Dobre praktyki: Poziomy ochrony wg. ISPS

Na blogu #RODOmaniaków uruchamiamy dział #RODOpozyczki. Artykuły w nim zawarte mają na celu pokazanie dobrych praktyk z innych obszarów bezpieczeństwa, które mogą posłużyć zarówno uzyskaniu zgodności z RODO jak i zrozumieniu istoty systemów ochrony i systemów zarządzania bezpieczeństwem oraz wdrożeniu najciekawszych rozwiązań we własnych organizacjach.

Poziomy ochrony

Przykład pochodzi z przepisu rangi RODO, a więc rozporządzenia (WE) nr 725/2004 w sprawie ochrony statków i obiektów portowych (wprowadzenie i doskonalenie postanowień konwencji SOLAS). Poziomy ochrony są ustalone na trzech poziomach, zawarte jest to w dziale A – normatywnym:

  • .9 Poziom ochrony 1 oznacza poziom, dla którego w każdym czasie utrzymywane będą minimalne odpowiednie środki ochrony.
    .10 Poziom ochrony 2 oznacza poziom, dla którego w wyniku zwiększonego ryzyka zajścia zdarzenia naruszającego ochronę przez pewien okres czasu utrzymywane będą odpowiednie, dodatkowe środki ochrony bezpieczeństwa.
    .11 Poziom ochrony 3 oznacza poziom, przy którym przez ograniczony czas utrzymywane będą konkretne środki ochrony, związane z prawdopodobieństwem lub groźbą zajścia zdarzenia naruszającego ochronę, aczkolwiek identyfikacja konkretnego celu ataku może nie być możliwa.

Dla przykładu przedstawione zostaną zasady kontroli dostępu.

  • Dla poziomu 1 ochrony ustala się: sprawdzanie tożsamości wszystkich osób, zamierzających wejść na statek i potwierdzanie powodów wejścia przez sprawdzenie, na przykład, poleceń zaokrętowania, biletów pasażerów, kart pokładowych, zleceń na roboty, itp.;
  • Dla poziomu 2 ustala się: przydzielenie dodatkowego personelu dla patrolowania obszarów pokładowych w godzinach ciszy dla powstrzymania nieuprawnionego dostępu oraz np.  eskortowanie osób odwiedzających statek;
  • Dla poziomu 3 ustala się: ograniczenie dostępu do jednego, kontrolowanego punktu dostępu oraz udzielanie dostępu jedynie osobom reagującym na zdarzenia naruszające ochronę lub zagrożenie nim (formalnie służby interweniujące, przypisek autora).*

Wracając do definicji, powyżej opisane zasady są środkami organizacyjnymi ochrony. Co prawda w art. 32, który mówi o ochronie nie ma tego stwierdzenia, ale już art 34.3.a) wprost nazywa środki techniczne i organizacyjne służące zapewnieniu bezpieczeństwa środkami ochrony.  

Inne przykłady

Zasady określania poziomów ochrony na dobre weszły do kanonów bezpieczeństwa, nie tylko bezpieczeństwa morskiego. Znamy podobne z alertów związanych z zagrożeniem zamachami terrorystycznymi, czy ostrzeżeń meteorologicznych lub hydrologicznych. Warto zapoznać się z tymi zasadami, bo pozwalają na przygotowanie predefiniowanych zestawów zabezpieczeń adekwatnych od konkretnego poziomu zagrożenia, rzadziej ryzyka.

Kiedy stosować?

Przykładem niech będą ataki WannaCry czy Petya czyli ransomware, typu złośliwego oprogramowania, który blokuje dostęp do danych (W dużym uproszczeniu). Analizując ten atak w kontekście danych osobowych tracimy w pierwszej fazie ataku dostępność, a w przypadku braku okupu (ransom – okupu) tracimy dane bezpowrotnie.

Jak ustawić aktywatory poziomów ochrony?

Aktywator w przypadku zmiany poziomu ochrony związany jest najczęściej z prawdopodobieństwem konkretnego zdarzenia. A więc jeśli atak ransmoware został potwierdzony przykładowo w:

  • 3 organizacjach o podobnym profilu – poziom prawdopodobieństwa wystąpienia jest niski.
  • 30 organizacjach – poziom jest średni
  • 300 organizacjach – poziom wysoki.

Wpływ na ryzyko

Ryzyko w dużym uproszczeniu jest kombinacją prawdopodobieństwa oraz skutków. Jeśli skutek ataku ransomware jest  krytyczny, ale jest mało prawdopodobny, to ryzyko będzie średnie. Ale jeśli prawdopodobieństwo wzrośnie z 3 do 30 lub 300, a więc do “prawie pewne” to automatycznie ryzyko również powinno zostać podniesione. A wzrost poziomu ryzyka powinien natychmiast uruchomić działania przewidziane dla wyższego poziomu ochrony.

A jak wyglądają zabezpieczenia?

W przypadku systemów ochrony informacji czy danych osobowych z reguły uruchamiane są dodatkowe zabezpieczenia w postaci ograniczenia dostępu do sieci, uruchomienie dodatkowych systemów monitorujących, uruchomienie dodatkowych kampanii security awarenes i wielu innych, które powinny znaleźć się właśnie w katalogu predefiniowanych zabezpieczeń dla danego poziomu ochrony.

* Eksperci zespołu #RODOmaniaków posiadają doświadczenie w zakresie stosowania wymagań rozporządzenia 725/2004, zarówno w zakresie organizacji ochrony jak i audytowania, w tym też w kontekście spełnienia wymagań RODO w obiektach portowych. 

Grzegorz Krzeminski
Grzegorz Krzeminski
Od ponad 22 lat związany z ochroną danych osobowych. Zaczynał od administracji rządowej i samorządowej. Od 2007 roku na rynku komercyjnym w Polsce i Wielkiej Brytanii. Doświadczony audytor, doradca, wdrożeniowiec i trener. Pracował dla firm dużych i małych, krajowych i międzynarodowych również tych, których działanie związane było z transferem danych do państw trzecich. Rozwija Metodykę Audytu Bezpieczeństwa oraz standardy związane z oceną ryzyka. Wyszkolił ponad 200 osób do pracy jako Inspektor Ochrony Danych.

Ostatnio dodane

Przeczytaj koniecznie!