Tytułem wstępu

Systemy zarządzania ryzykiem, analizy czy metodyki mieszają się między branżami. Zależy to od ich uniwersalności, możliwości wykorzystania, czy po prostu tego, jaki system bezpieczeństwa  w organizacji jest wiodący. Np. “loss prevention” czyli zarządzanie stratami było koncepcją już dawno wykorzystywaną w przemyśle, w tym przemyśle chemicznym a dziś z powodzeniem jest stosowana w sieciach handlowych (tzw. retail). Analiza BOW-TIE, o której pisałem już ostatnio składa się z dwóch analiz normatywnych – analizy drzewem niezdatności i analizy drzewem zdarzeń. Są to analizy pierwotnie wykorzystywane również w przemyśle, bardzo często do oceny przyczyn awarii i estymowania skutków. Ale widziałem ich wykorzystanie również przy projektowaniu niezawodności serwerowni.

Analiza punktów krytycznych

Dziś chciałbym przybliżyć kolejną analizę, która opiera się o tzw. punkty krytyczne. Jak każda analiza musi być poprzedzona identyfikacją etapów procesu, w którym dochodzi do przetwarzania danych osobowych. A więc dane osobowe muszą być już:

  • Zidentyfikowane (w tym przypisane podstawy)
  • Opisane co do zakresu i kategorii
  • Opisane co do operacji wykonywanych na nich

Dodatkowym elementem, który należy opisać i który jest niezbędny do oceny ryzyka (w każdym modelu, nie tylko punktami krytycznymi) jest:

  • Identyfikacja środowiska IT przetwarzania danych (środki przetwarzania)
  • Identyfikacja środowiska fizycznego przetwarzania danych (pomieszczenia, zespoły pomieszczeń)

Wprowadzenie

Punkt krytyczny w najprostszym ujęciu jest to:

Punkt  w którym zasób traci w sposób nieodwracalny swoje właściwości. 

Nieodwracalny, oznacza że żadnym dalszym działaniem nie jesteśmy w stanie przywrócić jego funkcjonowania, parametrów, etc. Dla rozjaśnienia:

  • Punkt w którym dojdzie do utraty poufności. Skoro już ujawnimy dane to już ich nie uda się nam “uniejawnić” (co się zobaczyło, to się nie odzobaczy);
  • Punkt w którym utracona została integralność danych. Jeśli dane w procesie utracą swoją poprawność, to w dalszym ich przetwarzaniu nie nadrobimy tego w cudowny sposób (na razie nie mieszajmy backupu);
  • Punkt w którym utracona zostanie dostępność danych. Dalszym działaniem w procesie (nie o charakterze awaryjnym i przywrócenia), nie odzyskamy dostępności. 
  • Punkt w którym dojdzie do przetwarzania niezgodnie z prawem. O to jest świetny przykład. W pewnym momencie doszło do przetwarzania niezgodnie z prawem np między 25 maja a 30 czerwca 2018. I to, że potem wprowadziliśmy sobie nowe rozwiązania, nie oznacza że np. 25 maja 2018 do 30 czerwca 2018 dane były  poprawnie przetwarzane. Nie, dalej ten okres uznawany jest za okres naruszenia przepisu. 

Jak widać RODO dostarcza nam już informacji o tym, jakie “problemy” rozpatrywać. Są to trzy atrybuty bezpieczeństwa informacji oraz przetwarzanie niezgodnie z przepisami. 

WAŻNE: Procedura odtworzenia czy plan awaryjny (contingency, nie business continuity) nie są STANDARDOWYM krokiem operacji biznesowej!!! Są to już środki o których za chwilę. 

Co dalej? 

Po identyfikacji procesów i kroków, przypisaniu skutków materializacji zagrożeń (utrata dostępności, poufności, integralności oraz przetwarzanie niezgodne z prawem) przechodzimy do identyfikacji krytycznych punktów kontroli (CCP). Pomocna w tym jest metoda 4 pytań:

Pytanie 1

Czy istnieją środki kontroli zagrożenia, zmierzające do jego opanowania? (poprzez obniżenie podatności zasobu, obniżenie prawdopodobieństwa czy siły oddziaływania). 

