Audyt informatyczny jest procesem zdobywania materiałów dowodowych dotyczących systemów informatycznych i związanych z nimi zasobów. Audyt porusza więc takie kwestie jak na przykład bezpieczeństwo zgromadzonych w systemie danych, a także ich integralność, jak również zarządzanie zmianami tychże danych w systemie. W jego skład wchodzi również kontrola procedur zakupu i zarządzania sprzętem, procedur zarządzania kadrą IT, projektami, czy jakością całości systemu bądź jego części.
W świetle Rozporządzenia o ochronie danych osobowych w procedurach przeprowadzania audytu informatycznego zaszły istotne zmiany, które wiążą się z różnymi aspektami i zadaniami audytu.
Audyt IT a RODO
Ostateczne wejście w życie RODO dotknęło w sposób oczywisty systemy informatyczne, którymi posługują się przedsiębiorstwa i różnego rodzaju instytucje publiczne. Jednym z najistotniejszych zadań systemów IT jest zbieranie, przechowywanie i przetwarzanie informacji dotyczących konkretnych osób, w tym pracowników, współpracowników, klientów i wielu innych. Dane osobowe gromadzone w systemach informatycznych najczęściej rozproszone są w ich różnych miejscach, a także przesyłane są wielokrotnie na zewnątrz. Audyt, który uwzględnia postanowienia RODO powinien więc szczególnie uwzględniać wszelkie punkty systemów informatycznych, w których te dane są w jakikolwiek sposób narażone. Dotyczy więc on nie tylko sposobu przechowywania omawianych danych, ale również zastosowanych zabezpieczeń, również związanych z ich przesyłaniem i przetwarzaniem. Z punktu widzenia Rozporządzenia o ochronie danych osobowych istotnym zadaniem audytu informatycznego staje się ustalenie na ile newralgiczne dane są bezpieczne i niepodatne na dostęp do nich przez osoby niepowołane.
Retusz w audycie IT, czy istotna zmiana?
Audyt IT dotyczy przedsiębiorstw i instytucji publicznych, które posługują się zinformatyzowanymi systemami przechowywania i zarządzania danymi. Jego najistotniejszym punktem, wokół którego koncentrują się działania jest kwestia bezpieczeństwa majątku. Istotną kwestią jest tu również zachowanie integralności danych zgromadzonych w systemie. Innym celem audytu jest kontrola przepływu informacji w systemie, pomiędzy jego elementami, a także pomiędzy różnymi systemami. Audyt sprawdza, czy przekazywane są należyte dane, a także to, czy proces przebiega rzetelnie. Istotnym celem audytu IT jest wreszcie kontrola całej infrastruktury, która składa się na system informatyczny w firmie, czy instytucji, w której jest prowadzony. Dotyczy to zarówno sprzętu informatycznego i metod jego kontroli i zarządzania, jak również pracowników działów IT i sposobu nimi zarządzania.
Po wprowadzeniu Rozporządzenia o ochronie danych osobowych audyt zyskuje jeszcze jeden ważny, obok właściwości i rzetelności przekazywanych danych punkt. Jest nim ich bezpieczeństwo, a zwłaszcza bezpieczeństwo przechowywanych w systemach IT danych osobowych. Rozporządzenie RODO definiuje konkretne sposoby zarządzania danymi osobowymi, a także ich udostępniania,przetwarzania i przesyłania. Audyt IT, a zwłaszcza audyt nastawiony na stopień wdrożenia w systemie informatycznym zasad wprowadzonych przez RODO staje się więc narzędziem, dzięki któremu możliwe jest ustalenie stopnia dostosowania systemu do nowych zasad.
Oczywistym jest, że kwestie bezpieczeństwa danych w systemach informatycznych, a zwłaszcza danych osobowych nie są czymś co pojawiło się dopiero wraz z wejściem w życie rozporządzeń RODO. W związku z tym, że bezpieczeństwo danych jest ściśle związane z bezpieczeństwem majątku, co wskazywane jest jako główne zadanie audytu informatycznego kwestie te były również wcześniej istotnym elementem audytu. Jakie więc istotne zmiany wprowadza w tej dziedzinie Rozporządzenie o ochronie danych osobowych. Najważniejszą kwestią jest tu przede wszystkim ujednolicenie związanych z bezpieczeństwem przepisów, które obowiązują w różnych krajach Unii Europejskiej.
Dotychczas kwestie bezpieczeństwa danych osobowych definiowane były przez lokalne prawodawstwo. W zależności od obowiązujących w danym kraju przepisów ustalane były zasady dotyczące ochrony danych w systemach informatycznych, a co za tym idzie elementy checklisty audytu informatycznego. Bezpieczeństwo danych wydaje się z tej perspektywy przede wszystkim kwestią prawną, a nie praktyczną – związaną z bezpieczeństwem majątku przedsiębiorstwa, czy instytucji, w której prowadzony jest audyt informatyczny.
RODO ujednolica przepisy obowiązujące w krajach członkowskich UE, a więc siłą rzeczy wymusza zmianę regulacji na poziomie poszczególnych członków Unii. Zgodnie z ustaleniami dotyczącymi Rozporządzenia, możliwe jest dostosowanie poszczególnych zapisów do lokalnych warunków, a więc mogą się one nieco różnić w poszczególnych krajach. Reasumując – RODO jest powodem wprowadzenia zmian w prawie polskim, które dotyczy bezpieczeństwa przechowywanych w systemach informatycznych danych osobowych, a więc w pewnej mierze wpływa również na kształt audytu informatycznego. Podstawowe cele audytu pozostają takie same, ale w kwestii danych osobowych i ich bezpieczeństwa wprowadzono pewne zmiany formalne, które wymuszają zmiany w sposobie jego przeprowadzania.
RODO i analiza ryzyka w systemach informatycznych
Dla wielu osób, które zajmują się bezpieczeństwem systemów informatycznych i związanymi z tym regulacjami prawnymi może być swego rodzaju zaskoczeniem, że Rozporządzenie o ochronie danych osobowych nie wskazuje praktycznie żadnych konkretnych metod i technik, które mogłyby być w dziedzinie bezpieczeństwa zastosowane. Istotnym nurtem w prawodawstwie europejskim jest dziś raczej budowanie systemów analizy ryzyka, które postrzegane są jako uniwersalne narzędzie służące bezpieczeństwu. Systemy oceny ryzyka uwzględniają dwie rzeczy. Pierwszą z nich jest realne ryzyko wystąpienia konkretnego zdarzenia – w tym przypadku dostania się danych osobowych w niepowołane ręce. Drugą – zagrożenie, jakie wynika z utraty kontroli nad danymi. Porównanie ich, a także konkretne techniki związane z oceną są istotnymi dla RODO narzędziami ochrony danych osobowych.
Konsultacje: IT Leader – https://it-leader.pl/oferta/audyty-it
