BEZPIECZNA FIRMA
ANDRZEJ GUZIK
Audyt a kontrola
danych
osobowych
Stopień trudności
Kontrola danych osobowych najczęściej kojarzy się z kontrolą
wykonywaną przez inspektorów GIODO. Jest to tylko jedna
z wielu możliwych rodzajów kontroli. Zwykle dotyczy ona
zgodności przetwarzania danych osobowych z przepisami
o ochronie danych osobowych
słowniku języka polskiego nie Ochrona danych osobowych
znajdziemy pojęcia audytu. W Dane osobowe w rozumieniu ustawy o
Wliteraturze przedmiotu możemy ochronie danych osobowych są to wszelkie
znalez
ć różne określenia. Jedni definiują informacje dotyczące zidentyfikowanej lub
audyt, jako ocenę danej osoby, organizacji, możliwej do zidentyfikowania osoby fizycznej.
systemu, procesu lub produktu w oparciu o Natomiast pod pojęciem bezpieczeństwa
przeprowadzone testy. Według drugich, audyt danych osobowych należy rozumieć ochronę
to ocena przez kompetentny i niezależny poufności, rozliczalności i integralności danych
zespół audytujący, czy dany przedmiot audytu osobowych bez względu na sposób ich
spełnia wymagania. Jeszcze inni określają przetwarzania, tradycyjny (manualny), czy też
audyt jako niezależną, obiektywną doradczą w systemie informatycznym. Bezpieczeństwo
działalność, której celem jest dodanie wartości danych osobowych należy zapewnić przed
i ulepszanie operacji danej organizacji poprzez rozpoczęciem oraz w trakcie przetwarzania
wprowadzenie systematycznego podejścia do danych osobowych. Obowiązek ochrony danych
oceny i podwyższania skuteczności procesów osobowych spoczywa na administratorze
zarządzania ryzykiem, procesów kontroli i danych. Administratorem danych w rozumieniu
nadzoru. Krótko mówiąc audyt to sprawdzenie ustawy jest organ, jednostka organizacyjna,
zgodności. podmiot lub osoba, decydująca o celach i
Natomiast kontrola, to zgodnie ze środkach przetwarzania danych osobowych.
słownikiem języka polskiego, porównywanie Zgodnie z art. 36 ust. 1 ustawy, administrator
stanu faktycznego ze stanem wymaganym danych jest obowiązany zastosować środki
lub ze stanem założonym (wzorcem). techniczne i organizacyjne zapewniające
Według innych, kontrola to ustalenie stanu ochronę danych osobowych odpowiednią
Z ARTYKUA
U
obowiązującego (wyznaczeń), ustalenie do zagrożeń oraz kategorii danych objętych
DOWIESZ SI

stanu rzeczywistego (wykonań), porównanie ochroną. Przepisy ustawy enumeratywnie
co to jest audyt i kontrola,
poznasz rodzaje audytu
wykonań z wyznaczeniami w celu stwierdzenia wskazują zagrożenia związane z przetwarzaniem
i kontroli oraz standardy,
ich zgodności lub niezgodności, wyjaśnianie danych osobowych. Dane osobowe należy
wytyczne oraz metodyki audytu
i kontroli danych osobowych.
przyczyn stwierdzonych różnic między zabezpieczyć przed ich udostępnieniem
wykonaniami i wyznaczeniami. osobom nieupoważnionym, zabraniem
CO POWINIENEŚ
Skoro znamy już pojęcie audytu i kontroli przez osobę uprawnioną, przetwarzaniem
WIEDZIEĆ
oraz różnice pomiędzy nimi, to możemy przejść z naruszeniem ustawy oraz zmianą, utratą,
znać podstawowe zasady
do audytu i kontroli danych osobowych. uszkodzeniem lub zniszczeniem. W celu
ochrony danych osobowych.
68 HAKIN9 11/2009
AUDYT A KONTROLA DANYCH OSOBOWYCH
nadzorowania przestrzegania zasad technicznych i organizacyjnych, jakim częściowo lub nie dotyczy. Przykładowo
ochrony danych osobowych w powinny odpowiadać urządzenia i dla standardu ISO 17799 lista kontrolna
organizacji wyznacza się administratora systemy informatyczne służące do obejmuje 127 punktów, a dla COBIT 302
bezpieczeństwa informacji (ABI). ABI przetwarzania danych osobowych punkty.
odpowiada między innymi za: nadzór nad oraz listy predefiniowanych środków Przykład listy kontrolnej dla audytu
zakresem dostępu osób upoważnionych technicznych i organizacyjnych (pkt 16 zgodności z przepisami ustawy o ochronie
do przetwarzania danych osobowych, wniosku rejestracyjnego systemu e- danych osobowych zawiera Tabela 3.
nadzór nad sposobem przetwarzania GIODO), pozwala samemu opracować Przepisy prawa nakładają na
danych osobowych w systemach listę kontrolną (ang. checklist) audytu administratora danych szereg obowiązków.
informatycznych, za kontrolę zgodności zgodności. Zalecenia wynikające z Administrator danych jest zobowiązany
systemu informatycznego z wymaganiami poszczególnych punktów audytowych m. in. zastosować odpowiednie środki
określonymi w przepisach prawa oraz należy zakwalifikować do jednej z klas: techniczne i organizacyjne, adekwatne
za reakcję na incydenty naruszenia spełnione, nie spełnione, spełnione do zagrożeń i kategorii przetwarzanych
bezpieczeństwa danych osobowych.
