Audyt KRI w obszarze bezpieczeństwa informacji
Trafiając na tę stronę, jest wysoce prawdopodobne, iż interesuje Cię audyt bezpieczeństwa informacji w Twojej organizacji. Świetnie! W takim razie wyjaśnimy Ci rodzaje i różnice audytów z podziałem na sektory i ich zakres. Zapewniamy, iż po zapoznaniu się tymi informacjami, świadomie podejmiesz decyzję w doborze audytu oraz sposobie jego realizacji. Jeśli masz wątpliwości, pytania, napisz do nas. Otrzymasz rzetelną niezobowiązującą odpowiedź, która może przerodzić się w ciekawą realizację wybranego przez Ciebie audytu.
Nie hamuj się, napisz do nas. Kto pyta nie błądzi!
Bezpieczeństwo informacji czy bezpieczeństwo informacji osobowych?
Patrząc przez pryzmat szeroko rozumianych danych przetwarzanych w sektorze publicznym, bezpieczeństwo informacji ma swoje odzwierciedlenie w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne, rozporządzeniach do wymienionej ustawy ze szczególnym uwzględnieniem rozporządzenia w sprawie Krajowych Ram Interoperacyjności, oraz ustawie o krajowym systemie cyberbezpieczeństwa.
Natomiast bezpieczeństwo informacji osobowych swoje odzwierciedlenie ma w rozporządzeniu ogólnym RODO, trzech ustawach o ochronie danych osobowych (Dz.U. 2018 poz. 1000, Dz.U. 2019 poz. 125, Dz.U. 2019 poz. 730) wraz z rozporządzeniami, oraz wytycznych Europejskiej Rady Ochrony Danych – EROD (dawniej: Grupa Robocza Art. 29). Oczywiście tematyka danych jest bardzo rozległa i można by wymienić wiele więcej przepisów, jednakże niniejsze informacje mają na celu ukierunkować Twoje działania w aspekcie bezpieczeństwa informacji oraz informacji osobowych.
Jaka jest różnica pomiędzy testem podatności a testem penetracyjnym?
Dość częstym zjawiskiem jest mylenie powyższych dwóch pojęć przez organizacje zamawiające usługi (w szczególności audyt Krajowych Ram Interoperacyjności), co wiąże się ze sporymi różnicami kosztów po stronie wykonawcy.
Zasadniczą różnicą pomiędzy testem podatności (o którym mowa m.in. w rozporządzeniu Krajowych Ram Interoperacyjności), a testem penetracyjnym jest to, iż test podatności jest skanowaniem / wykrywaniem luk. Natomiast test penetracyjny jest przeprowadzaniem kontrolowanego ataku na system IT organizacji jako „przedłużenie” testu podatności.
Audyt bezpieczeństwa informacji w sektorze publicznym i prywatnym. Jaki? Kiedy?
W sektorze publicznym i prywatnym wyróżniamy dwa rodzaje audytu bezpieczeństwa ukierunkowanego na ochronę informacji. Bezpieczeństwo informacji (danych) oraz bezpieczeństwo informacji osobowych (danych osobowych). Innymi słowy: bezpieczeństwo informacji (danych) podlega audytowi Krajowych Ram Interoperacyjności, a bezpieczeństwo informacji (danych) osobowych podlega tzw. audytowi RODO. Każdy z tych obszarów wymaga zarządzania, które winno być poddawane regularnym przeglądom / audytom celem ciągłego doskonalenia organizacji.
O ile audyt w zakresie bezpieczeństwa informacji (wykonywany nie rzadziej niż raz na rok) jest literalnie wskazany w rozporządzeniu KRI (§20 ust. 2 pkt 14) oraz katalog jednostek których dotyczy w ustawie o informatyzacji działalności podmiotów realizujących zadania publiczne (art. 2 ust. 1), o tyle literalnie w zakresie bezpieczeństwa informacji osobowych już nie ma bezpośredniego wskazania. Niemniej jednak powodów aby go przeprowadzać jest wiele chociażby z uwagi na brzmienie art. 39 RODO. Jest on świetnym rozszerzeniem audytu bezpieczeństwa informacji wynikającym z rozporządzenia w sprawie Krajowych Ram Interoperacyjności.
Dodatkowo wskazuje się wykonanie audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej co najmniej raz na 2 lata, wynikającego z ustawy o krajowym systemie cyberbezpieczeństwa (art. 15 ust.1) przy czym dotyczy on tylko i wyłącznie operatorów usług kluczowych sektora publicznego i niepublicznego.
Reasumując,
w sektorze publicznym wykonuje się audyt wynikający z rozporządzenia KRI; audyt w oparciu o przepisy i wytyczne w zakresie ochrony danych osobowych (RODO, UODO, EROD i inne) oraz w przypadku operatora usługi kluczowej audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej wynikający z ustawy o Krajowym Systemie Cyberbezpieczeństwa.
Natomiast w przypadku sektora prywatnego wykonuje się audyt w oparciu o przepisy i wytyczne z zakresu ochrony danych osobowych (RODO, UODO, EROD i inne); audyt bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej w przypadku operatora usług kluczowych wynikający z ustawy o Krajowym Systemie Cyberbezpieczeństwa oraz w przypadku, gdy realizowane są zadania publiczne (ustawa o informatyzacji działalności podmiotów realizujących zadania publiczne, art. 2 ust. 2) audyt wynikający z rozporządzenia KRI.