Auditul de securitate şi conformitatea juridică – un exemplu

Cu două posturi mai în urmă aduceam în discuţie exprimările incoerente din solicitările de servicii de audit. Cauza cred că o reprezintă necunoaşterea şi neînţelegerea. După un schimb de mailuri cu Bogdan Manolea pe marginea subiectului (indiferent cît de „dereglementată” este activitatea CISA în România, există responsabilităţi via Codul Civil….) scriu rîndurile ce urmează.

“Sistemul informatic trebuie să asigure standarde şi proceduri de securitate şi confidenţialitate (n.m SIC!) a informaţiilor care să asigure un grad ridicat de fiabiliate şi siguranţă a operaţiunilor.

Proiectul va asigura standardele de securitate şi confidenţialitate a informaţiilor (n.m care standarde?), de prelucrare a datelor cu caracter personal conform Legii nr. 677 din 21 noiembrie 2001 pentru protecţia persoanelor cu privire la prelucrarea datelor cu caracter personal şi libera circulaţie a acestor date, cu modificările şi completările ulterioare şi conform Legii nr. 506 din 17 noiembrie 2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul comunicaţiilor electronice, cu modificările şi completările ulterioare”

– Auditarea parţială şi finală a proiectului, inclusiv auditarea din punctul de vedere al securităţii aplicaţiei – activitate obligatorie” ( Programul Operaţional Sectorial „Creşterea Competitivităţii Economice” 2007-2013, GHIDUL SOLICITANTULUI, Axa III „Tehnologia Informaţiei şi Comunicaţiilor pentru sectoarele privat şi public”, Domeniul Major de Intervenţie 2 „Dezvoltarea şi creşterea eficienţei serviciilor publice electronice”, Operaţiunea 2 „ Implementarea de sisteme TIC în scopulcreşterii interoperabilităţii sistemelor informatice”, APEL 5)

Întrebare: va revizui auditorul respectarea cerinţelor legale? Tot în postarea amintită spuneam cîte ceva despre “criterii” şi cum se folosesc. Completez cu prevederi ITAF:

“Criteria established by laws and regulations—While laws and regulations can provide the basis of criteria, care must be taken in their use. Frequently, wording is complex and carries a specific legal meaning. ”

„The IS auditor should review and assess compliance with legal, environmental and information quality, and fiduciary and security requirements.

„The information criteria most relevant to audit materiality are:

  • Primary: Confidentiality, integrity, compliance, reliability
  • Secondary: Effectiveness, efficiency, availability”

Acts that involve non-compliance with laws and regulations, including the failure of IT systems to meet applicable laws and regulations.

When planning the engagement, the IS auditor should obtain an understanding of such things as:
….

  • The mechanism that the organisation uses to obtain, monitor and ensure compliance with the laws and regulations that affect the organisation”

Legea 677 şi Ordinul Avocatului poporului nr. 52 stipulează cu privire la aplicaţiile ce procesează date despre sănătatea individului:

„6.Fisierele de acces

Operatorul este obligat sa ia masuri ca orice accesare a bazei de date cu caracter personal sa fie inregistrata intr-un fisier de acces (numit log la prelucrarile automate) sau intr-un registru pentru prelucrarile manuale de date cu caracter personal, stabilit de operator. Informatiile inregistrate in fisierul de acces sau in registru vor fi:

– codul de identificare (numele utilizatorului pentru bazele de date cu caracter personal manuale);

– numele fisierului accesat (fisei);

– numarul inregistrarilor efectuate;

– tipul de acces;

– codul operatiei executate sau programul folosit;

– data accesului (an, luna, zi);

– timpul (ora, minutul, secunda).”

Cine trebuie să asigure îndeplinirea acestor cerinţe? Spitalul+furnizorul soluţiei!

Un gând despre “Auditul de securitate şi conformitatea juridică – un exemplu

  1. Ca o completare la discutia noastra – oricum, furnizorul solutiei ca o persoană împuternicită de către operator in sensul art 3 lit f din legea 677 are obligatii de respectare a principiilor (Art 4 alin2) si a confidentialitatii (art 12).
    De asemenea contractul scris dintre cele 2 parti e obligatoriu:
    Art 20
    (5) Efectuarea prelucrărilor prin persoane împuternicite trebuie să se desfășoare în baza unui contract încheiat în formă scrisă, care va cuprinde în mod obligatoriu:
    a) obligația persoanei împuternicite de a acționa doar în baza instrucțiunilor primite de la operator;
    b) faptul că îndeplinirea obligațiilor prevăzute la alin. (1) revine și persoanei împuternicite.

    Legea 677 e aici – http://www.legi-internet.ro/legislatie-itc/date-cu-caracter-personal/lege-nr-6772001-cu-privire-la-prelucrarea-datelor-cu-caracter-personal.html

    Apreciază

Mulţumesc.

Completează mai jos detaliile despre tine sau dă clic pe un icon pentru autentificare:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s