Jednym ze sposobów planowania postępowania ze skutkami incydentów bezpieczeństwa informacji, nazywanych w RODO naruszeniem ochrony danych, jest przygotowanie planów awaryjnych oraz planów odtworzeniowych. W bezpieczeństwie organizacji, w tym bezpieczeństwie biznesu przygotowanie przywracania organizacji do normalnego funkcjonowania jest już standardem. Niestety, w przypadku danych osobowych jak wskazały przykłady przygotowanie działania awaryjnego oraz odtworzenia środowiska informacyjnego jest jeszcze w powijakach. 

Normy i standardy? Tak, ale z rozwagą

Wielu ekspertów pracujących przy danych osobowych importuje rozwiązania znane z biznesu, nazywając nawet niektóre działania wprost BCP – czyli business continuity plan. Jest to spory błąd, który już wcześniej popełniło wiele organizacji wprowadzając rozwiązania znane z ISO 27001 całkowicie bezrefleksyjnie. Z tego powodu analizy ryzyka, wykonane zgodnie z ISO 27005 okazały się całkowicie nieprzydatne, bo pomylony został cel. Większość norm jest przygotowanych w celu zabezpieczenia funkcjonowania biznesu, a RODO jest aktem prawnym który wskazuje sposób dbania o bezpieczeństwo osoby fizycznej. Dlatego w takim imporcie ważne jest, aby pamiętać o zmianie celu, do którego prowadzona jest analiza ryzyka. 

BIA a DPIA

W przypadku planów odtworzeniowych mamy ten obszar już w pewnym stopniu obsłużony. Podstawą tworzenia systemów zarządzania ciągłością działania (BCMS – business continuity management system) oraz dokumentów składających się na plan ciągłości działania (BCP – business continuity plan) jest analiza wpływu na biznes, nazywana BIA (business impact analysis).

A w RODO? mamy analizę wskazaną wprost. Jest to DPIA – data protection impact assessment, czyli ocena wpływu na ochronę danych. Z wyników tej oceny wynikać powinny wskazówki dla tworzenia planów awaryjnych oraz planów odtworzeniowych. Oczywiście bazować można, a nawet trzeba na rozwiązaniach znanych nam z rozwiązań biznesowych, jednak zawsze należy pamiętać o celu RODO. 

Przykłady

Poniżej przykłady zastosowania niektórych narzędzi z zarządzania ciągłością działania:

  • RTO – recovery time objective, czyli czas w którym musimy przywrócić usługi. Do RODO można stosować w odniesieniu do oszacowania prawdopodobieństwa naruszenia praw i wolności, np w odniesieniu do atrybutu dostępności danych (zbyt długi czas oczekiwania na dane); 
  • RPO – recovery point objective. To punkt do którego wracamy przy przywracaniu. W niektórych opracowaniach różnica między stwierdzeniem, że incydent miał miejsce a punktem do którego się przywracamy nazywany jest maksymalną dopuszczalną stratą (MDL – maximum data loss). Dla RODO jest to wyznacznik np. tworzenia planów backupów, w kontekście możliwej utraty danych, tak aby utrata nie spowodowała naruszenia praw i wolności. 
  • MTPD – maximum tolerable period of disruption, maksymalny czas naruszenia, jest to jeden z głównych wskaźników dających wytyczną do tworzenia planów ciągłości działania. Oznacza to, że po przekroczeniu czasu organizacja już nie będzie w stanie powrócić do działania. Ten miernik bywa stosowany w RODO, ale jest to podejście błędne. Czas MTPD obejmuje zgodnie z analizą BIA (wpływu na biznes) nałożenie (skumulowanie) skutków finansowych, operacyjnych, reputacyjnych, regulacyjnych, etc. w czasie ich wystąpienia. Dane wejściowe mogą pochodzić z analiz np. DPIA, niemniej jak już napisałem wcześniej, nie to jest celem RODO. Nie ochrona biznesu przed przerwaniem ciągłości działania biznesowego. 

Podsumowanie

Stosowanie niektórych rozwiązań znanych z bezpieczeństwa biznesu jest świetnym pomysłem, niemniej zawsze trzeba rozważyć, czy jest taka możliwość. Do wszystkich skutków, czy procesów zarządzania bezpieczeństwem zawsze trzeba podstawić indywidualny katalog skutków dla osoby, której dane dotyczą, a nie katalog skutków dla firmy.