NOWE PRZEPISY, W PRZECIWIEŃSTWIE DO OBOWIĄZUJĄCYCH DZIŚ RAM PRAWNYCH, nie wskazują już z wykorzystaniem jakich środków zabezpieczać dane i jak zapewniać poprawność przetwarzania. Celem jest pozostawienie administratorowi danych swobody w wyborze rozwiązań, z jednoczesnym wyraźnym ZOBLIGOWANIEM GO DO PRZEPROWADZENIA WIELOASPEKTOWEJ ANALIZY ORAZ OCENY RYZYKA ZWIĄZANEGO Z PRZETWARZANIEM DANYCH. Obowiązujący dokument to Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (zwane dalej „RODO”). Jego przepisy zaczną obowiązywać od 25 maja 2018 r.
Dlatego zakres naszych usług obejmuje następujące etapy :
Zakres I:
- Analiza stanu bezpieczeństwa sieci LAN.
- Wykrycie naruszeń bezpieczeństwa sieci LAN.
- Wskazanie możliwych rozwiązań zwiększających bezpieczeństwo sieci LAN.
- Umożliwianie trwałej i efektywnej ochrony sieci lokalnej.
- Trwałe zwiększenie bezpieczeństwa IT w firmie.
- Analiza topologii sieci.
- Weryfikacja podziału LAN na strefy sieciowe (w tym wykorzystanie firewalli oraz VLAN/PVLAN).
- Analiza systemów backupu, wykonanie kopii oraz odtworzenie na testowym sprzęcie.
- Poszukiwanie podatności w kilku wybranych podsieciach.
- Weryfikacja dostępu do Internetu z LAN.
- Wskazanie potencjalnych, dodatkowych metod ochrony sieci.
- Testy szczelności systemów klasy firewall.
- Skanowanie portów – próby wykrycia usług sieciowych udostępnionych do Internetu.
- Określenie wykorzystanych mechanizmów uwierzytelniania stron (na podstawie przekazanych przez Klienta danych dostępowych).
- Wykrycie luk zabezpieczeń.
- Redukcja czasu naprawy systemów, pozwalająca na lepsze wykorzystanie zasobów pracowników IT.
Zakres II:
- Analiza przesłanek legalności przetwarzania danych osobowych zwykłych i wrażliwych.
- Weryfikacja systemu techniczno-organizacyjnego i infrastruktury ochrony danych osobowych.
- Analiza backupu i zarządzania uprawnieniami oraz określenie ich wpływu na poziom zabezpieczenia zbiorów danych przetwarzanych w formie elektronicznej.
- Analiza Instrukcji Zarządzania Systemem Informatycznym, regulaminów oraz procedur.
- Analiza ryzyka związanego z realizacją obowiązku Privacy by Design.
- Ocena skutków przetwarzania dla ochrony danych osobowych.
- Ocena zbiorów pod kątem przygotowania Rejestru Czynności Przetwarzania Danych.
- Ocena procedur związanych z obowiązkiem notyfikacji w przypadku naruszeń bezpieczeństwa danych wynikających z RODO.
- Ocena klauzul informacyjnych w trybie art. 15 RODO.
- Analiza dokumentacji: Polityk Bezpieczeństwa, Instrukcji Zarządzania Systemami Informatycznymi, upoważnień, ewidencji.
- Analiza umów powierzenia.
Audyt zakończony jest :
- Raportem wraz z rekomendacjami i propozycją rozwiązania przygotowawczego dotyczącego przygotowania do wdrożenia RODO.
- Przeprowadzenie postępowania przygotowawczego w związku z wejściem w życie przepisów Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych oraz w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, zwane w skrócie „RODO”.