Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...
Tyle, że są to dwie analizy ;-)
W UODO mowa jest o ochronie adekwatnej do zagrożeń, nie do ryzyka. O ryzyku niewiele, więc tym bym się nie przejmował. Tym bardziej, że w odniesieniu do UODO i działania ABI - bardzo okrojonych, główną rolą jest uzyskanie i utrzymanie zgodności, a nie "kombinowanie" z ryzykiem. Skutek materializacji ryzyka jest w kategoriach prawnych wskazany - przepisy karne UODO.
Katalog zagrożeń jest w art 36, który wskazuje podstawowe skutki materializacji zagrożeń (jeszcze nie ryzyka), na które trzeba zwrócić uwagę. Zawsze zalecam, czy na szkoleniach, czy przy wdrożeniach, żeby zaczynać łyżeczką nie chochlą, bo można przekombinować. Dlatego na pierwszy raz (analiza powinna być cykliczna, bo struktura potrafi się zmienić), proponuję pozostać przy podstawowym katalogu, zakreślonym w art 36 ust 1, czyli:
1. Udostępnienie osobie nieupoważnionej;
2. Zabranie przez osobę nieuprawnioną;
3. Przetwarzanie z naruszeniem ustawy;
4. Zmianą - w domyśle (niestety) nieuprawnioną;
5. Utratą
6. Uszkodzeniem;
7. Zniszczeniem (też zakładam nieuprawnionym);
Proponowałbym od razu oznaczyć sobie te zagrożenia, żeby potem przy obsłudze monitorować z którego zagrożenia powstał incydent. Pozwoli to na monitorowanie ryzyka (w dalszym rozwoju systemu). Plus pozwoli oceniać siłę. Bo ryzyko to nic innego jak kombinacja prawdopodobieństwa i skutku. Ale jak pisałem - nie od razu, ale pewne przygotowania już można.
A potem już z górki. Trzeba poszukać źródeł zagrożeń i samych zagrożeń. I tu są dwie szkoły - jedna mówi że zaczynamy od źródła zagrożenia, druga od skutku. Szczerze to nie ma znaczenia, bo wyjdzie na to samo, to tylko preferencje analityka. Jako, że tutaj mamy już skutek (te z katalogu art 36), to tylko rozwinąć. Np 6. uszkodzenie. W jaki sposób może nastąpić uszkodzenie danych?
Tu chwila zatrzymania. Wiele osób myli źródło zagrożenia z samym zagrożeniem. Komputer może zniszczyć woda a nie powódź, nieuwaga pracownika czy awaria instalacji wodnej w budynku, czy usterka samego budynku. Dlatego raczej szedłbym w kierunku wody, która zniszczy, poszukania źródeł wody dla miejsc w których przetwarzane są dane osobowe i z tego kształtowania zabezpieczeń. Np dla wody z powodzi - centra zapasowe w obszarach nieobjętych zagrożeniem (dane z ISOK.gov.pl), dla nieważnego pracownika - zakaz spożywania napojów czy posiłków przy komputerach (stosuje się wyznaczone miejsca przy biurkach, gdzie można postawić szklankę, ale jest po drugiej stronie niż stacja). Przy czym to już kolejny etap, ale warto pamiętać, aby wpisywać cele zabezpieczeń.
Wróćmy do zagrożeń. Jak już wiemy jaki katalog, jakie źródła to wchodzą nam prawdopodobieństwo tego zdarzenia. Tu najciężej, bo z reguły brak danych. Wtedy stosuję nieco inną strukturę, wyniki mam po prostu z burzy mózgów (z odpowiednim zapisem). I:
Poziom 4 Prawie pewne - może wydarzyć się w ciągu najbliższych 3 miesięcy
Poziom 3 Bardzo prawdopodobne - może się wydarzyć w ciągu 6 miesięcy
Poziom 2 Prawdopodobne - może wydarzyć się do roku
Poziom 1 Mało prawdopodobne - może się wydarzyć, ale nie w ciągu roku
Poziom 0 Nieprawdopodobne - to nieprawdopodobne ;-)
I zestawienie źródeł zagrożeń, które mogą spowodować skutek z art 36, z tym co wyżej daje mi już informacje, gdzie mam zagrożenia z którymi trzeba się ogarnąć. W teorii aby to przełożyć na ocenę ryzyka, trzeba by dodać skutek. Wielu specjalistów w zakresie ochrony danych osobowych po prostu skaluje skutek utraty danych (od 0 brak skutku, bo 5 - naruszenie przepisów), ale tylko do tego co w przepisach karnych. Niestety, to trochę nie tak dlatego w pierwszej fazie raczej bym nie szedł za daleko, potem oczywiście i jak najbardziej.
Patrząc przez profil - zakładam dane medyczne. Ryzyko zniszczenia danych osobowych wrażliwych, będących jednocześnie danymi medycznymi (inwentaryzacja zasobów informacyjnych się kłania), niesie wiele innych skutków poza odpowiedzialność karną za brak realizacji zapisów ustaw (UODO I tej drugiej). Ale to będzie tylko za czyn formalny, w sensie wystarczy tylko wypełnienie znamion czynu zabronionego. Natomiast ryzyko może eskalować sobie dalej i może dojść do zgonu pacjenta, wskutek braku dokumentacji medycznej (niewłaściwa pomoc, rozpoznanie, czy podanie leku na który jest uczulony). Pytanie - czy to ryzyko jest już wysokie do krytycznego? Moim zdaniem tak, bo odpalone zostaną skutki prawne (dyrektor ZOZ, osoba która dopuściła do zniszczenia - czy przez działanie, czy przez zaniechanie), skutki finansowe - odszkodowanie oraz wiele innych.
I tym tak w zarysie różni się analiza zagrożeń od analizy ryzyka. Zagrożenia - po prostu czy są i czy wystąpić może zakładany skutek w postaci naruszenia przepisów (i tyle wymaga ustawa), a ryzyko - to co dalej dla organizacji, w kategoriach najczęściej prawnych, organizacyjnych, finansowych, reputacyjnych (które też na finanse się przeniesie) i innych, charakterystycznych dla konkretnej branży.