Analiza zagrożeń nie jest wprost opisana jako wymaganie w RODO. Jednak niektóre przepisy Rozporządzenia pośrednio wymagają jej wykonania. Są to między innymi:
Art 5.1.f – Dane osobowe muszą być: przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo danych osobowych, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem, za pomocą odpowiednich środków technicznych lub organizacyjnych („integralność i poufność”).
Lub przepis bardzo zbliżony w swoim kształcie do art 36 Ustawy o ochronie danych osobowych z 1997 roku:
32.2 – Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku (…)
W RODO zawartych jest wiele przepisów i motywów, które może nie wprost, ale wymagają analizy zagrożeń. Przyjąć zatem należy, że analiza zagrożeń jest wymagana praktycznie przez każdego administratora.
Definicja zagrożenia
Zanim przejdziemy do spraw technicznych warto wiedzieć, czym jest zagrożenie. Definicja poniżej jest naszą własną definicją, wypracowaną na podstawie doświadczeń i standardów.
Zagrożenie jest przyczyną niepożądanego incydentu, wpływającego na system, zasób czy proces. Zagrożenie wykorzystuje podatności.
Problemem bywa zrozumienie, co jest tak naprawdę zagrożeniem. Niektóre dokumenty np. Metodyka KGP w sprawie uzgadniania planów ochrony mówi o zagrożeniu, którym jest powódź. Nie jest to prawidłowe podejście, ponieważ powódź jest zjawiskiem atmosferycznym, złożonym. Zagrożeniem występującym w wyniku powodzi są:
- Zalanie wykorzystujące brak odporności na wodę nośników danych;
- Brak mediów, w tym np. prądu, czyli znów brak możliwości funkcjonowania systemów i sieci komputerowych w przypadku braku zasilania.
Dane, informacje i nośniki
Istotnym elementem jest przyjęcie założenia, że dane osobowe czy w ogóle informacje są podatne tak, jak nośniki na jakich zostały zapisane. Zniszczenie kartki papieru, dysku twardego, pamięci przenośnej powoduje utratę danych i informacji. Możliwość odtworzenia części danych osobowych z uszkodzonych nośników nie oznacza, że są one (nośniki) niepodatne, a jedynie że zniszczenie nie było całkowite.
Dlatego kluczowym dla tworzenia systemów chroniących dane osobowe jest zrozumienie różnicy między źródłem zagrożenia i zagrożeniem. Właściwe rozpoznanie zagrożenia pozwala zrozumieć jego istotę i zaprojektować i wdrożyć odpowiednie zabezpieczenia o charakterze technicznym lub organizacyjnym.
