CISM)
oraz standardy, wytyczne i procedury
audytowania systemów informatycznych
i standardy kontrolowania systemów
informatycznych.
Również metodyka COBIT (standard
zarządzania, kontroli i audytu systemów
informatycznych) produkt ISACA,
może być przydatna w sprawdzeniu
zgodności funkcjonowania systemów
informatycznych z przepisami prawa.
Według tej metodyki procedura audytowa
składa się z 5 faz: zapoznania się
z procesem, oceny mechanizmów
kontrolnych, oceny zgodności, oceny
ryzyka oraz opracowania raportu.
Metodyki audytu
Spośród dostępnych metodyk można
polecić Czytelnikom dostępne w Internecie
metodyki, np. metodykę LP-A –
przeprowadzania audytu bezpieczeństwa
teleinformatycznego, metodykę P-PEN – w
ykonywania testów penetracyjny systemów
teleinformatycznych oraz metodykę L-RAC
– analizy i kontrolowania ryzyka w zakresie
bezpieczeństwa teleinformatycznego.
Metodyka L-PA służy do
przeprowadzania audytu z zakresu
bezpieczeństwa teleinformatycznego.
Autorami są K. Liderman i A. E. Patkowski
z Instytutu Teleinformatyki i Automatyki
Wojskowej Akademii Technicznej.
Odbiorcami tej metodyki mogą być
zarówno audytorzy mający ocenić stan
bezpieczeństwa teleinformatycznego,
jak i kadra kierownicza. W metodyce tej
wzorcem odniesienia jest norma ISO/IEC
17799. Nic nie stoi na przeszkodzie, aby
zamiast normy ISO, wzorcem odniesienia
były wymagania ustawy o ochronie
danych osobowych i rozporządzenia
wykonawczego do ustawy w sprawie
dokumentacji przetwarzania danych
Tabela 8.
Środki techniczne
Lp. Środki techniczne
1
Kontrola dostępu do urządzeń systemu lub sieci teleinformatycznej oraz do
zasobów programowych (hasło do BIOS-u, hasło wygaszacza ekranu, hasło
logowania do systemu operacyjnego, hasło logowania do aplikacji, hasło sieciowe)
2
Program antywirusowy (aktualizowana na bieżąco baza sygnatur wirusów)
3
Uaktualniane na bieżąco oprogramowanie systemowe i użytkowe
4
Kopie zapasowe zbiorów danych oraz programów służących do przetwarzania
danych
5
Awaryjne zasilanie zestawów komputerowych, na których przetwarza się dane
osobowe
6
Szyfrowanie danych osobowych przetwarzanych na komputerach przenośnych
7
Szyfrowanie danych osobowych przesyłanych przez sieć publiczną
8
Zapora ogniowa
9
System wykrywania intruzów
Podstawy prawne
• Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr
101, poz. 926, z późn. zm.),
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024),
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony
Danych Osobowych (Dz. U. z 2004 r. Nr 100, poz. 1025),
• Zalecenia Generalnego Inspektora Ochrony Danych Osobowych: ABC zasad kontroli
przetwarzania danych osobowych.
Literatura
• P. Fajgielski, Kontrola przetwarzania i ochrony danych osobowych – Studium teoretyczno-
prawne, Wydawnictwo KUL Lublin 2008,
• K. Czerwiński, Audyt wewnętrzny, InfoAudit Sp. z o.o., Warszawa 2004 ,
• M. Molski, M. Łacheta, Przewodnik audytora systemów informatycznych, Wydawnictwo
Helion, Warszawa 2007,
• M. Forystek, Audyt informatyczny, InfoAudit Sp. z o.o., Warszawa 2005,
• K. Liderman, Podręcznik administratora bezpieczeństwa teleinformatycznego, MIKOM,
Warszawa 2003,
• K. Liderman, Analiza ryzyka i ochrona informacji w sieciach komputerowych, MIKOM,
Warszawa 2008,
• ISACA, Wytyczne zarządzania i nadzoru nad systemami informatycznymi pod kątem
zgodności z ustawą o ochronie danych osobowych" – UODO Survival Kit 2.1,
• ISACA, Standardy, wytyczne i procedury audytowania i kontrolowania systemów
informatycznych.
AUDYT A KONTROLA DANYCH OSOBOWYCH
77
HAKIN9
11/2009
osobowych oraz warunków technicznych
i organizacyjnych, jakim powinny
odpowiadać urządzenia i systemy
informatyczne służące do przetwarzania
danych osobowych.
