Jednym z pierwszych etapów w każdym systemie zarządzania bezpieczeństwem, przy jego projektowaniu jest tzw. identyfikacja, klasyfikacja i wartościowanie zasobów (opiszę tylko informacyjne, środki przetwarzania na razie pominę).

Reklama
  • Identyfikacja jest raczej dość prosta. Po prostu wypisujemy wszystkie informacje jakie biorą udział w konkretnych etapach procesu (kadrowego, produkcyjnego, logistycznego, etc)
  • Klasyfikacja – bywa dość trudna, niemniej RODO przychodzi nam z pomocą. To są kategorie danych osobowych. Kontaktowe, dotyczące wykształcenia, dotyczące zdrowia etc.
  • Wartościowanie. W przypadku informacji stosujemy metodę np księgową, odtworzeniową, procesową (krytyczność informacji w procesie). I tutaj znów RODO przychodzi nam z pomocą, wprowadzając zwykłe kategorie danych (kontaktowe, dotyczące wykształcenia, etc), szczególne kategorie (zdrowie, seksualność) jak i te dotyczące skazań.

Kolejnym plusem RODO jest wskazanie tego, jak z danymi różnej “wartości” postępować. Dane zwykłych kategorii mają dość lajtowe zabezpieczenia, w stosunku do tych szczególnych i tych jeszcze bardziej szczególnych (art 10 RODO).

Takie podejście umożliwia systemowe traktowanie bezpieczeństwa i przygotowanie tzw. predefiniowanych zabezpieczeń. Po prostu wystarczy opisać jakie np. klasy odporności na włamanie mają być dla urządzeń dla dokumentów zawierających dane zwykłych, dane szczególnych i tych bardziej szczególnych. Podobnie kontrola dostępu do pomieszczeń, czy klasa systemu sygnalizacji włamania.

UWAGA (krytyczna). Wartość informacji przegląda się i aktualizuje po zakończeniu pełnego procesu szacowania ryzyka. Bywa bowiem tak, ze teoretycznie niska wartość zasobu po przeszacowaniu ryzyka zostanie zmieniona na średnia lub wysoką, w związku z ryzykiem naruszenia praw i wolności.

Różnica RODO vs ISO 27001. Wartość, jak z samego RODO wynika dla RODO jest powiązana z naruszeniem praw i wolności. Aby skorzystać w ISO – należy podstawić inne klasy wartości.

Np dane o wykształceniu szefa logistyki w RODO mogą być jako dane zwykłych kategorii, ale z punktu widzenia tajemnicy przedsiębiorstwa będzie to informacja krytyczna, związana z unikalnością stanowiska.