AUDYT RODO
Przed przystąpieniem do prac nad wskazaną dokumentacją, wykonujemy audyt bezpieczeństwa w zakresie ochrony danych osobowych. Audyt obejmuje zarówno analizę spełnienia obowiązków formalnych (dokumentację, procedury przetwarzania danych osobowych), jak również analizę wymogów technicznych dotyczących systemów informatycznych, przy pomocy których dane osobowe są przetwarzane. W zakres audytu wchodzi również analiza fizycznych środków zabezpieczeń stosowanych w celu ochrony danych osobowych (zabezpieczenia pomieszczeń, ochrona przeciwpożarowa, urządzenia zabezpieczające przed utratą zasilania itd.) w kontekście poziomu ryzyka utraty danych osobowych.
Czynności wykonywane w ramach audytu:
- precyzyjne zdefiniowanie przetwarzanych zbiorów danych osobowych,
- weryfikacja posiadanej dokumentacji oraz procedur przetwarzania danych osobowych pod kątem ich zgodności z przepisami, efektywności oraz aktualności,
- analiza przesłanek legalności, zakresu, celu oraz adekwatności przetwarzanych danych osobowych oraz sposobu ich przetwarzania,
- analiza techniczno-organizacyjnych zabezpieczeń dla ochrony danych osobowych,
- analiza i weryfikacja zabezpieczeń fizycznych i infrastruktury informatycznej,
- sprawdzenie poziomu zabezpieczeń dla zbiorów danych osobowych,
- weryfikacja prawidłowości rejestracji zbiorów danych osobowych,
- weryfikacja poziomu wiedzy pracowników,
- analiza dokumentacji pracowniczej (w tym z procesów rekrutacji) pod kątem zgodności z przepisami z zakresu ochrony danych osobowych.
W ramach usługi na początku wykonujemy wstępne szkolenie z zakresu RODO dla kadry kierowniczej i pracowników. Kolejnym krokiem jest rozeznanie, które pozwala nam na wstępną identyfikację zakresu i obszarów w jakich przetwarzają Państwo dane osobowe.
AUDYT SPRZĘTU I OPROGRAMOWANIA
Należy pamiętać również o innych obowiązujących wymaganiach prawnych określonych w takich przepisach jak:
- ustawa z dnia 17 lutego 2005 r. o informatyzacji działalności podmiotów realizujących zadania publiczne (tekst jednolity Dz. U. z 2014 r. poz. 1114) oraz wydane do niej
- rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (tekst jednolity Dz. U. z 2016 r. poz. 113), nazywanym w skrócie Rozporządzeniem KRI.
W odniesieniu do działań jakie chcemy wykazać w kontekście wykazania dbałości o bezpieczeństwo przetwarzanych danych, warto skorzystać z zaleceń wymienionych w § 20 ust 2 rozporządzenia KRI odnoszących się do zarządzania bezpieczeństwem. Utrzymywanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację jest jednym z działań.
Zgodnie z zaleceniem proponujemy wykonanie audytu sprzętu i oprogramowania, które powinno się wykonywać przynajmniej raz w roku.
Audyt oprogramowania rozpoczyna się od zebrania tzw. atrybutów legalności. Zaliczamy do nich kopie faktur zakupu oprogramowania i licencji, nośniki, oraz certyfikaty licencji. Mogą nimi być także książeczki licencyjne dołączane do oprogramowania, etykiety COA (Certificate of Authenticity) oraz inne. Atrybuty legalności ustalane są indywidualnie przez producenta oprogramowania.
Pierwszy audyt legalności oprogramowania i audyt sprzętu komputerowego w firmie polega na fizycznym podejściu do każdego komputera. Następnie wykonujemy skanowanie komputera oraz sprawdzamy stan jego plomb i naklejonych etykiet licencyjnych COA. Inwentaryzacja licencji polega na prawidłowym wprowadzeniu ich do programu wraz z dołączonymi obrazami faktur zakupu.
Należy zawsze pamiętać, że posiadanie licencji to fizyczne posiadanie wszystkich niezbędnych dla niej elementów (atrybuty legalności). W skład wchodzi zawsze faktura zakupu oraz wszystkie inne wymagane przez danego producenta atrybuty legalności. Mogą to być np.: określone nośniki, certyfikaty, książeczki dołączane do oprogramowania itp.
Audyt komputera wykonujemy za pomocą D-Scannera (Desktop Scanner).
W programie tworzy się Hosty odpowiadające skanowanym komputerom. Aplikacja zapisuje osobno dane źródłowe skanowania każdego hosta i wykonuje proces rozpoznania danych. Proces ten to zamiana skanowanych danych WMI, Rejestru i przeskanowanych plików na postać zestawów komputerowych, urządzeń i oprogramowania.
Program do audytu udostępnia użytkownikowi aplikacji ogromny zbiór wszelkiego typu zestawień, które można wykorzystać do raportu końcowego. Mogą to być zestawienia podsumowujące, które w czytelny sposób zestawiają ilościowy stan oprogramowania licencjonowanego i bez licencji. Do wyboru są też zestawienia ogólne dla oprogramowania, licencji, urządzeń i zestawów komputerowych a także raporty szczegółowe. Raport audytu kompleksowy zestawia z kolei wszystkie rozpoznane obiekty. Mechanizm Moje zestawienia pozwala audytorowi IT skonstruować własne zestawienia. Możliwości jest naprawdę bardzo dużo.
Zakończenie audytu polega na wykonaniu końcowego raportu audytu z dołączonymi wydrukami zestawień i raportów. Raport zawiera wnioski z przeprowadzonego audytu sprzętu komputerowego i oprogramowania. Zawiera się w nim także propozycje programu naprawczego dla uzupełnienia brakujących licencji i wytyczne na przyszłość. Raport z audytu może zawierać propozycje szkoleń dla pracowników IT odnośnie legalności oprogramowania. Zakończenie audytu powinno też ustalić przyszłą procedurę zarządzania zasobami IT w firmie. Przygotowuje się także dokumenty odnośnie porozumienia pracodawcy z pracownikiem w zakresie używania oprogramowania. Dokumenty te mogą być tworzone na bazie raportów szczegółowych zestawów komputerowych z informacją o odpowiedzialności pracownika.