Audyt wg metodyki LP-A składa się
z następujących etapów: sporządzenie
listy audytowej wg wybranego standardu,
wypełnienie listy audytowej na podstawie
ankietowania, wywiadów, wizji lokalnych,
analizy dokumentów oraz testów i badań,
ścieżki technicznej obejmującej badanie
systemu ochrony fizycznej i technicznej
oraz sieci i systemów teleinformatycznych
oraz sporządzenie dokumentacji z audytu
(raportu) obejmującego ustalenia oraz
rekomendacje.
Uzupełnieniem metodyki LP-A jest
metodyka P-PEN – przeprowadzania
testów penetracyjnych systemów
teleinformatycznych. Można ja także
wykorzystać w samodzielnych
przedsięwzięciach testów penetracyjnych
w celu zidentyfikowania podatności
słabych punktów w badanych systemach
teleinformatycznych.
Metodyka składa się z trzech etapów:
analizy, właściwych badań oraz syntezy
(integracji wyników). W wyniku jej realizacji
otrzymujemy wykaz podatności (w tym
podatności krytycznych) oraz obraz
stanu zabezpieczeń sieci i systemów
teleinformatycznych.
Z kolei metodykę L-RAC – analizy
i kontrolowania ryzyka w zakresie
bezpieczeństwa teleinformatycznego
można wykorzystać do szacowania
ryzyka w odniesieniu do danych
osobowych przetwarzanych w systemach
informatycznych (obszarów związanych z
największym ryzykiem).
Podsumowanie
Przepisy prawa nie regulują problematyki
audytu zgodności przetwarzania danych
osobowych z wymaganiami ustawy o
ochronie danych osobowych. Ustawa
o ochronie danych osobowych odnosi
się jedynie do kontroli instytucjonalnej,
wykonywanej przez inspektorów GIODO.
Polskie normy dotyczące
bezpieczeństwa informacji (PN-ISO/IEC
17799: 2007 Technika informatyczna
– Techniki bezpieczeństwa – Praktyczne
zasady zarządzania bezpieczeństwem
informacji i PN-ISO/IEC 27001: 2007
Technika informatyczna - Techniki
bezpieczeństwa – Systemy zarządzania
bezpieczeństwem informacji
– Wymagania) odnoszą się w rozdziale
Zgodność do problematyki zgodności z
przepisami prawa.
Celem zgodności z przepisami prawa
jest unikanie naruszania jakichkolwiek
przepisów, zobowiązań wynikających
z ustaw, rozporządzeń wykonawczych
do ustaw, regulacji wewnętrznych lub
umów oraz jakichkolwiek wymagań
bezpieczeństwa, w tym standardów
branżowych i tzw. dobrych praktyk.
Zapisy podrozdziału – 15.1.4 Ochrona
danych osobowych i prywatność
informacji dotyczących osób fizycznych
normy ISO 17799, zalecają zapewnienie
zgodności ochrony danych osobowych i
prywatności z odpowiednimi przepisami
prawa, regulacjami wewnętrznymi,
i jeśli jest to wymagane z zapisami
odpowiednich umów.
W wyniku czego, w wielu firmach
tworzy się specjalne komórki
organizacyjne/stanowiska pracy dotyczące
compliance. Stąd wzrastająca rola audytu
i kontroli wewnętrznych, jak i zewnętrznych
wykonywanych przez komercyjne firmy
konsultingowe. Należałoby życzyć sobie,
aby takie działania audytowe i kontrolne
podejmowane były we wszystkich
organizacjach przynajmniej raz w roku.
Badanie i ocena stanu zgodności
przetwarzania danych osobowych z
przepisami o ochronie danych osobowych
pozwoliłaby podjąć odpowiednie działania
zapobiegawcze i naprawcze. Receptą
na compliance jest wdrożenie w firmach
systemu zarządzania bezpieczeństwem
informacji i jego certyfikacja na zgodność
z norma ISO 27001, która wymusza
takie działania. Poddaję to pod rozwagę
zarządzającym.
Andrzej Guzik
Audytor systemu zarządzania bezpieczeństwem
informacji i systemu zarządzania jakością, audytor
wewnętrzny, ekspert w zakresie ochrony informacji prawnie
chronionych, redaktor portalu www.ochronainformacji.pl.
Kontakt z autorem: a.guzik@ochronainformacji.pl.
R
E
K
L
A
M
A