Jednym ze sposobów planowania postępowania ze skutkami incydentów bezpieczeństwa informacji, w niektórych przypadkach będących według RODO naruszeniem ochrony danych, jest przygotowanie planów awaryjnych oraz planów odtworzeniowych. W bezpieczeństwie organizacji, w tym bezpieczeństwie biznesu przygotowanie przywracania organizacji do normalnego funkcjonowania jest już standardem. Niestety, w przypadku danych osobowych jak wskazały niektóre przykłady przykłady przygotowanie działania awaryjnego oraz odtworzenia środowiska informacyjnego jest jeszcze w powijakach.
Normy i standardy? Tak, ale z rozwagą
Wielu ekspertów pracujących przy danych osobowych importuje rozwiązania znane z biznesu, nazywając nawet niektóre działania wprost BCP – czyli business continuity plan. Jest to spory błąd, który już wcześniej popełniło wiele organizacji wprowadzając rozwiązania znane z ISO 27001 całkowicie bezrefleksyjnie. Z tego powodu analizy ryzyka, wykonane zgodnie z ISO 27005 okazały się całkowicie nieprzydatne, bo błędnie wskazany został cel. Większość norm jest przygotowanych w celu zabezpieczenia funkcjonowania biznesu, a RODO jest aktem prawnym który wskazuje sposób dbania o bezpieczeństwo osoby fizycznej. Dlatego w takim imporcie ważne jest, aby pamiętać o zmianie celu, do którego prowadzona jest analiza ryzyka.
BIA a DPIA
W przypadku planów odtworzeniowych mamy ten obszar już w pewnym stopniu obsłużony. Podstawą tworzenia systemów zarządzania ciągłością działania (BCMS – business continuity management system) oraz dokumentów składających się na plan ciągłości działania (BCP – business continuity plan) jest analiza wpływu na biznes, nazywana BIA (business impact analysis).
A w RODO? mamy analizę wskazaną wprost. Jest to DPIA – data protection impact assessment, czyli ocena wpływu na ochronę danych. Z wyników tej oceny wynikać powinny wskazówki dla tworzenia planów awaryjnych oraz planów odtworzeniowych. Oczywiście bazować można, a nawet trzeba na rozwiązaniach znanych nam z rozwiązań biznesowych, jednak zawsze należy pamiętać o celu RODO.
Przykłady
Poniżej przykłady zastosowania niektórych narzędzi z zarządzania ciągłością działania:
- RTO – recovery time objective, czyli czas w którym musimy rozpocząć przywracanie usług. Do RODO można stosować w odniesieniu do oszacowania prawdopodobieństwa naruszenia praw i wolności, np. w odniesieniu do atrybutu dostępności danych (zbyt długi czas oczekiwania na dane);
- RPO – recovery point objective. To punkt do którego wracamy przy przywracaniu. W niektórych opracowaniach różnica między stwierdzeniem, że incydent miał miejsce a punktem do którego się przywracamy nazywany jest maksymalną dopuszczalną stratą (MDL – maximum data loss). Dla RODO jest to wyznacznik np. tworzenia planów backupów, w kontekście możliwej utraty danych, tak aby utrata nie spowodowała naruszenia praw i wolności.
- MTPD – maximum tolerable period of disruption, maksymalny czas naruszenia, jest to jeden z głównych wskaźników dających wytyczną do tworzenia planów ciągłości działania. Oznacza to, że po przekroczeniu czasu organizacja już nie będzie w stanie powrócić do działania. Ten miernik bywa stosowany w RODO, ale jest to często podejście błędne, czy precyzyjniej nietrafione. Czas MTPD obejmuje zgodnie z analizą BIA (wpływu na biznes) nałożenie (skumulowanie) skutków finansowych, operacyjnych, reputacyjnych, regulacyjnych, etc. w czasie ich wystąpienia. Dane wejściowe mogą pochodzić z analiz np. DPIA, niemniej jak już napisałem wcześniej, nie to jest celem RODO. Nie ochrona biznesu przed przerwaniem ciągłości działania biznesowego. Jeśli chcemy zastosować rozwiązanie tego typu, konieczne jest oszacowanie, w jakim czasie przerwania, czy zakłócenia usługi związanej z dostępnością danych osobowych wystąpią skutki, np. te opisane w motywie 75.
Podsumowanie
Stosowanie niektórych rozwiązań znanych z bezpieczeństwa biznesu jest świetnym pomysłem, niemniej zawsze trzeba rozważyć, czy jest taka możliwość. Do wszystkich skutków, czy procesów zarządzania bezpieczeństwem zawsze trzeba podstawić indywidualny katalog skutków dla osoby, której dane dotyczą, a nie katalog skutków dla firmy.
