Zastanawiasz się, jakie środki bezpieczeństwa wdrożyć? Przeprowadź analizę ryzyka

Analiza ryzyka to kluczowa kwestia dla ochrony danych osobowych w każdej organizacji. W jej trakcie staramy się ustalić ryzyka oraz udzielić odpowiedzi na pytania związane z naruszeniem ustawy o ochronie danych osobowych, takie jak:

• Do jakich naruszeń może dojść?
• Jakie są szanse, że dojdzie do naruszenia?
• Jakie skutki dla procesu przetwarzania danych będzie miało naruszenie?
• Jak można je ograniczyć?

Analiza ryzyka jest niezbędna chociażby do przygotowania takich dokumentów, jak polityka bezpieczeństwa czy instrukcja zarządzania systemem informatycznym. Co prawda ustawa o ochronie danych osobowych (uodo) wprost nie zobowiązuje cię do przeprowadzenia analizy ryzyka, jednakże możesz w jej treści znaleźć pewne odwołania do tego zagadnienia.

Zgodnie z art. 36 uodo, jako administrator danych, powinieneś zastosować odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia danych osobowych przed ich utratą, uszkodzeniem lub zniszczeniem. Z przytoczonego artykułu wynika, że musisz wdrożyć odpowiednie środki zabezpieczające dane osobowe. Jak to zrobić i co ma kluczowy wpływ na ich wybór? Aby odpowiedzieć na to pytanie musisz przeprowadzić analizę ryzyka.

Przy analizie ryzyka, możesz posłużyć się opracowanymi schematami dotyczącymi analizy ryzyka bezpieczeństwa informacji wskazanymi w normach, takich jak np. ISO 27001. Musisz jednak rozszerzyć te metody o pewne kwestie, które nie są w nich standardowo ujęte. Powinieneś np. zweryfikować, czy podczas przetwarzania danych nie dochodzi do naruszenia każdej z zasad przetwarzania danych ujętych w ustawie np. czy dane osobowe są przetwarzane z uwzględnieniem zasady adekwatności. Aby wdrożyć odpowiednie środki bezpieczeństwa, musisz przeprowadzić analizę ryzyka w zależności od profilu, skali oraz zasięgu prowadzonej działalności.

Można wyodrębnić dwie podstawowe grupy metod przeprowadzania analizy ryzyka (wzorując się na analizie ryzyka bezpieczeństwa informacji) – metody ilościowe (kwantyfikatywne) oraz metody jakościowe (kwalifikatywne).

Podstawą metod ilościowych są matematyczne obliczenia, w których kluczowymi elementami są wpływ zagrożenia na bezpieczeństwo danych oraz prawdopodobieństwa takiego zdarzenia. Aby przeprowadzić analizę metodą ilościową, musisz mieć dane liczbowe opisujące powyższe elementy (zaczerpnięte z analiz statystycznych i historycznych).

Drugim sposobem przeprowadzenia analizy ryzyka są metody kwalifikatywne. Są znacznie bardziej subiektywne, gdyż ich podstawą jest wiedza i doświadczenie osoby, która przeprowadza tego typu analizę. W metodach jakościowych stosuje się wyniki opisowe, które mogą posiadać liczbowe odpowiedniki (1 – ryzyko bardzo małe, 5 – ryzyko krytyczne itd.). Taką analizę musisz więc poprzedzić audytem, w trakcie którego ustalisz procesy przetwarzania danych, a następnie zweryfikujesz ich podatności na możliwość wystąpienia naruszenia.

Prowadząc analizę ryzyka, zacznij od ustalenia, jakie rodzaju dane osobowe przetwarzasz. Zweryfikuj przetwarzane dane pod kątem tego, czy stanowią dane wrażliwe, czy też należą do tzw. danych zwykłych. Powinieneś zweryfikować przede wszystkim, czy masz podstawę prawną przetwarzania danych wrażliwych i czy nie zbierasz ich na zapas.

Pamiętaj, że ustawa nie narzuca wyższych standardów zabezpieczenia danych wrażliwych. Pewien wyjątek dotyczy przetwarzania danych wrażliwych w systemach informatycznych, o ile stacja robocza, na której przetwarzane są dane osobowe, nie jest połączona z siecią publiczną (stosujesz wtedy podwyższony poziom bezpieczeństwa).

Z punktu widzenia ustawy wszystkie dane są tak samo ważne. Nie ma więc znaczenia, czy udostępniłeś osobom nieupoważnionym imię, nazwisko, numer telefonu, PESEL, adres zamieszkania, informacje o chorobie czy też wyłącznie adres e-mail.

Na analizę ryzyka ma również wpływ sposób przetwarzania danych. Na inne ryzyka są narażone dane osobowe przetwarzane w systemach informatycznych, a na inne dane przetwarzane w formie papierowej. Zaczynając analizę ryzyka, zweryfikuj, czy zostały wdrożone minimalne środki zabezpieczenia danych osobowych.

Zabezpieczenie obszaru przetwarzania jest istotne zarówno w przypadku przetwarzania danych w formie papierowej, jak i elektronicznej. Zagrożenia związane z naruszeniem tego wymogu dotyczą w szczególności dostępu do obszaru przetwarzania danych osób nieupoważnionych.

Osobami nieupoważnionymi będą nie tylko osoby postronne, czy też pracownicy innych organizacji, ale również mogą być to pracownicy twojej organizacji. Na to ryzyko są narażone podmioty, które dzielą obszar przetwarzania danych z innymi, poprzez pracę w open space lub wspólne pomieszczenia, w których znajdują się urządzenia wielofunkcyjne.

Pamiętaj, aby przechowywać dokumenty zawierające dane osobowe w szafkach/szafach zamykanych na klucz, wdrożyć politykę czystych biurek oraz o zastosować inne rozwiązania chroniące dane osobowe w formie papierowej.

Kontrola dostępu rozumiana jako posiadanie indywidualnego konta w systemie informatycznym dla każdego użytkownika dotyczy wyłącznie przetwarzania danych w formie elektronicznej. Obecnie ten wymóg jest czymś zrozumiałym i powszechnie funkcjonującym. Niestety czasami zapominamy, aby nowym użytkownikom nie nadawać „starych” identyfikatorów albo odbierać uprawnienia do systemów IT.

Mowa tu przede wszystkim o zainstalowaniu oprogramowania antywirusowego na stacjach roboczych. Istotne jest, aby oprogramowanie ściągało automatycznie sygnatury nawet podczas pracy poza siecią LAN.

Stacje robocze oraz serwery przetwarzające dane osobowe powinny być zabezpieczone przed awarią zasilania. Tego typu zabezpieczeniem może być podpięcie każdej stacji roboczej lub serwera pod UPS albo pod odrębny obwód zasilania (podtrzymywany osobnym agregatem prądotwórczym).

Hasła do systemów informatycznych powinny się składać (w zależności od koniecznego poziomu bezpieczeństwa) od 6 do 8 znaków. Powinny zawierać małe i wielkie litery, znaki specjalne albo cyfry. Hasła powinny być zmieniane co 30 dni.

Zabezpieczenia kryptograficzne powinieneś stosować, jeżeli przesyłasz dane osobowe za pomocą sieci publicznej. Jest to szczególnie istotne, jeżeli przesyłasz dane osobowe zawarte w piłkach Excel lub Word. Pamiętaj wówczas o założeniu hasła na taki plik. Może to być co prawda dosyć uciążliwe, ale zadaj sobie pytanie, jak dotkliwa będzie dla ciebie sytuacja, kiedy wyślesz tabelkę zawierającą dane osobowe, nie do tej osoby co trzeba.

Przeprowadzając analizę ryzyka, musisz mieć świadomość, że ryzyko możesz zmniejszyć, ale nie da się go wyeliminować. Dotyczy to w szczególności „błędu ludzkiego”, który jest w mojej ocenie najczęstszym powodem powstawiania incydentów.

Dlatego pamiętaj o szkoleniach dla pracowników, podczas których musisz uczulać ich na możliwe naruszenia i skutki z nich wynikające. Pamiętaj również o tym, aby podczas projektowania procesów przetwarzania danych osobowych uwzględnić dwie zasady, a mianowicie „privacy by design” oraz „privacy by default”.

Pierwsza z nich mówi o konieczności wdrożenia niezbędnych elementów związanych z ochroną danych osobowych już na etapie projektowania procesu. Druga zakłada ochronę danych osobowych, jako domyślne ustawienie każdego procesu przetwarzania danych osobowych. Te zasady są obecnie dobrymi praktykami, ale już niedługo, na mocy ogólnego rozporządzenia o ochronie danych osobowych, będą obowiązkiem.