Uniwersalny punkt wyjścia?
Za punkt wyjścia do procesu wdrożenia sugerujemy wybrać system ochrony danych osobowych (ODO). W pewnym stopniu pokrywa się on z wytycznymi KNF (więcej na ten temat w artykule Realizacja wytycznych IT KNF a ochrona danych osobowych), dzięki czemu, zwyczajnie, łatwiej będzie nam zacząć. Ważne, aby mieć dobrze opracowaną dokumentację oraz odpowiednio wdrożone zabezpieczenia.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Dodatkowym atutem rozpoczęcia od systemu ODO jest zapewnienie zgodności z rekomendacją 21.1 w zakresie ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych.
Kolejność realizacji wytycznych
Wytyczne IT zostały spisane w sposób uniemożliwiający ich realizacje w kolejności określonej w dokumencie. Przy wdrożeniu wytycznych, należy pamiętać, że są one ze sobą powiązane i tworzą logiczną całość, np. przy wytycznej nr 2 (System informacji zarządczej) mamy wskazane obszary, które muszą być raportowane, ale w innych wytycznych również znajdziemy zapisy o konieczności raportowania w ramach SIZ.
Innym przykładem jest wytyczna 7.15, która zawiera odniesienie do wytycznej 19. Warto więc tak zaplanować realizacje wytycznych, aby zapewnić sobie niezbędne dane wejściowe do realizacji danej wytycznej. Takie podejście chroni projekt przed powstawaniem przestojów prac w wyniku braku niezbędnych do konturowania wdrożenia danych.
Od której wytycznej zacząć?
Najlepiej zacząć od wytycznej nr 1, czyli wsparcia zarządu w realizacji prac wdrożeniowych. Niestety, jak pokazuje praktyka, często na tym całe wdrożenie się kończy… Dzieje się tak dlatego, że zespół wdrożeniowy (lub osoba, wyznaczona do tego zadania) ma problem z uzyskaniem odpowiedniego wsparcia od pozostałych członków zespołu, sfinansowaniem właściwych zabezpieczeń czy nawet, w skrajnych przypadkach, przyjęciem stosownej uchwały dotyczących dokumentacji bezpieczeństwa informacji.
Jeżeli zespół wdrożeniowy posiada właściwe wsparcie kierownictwa, proponujemy rozpocząć prace od wytycznej nr 19, czyli klasyfikacji informacji i systemów informatycznych. Pozwoli to zidentyfikować przetwarzane w organizacji informacje i dane, które mają zostać objęte ochroną. Możemy się posłużyć np. wykazem zbiorów danych. Musimy również wskazać systemy wykorzystywane do przetwarzania danych, co da nam dobry punkt wyjścia do klasyfikacji systemów informatycznych. Zakończenie realizacji 19. wytycznej umożliwi rozpoczęcie procesu wdrożenia wytycznych nr 7, 8, 18, 15.
Innymi rekomendacjami, które mogą mieć swój początek wraz z wytyczną nr 19 są wytyczne nr 2, 4, 5, 6. Rekomendacje te nie wymagają danych wejściowych, a są niezbędne do powstania takich dokumentów jak Polityka bezpieczeństwa informacji czy Instrukcja zarządzania systemami informatycznymi.
Dlaczego nie zaczynać od opracowania strategii w zakresie obszarów technologii informacyjnej oraz bezpieczeństwa środowiska teleinformatycznego (wytyczna nr 3)?
Uzasadnienie jest dość proste. Opracowując strategię musimy wiedzieć, jakie zasoby informacyjne chcemy objąć ochroną, jakie zasoby techniczne wykorzystujemy do ochrony oraz jaki obszar wymaga doskonalenia lub jest objęty systemem zachowania ciągłości działania. Te informacje pozyskamy z realizacji wytycznych nr 15, 18 i 19.
Skąd wiadomo, że prawidłowo realizujemy wdrożenie?
Analizując treść wytycznych należy zdefiniować produkty, które będziemy przedstawiać w trakcie kontroli. Dla przykładu, produktami dla wytycznej nr 19 są:
- sformalizowana procedura klasyfikacji informacji oraz systemów informatycznych,
- wykaz sklasyfikowanych informacji i systemów wraz z poziomem ich ochrony,
- upoważnienia, oświadczenia, itp.,
- opisanie mechanizmów kryptograficznych, wykorzystywanych do ochrony zasobów.
Wytyczną, którą można zrealizować za pomocą danych z dokumentacji ODO jest np. wytyczna nr 10, tj. współpraca z zewnętrznymi dostawcami usług. Zgodnie z wymogami ustawy o ODO, należy mieć zidentyfikowanych procesorów danych. Dowodami na zrealizowanie wytycznej 10 są:
- sformalizowana procedura współpracy z zewnętrznymi dostawcami usług,
- lista zewnętrznych dostawców usług w obszarze IT,
- raporty z oceny zdolności zewnętrznych dostawców usług do utrzymania ciągłości działania,
- umowy z zewnętrznymi dostawcami usług w obszarze IT, weryfikowane również pod względem ewentualnego powierzenia przetwarzania danych osobowych,
- raporty z monitorowania jakości usług.
Produktami dla omawianej powyżej wytycznej nr 1 będą:
- agendy, raporty, protokoły z posiedzenia zarządu i rady nadzorczej, na których omawiany był obszar wytycznych lub bezpieczeństwa teleinformatycznego,
- raporty składane w ramach Systemu Informacji Zarządczej (SIZ).