Dość popularnym kierunkiem postępowania w obszarze RODO jest stosowanie własnych skal, narzędzi czy przeliczników w ocenie ryzyka.
- Czy takie działanie jest poprawne?
- Co należy wykonać aby to działanie było uznane przez audytorów lub organ nadzorczy?
Spróbuję w niniejszym artykule odpowiedzieć na te dwa kluczowe wręcz pytania.Bazą będzie nie tylko doświadczenie w obszarze RODO (ochronie danych), ale również w bezpieczeństwie informacji, w tym często próby wyjaśnienia “co audytor miał na myśli”. Wiele systemów zarządzania bezpieczeństwem informacji (SZBI) zgodnych z ISO 27001 miało w raportach poaudytowych sugestie, uwagi, potencjały a nawet niezgodności właśnie w obszarze systemu szacowania i oceny ryzyka. Pełnomocnicy tych systemów nie do końca wiedzieli, o co chodzi audytorowi, a sam audytor nie mógł nakierować na konkretne rozwiązanie (zasady audytu – norma ISO 19011 oraz ISO 27007). Audytor nie jest konsultantem.
Systemy zewnętrzne
Na początek kilka zdań o metodach uznanych, przyjętych, czy dostarczonych. Mogą to być analizy bardzo skomplikowane, które będą dzielić całe działanie na etapy identyfikacji i analizy zagrożeń, a następnie identyfikować i szacować ryzyko. Dla przykładu:
- Etap analizy zagrożeń – PHA (preliminary hazard analysis – wstępna ocena zagrożeń) czy HAZOP (Hazard and Operability Study – analiza zagrożeń i zdolności operacyjnych) bardziej adekwatna do ciągłości działania, czyli organizacji w których dostępność danych jest atrybutem krytycznym, która jest tzw. analizą znormalizowaną, opartą o normę PN-EN 61882.
- Etap analizy skutków – np. drzewo zdarzeń (event tree analysis), która również jest analizą znormalizowaną, opartą o normę PN-EN 62502 i co do zasady jest metodą scenariuszową, idealnie pasującą do RODO, bo wskazuje na skutki zdarzenia szczytowego (top-event) czyli dokładnie to co jest w RODO wymagane.
Mogą to być też analizy, które wprost przedstawiają cały proces od identyfikacji zasobów, ich słabości (podatności) identyfikacji ryzyka, a następnie nawet identyfikacji ryzyk pozostających po wdrożeniu zabezpieczeń (ryzyko szczątkowe, resztkowe – zależnie od standardu, przepisu, czy normy). Np. MEHARI (darmowa), OCTAVE, CRAMM.
Charakteryzuje je to, że są opisane. Wskazane są założenia metody, sposoby wyliczeń i oceny. Katalogi zagrożeń czy skutków. Metody oceny prawdopodobieństwa.
Ale nie jest to jedyny kierunek. IOD czy osoba zarządzająca bezpieczeństwem informacji nie jest związana obowiązkiem stosowania jakiejkolwiek metody ani normą ISO 27001 ani RODO czy innym przepisem prawa.
Jak wdrożyć własny system?
Poradnik Urzędu Ochrony Danych Osobowych, traktujący o podejściu opartym o ryzyko wskazuje na wymagania wobec systemu.
Ocena ryzyka oraz ocena skutków dla ochrony danych wymaga poznania szczegółów dotyczących przeprowadzanych operacji przetwarzania danych oraz uwarunkowań wewnętrznych i zewnętrznych dotyczących środowiska, w którym przetwarzanie się odbywa. Żeby tego dokonać, należy przyjąć określoną systematykę i kolejność działań.
Czyli?
UODO ale również audytorzy SZBI zgodnego z ISO 27001 wskazują na elementy funkcjonalne analizy. Musi:
- Być opisana co do procesu
- Mieć wskazane źródła informacji
- Mieć wskazane algorytmy oceny
Korzystając z metod zewnętrznych te opisy są dostarczone często przez twórców. Sa poradniki, normy czy przewodniki. W odniesieniu do tzw.”eksperckich” metod analizy często o tym zapominamy. Wiemy dlaczego dane czynniki zostawiliśmy, jak zaprojektowaliśmy arkusze, ale… brakuje opisu. Czyli tak naprawdę nie jesteśmy w stanie udowodnić:
- Powtarzalności analizy (zestawienia danych z okresowych przeglądów ryzyka);
- Stosowania wystandaryzowanych skal prawdopodobieństwa i skutku (bo ich nie ma lub nie ma opisów jak je stosować);
- Procesu i jego aktorów (kto bierze udział i jak jest zaangażowane najwyższe kierownictwo lub administrator i jego przedstawiciel).
Oczywiście są też inne elementy, których nie sposób wymienić. Niemniej zestaw tych czynników, których nie możemy wykazać powoduje swoisty “brak zaufania” po stronie audytorów czy organów nadzorczych (nie tylko PUODO, podobnie działa Inspekcja Pracy, czy Urząd Dozoru Technicznego, UOKIK etc).
Jak działać?
Jeśli zdecydujemy się na wdrożenie własnego, eksperckiego systemu oceny ryzyka, musimy mieć zmaterializowaną (opisaną) wiedzę dotyczącą:
- Kompetencji autorów – czyli wykazania, że osoba (y), która zaprojektowała (y) system jest ekspertem w dziedzinie systemów oceny ryzyka;
- Opisu danych wejściowych;
- Opisu algorytmów obliczania (jeśli stosujemy);
- Opisu danych wyjściowych (powiązanie z zabezpieczeniami lub wymaganiami dla nich)
- Słowników użytych w metodzie;
- Inne
W przeciwnym razie każdy organ, każdy audytor zarzuci nam brak możliwości oceny adekwatności narzędzia do celów. A z drugiej strony, już tak całkiem po ludzku. Brak takich opisów i definicji jest sporym polem do nadużyć w postaci manipulacji danymi wejściowymi. W celu uzyskania EFEKTU. Z góry założonego.
