19 marca 2024

Najtrudniejsze i najważniejsze słowo w RODO

Z czterech wymienianych w RODO perspektyw oceny ryzyka – charakteru, zakresu, kontekstu i celów przetwarzania – to właśnie określenie kontekstu sprawi najwięcej problemów i będzie źródłem najpoważniejszych błędów. Bo czym tak naprawdę jest kontekst?

Foto: pixabay.com

W zarządzaniu ryzykiem określenie metod działania rozpoczyna się od ustanowienia kontekstu, w jakim szacuje się różne rodzaje ryzyka i przyjmuje odpowiednie ścieżki postępowania.

Błędny, niekompletny, nieprecyzyjny wybór kontekstu nieuchronnie prowadzi do pominięć i niedoszacowania skali zagrożenia, jakie dane ryzyko niesie. Tymczasem pojęcie kontekstu nie jest precyzyjnie wyjaśnione w RODO, a wykładnia językowa może sprawić poważne problemy. W zrozumieniu kontekstu nie w pełni także pomaga wydany przez GIODO w grudniu 2017 r. Poradnik RODO „Podejście oparte na ryzyku”.

Zaczynając od podstaw, na niewiele przyda się definicja kontekstu, którą odnajdujemy w Poradniku. Mówi ona, że kontekstem są wszystkie informacje wiążące się z działaniem organizacji. Co prawda Poradnik w rozdziale 8 części 1 wyjaśnia, że ustanowienie kontekstu jest procesem, w którym zgodnie z motywem (75) dokonujemy analizy czynników ryzyka, ale po szczegóły, jak tego dokonać, odsyła do normy ISO/IEC 27005.

Według normy, kontekst organizacji obejmuje wszystkie wewnętrzne i zewnętrzne kwestie istotne dla jej celów oraz wpływ, jaki kwestie te mogą mieć na zdolność do osiągania celów i wyników, które organizacja zamierza osiągnąć w ramach systemu zarządzania bezpieczeństwem informacji. Warto docenić przykłady informacji zewnętrznych i wewnętrznych związanych z działaniem organizacji mających wpływ na bezpieczeństwo informacji, które podaje część 2 Poradnika GIODO w ramach Kroku 1.1. Problem polega na tym, że to nadal pozostaje opis ogólny, a tworzenie przepisu szczegółowego nie jest intencją RODO.

Więcej o RODO piszemy tutaj.

W tym miejscy powinniśmy zastanowić się, jakie metodologie mogą nam pomóc zidentyfikować czynniki ryzyka i kontekst, w jakim je umiejscawiamy. Należy tu postępować z najwyższą rozwagą. Przykład jednego z największych w historii wycieków informacji z 2011 r. daje do myślenia. W wyniku włamania do sieci, przestępcy uzyskali dostęp do danych osobowych 77 mln użytkowników platformy SONY PlayStation Network. Można domniemywać, że słabością systemu było pominięcie pewnego czynnika ryzyka w wyniku zastosowania nieadekwatnej do skali zagrożeń metodologii identyfikacji kontekstu.

Słusznie GIODO zachęca w rozdziale 6 części 1 Poradnika, aby czerpać inspiracje z różnych metodyk i wskazuje przykłady takich metodologii jak PIA czy COBIT. Warto jednak mieć świadomość z jakim kalibrem spraw się tu mierzymy. COBIT to rozwiązanie dla nielicznych. Został między innymi wskazany w Rekomendacji D Generalnego Inspektoratu Nadzoru Bankowego, dotyczącej zarządzania ryzykiem towarzyszącym systemom informatycznym i telekomunikacyjnym używanym przez banki.

Podmioty o mniejszej kapitale powinny co najmniej wykonać analizę PESTEL dla czynników zewnętrznych i analizę 7S McKinsey’a dla czynników wewnętrznych. Ilu świadczeniodawców będzie miało tego świadomość, znajdzie na to czas, środki, kompetencje, gdy w tak wielu przypadkach niestety słyszymy, że RODO mamy pod kontrolą „bo zajmuje się tym nasz informatyk z radcą prawnym”?

Czy w określaniu kontekstu pozostajemy w takim razie bezradni? Niekoniecznie. Gdy z jednej strony nie stać nas na kosztowne analizy i doradców, a z drugiej chcemy uniknąć określania kontekstu na gruncie burzy mózgów, czy posługiwania się niepełnymi z założenia listami wytycznych, warto dokonać uporządkowania obszarów zagrożeń. Takie postępowanie odnajdziemy w każdej uznanej metodologii z obszaru architektury organizacyjnej, w tym analizy bezpieczeństwa informacyjnego. Jako punkt startowy powinno nam posłużyć jedno z najbardziej syntetycznych podejść w tym zakresie wychodzące z sieci Zachmana.

Więcej o RODO piszemy tutaj.

John A. Zachman w latach 80. zeszłego stulecia wypracował genialny w swojej prostocie schemat projektowania i analizy architektury organizacyjnej. Wyróżnia on sześć perspektyw (planisty, właściciela, projektanta, budowniczego, wdrożeniowca, operatora) i zadaje 6 pytań: co, jak, gdzie, kto, kiedy i dlaczego? Siatka powiązań, jaką tworzą poszczególne ogniwa takiej sieci, pozwala w praktyce odpowiedzieć na najbardziej złożone i perspektywiczne pytania, jakie możemy postawić dowolnej organizacji. Do sieci Zachmana nawiązuje warstwowa architektura metodologii SABSA, którą w obszarze analizy bezpieczeństwa informacji uznałbym za wzorcową.

Analizując kontekst, obszary zagrożeń danych osobowych w podmiotach leczniczych, warto zauważyć, że inne spojrzenie na to zagadnienie będzie miał GIODO w swoim Poradniku (tu w roli planisty), inne podmiot tworzący dany podmiot leczniczy (właściciel), inne dyrektor szpitala (projektant), a jeszcze inne wykonawca systemu (budowniczy), dyrektor IT (wdrożeniowiec) czy szef kliniki (operator).

Analizując każdą z warstw dostrzeżemy inny kontekst, a zadając pytania – co, jak, gdzie, kto, kiedy i dlaczego – inne zagrożenia. Oczywiście warto byłoby przejść fachowe szkolenie i nabrać praktyki w zakresie użycia sieci Zachmanna, czy metodologii SABSA, ale bądźmy realistami! Szczęśliwie, warstwa pojęciowa jest tu na tyle syntetyczna, czysta i pozbawiona artefaktów, że na metodologiach tych możemy wzorować się poznając ich zasadniczy zręb i sposób aplikowania.

To w mojej ocenie lepsze rozwiązania niż zawieszona w niezdefiniowanej przestrzeni i wymiarach spontaniczna dyskusja zagrożeń, nawet jeśli GIODO stara się nam pomóc ją uporządkować wspierając listą przykładowych zagadnień. Jednego nie unikniemy – nadal należy mieć na tyle wyobraźni, czasu i cierpliwości, aby w tej czy innej metodologii dostrzec krytyczny dla bezpieczeństwa kontekst.

RODO wielokrotnie odwołuje się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Charakter, zakres i cel są elementami, które nie powinny nastręczać trudności. Analizując kontekst, warto poznać założenia metodologii wspierających analizę architektury organizacyjnej, która jest osnową, w jakiej rodzi się kontekst i zagrożenia bezpieczeństwa informacji, które mamy zidentyfikować.

Robert Mołdach
IZiD