22 Wrz

Analiza ryzyk i zagrożeń – podejście praktyczne

RODO innowacyjnie w stosunku do dotychczasowych rozwiązań, podchodzi do kwestii doboru odpowiednich środków zapewniających rozliczalność danych (mam na myśli rozliczalność w rozumieniu fundamentalnych zasad przetwarzania danych, o których mowa w art. 5 RODO). W miejsce stałych wytycznych, które dotychczas prowadziły administratora danych za rękę, wprowadza podejście oparte na ryzyku. Jedyne konkretne (minimalne) wytyczne zostały wskazane w art. 32, tzn.

  • szyfrowanie i pseudonimizacja danych;
  • zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Ani słowa o hasłach, szafach, niszczarkach, zabezpieczeniach sieci. Administrator danych (firma) musi zapewnić zdolność do skutecznego zabezpieczenia danych, czyli samodzielnie dobiera odpowiednie środki i bierze za nie odpowiedzialność. A ich skuteczność ma być zagwarantowana przez ciągłe testowanie i ocenianie. W jaki sposób? To administrator danych decyduje. Oczywiście najważniejszą i najbardziej obiektywną oceną, czy zastosowane rozwiązania są skuteczne, będzie skuteczność. Jednakże jeżeli środki bezpieczeństwa zawiodą, administrator stanie przed koniecznością udowodnienia, że ze swojej strony robił wszystko co mógł, aby tak nie było, w tym dobór środków dyktował nie tylko ceną, ale także ich skutecznością. Będzie musiał okazać wyniki dokonywanych testów i oceny skuteczności zastosowanych zabezpieczeń. Narzędziem służącym do realizacji tego zadania jest analiza ryzyk i zagrożeń. Konieczność dokonania analizy wywodzimy także z art.  35 RODO, który wskazuje, że jeżeli dla konkretnego przetwarzania istnieje wysokie ryzyko naruszenia poufności, należy przeprowadzić ocenę skutków dla ochrony danych. Najpierw trzeba ocenić ryzyko, żeby wiedzieć, czy konieczna jest ocena skutków.

Kto powinien przeprowadzić analizę ryzyka

W tym momencie dla większości administratorów zaczyna się problem. Jak zrobić analizę ryzyka, czy można zrobić ją samodzielnie, czy trzeba zatrudnić zewnętrzną firmę? Jakich narzędzi użyć, czy jest to trudne? Jeżeli wyszukiwaliście w Internecie informacje o metodologii przeprowadzania analizy ryzyka, to wiecie, że jest to zagadnienie dość skomplikowane. Tym bardziej, że nie da się napisać uniwersalnego tekstu o analizie ryzyka, tak żeby był prosty i zrozumiały, bo należy uwzględnić zarówno potrzeby małych, średnich, jak i dużych przedsiębiorstw. Z audytów u klientów wiem, że bardzo często osoba, której przypadł zaszczyt przeprowadzenia analizy nie ma o tym zielonego pojęcia, a w najlepszym przypadku dostaje tabelkę z poleceniem proszę to uzupełnić. Uzupełnia, tak jak jej się wydaje, tak jakby wróżyła z fusów. Stwierdzając, że jest to bezużyteczne i nic nie daje. Dodatkowo jest ogromny nacisk ze strony kierownictwa, aby wszędzie wyszło niskie ryzyko. Read More

16 Kwi

Ocena skutków przetwarzania według RODO

Ogólne rozporządzenie o ochronie danych osobowych to ewolucja dotychczasowego podejścia do zapewnienia bezpieczeństwa przetwarzanych danych, które powinno być oparte na ocenie ryzyka. Generalny Inspektor Ochrony Danych w grudniu 2017 roku opublikował dwuczęściowy poradnik: Jak rozumieć podejście oparte na ryzyku wg RODO? Warto do niego sięgnąć, aby zyskać ogólne pojęcie o zasadach szacowania ryzyka. Wadą poradnika jest jego uniwersalność i profesjonalizm, które mają zapewnić, że będzie miał zastosowanie zarówno do małych, jak i dużych organizacji. Dla osoby nie mającej pojęcia o szacowaniu ryzyka (albo w ogóle o ryzyku), może to być zbyt trudne źródło informacji (chociaż rzetelnie opracowane). Chciałabym podkreślić, że RODO nie narzuca żadnych konkretnych metod szacowania ryzyka – to administrator decyduje, jak dokona oceny tego ryzyka. Nie muszą to być wyrafinowane, czy skomplikowane metody. Podmioty publiczne mogą skorzystać z mechanizmów kontroli zarządczej – są im znane i od lat stosowane. Osoby rozpoczynające swoją przygodę z szacowaniem ryzyka, mogą robić tabele (macierze), ale mogą też po prostu wypisywać zidentyfikowane dla danego procesu ryzyka oraz ich skutki, a następnie opisywać co mogłoby je zminimalizować. Jest to metoda tak dobra, jak każda inna, dopóki działa i jest regularnie stosowana (to czy działa bardzo łatwo jest rozpoznać – zła metoda sprawia, że nie jesteśmy w stanie przeprowadzić analizy, utykamy w połowie). Read More

18 Paź

[aktualizacja] Czy muszę mieć analizę ryzyka i zagrożeń?

Coraz częściej pytacie o to, czy istnieje obowiązek opracowania analizy zagrożeń i ryzyka. A tak w ogóle, to o co chodzi z tą analizą? Zgodnie z nazwą, analiza służy szacowaniu ryzyka i zagrożeń na poufności, integralności oraz rozliczalności informacji chronionych (myślę, że należy ten temat omawiać szerzej, nie tylko w zakresie danych osobowych). Krajowe przepisy o ochronie danych osobowych nie wskazują wprost na obowiązek opracowania analizy, jednakże już w ogólnym rozporządzeniu o ochronie danych osobowych, które będzie bezwzględnie obowiązywać od połowy 2018 roku, pojawia się konieczność szacowania ryzyka, aby móc zapewnić odpowiednie środki ochrony danych. Podobnie obowiązek szacować ryzyko mają wszystkie podmioty, które dotyczy Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego, czyli, te w których przetwarzane są informacje niejawne. Natomiast podmioty, które prowadzą rejestry publiczne są zobligowane do szacowania ryzyka na podstawie Rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.  Analiza ryzyka i zagrożeń to dokument będący wynikiem procesu szacowania ryzyka. Oznacza to, że nie można kupić gotowej analizy ryzyka i zagrożeń – powinna być ona tworzona indywidualnie dla każdego podmiotu. Read More