Pytanie 2

Czy etap procesu jest specjalnie projektowany w celu eliminacji lub ograniczenia (sprowadzenia) zagrożenia do stopnia akceptowalnego?

Pytanie 3 

Czy zagrożenie przekracza poziom możliwy do zaakceptowania lub może do takiego wzrosnąć?

Pytanie 4

Czy późniejszy etap procesu umożliwia sprowadzenie zagrożenia do poziomu akceptowalnego?

Drzewo decyzji

Pytania te i przebieg decyzyjny oraz ustanowienie CCP nie jest jedynym działaniem w obszarze bezpieczeństwa. W toku pytań pojawiają się te, które dotyczą działań zapobiegających i zmniejszających zagrożenia. W oryginale tego modelu nazywa się to programy wstępne i ich celem jest wprowadzenie działań monitorowanych w różnych obszarach. W RODO jest to np.

  • Zarządzanie dostępem do pomieszczeń, z rejestracją w systemach kontroli dostępu (tradycyjnie, w książkach wejść, lub elektronicznie w systemach kontroli). Więcej o strefach pisałem w artykule dotyczącym zabezpieczenia technicznego i ochrony fizycznej:
  • Zarządzanie uprawnieniami do systemów IT, z rejestracją w systemach IT (logi, systemy monitorujące);

Programów takich może być wiele, ale nie to jest tematem dzisiejszego artykułu. Ważne, aby wiedzieć że niektóre zagrożenia są już “opanowane” poprzez wprowadzenie programów wstępnych, których celem jest zapobieganie wystąpienia zagrożenia. I jeśli są skuteczne – nie ma CCP. Ale muszą być rejestrowane działania w oparciu o nie – i to jest wykazanie rozliczalności z art 5.2 RODO. Zagrożenia rozpoznane, środki wdrożone (potwierdzane zapisami z realizacji), adekwatność oceniona na podstawie pytań. 

Czym zatem jest CCP i czym się różni postępowanie?

CCP jest niejako wyższym stopniem w działaniu. Wdrażany jest jako KRYTYCZNY punkt kontroli, w miejscach w których mimo wdrożonych programów wstępnych i modyfikacji procesu lub kroku (patrz pytanie nr 1 i pętla) nadal może dojść do zdarzenia, w którym utracone zostaną właściwości. Punktów w takim procesie bywa tak naprawdę niewiele, jeden do dwóch (np. na 12 etapów procesu). W tym przypadku dochodzi również do rejestracji czynności jak w przypadku programów wstępnych, różnica jednak dotyczy celu:

  • W przypadku programów – jest to rejestracja czynności prewencyjnych i badania odchyleń;
  • W przypadku CCP – jest to ocena stanu zabezpieczenia i skuteczności jego działania. 

Odkryjmy karty

Bazą dzisiejszego opracowania są wymagania Rozporządzenia (WE) nr 852/2004 Parlamentu Europejskiego i Rady z dnia 29 kwietnia 2004 r. w sprawie higieny środków spożywczych. Aktu prawnego w takiej samej randze jak RODO i tak samo stosowanie w całej Europie. Jak widać RODO nie jest pierwszym aktem, który wprowadza myślenie oparte o ryzyko i który wprowadza model “dowolności” w zakresie zarządzania bezpieczeństwem, co niektórym komentatorom branży się wydaje. 

Przykłady HACCP:

Programy wstępne

  • Program wstępny obejmuje np. kontrolę czystości (wykonania czynności porządkowych na obiekcie) w celu utrzymania higieny. Kontrolą są listy wykonania sprzątań;
  • Program wstępny obejmuje np. kontrolę szkodników (tzw PEST control) w zakresie nadzoru nad pułapkami i innymi środkami zwalczania szkodników. 

