Niezależne, samorządne i wolne miejsce wirtualnych spotkań Administratorów Bezpieczeństwa Informacji i przyszłych IOD
Audyt ma sprawdzić czy spełniacie Państwo wymagania. Jesli spełniacie to trzeba przekonać audytora że tak jest i nie wdawać się w dyskusję czy ma być numerek czy opis słowny. Nie poddawajcie się ale też zróbcie założenie że oni też chcą dobrze. Nie nastawiajcie się negatywnie bo audytorzy nie mają łatwego chleba i trzeba z nimi dyskutować i udowadniać swoje racje. Praktycznie, kazda wątpliwość interpretacyjna działa na Państwa korzyść.
Offline
pytania dot. zaleceń wydanych po audycie - m.in:
1. w związku z art. 36a ust 9 i 36 b UoODO oraz §4 ust. 2 RRZ sporządzać plany sprawdzeń, itp. - TO WIEMY
2. Fakt przeprowadzenia sprawdzeń dokumentować w ustalony sposób - TO WIEMY (powiązane z p. 1)
3. w związku z §20 ust. 2 pkt. 14 KRI zapewnić okresowy audyt wewnętrzny w zakresie bezpieczeństwa, nie rzadziej niz raz na rok - czy to dotyczy naszych sprawdzeń (ABI) z p. 1 i 2 czy jeszcze ktoś ma nas sprawdzać??
4. w regulacjach wewnętrznych ustalić/zapisać (np. zasady udostępniania kodu uruchamiającego i odblokowującego system alarmowy, zabezpieczenia typu dyżury pracowników przy drzwiach wejściowych) - CZYM MAJĄ BYĆ TE REGULACJE?? NP. ZARZĄDZENIEM DYREKTORA, CZY PROCEDURY??
czy z realizacji zaleceń KAW ABI przygotowuje protokół pokontrolny?
Offline
Użytkownik
Przepraszam, że dopiero dziś, ale odnośnie tych procedur dot. alarmów - pytanie zasadnicze: jakim przepisem prawnym podyktowane są wymagania audytora dot. zapisania procedur? Prawda, Panie Piotrze?
Pozdrawiam,
Marta Kwaśny
Offline
Pani Marto Choć alarm w jednostce postrzegamy głównie przez pryzmat ochrony mienia, to jest on równocześnie jednym z elementów ochrony danych osobowych. Uniemożliwia on fizyczne dotarcie do danych osobowych przez osoby do tego nieuprawnione.
Choć żaden z przepisów nie mówi tego wprost, to jednak w par 4 pkt 4 ppkt 5[i] Rozporządzenia Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, czytamy, że Polityka bezpieczeństwa powinna zawierać określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych. Trudno polemizować z faktem, że w czasie, kiedy w placówce nie ma nikogo, alarm należy do elementów fizycznej ochrony danych osobowych.
Serdecznie pozdrawiam
Ania Pielok
Ostatnio edytowany przez Ania (15.05.2017 09:28:26)
Offline
kaskamax1 napisał:
3. w związku z §20 ust. 2 pkt. 14 KRI zapewnić okresowy audyt wewnętrzny
Chciałam się odnieść do tego punktu. W KRI mowa o audycie i w §20 pkt.2 ust. 3.-okresowej analizie ryzyka.
1. Jak często powinna być przeprowadzona analiza ryzyka?
2. Wg jakich wytycznych przeprowadzić audyt wewnętrzny? Czy wg Rozp. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów...? Czyli tak jak sprawdzenie ABIego, wybierając jakiś zakres do sprawdzenia? (jakiego obszaru może dotyczyć taki audyt?).
Pozdrawiam i z góry dziękuję za sugestie,
Gosia
Offline
1. Analize ryzyka wykonujemy za każdym zdarzeniu mającym wpływ na bezpieczeństwo informacji nie żadziej jednak niz raz na rok
2. Moim zdaniem, i tak mówiłem na szkoleniu, sprawdzenie ABI spełnia wszystkie kryteria audytu wewnętrznego ale nie jestem "alfom i łomegom" więc moge sie mylić
Offline
Użytkownik
Pani Aniu, ale czy "określenie środków technicznych" musi być rozumiane jako "stworzenie procedur"? Określam, że środki są takie i siakie.... Wiem, pewnie jestem taka "do przodu" póki nie będzie u mnie w placówce kontroli Ale na szkoleniu z P. Piotrem poruszaliśmy temat procedur postępowania z kluczami (to mniej więcej ta sama sytuacja, co z alarmem). I wówczas uznaliśmy, że skoro nie ma jasnego nakazu (przepisu), to nie ma. A czy panie kontrolujące Pani placówkę podały przepis, o którym Pani pisze, jako wskazujący na konieczność stworzenia procedur?
