W ostatnim czasie ochrona danych staje bardziej złożona i wymaga spełnienia wielu wymagań prawnych. RODO określa od 2016 roku zasady i wymagania dla podmiotów przetwarzających dane osobowe. Informacje pozwalające na identyfikację fizycznej osoby obecnie są przetwarzane głównie w postaci elektronicznej. Coraz większa ich część znajduje się w postaci dokumentów elektronicznych w bazach danych i plikach pakietów biurowych, a firmy oraz instytucja sektora publicznego digitalizują zasoby informacyjne. Ochrona danych osobowych jest procesem złożonym, wymagającym w zakresie utrzymania ciągłości działania uwzględnienia wielu przepisów prawa, określenia technicznych środków ochrony oraz implementacji odpowiednich konfiguracji urządzeń i oprogramowania zabezpieczającego dane przed ich utratą.
Ale nie tylko wymagania przepisów o ochronie danych osobowych są istotnym elementem wymagań. Przy planowaniu ciągłości działania należy wziąć pod uwagę wymagania z procesów biznesowych, z których powinny wynikać parametry ciągłości działania dla systemów i usług informatycznych. Dodatkowo w zakresie wymagań biznesowych dochodzą również umowy z innymi podmiotami, które mogą zawierać zobowiązania do utrzymania ciągłości działania naszych procesów czy usług IT.
Do systemu zarządzania ciągłością działania niektórzy z nas muszą dodać wymagania cyberustawy, a jednostki realizujące zadania publiczne uwzględniają również wymagania rozporządzenia KRI.
- RODO – ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
- Cyberustawa – Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa. Określa organizację krajowego systemu cyberbezpieczeństwa (KSC) oraz zadania i obowiązki podmiotów wchodzących w skład tego systemu. KSC ma na celu zapewnienie cyberbezpieczeństwa na poziomie krajowym, w tym niezakłóconego świadczenia usług kluczowych i usług cyfrowych, przez osiągnięcie odpowiedniego poziomu bezpieczeństwa systemów informacyjnych służących do świadczenia tych usług oraz zapewnienie obsługi incydentów.
- Rozporządzenie KRI – Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
Systemy i usługi chroniące dane osobowe powinny być zlokalizowane w odpowiednich miejscach, minimalizując ryzyko wystąpienia zagrożenia. Miejsca przetwarzania i składowania informacji powinny być określone, a ryzyka i potencjalne zagrożenia zidentyfikowane w celu optymalnego dopasowania środków ochrony. Aby uzyskać sprawnie działający system informatyczny w zakresie ochrony informacji i usług, należy w pierwszej kolejności zastanowić się nad organizacją zarządzania bezpieczeństwem.
Z RODO wynika konieczność zapewnienia ciągłości działania usług i systemów informatycznych służących do przetwarzania danych osobowych. W RODO wyrażone zostało jako „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego” oraz „zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania”.
Z cyberustawy również wynikają wymagania dotyczące utrzymania ciągłości działania. Cyberustwa w art. 8 wskazuje jako wymóg dla operatorów usług kluczowych wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym w punkcie c) bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej oraz w d) wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji. Ponadto operator usługi kluczowej, którym może być zarówno podmiot komercyjny jak i jednostka finansów publicznych, powinien zapewnić ciągłość działania usługom monitorowania bezpieczeństwa systemów i usług informatycznych wchodzących w skład usługi kluczowej.
Jednostki realizujące zadania publiczne podlegające pod rozporządzenie KRI zgodnie z §20 ust. 1 są zobowiązane wdrożyć system zarządzania bezpieczeństwem informacji. Zgodnie z ust. 3 wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:
- PN-ISO/IEC 27002 – w odniesieniu do ustanawiania zabezpieczeń;
- PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem;
- PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.
Analizując wymagania wewnętrzne i zewnętrzne staniemy ostatecznie przed pytaniem, jak ciągłość systemów zanalizować? Jakich planów potrzebujemy? Zgodnie z jakimi praktykami postępować? Odnosząc to do praktyki, wymagania dla ciągłości działania procesów, a w konsekwencji dla systemów informatycznych wykorzystywanych do realizacji procesów biznesowych, realizujemy poprzez identyfikację wymagań dla procesów zachodzących w organizacji. Analizujemy krytyczność procesów i w zależności od krytyczności danego procesu, określamy istotność systemów informatycznych. Każdy system składa się z zasobów, które mogą ulec awarii lub katastrofie i w konsekwencji mogą doprowadzić do zakłócenia lub całkowitego przerwania działania części lub całej naszej firmy i instytucji. Z tego powodu identyfikujemy zagrożenia dla ciągłości działania systemów IT i określamy prawdopodobieństwo zdarzenia, których skutkiem będzie np. przerwa w działaniu systemu, utrata danych, zakłócenie funkcjonowania podmiotów z naszego otoczenia biznesowego, z którymi współpracujemy. Na poziomie technicznym praktyką jest analiza tzw. pojedynczych punktów awarii, zdarzeń krytycznych takich jak pożar czy długotrwały brak dostępu do sieci. Ustanawiamy zabezpieczenia stosując np. redundancję, a także opracowujemy procedury odzyskiwania zdolności działania po awarii lub katastrofie.
Autor: