RODO a ISO. Zasady zabezpieczania danych osobowych.

Beata Marek Biznes, Ochrona danych osobowych Leave a Comment

Wczoraj odbyła się konferencja zorganizowana przez Generalnego Inspektora Ochrony Danych Osobowych pt. „Nowe zasady zabezpieczenia danych osobowych, czyli RODO w praktyce”. Konferencja była też okazją do ogłoszenia publicznych konsultacji dotyczących przygotowanego przez GIODO proponowanego wykazu rodzajów przetwarzania, dla których – zgodnie z art. 35 ust. 4 RODO – wymagane jest przeprowadzenie oceny skutków dla ochrony danych.

Konsultacje te, do których zachęcamy, pozwolą zapewnić administratorom i podmiotom przetwarzającym lepsze przygotowanie się do stosowania nowych regulacji, a organowi nadzorczemu opracowanie ostatecznej listy takich operacji w sposób rzetelniejszy, bardziej przejrzysty i zrozumiały – zaznaczyła dr Edyta Bielak-Jomaa.

Zainteresowani swoje opinie w tej sprawie mogą przesyłać do Generalnego Inspektora Ochrony Danych Osobowych najpóźniej do 30 kwietnia 2018 r. Przygotowany wykaz jest dostępny na stronie internetowej GIODO pod linkiem https://giodo.gov.pl/pl/1520281/10430.

Zachęcam bo wykaz rodzajów przetwarzania, dla których będzie wymagane przeprowadzenie oceny skutków ochrony danych będzie bardzo ważny. Niezależnie od regulacji wewnętrznych i procedur, które już teraz są wdrażane w organizacjach trzeba będzie przyjrzeć się ponownie operacjom przetwarzania pod kątem właśnie dokonania oceny skutków ochrony danych.

Warto podkreślić, że Generalny Inspektor Ochrony Danych (dr Edyta Bielak-Jomaa) podkreśliła, że organ wnioskował o przyznanie budżetu na dokonanie niezbędnych przygotowań ze strony urzędu zarówno w odniesieniu do infrastruktury IT (np. obsługa i przyjmowanie zgłoszeń dot. naruszeń) jak i zatrudnienia. Organ szacuje, że potrzebuje zwiększyć zasoby o ok. 100 osób.

Jak widać czeka jeszcze wiele pracy.

Pamiętasz mój filmik gdy omawiałam projekt ustawy o ochronie danych osobowych z 8.02.2018r? i wspominałam o art. 3 i 4 tego projektu (kliknij jeśli nie widziałeś/aś). 27 marca Rada Ministrów przyjęła projekt zmieniony, w którym już nie ma tych wyłączeń. To już jakiś krok do przodu. Nie zmienia to jednak faktu, że dalej GIODO nie ma budżetu na działania.

RODO a ISO

Szczególnie przydatne pod kątem RODO dla osób zajmujących się zabezpieczaniem będą normy ISO. Jednak należy podkreślić, że normy są elementem wyjściowym. Dobrze sprawdzą się w większych organizacjach. Małe i średnie przedsiębiorstwa skupione w okół określonej branży powinny utworzyć kodeks postępowania oparty o elementy niektórych norm (np. dla branży stomatologicznej, budowlanej, fryzjerskiej itp.).

Oczywiście rodzaj zabezpieczeń musi być dobrany adekwatnie do ryzyka naruszenia ochrony danych. Ryzyko zaś oceniamy na podstawie zagrożeń oraz operacji przetwarzania (charakter, zakres, kontekst, cele przetwarzania). RODO nie zawiera wytycznych w zakresie wyboru norm ISO. Możemy stworzyć procedury czy polityki, które nie są oparte o normy ISO bądź z norm wybierają to co pasuje do organizacji (w znaczeniu specyfiki działania organizacji).

Normy, które warto znać:

  • PN-ISO/IEC 15408-2:2016-10 – wersja angielska (Zawiera katalog komponentów funkcjonalnych spełniających wymagania funkcjonalne bezpieczeństwa wspólne dla wielu produktów IT).

 

  • PN-ISO/IEC 29100:2017-07 – wersja angielska (W normie określono ramy prywatności, które obejmują:
    — określenie wspólnej terminologii dotyczącej prywatności;
    — zdefiniowanie aktorów i ich ról w przetwarzaniu danych
    — opis uwarunkowań dotyczących zabezpieczeń prywatności;
    — zapewnienie technologion informatycznym odniesień do znanych pryncypiów prywatnościNorma ma zastosowanie do osób fizycznych oraz organizacji uczestniczących w definiowaniu, zamawianiu,projektowaniu, opracowywaniu, testowaniu, utrzymaniu, administrowaniu i eksploatowaniu systemów teleinformatycznych lub usług, które wymagają zabezpieczeń prywatności przy przetwarzaniu PII).

