Jednym z istotniejszych wymagań RODO jest coś co nazywam SENSOWNOŚCIĄ. W języku prawniczym jest to nazwane dużo ładniej, bo oznacza, że coś jest odpowiednie. Do ryzyka np. w art 32. Odpowiednie muszą być środki ochrony, dla przypomnienia:

Reklama
  • Organizacyjne;
  • Techniczne.

Ale co to jest ta sensowność?

Dla mnie to zbiór wszystkich wymagań dla zgodności i stosowanych zabezpieczeń, w tym:

  • Stan wiedzy technicznej;
  • Koszt wdrożenia;
  • Charakter przetwarzania;
  • Zakres przetwarzania;
  • Kontekst przetwarzania;
  • Cele przetwarzania;
  • Ryzyko naruszenia praw i wolności.

Wszystkie te elementy rozpatrywane ŁĄCZNIE stanowią, że coś będzie sensowne. Np. zabezpieczenie organizacyjne. Będzie aktualne co do wiedzy o tym co dziś można zrobić. Będzie sensowne finansowo. Będzie brać pod uwagę kwestię charakteru i celu przetwarzania. Rozpatrzy w jakim środowisku to się dzieje (kontekst). Oraz odpowie adekwatnie do ryzyka. 

Cel stosowania zabezpieczeń

Cykl zacznę od ostatniego elementu jakim jest
Ryzyko naruszenia praw i wolności

Co do zasady zabezpieczenia mają za zadanie realizację strategii redukcji, a więc obniżenia poziomu ryzyka poprzez stosowanie zabezpieczeń. Dla przypomnienia jak ryzyko możemy obniżyć?

Po pierwsze oddziałując na zagrożenia, poprzez:

  • Obniżenie podatności zasobu czy środka przetwarzania;
  • Obniżenie możliwości wystąpienia zagrożenia;
  • Zmniejszenie siły oddziaływania zagrożenia. 

A jak się nie uda zawalczyć z zagrożeniami, zostaje nam działanie na skutkach. I tutaj znów mamy kilka możliwości:

  • Obniżenie możliwości materializacji skutku (prawdopodobieństwo);
  • Obniżenie siły oddziaływania skutku. 

RODO i jego wymagania

RODO wymaga sensowności stosowanych rozwiązań. Dla przypomnienia, oznacza to, że sama zgodność z prawem nie jest celem, do którego się dąży. Od z ostatnich dyskusji maksymalny okres retencji danych z monitorowania, określony w przepisie art 222 Kodeksu Pracy może być NIEZGODNOŚCIĄ, a sam okres będzie mało sensowny (nie spełni wymagań wypisanych wyżej na podstawie art 32). Dlatego, że:

  • Analiza ryzyka może mówić coś innego;
  • Analiza zagrożeń z innego obszaru może mówić coś innego. 

Jak w takim razie rozwiązać problem “sensowności w RODO” w odniesieniu do zabezpieczeń?

Rozwiązanie wydaje się być bardzo proste, jest zaszyte już w normie ISO 27001 i w dobrych standardach związanych z zarządzaniem ryzykiem. Rozwijam to w drugiej z metodyk – tej dotyczącej systemów zarządzania bezpieczeństwem. Można to zrobić w kilku krokach:

  • Po pierwsze wykonaj analizę zagrożeń;
  • Po drugie wskaż cele stosowanych zabezpieczeń.

I tu pierwsze cele. Wyżej napisałem o tym, że możemy oddziaływać na zagrożenia w określony sposób. I to jest właśnie opisanie celu zabezpieczenia, jakie chcemy wykonać. A więc będzie to:

  • Obniżenie podatności (czyli zagrożenie może sobie istnieć, ale nam nie zaszkodzi);
  • Obniżenie możliwości wystąpienia zagrożenia (czyli nie da się obniżyć podatności, np. laptopa na zalanie nie zamkniemy szczelnie, bo utraci funkcjonalność, ale możemy zmniejszyć możliwość wystąpienia. Np. całkowity zakaz spożywania płynów przy komputerze). 
  • Obniżenie siły oddziaływania zagrożenia (czyli jeśli nie ma szans na zamknięcie laptopa, czy ograniczenie płynów, możemy zastosować strefy dość bezpieczne. Np. nie ma kwiatka nad stanowiskiem pracy, więc co najwyżej ilość wody to ta w szklance. A nie w konewce).

Przepraszam za prostackie przykłady, ale kwestia podatności, prawdopodobieństwa i siły zagrożenia nie zawsze jest rozumiana (w sumie to w większości nie jest zrozumiana w ogóle). Niemniej już na etapie analizy zagrożeń (czyli źródeł ryzyka, a nie już od razu skutku) możemy określić cele zabezpieczeń, wskazując po co w ogóle coś chcemy robić. I dokładnie w tej kolejności należy rozpatrywać źródła zagrożeń, podatności i same zagrożenia. 

Przechodząc do ryzyka, czyli skutku i możliwości jego wystąpienia oraz siły musimy mieć świadomość, że tutaj “już się mleko rozlało”. Czyli:

Zakładamy, że będziemy mieć naruszenie danych!

A więc już mamy wskazać narzędzia (rozwiązania), którymi możemy obniżyć skutek wystąpienia zagrożenia. 

  • Obniżenie prawdopodobieństwa (trzymając się już przykładu wody, praca z synchronizacją plików pozwoli nam na to aby nie stracić danych – uwaga, nie da się 100%, ale to już na inne rozważania bo to skuteczność zabezpieczeń);
  • Obniżenie skutku (w tym przypadku idźmy już normatywnie i użyjmy magicznego skrótu MDL – maximum data loss, czyli maksymalnej utraty danych. W systemach ciągłości działania jest to RPO – recovery point objective, czyli punkt do którego się przywracamy). 

Podsumowanie

W ten sposób pracujemy z zabezpieczeniami. Oczywiście nie zawsze uda się zastosować takie, aby zrealizowały cele. I wtedy idziemy do następnego kroku. Ważne jest jednak aby widzieć

PO CO stosujemy zabezpieczenia.

Inaczej ciężko będzie nam wykazać nie tylko zgodność z art 32 i art 24 RODO. Ale przede wszystkim w ogóle wykazać, czyli art 5.2. RODO. Pamiętajmy też, że po zastosowaniu zabezpieczeń pozostaje ryzyko rezydualne (słabe tłumaczenie), które oznacza ryzyko resztkowe, czy szczątkowe. Poziom tego ryzyka również podlega ocenie co do akceptacji ryzyka.

O tym jak zarządzać zabezpieczeniami, w następnym artykule.