Frequently Asked Questions
Co oznacza że norma ISO jest „wycofana” lub „zastąpiona”?
W normalizacji, u której podstaw leży dobrowolne stosowanie normy, "norma ISO wycofana" oznacza dezaktualizację jej treści. Jednakże nie jest to zakaz jej stosowania. Jej stosowanie / opieranie się o nią jest czymś złym. Dopiero w sytuacji, gdy dana norma ma atrybut "zastąpiona" - stosowanie jej nie jest zalecane i warto sięgnąć po nowszą wersję. Idealnym przykładem wobec powyższego jest:
- norma (wycofana) PN-ISO/IEC 24762:2010 (Technika informatyczna -- Techniki bezpieczeństwa -- Wytyczne dla usług odtwarzania techniki teleinformatycznej po katastrofie) która jest wskazana w aktualnym rozporządzeniu KRI (stan na 2023r.), czy też często sięga się po nią w aspekcie art. 32 ust. 1 pkt b RODO. Co więcej spore spora ilość audytorów korzysta z tej normy co jest pewnym standardem;
- norma (wycofana) PN-ISO/IEC 27005:2014-01 (Technika informatyczna -- Techniki bezpieczeństwa -- Zarządzanie ryzykiem w bezpieczeństwie informacji) która obecnie jest wykorzystywana w prawie każdym szacowaniu ryzyka bezpieczeństwa informacji. Co więcej UODO w swoim dwutomowym poradniku szacowania ryzyka bezpośrednio wskazują niniejszą normę.
Przydatne linki wobec przedmiotowego tematu:
- Standardy Krajowych Ram Interoperacyjności (KRI): https://www.gov.pl/web/ia/standardy-krajowych-ram-interoperacyjnosci-kri
- Stanowisko Polskiego Komitetu Normalizacyjnego wobec norm wycofanych: https://wiedza.pkn.pl/web/wiedza-normalizacyjna/stanowisko-pkn-w-sprawie-stosowania-pn-wycofanych
Nie zatrudniam pracowników w swojej firmie. Czy RODO mnie dotyczy?
To, że przedsiębiorca nikogo nie zatrudnia, nie oznacza, że nie przetwarza danych osobowych. W przypadku tego rodzaju firm należy wziąć pod uwagę dane osobowe klientów bądź kontrahentów, z którymi firma współpracuje czy dane osobowe wynikające z przesłanych aplikacji drogą mailową (nawet w przypadku formalnie nie ogłoszonego naboru). Względem tych danych osobowych trzeba stosować odpowiednie procedury przewidziane w politykach ochrony danych. Należy się również zastanowić, czy jako przedsiębiorca będę wchodzić w rolę administratora, współadministratora, a może podmiotu przetwarzającego. Niejednokrotnie na przedsiębiorcy będzie spoczywać konieczność spełnienia obowiązku informacyjnego względem wybranej grupy osób. Zdecydowanie każdy podmiot w jakimś stopniu jest związany rozporządzeniem ogólnym.Jakie kwalifikacje powinien mieć Inspektor Ochrony Danych?
Po części na to pytanie odpowiada art. 37 ust. 5 rozporządzenia ogólnego, który stanowi: „Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia zadań, o których mowa w art. 39.” Rozporządzenie ogólne kładzie nacisk na dwa czynniki: wiedza ekspercka oraz doświadczenie. Warto zauważyć, że projektodawca nowego brzmienia ustawy o ochronie danych nie zdecydował się na dookreślenie, o jakie konkretnie kwalifikacje chodzi. Nie chciał tym samym wprowadzać ograniczeń w zakresie swobodnego świadczenia tego rodzaju usług. Za wybór Inspektora Ochrony Danych odpowiada Administrator – to on powinien wybrać takiego człowieka, który poradzi sobie z zadaniami określonymi w art. 39 rozporządzenia ogólnego. Administrator powinien również zbadać u Inspektora poziom znajomości przepisów branżowych, którymi związana jest organizacja, w której miałby on pełnić swoją funkcję. Innego zasobu wiedzy należy wymagać od Inspektora, który byłby wyznaczony w jednostce samorządu terytorialnego, a zupełnie odmiennego w przypadku spółki prawa handlowego przetwarzającej dane transgranicznie. Wybór Inspektora powinien odbywać się z zachowaniem należytej staranności przy uwzględnieniu charakteru przetwarzanych danych osobowych w organizacji. Inspektora Ochrony Danych można wyznaczyć ze struktur organizacji, zatrudnić poprzez konkurs stanowiskowy bądź podjąć współpracę w zakresie świadczenia usług na podstawie umowy cywilnoprawnej. Niemniej jednak, zważywszy na zawiłość tematyki ochrony danych i danych osobowych coraz częściej organizacje chcą, aby IOD posiadał doświadczenie audytora z zakresu norm i standardów określonych w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 10 września 2010 r. w sprawie wykazu certyfikatów uprawniających do prowadzenia kontroli projektów informatycznych i systemów teleinformatycznych.Jakie dokumenty muszę mieć w jednoosobowej działalności gospodarczej, by spełnić wymagania RODO?
Art. 24 rozporządzenia ogólnego wprowadza zapis, że Administrator powinien wdrożyć odpowiednie polityki ochrony danych. Określenie „odpowiednie polityki” jest wystarczająco nieostre by zapytać: „czyli co konkretnie mam mieć?”. Niewątpliwie można się posiłkować dotychczas wymaganą dokumentacją tj. Polityką Bezpieczeństwa oraz Instrukcją Zarządzania Systemem Informatycznym. Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych dosyć precyzyjnie określa co powinna zawierać dokumentacja. Co prawda przedmiotowy akt wykonawczy zostanie uchylony wraz z aktualnie jeszcze obowiązującą ustawą o ochronie danych osobowych, ale praktyki, które organizacje wypracowały do tej pory nie będą traciły na aktualności. Będą oczywiście wymagały modyfikacji i uzupełnienia, przykładowo o rejestr czynności przetwarzania, czy analizę zasadności wyznaczenia bądź nie Inspektora Ochrony Danych, aczkolwiek małe firmy będą mogły w dalszym ciągu korzystać z elementów składowych standardowej Polityki Bezpieczeństwa oraz Instrukcji Zarządzania Systemem Informatycznym. Ciekawą i praktyczna informacją jest artykuł zamieszczony na stronie Urzędu Ochrony Danych Osobowych - link.Test penetracyjny vs. test podatności w kontekście audytu Krajowych Ram Interoperacyjności? Jaka jest różnica?
Test podatności ≠ test penetracyjny
Dość częstym zjawiskiem jest mylenie dwóch pojęć (test podatności oraz test penetracyjny) przez jednostki zamawiające usługi. W szczególności odzwierciedla to audyt Krajowych Ram Interoperacyjności, co wiąże się ze sporymi różnicami kosztów po stronie zamawiającego jak i wykonawcy.
Test podatności jest skanowaniem / wykrywaniem luk. Natomiast test penetracyjny jest przeprowadzaniem kontrolowanego ataku na system IT jednostki jako „przedłużenie” testu podatności. Jest to zasadnicza różnica pomiędzy oba testami, przy czym test podatności jest najtrafniejszą interpretacją zapisów rozporządzenia Krajowych Ram Interoperacyjności.
W rozporządzeniu Krajowych Ram Interoperacyjności (link do tekstu jednolitego) w § 20 ust. 2 pkt 12 lit. f oraz g mowa jest o opublikowanych podatnościach technicznych:
Rozporządzenie Krajowych Ram Interoperacyjności z dnia 12 kwietnia 2012r. (Dz.U. 2017.2247)
§ 20 ust. 2 | Zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez zapewnienie przez kierownictwo podmiotu publicznego warunków umożliwiających realizację i egzekwowanie następujących działań:
[…]
pkt 12 | zapewnienia odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
[…]
lit. f | redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
lit. g | niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
Opublikowane podatności
Frazę "opublikowanych podatności" najprościej utożsamić ze zjawiskiem ogólnodostępnych baz danych podatności (np. CVE). Takowe bazy są aktualizowane od wielu lat i są podstawą dla każdego informatyka/pentestera. Oczywiście ręczne przeglądanie jest wykonalne, jednakowoż w praktyce wykorzystuje się m.in zautomatyzowane oprogramowania oraz indywidualne rozwiązania IT. Pierwszym etapem jest test podatności (wyszukiwanie luk) co niejednokrotnie może być wystarczające, ale nie jest to regułą. Takowe testy powinny dotyczyć wewnętrznej i zewnętrznej infrastruktury jednostki. Przykładem są np. serwery wewnętrzne / chmurowe / kolokowane, punkty styku WAN/LAN, urządzenia brzegowe, komputery, drukarki, oprogramowanie itd... Natomiast drugim etapem jest wskazanie sposobu zniwelowania podatności (wyszukanych luk) co w naszej organizacji jest standardem. Oczywiście jest to bardzo ogólne zestawienie wymagające większej szczegółowości.
Techniki testów
Obligatoryjnym jest ustalenie techniki wykonywanych testów (Black Box, Grey Box, White Box). Jest to ustalenie sposobu pozyskiwania danych. Przykładowo techniką jest brak jakichkolwiek wewnętrznych informacji o jednostce, "pół na pół" czy też pełna wiedza o infrastrukturze.
Test penetracyjny
Uzupełnieniem całego procesu może być test penetracyjny w zależności od uwarunkowania oraz zapotrzebowania. Warto jednak pamiętać, iż w sektorze realizującym zadania publiczne wykonywanie testów penetracyjnych nie jest takie oczywiste z punktu formalno-prawnego. Ale to już inna, dłuższa historia.
Testy socjotechniczne
Warto też pamiętać, iż testy socjotechniczne (zjawisko inżynierii społecznej) są ciekawym dopełnieniem całego procesu testowania. Ich sposób oraz rodzaj przeprowadzenia jest dość indywidualny wobec każdej sytuacji.
Więcej szczegółów można się dowiedzieć na naszych szkoleniach oraz na stronie www.audytkri.pl