Tabela 1. Różnica pomiędzy audytem a kontrolą
Audyt danych osobowych
Audyt Kontrola
W praktyce najczęściej możemy spotkać
Kładzie nacisk na przyczyny Reaguje przede wszystkim na objawy
się z audytami zgodności przetwarzania
niekorzystnego zjawiska niekorzystnego zjawiska
danych osobowych z przepisami
Może działać zapobiegawczo, wskazując Działa wyłącznie post factum
ustawy o ochronie danych osobowych.
potencjalne ryzyka
Oprócz ww. audytu firmy komercyjne
W dużej mierze niezależny Ograniczona zakresem upoważnienia
oferują usługi audytu informatycznego,
- zależy od woli dającego zlecenie
audytu bezpieczeństwa (zabezpieczeń)
Nastawiony na usprawnienie działalności Nastawiona na wykrycie sprawcy
systemów informatycznych, audytu
nieprawidłowości
bezpieczeństwa danych osobowych,
czy audytu systemu zarządzania Działa na podstawie standardów Działa na podstawie uregulowań
zawodowych, a w sektorze publicznym wewnętrznych
bezpieczeństwem danych osobowych.
także przepisów prawa
Każdorazowo, przed skorzystaniem z takiej
usługi, należy sprawdzić zakres audytu,
Tabela 2. Zakres audytu zgodności
stosowaną metodykę oraz kwalifikacje
Lp. Zakres audytu zgodności
audytorów i referencje firmy w obszarze
bezpieczeństwa danych osobowych.
1 Inwentaryzacja zbiorów danych osobowych przetwarzanych w jednostce
Problematyka audytu w
organizacyjnej (danych klientów, pracowników, powierzonych przez inny podmiot)
omawianym zakresie nie doczekała
2 Weryfikacja celu przetwarzania danych i weryfikacja podstaw prawnych
się dotąd regulacji prawnej. Audyty
3 Analiza zasad gromadzenia i uaktualniania danych
zgodności przeprowadzane są na
4 Sprawdzenie przyjętej polityki bezpieczeństwa przetwarzania danych osobowych
ogół przez firmy audytorskie. Audyt taki
składa się z następujących etapów:
5 Ocena procedur postępowania w sytuacji naruszenia ochrony danych
analizy dokumentacji, inwentaryzacji
osobowych
zbiorów danych osobowych i
6 Sprawdzenie prawidłowości zarządzania systemem informatycznym
systemów informatycznych, w których
przetwarzającym dane osobowe
przetwarza się dane osobowe,
7 Weryfikacja wypełnienia wymogów bezpieczeństwa dla systemów
sprawdzenia wypełniania obowiązków
informatycznych przetwarzających dane osobowe
technicznych i organizacyjnych oraz
8 Ocena zabezpieczeń obszaru przetwarzania danych osobowych
sprawdzenia wypełniania obowiązków
formalnoprawnych. Z kolei M. Molski i M. 9 Sprawdzenie działań związanych z polityką szkoleń i dopuszczania osób do
danych osobowych
A
acheta w książce Przewodnik audytora
systemów informatycznych podają inny
10 Weryfikacja wypełniania obowiązku informacyjnego (poprawności klauzul
informacyjnych oraz oświadczeń na formularzach do zbierania danych
zakres audytu zgodności.
osobowych)
Uważne przestudiowanie Rozdziału
5  Zabezpieczenie danych osobowych
11 Ocena procedur dotyczących udostępniania danych osobowych
ustawy o ochronie danych osobowych,
12 Weryfikacja umów związanych z powierzeniem danych innym podmiotom
rozporządzenia wykonawczego do ustawy
13 Ocena poprawności wypełniania wniosków do GIODO i ich aktualizacji
w sprawie dokumentacji przetwarzania
danych osobowych oraz warunków y
ródło: M. Molski, M. A
acheta, Przewodnik audytora systemów informatycznych, Wydawnictwo Helion, 2007
11/2009 HAKIN9 69
BEZPIECZNA FIRMA
danych osobowych. Zastosowane środki W czasie audytu zgodności upoważnień do przetwarzania danych
powinny wynikać z analizy zagrożeń sprawdzeniu podlegają zastosowane osobowych, przydzielenie identyfikatorów,
(ryzyk) związanych z przetwarzaniem przez administratora danych środki zorganizowanie przeszkolenia dla osób
danych osobowych oraz z przyjętego techniczne. Wśród środków technicznych zatrudnionych przy przetwarzaniu danych
poziomu bezpieczeństwa przetwarzania służących do ochrony danych osobowych osobowych, itp.
danych osobowych w konkretnym można wymienić m. in. środki: sprzętowe, W celu samodzielnego przygotowania
systemie informatycznym. Niezbędne programowe (oprogramowanie się administratora danych do takiego
jest zapewnienie minimalnych środków systemowe, użytkowe, narzędziowe) oraz audytu lub ewentualnej kontroli danych
bezpieczeństwa dla przyjętego poziomu telekomunikacyjne (oprogramowanie osobowych przez inspektorów GIODO
bezpieczeństwa (podstawowego, urządzeń teletransmisji). Oprócz środków można skorzystać z opracowania
podwyższonego lub wysokiego) zgodnie technicznych do ochrony danych stosuje Stowarzyszenia ISACA (Stowarzyszenie
z wymogami określonymi w załączniku do się środki organizacyjne. Wśród środków do spraw audytu i kontroli systemów
rozporządzenia wykonawczego do ustawy organizacyjnych należy wymienić przede informatycznych) Wytycznej zarządzania i
o ochronie danych osobowych. Środki wszystkim: opracowanie i wdrożenie nadzoru nad systemami informatycznymi
ochrony powinny zapewniać rozliczalność dokumentacji przetwarzania danych pod kątem zgodności z ustawą
działań (osób i systemów) związanych z osobowych, wyznaczenie administratora o ochronie danych osobowych
przetwarzaniem danych osobowych. bezpieczeństwa informacji, wydanie  UODO Survival Kit 2.1, dostępnej pod
adresem: https://www.isaca.org.pl/
WYMAGANIA
index.php?m=show&id=247.
Wytyczne te przeznaczone są dla
wszystkich osób zainteresowanych
zapewnieniem zgodności działania
NIEZGODNO\


systemów informatycznych z ustawą.
Największym atutem opracowania
jest lista pytań kontrolnych. Polecam
korzystanie z Wytycznych w codziennej
pracy z danymi osobowymi.
Dodatkowo, pomocny może być
Rysunek 1. Różnica pomiędzy audytem a kontrolą
również brytyjski podręcznik audytu
ochrony danych (ang. Data Protection
Nieprawidłowości w zakresie przetwarzania
Audit Manual), w którym opisana została
danych osobowych wynikające z kontroli GIODO metodologia prowadzenia audytu.
Podręcznik ten jest dostępny na stronie
" nieopracowanie i niewdrożenie polityki bezpieczeństwa danych osobowych
internetowej: http://www.ico.gov.uk/upload/
" niedopracowanie i niewdrożenie instrukcji zarządzania systemem informatycznym
documents/library/data_protection/
służącym do przetwarzania danych osobowych
detailed_specialist_guides/ data_
" dokument polityki bezpieczeństwa danych osobowych nie spełnia wymagań
wynikających z rozporządzenia protection_complete_audit_guide.pdf.
" dokument instrukcji zarządzania systemem informatycznym służącym do
Integralną częścią podręcznika są listy
przetwarzania danych osobowych nie spełnia wymagań wynikających z
kontrolne, które mogą stanowić pomoc
rozporządzenia
przy przeprowadzaniu audytu.
" niewyznaczenie administratora bezpieczeństwa informacji
Audyty zgodności wykazują szereg
" nienadanie upoważnień osobom dopuszczonym do przetwarzania danych
nieprawidłowości związanych z procesem
osobowych
przetwarzania danych osobowych. Jak
" nieprowadzenie ewidencji osób upoważnionych do przetwarzania danych
osobowych
wynika z praktyki audytorskiej oraz z
" niezgłoszenie do rejestracji zbiorów danych osobowych
ostatniego sprawozdania z działalności
" rozwiązania organizacyjne i techniczne nie zapewniają ochrony przetwarzanych
GIODO (za 2007 rok) instytucje nie radzą
danych osobowych odpowiedniej do zagrożeń oraz kategorii danych objętych
sobie z obowiązkiem zabezpieczenia
ochroną
danych osobowych, wynikającym
" systemy informatyczne służące do przetwarzania danych osobowych nie spełniają
z art. 36  39 ustawy (Rozdział 5
wymogów o charakterze technicznym
" niezapewnienie mechanizmów kontroli dostępu do danych osobowych - Zabezpieczenie danych), w tym z
" niedopełnienie wobec osób, których dane dotyczą obowiązku informacyjnego
obowiązkiem prowadzenia dokumentacji
wynikającego z art. 24 ust. 1 ustawy o ochronie danych osobowych
opisującej sposób przetwarzania danych
" niewykonywanie kopii zapasowych zbiorów danych oraz programów służących do
osobowych oraz zastosowaniem środków
przetwarzania danych osobowych
technicznych i organizacyjnych, które
" zbieranie danych osobowych pracowników w szerszym zakresie, niż to wynika
mają zapewnić ochronę przetwarzanych
70 HAKIN9 11/2009
AUDYT
AUDYT A KONTROLA DANYCH OSOBOWYCH
danych osobowych. Dokumentacja WWW administratora danych w zakładce zawierają działania korekcyjne (działania
bezpieczeństwa danych osobowych (na BIP (Biuletyn Informacji Publicznej). W przywracające stan zgodny z prawem)
którą składa się Polityka bezpieczeństwa tym miejscu warto zauważyć, że sposób i działania korygujące (działania, które
danych osobowych oraz Instrukcja zabezpieczenia danych osobowych mają usunąć przyczyny stwierdzonych
zarządzania systemem informatycznym stanowi tajemnicę administratora danych nieprawidłowości).
służącym do przetwarzania danych i wymaga zachowania poufności. Dostęp
osobowych) opisuje sposób i zasady do szczegółów, zgodnie z zasadą Kontrola danych osobowych
przetwarzania danych osobowych u wiedzy koniecznej powinien mieć wąski Problematyka kontroli przetwarzania i
administratora danych. krąg osób, tylko osoby uprawnione i ochrony danych osobowych uregulowana
Rozporządzenie Ministra Spraw upoważnione. została w ustawie o ochronie danych
Wewnętrznych i Administracji z dnia 29 Z audytu zgodności sporządzane osobowych w sposób ogólny. Ustawa
kwietnia 2004 r. w sprawie dokumentacji jest sprawozdanie. Integralną częścią zawiera stosunkowo niewiele przepisów
przetwarzania danych osobowych oraz sprawozdania jest lista niezgodności, z tego zakresu. Kontrola ta może być
warunków technicznych i organizacyjnych, w tym niezgodności krytycznych (o ile realizowana przez różne podmioty.
jakim powinny odpowiadać urządzenia takowe występują). Wartością dodaną Najczęściej jednak mamy do czynienia
i systemy informatyczne służące do audytu zgodności są rekomendacje, które z kontrolą instytucjonalną, sprawowaną
przetwarzania danych osobowych (Dz. U. z
2004 r. Nr 100, poz. 1024) konkretyzuje ten
Podstawowe pojęcia związane z ochroną danych
obowiązek.
Paragraf 4 rozporządzenia osobowych
enumeratywnie wylicza, co powinien
" dane osobowe  wszelkie informacje dotyczące zidentyfikowanej lub możliwej do
zawierać dokument polityki
zidentyfikowania osoby fizycznej,
bezpieczeństwa. Na dokument ten
" administrator danych  organ, jednostka organizacyjna, podmiot lub osoba,
składają się wykazy i tabele opisujące:
decydująca o celach i środkach przetwarzania danych osobowych,
obszar przetwarzania danych osobowych,
" administrator bezpieczeństwa informacji  osoba nadzorująca przestrzeganie zasad
ochrony danych osobowych,
zbiory danych osobowych, strukturę
" zbiór danych  każdy posiadający strukturę zestaw danych o charakterze osobowym,
zbiorów danych osobowych, sposób
dostępny według określonych kryteriów, niezależnie od tego, czy zestaw ten jest
przepływu danych pomiędzy systemami
rozproszony lub podzielony funkcjonalnie,
informatycznymi oraz środki organizacyjne
" przetwarzanie danych  jakiekolwiek operacje wykonywane na danych osobowych,
i techniczne zapewniające ochronę
takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie,
przetwarzanych danych osobowych.
udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach
informatycznych,
Natomiast paragraf 5 rozporządzenia
" system informatyczny  zespół współpracujących ze sobą urządzeń, programów,
określa zawartość Instrukcji zarządzania
procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu
systemem informatycznym służącym do
przetwarzania danych,
przetwarzania danych osobowych. Na
" zabezpieczenie danych w systemie informatycznym  wdrożenie i eksploatacja
dokument ten składają się procedury
stosownych środków technicznych i organizacyjnych zapewniających ochronę danych
zarządzania systemem informatycznym, w
przed ich nieuprawnionym przetwarzaniem,
tym procedury związane z zapewnieniem " hasło  ciąg znaków literowych, cyfrowych lub innych, znany jedynie osobie
uprawnionej do pracy w systemie informatycznym,
bezpieczeństwem danych osobowych.
" identyfikator użytkownika  ciąg znaków literowych, cyfrowych lub innych jednoznacznie
Dokumentacja przetwarzania danych
identyfikujących osobę upoważnioną do przetwarzania danych osobowych w systemie
osobowych może być pomocna przy
informatycznym,
opracowaniu listy kontrolnej do audytu
" uwierzytelnianie  działanie, którego celem jest weryfikacja deklarowanej tożsamości
zgodności.
podmiotu,
Od dokumentacji przetwarzania " poufność danych  właściwość zapewniająca, że dane nie są udostępniane
nieupoważnionym podmiotom,
danych osobowych najczęściej
" rozliczalność  właściwość zapewniająca, że działania podmiotu mogą być przypisane
rozpoczyna się kontrola u administratora
w sposób jednoznaczny tylko temu podmiotowi,
danych.
" integralność danych  właściwość zapewniająca, że dane osobowe nie zostały
W praktyce obserwuje się dwie
zmienione lub zniszczone w sposób nieautoryzowany,
tendencje albo dokumentacja
" usuwanie danych  zniszczenie danych osobowych lub taka ich modyfikacja, która nie
opracowana przez administratora danych
pozwala na ustalenie tożsamości osoby, której dane dotyczą,
" raport  przygotowane przez system informatyczny zestawienia zakresu i treści
jest zbyt lakoniczna, nie zawiera wszystkich
przetwarzanych danych,
wymaganych informacji, albo jest zbyt
" teletransmisja  przesyłanie informacji za pośrednictwem sieci telekomunikacyjnej,
szczegółowa (zawiera za dużo szczegółów
" sieć publiczna  publiczna sieć telekomunikacyjna wykorzystywana głównie do
technicznych). Częstym błędem jest
świadczenia publicznie dostępnych usług telekomunikacyjnych.
publikacja ww. dokumentacji na stronie
11/2009 HAKIN9 71
BEZPIECZNA FIRMA
Tabela 3. Lista kontrolna  audyt aplikacji przetwarzających dane osobowe
Lista kontrolna
Audyt aplikacji przetwarzających dane osobowe
Lp. PYTANIE TAK NIE ND
1 Czy stanowiska przeznaczone do przetwarzania danych osobowych są oznaczone?
2 Czy ustawienie monitorów jest zgodne z ustawą o ODO?
3 Czy jest ustanowiony ABI?
4 Czy jest ustanowiony ASI?
5 Czy mają zdefiniowane zakresy obowiązków?
6 Czy administrator prowadzi ewidencję osób upoważnionych do dostępu do DO?
7 Czy wszystkie osoby mające dostęp do danych osobowych:
7.1 zostały zapoznane z przepisami o ochronie danych osobowych?
7.2 zostały przeszkolone w zakresie zabezpieczeń systemu informatycznego?
7.3 uzyskały wpis do swojej karty zadań, określający indywidualny zakres odpowiedzialności danej osoby za
ochronę danych osobowych?
7.4 złożyły oświadczenie według wzoru?
8 Czy oświadczenie, o którym mowa w pkt 7.4 zostało dołączone do akt osobowych pracownika?
9 Czy w celu przetwarzania danych osobowych wdrożono odpowiedni poziom zabezpieczeń?
10 Czy zostały podjęte odpowiednie kroki lub zastosowano odpowiednie środki administracyjne ograniczające
możliwość wystąpienia zagrożeń ze strony Internetu (zwłaszcza poczty elektronicznej) w systemach
przetwarzających dane osobowe?
11 Czy w ramach nadzoru nad dostępem użytkowników do systemu informatycznego stosuje się procedurę
przydziału uprawnień?
12 Czy uprawnienia dostępu do systemu informatycznego udzielone są wyłącznie osobom zatrudnionym przy
przetwarzaniu danych osobowych?
13 Czy osoby niezatrudnione a wykonujące doraz
ne prace mają dostęp do danych osobowych?
14 Czy osoby mające dostęp do danych osobowych zobowiązane są do zachowania danych w tajemnicy,
także po ustaniu zatrudnienia?
15 Czy przetwarzanie danych nie narusza praw i wolności osoby, której dane dotyczą?
16 Czy administrator danych nie zmienia celu przetwarzania danych?
17 Czy dane przechowywane są w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż
jest to niezbędne do osiągnięcia celu przetwarzania?
18 Czy miało miejsce udostępnienie danych osobom nieupoważnionym?
18.1 umyślne
18.2 nieumyślne
19 Czy w przypadku danych osobowych przechowywanych w postaci zapisu elektronicznego stwierdzono:
19.1 kradzież danych?
19.2 uszkodzenie danych?
19.3 zniszczenie danych?
20 Czy system informatyczny dla każdej osoby, której dane są w nim przetwarzane odnotowuje:
20.1 datę wprowadzenia danych tej osoby
20.2 identyfikator wprowadzającego dane
20.3 informację: komu, kiedy i w jakim zakresie dane zostały udostępnione, jeśli przewidziane jest udostępnianie
danych innym podmiotom, chyba że dane te traktuje się jako dane powszechnie dostępne
20.4 sprzeciw, o którym mowa w art. 32 ust. 1 pkt 7 ustawy o ochronie danych osobowych, po jego
uwzględnieniu, oraz sprzeciwu określonego w ar. 32 ust. 1 pkt 8 tej ustawy
72 HAKIN9 11/2009
AUDYT A KONTROLA DANYCH OSOBOWYCH
Tabela 3. Lista kontrolna  audyt aplikacji przetwarzających dane osobowe
Lista kontrolna
Audyt aplikacji przetwarzających dane osobowe
Lp. PYTANIE TAK NIE ND
20.5 z
ródła pochodzenia danych
21 Czy system informatyczny umożliwia udostępnienie na piśmie, w powszechnie zrozumiałej formie, treści
danych o każdej osobie, której dane są przetwarzane wraz z informacjami, o których mowa w ż 31 ODO?
22 Czy system informatyczny przetwarzający dane osobowe jest monitorowany w zakresie zabezpieczeń?
23 Czy istnieje harmonogram monitorowania systemu informatycznego przetwarzającego dane osobowe?
24 Czy ewidencjonowano i analizowano przypadki podejrzenia naruszenia zabezpieczeń systemu
informatycznego?
25 Czy ABI prowadzi rejestr, o którym mowa w ustawie ODO?
26 Czy przeprowadzono kontrolę ABI w zakresie sposobu prowadzenia rejestru, o którym mowa w ustawie ODO?
27 Czy miejsce przechowywania informacji jest należycie zabezpieczone?
28 Czy dane osobowe przechowywane są w postaci:
28.1 wydruków?
28.2 elektronicznej?
29 Czy wydruki zawierające dane osobowe przechowywane są w pomieszczeniach chronionych lub
obiektach [np. w szafach] odpowiednio zabezpieczonych?
30 Czy wydruki zawierające dane osobowe niszczone są niezwłocznie po ich wykorzystaniu?
OBJAŚNIENIA UŻYTYCH ZNAKOW I SKRÓTÓW
ODO ochrona danych osobowych
ABI Administrator bezpieczeństwa Informacji
ASI Administrator Systemu Informatycznego
DO dane osobowe
ND nie dotyczy
y
ródło: K. Czerwiński Audyt wewnętrzny, InfoAudit Sp. z o.o., Warszawa 2004
przez organ ochrony danych osobowych podlegają także podstawowe obowiązki fizyczne, jak i bezpieczeństwo
 Generalnego Inspektora Ochrony spoczywające na administratorze teleinformatyczne danych osobowych.
Danych Osobowych (GIODO). Wówczas danych, a w szczególności wypełnianie W ramach bezpieczeństwa fizycznego
celem kontroli jest ustalenie stanu obowiązku informacyjnego, zgłoszenie danych osobowych sprawdzane jest
faktycznego w zakresie przestrzegania zbiorów danych do rejestracji, o ile zbiory zabezpieczenie pomieszczeń, w których
przez podmiot kontrolowany przepisów podlegają rejestracji, przesłanki związane zlokalizowane są urządzenia systemów
o ochronie danych osobowych oraz z przekazywaniem danych osobowych informatycznych (serwery i stacje robocze,
udokumentowanie dokonanych ustaleń. do państwa trzeciego, fakt powierzenia urządzenia sieciowe) i nośniki informacji,
Kontrolę taką przeprowadza zespół przetwarzania danych osobowych, na których przechowywane są kopie
kontrolny składający się najczęściej z jeśli miał miejsce oraz zabezpieczenie zapasowe oraz archiwalne. W ramach
trzech osób (2 prawników i 1 informatyk). danych osobowych (zabezpieczenia bezpieczeństwa teleinformatycznego
Podczas kontroli przestrzegania przepisów organizacyjno-techniczne). Patrz danych osobowych inspektorzy
o ochronie danych osobowych inspektorzy wykaz zabezpieczeń organizacyjnych i sprawdzają, czy systemy teleinformatyczne
zwracają szczególną uwagę na przesłanki technicznych (Tabela 7 i 8). spełniają wymagania w zakresie
legalności przetwarzania danych, które Oprócz zbiorów danych funkcjonalności, tj. odnotowywania przez
zostały wymienione w art. 23 ustawy. przetwarzanych manualnie kontroli system wszystkich zdarzeń wynikających z
Sprawdzeniu podlega również zakres i podlegają zbiory danych przetwarzane rozporządzenia wykonawczego do ustawy
cel przetwarzania danych, merytoryczna w systemach informatycznych, w których oraz czy zastosowano właściwy poziom
poprawność danych i ich adekwatność przetwarzane są dane osobowe. Kontrola bezpieczeństwa przetwarzania danych
do celu przetwarzania. Weryfikacji obejmuje zarówno bezpieczeństwo osobowych, adekwatny do kategorii
11/2009 HAKIN9 73
BEZPIECZNA FIRMA
przetwarzanych danych (dane zwykłe lub częściowa (wówczas dotyczy wybranych Standardy i wytyczne audytu
dane wrażliwe) oraz zagrożeń. Ostatnim zagadnień procesu przetwarzania danych i kontroli danych osobowych
etapem kontroli bezpieczeństwa systemów osobowych). Lista standardów i wytycznych w zakresie
informatycznych jest szczegółowe Oprócz kontroli instytucjonalnej audytu i kontroli danych osobowych jest
sprawdzenie stosowanych procedur (GIODO) możemy jeszcze wyróżnić dość pokaz
na. Standardy te określają
zarządzania systemami informatycznymi kontrolę indywidualną, zgodnie z art. przede wszystkim co ma być wykonane
służącymi do przetwarzania danych 32 ust. 1 ustawy  sprawowaną przez w trakcie prac audytowych/kontroli oraz
osobowych oraz kontrola zastosowanych osoby, których dane dotyczą, kontrolę jak należy wykonywać prace audytowe/
środków bezpieczeństwa. W przypadku funkcjonalną  sprawowaną przez kontrolę.
systemów teleinformatycznych podmioty przetwarzające dane osobowe W praktyce można wykorzystać
szczegółowej kontroli poddawane są (np. administratora danych, administratora wspomniane wcześniej Wytyczne
mechanizmy ochrony teletransmisji. bezpieczeństwa informacji, podmioty zarządzania i nadzoru nad systemami
Sprawdzeniu podlegają również przetwarzające dane osobowe na informatycznymi pod kątem zgodności z
komputery przenośne wykorzystywane zlecenie) oraz kontrolę uzupełniającą ustawą o ochronie danych osobowych
do przetwarzania danych osobowych  sprawowaną przez inne podmioty (np.  UODO Survival Kit 2.1. Autorami
poza obszarem przetwarzania, jak sądy administracyjne na podstawie art. 21 Wytycznych są audytorzy ISACA. Celem
i elektroniczne nośniki informacji ust. 2 ustawy oraz podmioty niewskazane opracowania jest pomoc wszystkim
przekazywane poza ten obszar. w przepisach ustawy np. prokuratura, osobom zainteresowanym zapewnieniem
Kontrola instytucjonalna może być z sądy powszechne, Trybunał Konstytucyjny, zgodności działania firmowych systemów
urzędu (z inicjatywy GIODO), na wniosek Europejski Trybunał Praw Człowieka, informatycznych z ustawą o ochronie
(np. w wyniku skargi), kompleksowa Europejski Trybunał Sprawiedliwości, danych osobowych, a w szczególności
(obejmująca wszystkie zbiory danych Rzecznik Praw Obywatelskich oraz niektóre pomoc w audycie przetwarzaniu danych
osobowych u administratora danych) oraz organy administracji publicznej). osobowych w systemach informatycznych.
Tabela 4. Zawartość dokumentu Polityka bezpieczeństwa danych osobowych
Lp. Polityka bezpieczeństwa danych osobowych
1 Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w których przetwarzane są dane osobowe
2 Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych
3 Opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi
4 Sposób przepływu danych pomiędzy poszczególnymi systemami
5 Określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności
przetwarzanych danych
Tabela 5. Zawartość dokumentu Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
Lp. Instrukcja zarządzania systemem informatycznym
służącym do przetwarzania danych osobowych
1 Procedury nadawania uprawnień do przetwarzania danych i rejestrowania tych uprawnień w systemie informatycznym oraz
wskazanie osoby odpowiedzialnej za te czynności
2 Stosowane metody i środki uwierzytelnienia oraz procedury związane z ich zarządzaniem i użytkowaniem
3 Procedury rozpoczęcia, zawieszenia i zakończenia pracy przeznaczone dla użytkowników systemu
4 Procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich
przetwarzania
5 Sposób, miejsce i okres przechowywania:
- elektronicznych nośników informacji zawierających dane osobowe
- kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania
6 Sposób zabezpieczenia systemu informatycznego przed działalnością oprogramowania, którego celem jest uzyskanie
nieuprawnionego dostępu do systemu informatycznego
7 Sposób realizacji odnotowania informacji o odbiorcach, którym dane osobowe zostały udostępnione, dacie i zakresie
udostępnienia
8 Procedury wykonywania przeglądów i konserwacji systemów oraz nośników informacji służących do przetwarzania danych
74 HAKIN9 11/2009
AUDYT A KONTROLA DANYCH OSOBOWYCH
Z opracowania mogą skorzystać zarówno adresowana jest do trzech grup i administratorów wykonawczych (np.
osoby, które dopiero zaczynają zajmować odbiorców: administratorów danych, administratorów systemu/aplikacji/
się ochroną danych osobowych w administratorów bezpieczeństwa informacji serwera/danych). Ponadto lista pytań
systemach informatycznych, osoby,
które już wdrożyły mechanizmy ochrony Tabela 6. Zakres kontroli zgodności
danych osobowych w systemach
Lp. Zakres kontroli zgodności
informatycznych, osoby zarządzające
1 Przesłanki legalności przetwarzania danych osobowych
firmami, czy organizacjami (administratorzy
2 Przesłanki legalności przetwarzania danych osobowych szczególnie
danych), jak i osoby, które chcą
chronionych
zweryfikować zgodność z ustawą, które
chcą przeprowadzić audyt. Opracowanie
3 Zakres i cel przetwarzania danych
zawiera listę pytań kontrolnych (119
4 Merytoryczna poprawność danych i ich adekwatność do celu przetwarzania
pytań), mapowanie artykułów ustawy
5 Obowiązek informacyjny
o ochronie danych osobowych i
rozporządzenia wykonawczego na 6 Zgłoszenie zbioru do rejestracji
cele kontrolne schematu COBIT 4.1
7 Przekazywanie danych do państwa trzeciego
(210 celów kontrolnych) oraz słownik
8 Powierzenie przetwarzania danych osobowych
pojęć związanych z ochroną danych
9 Zabezpieczenie danych
osobowych w systemach informatycznych
(polsko-angielski). Lista pytań kontrolnych y
ródło: GIODO
Tabela 7. Środki organizacyjne
Lp Środki organizacyjne
1 Wydane upoważnienia do przetwarzania danych osobowych (określony zakres dostępu do danych osobowych)
2 Przydzielone identyfikatory osobom przetwarzającym dane osobowe w systemach informatycznych
3 Przeszkolone osoby zatrudnione przy przetwarzaniu danych osobowych (z przepisów prawa i przepisów wewnętrznych o
ochronie danych osobowych)
4 Opracowane i wdrożone uregulowania wewnętrzne dotyczące ochrony danych osobowych (polityka bezpieczeństwa danych
osobowych, instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, procedury
eksploatacyjne, itp.)