 

  • PN-EN ISO/IEC 27001:2017-06 – wersja polska (określa wymagania dotyczące ustanowienia, wdrożenia, utrzymania i ciągłego doskonalenia systemu zarządzania bezpieczeństwem informacji w odniesieniu do organizacji. Niniejsza Norma Międzynarodowa obejmuje również wymagania dotyczące szacowania i postępowania z ryzykiem dotyczącym bezpieczeństwa informacji, dostosowanych do potrzeb organizacji. Wymogi określone w niniejszej Normie Międzynarodowej są ogólne i mają zastosowanie do wszystkich organizacji, niezależnie od typu, wielkości i charakteru).

 

  • PN-EN ISO/IEC 27002:2017-06 – wersja polska (zawiera zalecenia dotyczące standardów bezpieczeństwa informacji w organizacjach i praktyk zarządzania bezpieczeństwem informacji, w tym wyboru, wdrażania i zarządzania zabezpieczeniami, z uwzględnieniem środowiska (środowisk) w którym (których) w organizacji występuje (-ą) ryzyko w bezpieczeństwie informacji.
    Niniejsza Norma Międzynarodowa jest przeznaczona do stosowania przez organizacje, które zamierzają:
    a) wybierać zabezpieczenia w ramach procesu wdrażania Systemu Zarządzania Bezpieczeństwem Informacji zgodnie z ISO/IEC 27001 [10];
    b) wdrażać powszechnie akceptowane zabezpieczenia informacji;
    c) opracować własne zalecenia w zakresie zarządzania bezpieczeństwem informacji).

 

  • PN-ISO/IEC 27005:2014-01 – wersja polska (ma zastosowanie do wszystkich typów organizacji (np. przedsiębiorstw, instytucji rządowych, organizacji non-profit), które zamierzają zarządzać ryzykami, które mogą spowodować naruszenie bezpieczeństwa informacji w tych organizacjach).

 

  • PN-ISO/IEC 27018:2017-07 – wersja angielska (przy przetwarzaniu danych w chmurze, norma dla dostawców. Ustanawia powszechnie uznawane cele stosowania zabezpieczeń, zabezpieczenia oraz wytyczne do wdrażania środków ochrony danych identyfikujących osobę (PII – Personally Identifiable Information), zgodnie z pryncypiami zdefiniowanymi w normie ISO/IEC 29100, dla środowiska przetwarzania w chmurze).

Normy jakie się pojawią i baza, która już jest:

 

  • PN-ISO/IEC 29134P (ma być dopiero 28.01.2019), obecnie możemy posiłkować się ISO/IEC 29134 :2017 (zawiera wytyczne do opracowania i wdrożenia procesu oceny skutków w odniesieniu do praw i wolności osób, których dane są przetwarzane).

 

 

 

  • PN-ISO/IEC 29151P (ma być dopiero 25.02.2019), obecnie mamy ISO/IEC ISO/IEC 29151:2017 (zawiera praktyczne zasady dotyczące zabezpieczania danych osobowych. Planowanie odpowiednich zabezpieczeń jest dokonywane na podstawie analizy i oceny ryzyka prywatności związanych z procesami przetwarzającymi dane osobowe. Testowanie oraz implementacja tych zabezpieczeń ograniczy ryzyka  związane z danymi PII).

 

Testowanie i monitorowanie skuteczności stosowanych zabezpieczeń.

Jedną z ciekawszych prezentacji miał Kamil Pszczółkowski (ISSA Polska). Przedstawił uwarunkowania funkcjonowania zabezpieczeń. Słusznie wskazał, że analiza ryzyka to niezbędny element doboru zabezpieczeń. Kontekst zaś brany pod uwagę w analizie ryzyka jest również bardzo istotny  (aktywa podstawowe lub aktywa wspierające jako wyjściowe lub analiza na dwóch różnych poziomach).

Kamil opowiedział także o identyfikacji zagrożeń oraz o tworzeniu zabezpieczeń jako ochronie przed podatnościami, które zdefiniujemy.

Zarządzanie zabezpieczeniami to kolejny bardzo ważny aspekt. Powinniśmy mieć plan postępowania z ryzykiem, następnie oceniamy prawdopodobieństwo wystąpienia skutków. Należy dokładnie opisać jak i co będziemy chronić, jakie mamy mierniki, które pozwalają chronić/realizować wymaganie dot. bezpieczeństwa.

Monitorowanie w zasadzie domyka cykl zarządzania zabezpieczeniami przy założeniu, że procedura uwzględnia także rozwój zabezpieczeń (powinien być uwzględniony w analizie ryzyka).

Na konferencji poruszono także zagadnienia związane z dokumentowaniem procesów ochrony danych i różnych propozycji podejścia w tym zakresie, a także odbyło się szereg dyskusji związanych z aspektami bezpieczeństwa.

Autor grafiki promującej wpis: