Analiza ryzyka i zagrożeń kontekście ochrony danych osobowych

W Internecie coraz głośniej jest o rozporządzeniu o ochronie danych (potocznie zwanym RODO lub GDPR – General Data Protection Regulation).  Rozporządzenia ma wejść w życie pod koniec maja 2018 roku. Czasu na jego wdrożenie jest niezbyt dużo, tym bardziej, że w rozporządzeniu tym czytamy w artykule 32 (podaję za https://sekurak.pl/gdpr-nowe-wymagania-dla-ochrony-danych-osobowych-idzie-zaglada/):

(…) administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający (…) ryzyku, w tym między innymi w stosownym przypadku:

a) pseudonimizację i szyfrowanie danych osobowych;

b) zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;

c) zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;

d) regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

Ponadto w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2016/680 w artykule 29 zostało zapisane (http://eur-lex.europa.eu/legal-content/PL/TXT/HTML/?uri=OJ:L:2016:119:FULL&from=EN ):

2. W odniesieniu do zautomatyzowanego przetwarzania każde państwo członkowskie zapewnia, by po ocenie ryzyka administrator lub podmiot przetwarzający wdrożyli środki, które:
a) uniemożliwią osobom nieuprawnionym dostęp do sprzętu używanego do przetwarzania (kontrola dostępu do sprzętu);
b) zapobiegną nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu nośników danych (kontrola nośników danych);
c) zapobiegną nieuprawnionemu wprowadzaniu danych osobowych oraz nieuprawnionemu oglądaniu, zmienianiu lub usuwaniu przechowywanych danych osobowych (kontrola przechowywania);
d) zapobiegną korzystaniu z systemów zautomatyzowanego przetwarzania przez osoby nieuprawnione, używające sprzętu do przesyłu danych (kontrola użytkowników);
e) zapewniają, że osoby uprawnione do korzystania z systemu zautomatyzowanego przetwarzania będą mieć dostęp wyłącznie do danych osobowych objętych posiadanym przez siebie uprawnieniem (kontrola dostępu do danych);
f) pozwolą zweryfikować i ustalić podmioty, którym dane osobowe zostały lub mogą zostać przesłane lub udostępnione za pomocą sprzętu do przesyłu danych (kontrola przesyłu danych);
g) pozwolą następczo zweryfikować i stwierdzić, które dane osobowe zostały wprowadzone do systemów zautomatyzowanego przetwarzania, kiedy i przez kogo (kontrola wprowadzania danych);
h) zapobiegną nieuprawnionemu odczytywaniu, kopiowaniu, zmienianiu lub usuwaniu danych osobowych podczas ich przekazywania lub podczas przenoszenia nośników danych (kontrola transportu);
i) zapewniają, że w razie awarii można będzie przywrócić zainstalowane systemy (odzyskiwanie);
j) zapewniają działanie funkcji systemu, zgłaszanie występujących w nich błędów (niezawodność) oraz odporność przechowywanych danych na uszkodzenia powodowane błędnym działaniem systemu (integralność).

Jak widać z powyższego na administratorze lub podmiocie przetwarzającym ciąży spora odpowiedzialność.  Można się do tego przygotować. Na stronach https://www.cyberlaw.pl/biznes/rodo-co-zmienia/ czytamy:

Przygotuj się już teraz do RODO

  1. Dokonaj analizy klauzul zgód (sprawdź czy są zgodne z RODO),
  2. Sprawdź czy obowiązek informacyjny względem podmiotu danych możesz już teraz odpowiednio uzupełnić i przygotuj sobie dokument, który będzie wysyłany do podmiotów danych (informację pozwalającą na uznanie, że obowiązek informacyjny jest spełniony),
  3. Dokonaj rewizji procesów przetwarzania z uwzględnieniem DPIA i każdy nowy proces uwzględniaj już z dokonaniem oceny skutków, w tym zastosowaniem Privacy by design i by default,
  4. Uporządkuj umowy powierzenia i rozpocznij proces przeglądania ich zgodności oraz renegocjowania zmian jeżeli są potrzebne zgodnie z RODO,
  5. Przygotuj się na obowiązek notyfikacyjny i uporządkowanie wewnętrznego procesu związanego z obsługą incydentu i zgłoszeniem zarówno do organu nadzorczego jak i w razie potrzeby do podmiotu/ów danych, których prawa zostaną naruszone,
  6. Sprawdź dokładnie jakie obowiązki nakłada RODO.

Analizując powyższe wydaje się, że kluczowa jest analiza ryzyka i zagrożeń kontekście ochrony danych osobowych. Analizę ryzyka i zagrożeń można zrobić poprzez modelowanie zagrożeń i zastosowanie  przykładowo SDL (The Security Development Lifecycle). Jednym z części SDL jest analiza ryzyka. Celem analizy ryzyka, jest wykazanie elementów, które powinny być w szczególny sposób chronione oraz wymienienie potencjalnych zagrożenia uporządkowanych według stopnia ryzyka. Analiza ryzyka może także zawierać listę środków łagodzących te zagrożenia. W konsekwencji powstaje lista, która określa listę środków jakie zostały lub powinny zostać wdrożone.

O analizie ryzyka bazującej na SDL pisałem w następujących tekstach

 

Oczywiście każda firma jest inna. Trzeba opisane modele i drzewa zagrożeń dostosować do specyfiki firmy. Środki łagodzące też będą inne dla każdej z organizacji. Wysiłek włożony w przygotowanie modeli zagrożeń powinien jednak się opłacić w momencie ponownego przeglądu, o którym wspomina rozporządzenie. Powodzenia 🙂

Podobne wpisy

  • Rodzaje wymagań W poprzednim wpisie określiłem kilka definicji, którymi będę się posługiwał w cyklu tekstów o inżynierii wymagań. Czas podział wymagań. Wymagania dzielę na wymagania funkcjonalne i […]
  • Enterprise Architect 9.0 – 3 drobne udogodnienia W nowym EA 9.0 pojawiły się 3 drobne udogodnienia: Mapowanie tekstu na inne elementy modelu Przecinające się linie Filtry na diagramach 1. Mapowanie tekstu na inne elementy […]
  • Sprint Planning Meeting – Planowanie Sprintu Na spotkaniu dot. Planowania Sprintu (ang. Sprint Planning Meeting) Zespół Scrum oraz Właściciel Produktu określają, które cechy i zadania będą poddane próbie wykonania w nadchodzącym […]
  • Umarł Król niech żyje Król The Rational Edge to, moim zdaniem, jeden z najlepszych magazynów wydawanych w formie elektronicznej. Cenię go bardzo także za to, że w sposób niesłychanie merytoryczny traktował o […]
  • KILKA PORAD DLA MODELOWANIA WYMAGAŃ METODĄ AGILE Chciałbym podzielić się kilkoma istotnymi zasadami, które, mam nadzieję, że pomogą ustanowić efektywne podstawy dla modelowania wymogów metodą agile (i nie tylko). 1. "Niezwykle […]
Reklama
MODESTO - licencje Enterprise Architect

1 komentarz dla “Analiza ryzyka i zagrożeń kontekście ochrony danych osobowych”

  1. Cześć, temat jest ważny i świetnie, że go poruszasz. Dziękuję też za odesłanie do cyberlaw.pl . Ciekawe podejście związane z analizą ryzyka w kontekscie SDL. Chętnie poczytam. Zapraszam też do Pomocnika RODO. Pozdrawiam, Beata Marek

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Przewiń do góry