CCP:

CCP – obejmować mogą sita do mąki (stan, wielkość oka), dzięki którym nie dostanie się do późniejszego produktu przedmiot fizyczny. Co ważne, jeśli to będzie przedmiot typu wykałaczka czy kawałek szkła, nie zostaną one wykryte na standardowym wykrywaczu metalu na końcu produkcji. Z tego powodu utrzymanie CCP jest KRYTYCZNE dla bezpieczeństwa konsumenta, bo gdy już dojdzie do kontaminacji fizycznej, nie ma szans (jako kontrolowanego działania) w dalszej obróbce wykryć jej.

Jak widać system działa, bo nie słyszymy zbyt często o wycofaniu produktów, czy zdarzeniach krytycznych (chorobie, czy śmierci), a przecież z żywnością codziennie się stykamy. 

Wiodący system zarządzania ryzykiem

Na początku dzisiejszego artykułu napisałem o tzw.”wiodącym systemie bezpieczeństwa”. W dużym skrócie jest to system zapewniający ochronę dla kluczowych procesów biznesowych (statutowych, czy ustawowych) w organizacji. W zakładach związanych z żywnością systemem tym jest HACCP. I co ważne. Celem systemu HACCP jest OCHRONA KONSUMENTA i JEGO PRAWA DO ŻYCIA I ZDROWIA

Dlaczego to ważne?

Otóż każdy zarządzający w imieniu firmy wykonuje zadania w imieniu pracodawcy (Kodeks Pracy), administratora danych lub procesora (RODO), często zarządcy terenu (ochrona przeciwpożarowa) i np. właśnie jako podmiot odpowiedzialny za bezpieczeństwo żywności (HACCP). To nie wszystkie obszary, bo są zależne od rodzaju organizacji, charakterystyki działania i podlegania pod różne wymagania prawne. I każdy zarządzający powinien:

  • Znać zasady oceny np. scoringiem czy PHA, bo taką metodę wybrała służba BHP;
  • Znać zasady oceny ryzyka np. zgodnie z ISO 27005, bo taką metodę wybrał manager RODO (zatwierdził IOD);
  • Znać zasady oceny zagrożeń stosowanaą przez strażaka
  • Znać zasady oceny HACCP i Codex Alimentarius. 

Nie za dużo? 

Istotą identyfikacji wiodącego systemu bezpieczeństwa i dalszego działania jest to, aby wykorzystać podobne modele oceny do własnego działania. I dostarczyć managerowi danych w formie już mu znanej i zrozumiałem (zmieniają się parametry). Tym bardziej że to co dziś zostało opisane jest już szeroko opisane jako metoda w wielu podręcznikach. Więc łatwiej specjaliście od ryzyka zapoznać się z nowym sposobem zestawiania czynników (bo to tylko naprawdę przyjęcie nowego sposobu zestawienia), niż managerowi, którego celem jest prowadzenie firmy, zapoznanie się z nowymi, często wymyślonymi modelami. Przy własnej metodzie analizy chciałem tylko przypomnieć o pewnych zasadach, które warto spełnić aby uzyskać zgodność z RODO. 

O autorze

Od redakcji: Profil autora nie obejmuje obszaru HACCP, bezpieczeństwa żywności i działań kryzysowych w tym zakresie. Dlatego uzupełniamy. 

Specjalista w dziedzinie bezpieczeństwa żywności, z międzynarodowym doświadczeniem we wdrażaniu nadzorowaniu i kontroli systemów HACCP i BRC. Audytor i manager (interim) pracujący w Polsce i Wielkiej Brytanii (również obszar Szkocji, z różnicami prawnymi co do obszaru Food Safety) również w zakresie ochrony przeciwwybuchowej w strefach produkcyjnych (ATEX). Szef zespołów kryzysowych, w tym prowadził wycofanie międzynarodowe produktów z rynku współpracując z FSA i SANEPID.