Dzisiejszy temat wynika z ciekawych dyskusji o RODO w różnych miejscach w sieci. Na tyle zaskakujących, że chyba wrócimy na łamach RODOmaniaków do podstaw. Dziś pierwsze z nich. Naprawdę fundamentalne i trochę historyczne. Mam nadzieję, że wstęp osadzony w fundamentach ekonomii pozwoli zrozumieć istotę zarządzania bezpieczeństwem informacji. Z których tylko część jest chroniona w oparciu o RODO, część w oparciu o inne wymagania prawne, a inne z przyczyn czysto ekonomicznych firm, organizacji czy państw.
Czynniki produkcji – fundamenty ekonomii, czyli po co są nam informacje?
W klasycznej teorii ekonomii wyróżnione są trzy główne czynniki produkcji. Kapitał, praca i ziemia (zasoby ziemi). Dopiero w latach 70-tych ubiegłego wieku zaczęto dostrzegać informację jako coś, co również powinno zostać włączone w czynniki produkcji. Na początku była to wiedza – jak przekształcić kapitał, pracę i ziemię w produkt. Od tego czasu rozwój nauki o zarządzaniu informacjami przyspieszył. W latach 80-tych (niedługo później) dostrzeżono, że informacja może stanowić o przewadze konkurencyjnej. Po prostu jedne przedsiębiorstwa z podobnych czynników potrafiły zrobić coś super, a inne nie radziły sobie.
Pierwsze standardy bezpieczeństwa informacji
Wraz z rozwojem systemów zarządzania informacjami, systemów klasyfikowanych jako MIS – management information systems, które w tamtych czasach zaczęły wymuszać rozwój IT dostrzeżono wiele poważnych problemów i zagrożeń z tym związanych. ISO (Międzynarodowa Organizacja Standaryzacyjna) wraz z IEC (Międzynarodowa Komisja Elektrotechniczna) już w 1996 roku wydały raporty techniczne serii ISO/IEC 13335 – łącznie 5 zeszytów. Mówiły one o bezpieczeństwie informacji w systemach IT. Warto pamiętać to oznaczenie, ponieważ były to raporty poprzedzające normy serii ISO 27000. Nie jest to jedyny prekursor normy. Wielka Brytania w 1995 roku wydała standard brytyjski – BS 7799 (dwa zeszyty). To ten numer, który przez lata był nadany polskiej normie ISO 17799 i powodował co najmniej ból głowy.
Polska nie była gorsza
Nieco później pojawiła się polska metodologia nazwana TISM – Total Information Security Management. Obok niej był również ciekawa publikacja TSM – Total Security Management, opracowanie celujące w bezpieczeństwo operacyjne (tak nazwane w tamtych czasach), a związane bardziej z ciągłością działania. TISM próbowałem użyć wdrażając system ochrony danych osobowych oraz bezpieczeństwa informacji w jednej z instytucji administracji rządowej w 2001 roku, jednak poziom skomplikowania na tamte czasy był zbyt duży.
A co z danymi osobowymi?
Tak, tutaj też nie byliśmy z tyłu. Generalny Inspektor Ochrony Danych Osobowych wydał kilka poradników z cyklu “ABC”. Było o podstawach danych, o ochronie, był również o transferze danych do państw trzecich. Co ważne, te informacje były mocno oparte o rozwiązania w zakresie bezpieczeństwa informacji, czerpały wiedzę ze środowisk zajmujących się ochroną informacji.
Nie tylko GIODO działało prężnie (choć może tego nie było widać). Również branża była aktywna. W podobnym czasie powstał UODO Survival Kit – narzędzie opracowanie przez zespół ODOSI, które było nazwane wytyczną.
Tak naprawdę było to bardzo ciekawe narzędzie do audytowania systemów.
Zarządzanie informacjami
Po tym rysie historycznym o rozwoju nauki o bezpieczeństwie informacji oraz o ochronie danych osobowych czas na dwa zdania dotyczące informacji. W publikacjach występuje wiele opisów cyklu życia informacji. Ten, który mi odpowiada spełnia zasadę:
Coś jest kompletne wtedy, gdy nie da się z tego już nic odjąć, a nie dodać.
Cykl życia informacji
Cykl o podobnym przebiegu nałożony jest na procesy biznesowe w jednym z poradników nowego już Urzędu Ochrony Danych Osobowych. Zawiera cztery podstawowe etapy:
- Wytworzenie, pozyskanie informacji
- Wdrożenie informacji do użytkowania
- Użytkowanie informacji
- Wycofanie informacji, zniszczenie.
Ten cykl jest kluczowy do zrozumienia tzw. atrybutów bezpieczeństwa informacji.
Bezpieczeństwo informacji – atrybuty bezpieczeństwa informacji
W literaturze oraz w RODO jest mowa tylko o trzech atrybutach. Są to:
- Poufność
- Integralność
- Dostępność
Specjaliści bezpieczeństwa informacji wykorzystują więcej aspektów, które nie są bezpośrednio związane z informacjami, ale z ich bezpieczeństwem. Są to w zależności od potrzeb.
- Autentyczność
- Niezaprzeczalność
- Niezawodność
Atrybuty służą nam do opisu informacji, która jest bytem niefizycznym. Jest wyrażona na nośniku lub w innej formie (np. wypowiedziana). Bez nośnika nie istnieje, ale to nie znaczy, że zagrożona jest tylko w taki sposób, jak zagrożony jest nośnik. Integralność informacji nie jest zależna tylko od nośnika, tak jak np. dostępność, a raczej utrata w wyniku zniszczenia.
Ważnym jest, aby zapamiętać z tej części artykułu, że informacja bezpieczna to taka, która posiada wszystkie trzy podstawowe atrybuty bezpieczeństwa informacji:
- Jest poufna, a więc dostarczana i eksploatowana tylko przez te podmioty i procesy, którym została udostępniona.
- Jest integralna, a więc poprawna i jej użycie nie będzie powodowało negatywnych skutków dla procesu (w RODO dla osoby, której dane dotyczą).
- Jest dostępna, a więc w czasie w którym oczekujemy jej dostarczenia otrzymujemy ją. Jeśli otrzymamy po tym zadanym czasie znów dojdzie lub może dojść do negatywnych skutków.
Podkreślam jeszcze raz – aby uznać informację za bezpieczną konieczne jest spełnienie jej wszystkich trzech atrybutów. Dlaczego nie tylko poufność?
Tajemnica, ochrona
Aby zrozumieć RODO i to czym tak naprawdę jest w środowisku informacyjnym należy omówić pojęcie ochrony oraz tajemnicy. Jest to o tyle ważne, że w środowisku myli się te dwa pojęcia, co ma potem negatywne skutki dla ochrony danych.
- Tajemnica – w dużym uproszczeniu jest to zbiór informacji oraz danych, których ujawnienie nieuprawnionym jest zakazane na mocy prawa.
- Ochrona danych – jest to tak naprawdę ochrona osoby fizycznej w związku z przetwarzaniem jej danych osobowych. Obejmuje zarówno tajemnicę z “definicji” wyżej, jak i pozostałe dwa główne atrybuty – integralność (poprawność) oraz dostępność.
Pomyłka, z jaką często mamy do czynienia skutkuje tym, że w ochronie danych osobowych nadmierną wagę przykłada się do poufności (zachowania tajemnicy) z pominięciem pozostałych dwóch atrybutów. Oznacza to, że ochronę danych zastępuje się tajemnicą danych osobowych.
Dane – informacje – wiedza
Zanim przejdę do podsumowania, ostatni kawałek teorii związanej z zarządzaniem informacjami, a bardziej wiedzą.
- Dane – to najmniejsze kawałeczki. Wzrost, płeć, wiek.
- Informacje – to tak naprawdę to, co jest objęte RODO (zresztą w definicji jest to ujęte), a więc dane identyfikujące osobę (zbiór danych tworzący informację dającą możliwość zidentyfikowania osoby) lub te, które dotyczą zidentyfikowanej osoby. W drugim przypadku są to nie informacje, a dane. Każdy najmniejszy kawałeczek, który dotyczy zidentyfikowanej osoby jest daną osobową.
- Wiedza – obszar “zapomniany” definicyjne w RODO, choć w nim występuje. W art. 9 jest mowa o “danych dotyczących zdrowia”. Nie są to tylko informacje o osobie (dane osobowe) ponieważ do wytworzenia tej wiedzy konieczne są dane i informacje nie dotyczące osoby. A więc te, które pochodzą z medycyny (informacje czym charakteryzuje się choroba bądź schorzenie). Informacje o osobie (dane osobowe) wraz z informacją o “obrazie” choroby (lub zdrowia) budują wiedzę, czy osoba jest zdrowa czy nie. Czyli dostarcza wiedzy o stanie zdrowia.
Subiektywizm wiedzy
O ile dane osobowe, informacje o osobie są dość obiektywne, o tyle wiedza o osobie może być mocno subiektywna. Może być pewnym wyobrażeniem, ale tak to prawodawca określił (szczególnie w art. 9), że teraz musimy się z tym mierzyć.
Podsumowanie
W punktach, aby było przejrzyście:
- W organizacji wykorzystuje się wiele informacji i danych.
- Informacje te są chronione z różnych powodów i w różnych formach (tajemnica przedsiębiorstwa, ochrona informacji przedsiębiorstwa, informacje powierzone przez kontrahenta i inne).
- Jednym z obszarów ochrony (nie tajemnicy) jest ochrona danych w celu ochrony osoby fizycznej, w związku z przetwarzaniem jej danych.
- Dla osób zajmujących się profesjonalnie bezpieczeństwem informacji RODO oznacza wprowadzenie dodatkowej klasyfikacji dla ochrony informacji, z wyznaczeniem celu oraz parametrów tej ochrony.