Pozdrawiam,
Marta
Offline
Pani Marto W przypadku alarmu nie tworzyłam żadnej procedury. Ujęłam w Polityce bezpieczeństwa, że budynek jest zabezpieczony alarmem, kto posiada kody do jego rozbrajania i co dzieje się, kiedy alarm zostaje wzbudzony. Określiłam "alarm" jako jeden ze środków technicznych służących do zabezpieczenia danych. Zapisy, które ujęłam w Polityce nie spotkały się z żadnymi zastrzeżeniami kontrolujących.
Inna sprawa to procedura postępowania z kluczami w placówce. To faktycznie jest ujęte w procedurę. Nie jest ona jakoś specjalnie obszerna, ale precyzuje kto, za co co jest odpowiedzialny. Kto może zabrać klucze do domu a kto nie. Gdzie znajdują się zapasowe klucze do pomieszczeń oraz zawiera bezwzględny zakaz dorabiania kluczy bez zgody kierownika jednostki. Ujęłam tam również kto posiada klucze do drzwi wejściowych placówki i jak się z nimi postępuje. Procedura ta stanowi element dokumentacji ochrony danych osobowych w placówce i tu też audytor nie wnosił zastrzeżeń.
A propos podstawy prawnej w opracowaniu audytowym podano jako podstawę prawną załącznik nr I do RDPDO.
Proszę pamiętać, że w razie wymiany korespondencji z KAW musi Pani brak tych zapisów obronić. U mnie audyt był w 2016, a w 2017 kontrola wydanych zaleceń. Z mojego doświadczenia poradzę Pani, aby w tej sprawie nie iść na wojnę bo to jest zabezpieczenie i w Polityce powinno być ujęte
Serdecznie pozdrawiam,
Ania
Ostatnio edytowany przez Ania (17.05.2017 14:57:54)
Offline
AUDYT dot. "powierzonych przez UM zbiorów danych osobowych" - czy Ktoś miał?
Ja generalnie nie wyróżniałam jakoś specjalnie zbiorów powierzonych przez urząd...
mamy m.in. takie kryteria, z którymi nie wiem, czy sobie poradzę (nie chodzi o to, żeby było idealnie, ale żeby też nie było tragedii)...
1. czy do przetwarzania powierzonych przez Urząd danych dopuszczone są wyłącznie osoby posiadające upoważnienia ADO?
mamy upoważnienia wg wzoru ze szkolenia (kto do jakiego zbioru ma dostęp), czy do tych danych "urzędowych" potrzebne są jakieś dodatkowe upoważnienia, czy wystarczy na tym ogólnym?
2. czy polityka bezp. zawiera wykaz budynków, pomieszczeń, w których przetwarzane są dane osobowe powierzone przez Urząd?
mamy ogólnie w polityce w jakich budynkach i pomieszczeniach przetwarzane są dane (wszystkie); a potem w zbiorze dot. Urzędu rozpisane w jakim pomieszczeniu (gabinecie) i kto ma dostęp...
3. czy polityka zawiera aktualny wykaz powierzonych przez Urząd zbiorów wraz ze wskazaniem programów do ich zastosowania?
mamy mieszkańcy, kontrahenci, nauczyciele poszukujący pracy...
4. czy zapewniono bezzwłoczne zgłaszanie incydentów mających wpływ na bezp. informacji urzędu?
mamy zapis w polityce, że o incydentach mających wpływ na bezp. informacji urzędu ADO lub ABI niezwłocznie zawiadamia urząd...
Macie jakieś uwagi, doświadczenia z audytem dot. powierzonych przez Urząd danych??
To mój pierwszy audyt, więc może dlatego się stresuje... ale z drugiej strony się cieszę, bo przynajmniej będę wiedzieć, co i jak...
pozdr. Kasia
Offline
W moim przypadku, akurat tydzień temu skończyłam audyt wewnętrzny. Bardzo mocno wzorowałam się na audycie, jaki przeprowadzali "nasi przyjaciele" z ul. Fredry. Tak właściwe sprawdziłam i opisałam wszystkie elementy, na jakie składa się ochrona danych osobowych w placówce. Tydzień sprawdzania i kilkanaście stron protokołu. I już ... To co mnie ubawiło najbardziej to był fakt, że sama ten audyt przeprowadzałam, czyli właściwe sprawdzałam samą siebie. Reasumując -1. sprawdzenie (wybrane elementy, które na przełomie 5 lat muszą stanowić pełne sprawdzenie systemu), audyt - w moim przypadku całość. Raport + wnioski przekazałam szefowej do kontroli zarządczej.... i do realizacji oczywiście. (Jednym z nich była zakup serwera sieciowego )
A tak w ogóle to czy był już u Pani w tym roku KAW? bo jeśli tak to może Pani ich audyt potraktować jako audyt z KRI.
Pozdrawiam
Ania
Ostatnio edytowany przez Ania (12.09.2017 16:58:44)
Offline