5 Opracowane procedury przekazywania urządzeń i nośników zawierających dane osobowe poza obszar przetwarzania
danych
6 Opracowane procedury oznakowania, przechowywania i niszczenia nośników zawierających dane osobowe (obowiązek
stosowania niszczarek)
7 Opracowane procedury likwidacji urządzeń zawierających dane osobowe
8 Określone zasady sprzątania pomieszczeń, w których przetwarza się dane osobowe (sprzątanie realizowane w godzinach
pracy i pod nadzorem)
9 Opracowane procedury pobierania/zdawania kluczy do pomieszczeń, w których przetwarza się dane osobowe
10 Wyznaczone pomieszczenia do przetwarzania danych osobowych (na podstawie analizy ryzyka)
11 Zainstalowane zabezpieczenia mechaniczne w pomieszczeniach, w których przetwarza się dane osobowe (kraty, rolety
antywłamaniowe, atestowane zamki, pełne drzwi, itp.)
12 Zapewniony nadzór nad komputerami przenośnymi, na których przetwarza się dane osobowe
13 Oznakowane komputery, na których przetwarza się dane osobowe
14 Przetwarzanie danych osobowych odbywa się na dedykowanych stanowiskach komputerowych lub w dedykowanych
lokalnych sieciach (w przypadku systemów sieciowych)
15 Zapewniona kontrola dostępu do pomieszczeń, w których przetwarza się dane osobowe
16 Konserwacja i naprawy sprzętu komputerowego przeprowadzane są pod nadzorem osoby upoważnionej
17 Przeprowadzana jest okresowo analiza ryzyka zabezpieczenia danych osobowych przetwarzanych manualnie i elektronicznie
w systemach informatycznych
18 Monitorowany jest stan ochrony danych osobowych, a w szczególności sposób reagowania na incydenty związane z
naruszeniem bezpieczeństwa przetwarzania danych osobowych
11/2009 HAKIN9 75
BEZPIECZNA FIRMA
zawiera dodatkowe pytania związane go do ustalenia mechanizmów praktyk Kolejnym opracowaniem ISACA
z kontrolą wewnętrzną i audytami kontrolnych dla systemów informatycznych, pomocnym w audycie i kontroli danych
zewnętrznymi (dodatkowe punkty kontrolne), w których przetwarza się dane osobowe osobowych są Standardy, wytyczne i
rekomendowane na podstawie własnych pod kątem zgodności z ustawą. Natomiast procedury audytowania i kontrolowania
doświadczeń autorów Wytycznych. opracowany słownik pojęć ułatwi nam systemów informatycznych. Opracowanie
Znając mapowanie przepisów ustawy korzystanie z dokumentów w języku składa się z trzech części. Zawiera kodeks
na schemat COBIT możemy zastosować angielskim. etyki zawodowej dla członków ISACA, dla
osób posiadających tytuł certyfikowanego
Tabela 8. Środki techniczne
audytora systemów informatycznych
Lp. Środki techniczne
(CISA), dla osób posiadających
1 Kontrola dostępu do urządzeń systemu lub sieci teleinformatycznej oraz do tytuł certyfikowanego managera
zasobów programowych (hasło do BIOS-u, hasło wygaszacza ekranu, hasło
bezpieczeństwa informatycznego (CISM)
logowania do systemu operacyjnego, hasło logowania do aplikacji, hasło sieciowe)
oraz standardy, wytyczne i procedury
2 Program antywirusowy (aktualizowana na bieżąco baza sygnatur wirusów) audytowania systemów informatycznych
i standardy kontrolowania systemów
3 Uaktualniane na bieżąco oprogramowanie systemowe i użytkowe
informatycznych.
4 Kopie zapasowe zbiorów danych oraz programów służących do przetwarzania
Również metodyka COBIT (standard
danych
zarządzania, kontroli i audytu systemów
5 Awaryjne zasilanie zestawów komputerowych, na których przetwarza się dane
informatycznych) produkt ISACA,
osobowe
może być przydatna w sprawdzeniu
6 Szyfrowanie danych osobowych przetwarzanych na komputerach przenośnych
zgodności funkcjonowania systemów
informatycznych z przepisami prawa.
7 Szyfrowanie danych osobowych przesyłanych przez sieć publiczną
Według tej metodyki procedura audytowa
8 Zapora ogniowa
składa się z 5 faz: zapoznania się
9 System wykrywania intruzów
z procesem, oceny mechanizmów
kontrolnych, oceny zgodności, oceny
ryzyka oraz opracowania raportu.
Podstawy prawne
Metodyki audytu
" Ustawa z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (tj. Dz. U. z 2002 r. Nr
Spośród dostępnych metodyk można
101, poz. 926, z póz
n. zm.),
" Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. polecić Czytelnikom dostępne w Internecie
w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych
metodyki, np. metodykę LP-A 
i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne
przeprowadzania audytu bezpieczeństwa
służące do przetwarzania danych osobowych (Dz. U. z 2004 r. Nr 100, poz. 1024),
teleinformatycznego, metodykę P-PEN  w
" Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r.
ykonywania testów penetracyjny systemów
w sprawie wzoru zgłoszenia zbioru do rejestracji Generalnemu Inspektorowi Ochrony
teleinformatycznych oraz metodykę L-RAC
Danych Osobowych (Dz. U. z 2004 r. Nr 100, poz. 1025),
" Zalecenia Generalnego Inspektora Ochrony Danych Osobowych: ABC zasad kontroli  analizy i kontrolowania ryzyka w zakresie
przetwarzania danych osobowych.
bezpieczeństwa teleinformatycznego.
Metodyka L-PA służy do
przeprowadzania audytu z zakresu
bezpieczeństwa teleinformatycznego.
Literatura
Autorami są K. Liderman i A. E. Patkowski
z Instytutu Teleinformatyki i Automatyki
" P. Fajgielski, Kontrola przetwarzania i ochrony danych osobowych  Studium teoretyczno-
Wojskowej Akademii Technicznej.
prawne, Wydawnictwo KUL Lublin 2008,
" K. Czerwiński, Audyt wewnętrzny, InfoAudit Sp. z o.o., Warszawa 2004 , Odbiorcami tej metodyki mogą być
" M. Molski, M. A
acheta, Przewodnik audytora systemów informatycznych, Wydawnictwo
zarówno audytorzy mający ocenić stan
Helion, Warszawa 2007,
bezpieczeństwa teleinformatycznego,
" M. Forystek, Audyt informatyczny, InfoAudit Sp. z o.o., Warszawa 2005,
jak i kadra kierownicza. W metodyce tej
" K. Liderman, Podręcznik administratora bezpieczeństwa teleinformatycznego, MIKOM,
wzorcem odniesienia jest norma ISO/IEC
Warszawa 2003,
17799. Nic nie stoi na przeszkodzie, aby
" K. Liderman, Analiza ryzyka i ochrona informacji w sieciach komputerowych, MIKOM,
zamiast normy ISO, wzorcem odniesienia
Warszawa 2008,
" ISACA, Wytyczne zarządzania i nadzoru nad systemami informatycznymi pod kątem
były wymagania ustawy o ochronie
zgodności z ustawą o ochronie danych osobowych"  UODO Survival Kit 2.1,
danych osobowych i rozporządzenia
" ISACA, Standardy, wytyczne i procedury audytowania i kontrolowania systemów
wykonawczego do ustawy w sprawie
informatycznych.
dokumentacji przetwarzania danych
76 HAKIN9 11/2009
AUDYT A KONTROLA DANYCH OSOBOWYCH
osobowych oraz warunków technicznych bezpieczeństwa teleinformatycznego Zapisy podrozdziału  15.1.4 Ochrona
i organizacyjnych, jakim powinny można wykorzystać do szacowania danych osobowych i prywatność
odpowiadać urządzenia i systemy ryzyka w odniesieniu do danych informacji dotyczących osób fizycznych
informatyczne służące do przetwarzania osobowych przetwarzanych w systemach normy ISO 17799, zalecają zapewnienie
danych osobowych. informatycznych (obszarów związanych z zgodności ochrony danych osobowych i
Audyt wg metodyki LP-A składa się największym ryzykiem). prywatności z odpowiednimi przepisami
z następujących etapów: sporządzenie prawa, regulacjami wewnętrznymi,
listy audytowej wg wybranego standardu, Podsumowanie i jeśli jest to wymagane z zapisami
wypełnienie listy audytowej na podstawie Przepisy prawa nie regulują problematyki odpowiednich umów.
ankietowania, wywiadów, wizji lokalnych, audytu zgodności przetwarzania danych W wyniku czego, w wielu firmach
analizy dokumentów oraz testów i badań, osobowych z wymaganiami ustawy o tworzy się specjalne komórki
ścieżki technicznej obejmującej badanie ochronie danych osobowych. Ustawa organizacyjne/stanowiska pracy dotyczące
systemu ochrony fizycznej i technicznej o ochronie danych osobowych odnosi compliance. Stąd wzrastająca rola audytu
oraz sieci i systemów teleinformatycznych się jedynie do kontroli instytucjonalnej, i kontroli wewnętrznych, jak i zewnętrznych
oraz sporządzenie dokumentacji z audytu wykonywanej przez inspektorów GIODO. wykonywanych przez komercyjne firmy
(raportu) obejmującego ustalenia oraz Polskie normy dotyczące konsultingowe. Należałoby życzyć sobie,
rekomendacje. bezpieczeństwa informacji (PN-ISO/IEC aby takie działania audytowe i kontrolne
Uzupełnieniem metodyki LP-A jest 17799: 2007 Technika informatyczna podejmowane były we wszystkich
metodyka P-PEN  przeprowadzania  Techniki bezpieczeństwa  Praktyczne organizacjach przynajmniej raz w roku.
testów penetracyjnych systemów zasady zarządzania bezpieczeństwem Badanie i ocena stanu zgodności
teleinformatycznych. Można ja także informacji i PN-ISO/IEC 27001: 2007 przetwarzania danych osobowych z
wykorzystać w samodzielnych Technika informatyczna - Techniki przepisami o ochronie danych osobowych
przedsięwzięciach testów penetracyjnych bezpieczeństwa  Systemy zarządzania pozwoliłaby podjąć odpowiednie działania
w celu zidentyfikowania podatności bezpieczeństwem informacji zapobiegawcze i naprawcze. Receptą
słabych punktów w badanych systemach  Wymagania) odnoszą się w rozdziale na compliance jest wdrożenie w firmach
teleinformatycznych. Zgodność do problematyki zgodności z systemu zarządzania bezpieczeństwem
Metodyka składa się z trzech etapów: przepisami prawa. informacji i jego certyfikacja na zgodność
analizy, właściwych badań oraz syntezy Celem zgodności z przepisami prawa z norma ISO 27001, która wymusza
(integracji wyników). W wyniku jej realizacji jest unikanie naruszania jakichkolwiek takie działania. Poddaję to pod rozwagę
otrzymujemy wykaz podatności (w tym przepisów, zobowiązań wynikających zarządzającym.
podatności krytycznych) oraz obraz z ustaw, rozporządzeń wykonawczych
Andrzej Guzik
stanu zabezpieczeń sieci i systemów do ustaw, regulacji wewnętrznych lub
Audytor systemu zarządzania bezpieczeństwem
teleinformatycznych. umów oraz jakichkolwiek wymagań informacji i systemu zarządzania jakością, audytor
wewnętrzny, ekspert w zakresie ochrony informacji prawnie
Z kolei metodykę L-RAC  analizy bezpieczeństwa, w tym standardów
chronionych, redaktor portalu www.ochronainformacji.pl.
Kontakt z autorem: a.guzik@ochronainformacji.pl.
i kontrolowania ryzyka w zakresie branżowych i tzw. dobrych praktyk.
R E K L A M A
11/2009 HAKIN9 77