Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



20.07.2020

Baramundi

Pomoc w czasie pandemii.
20.07.2020

Stop infekcjom

CloudGuard
17.07.2020

Analiza zagrożeń

Kaspersky Threat Attribution Engine
17.07.2020

Strażnik danych

QGD-1602P
16.07.2020

Dysk przemysłowy

Transcend MTE352T
16.07.2020

Połączenie sił

Fugaku
16.07.2020

Brama bezpieczeństwa

Check Point 1570R
23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay

Kryptograficzne zabezpieczanie danych. Zgodność z rodo

Data publikacji: 27-10-2017 Autor: Artur Cieślik

Od momentu, gdy pojawiło się nowe rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: rodo), powstało wiele pytań dotyczących sposobu realizacji zapisanych w nim wymagań. Szczególnie w IT zadajemy sobie pytanie, w jaki sposób będziemy realizować ochronę w systemach. Które z zabezpieczeń będą obligatoryjne, a które stosowane adekwatnie do naszego środowiska informatycznego?

Z rodo wynika konieczność zapewnienia bezpieczeństwa danym osobowym przetwarzanym w organizacji, zarówno w systemach, jak i poza nimi. Należy zadbać o bezpieczeństwo danych osobowych odpowiednie do poziomu wymagań przetwarzanych zbiorów danych. Adekwatność zabezpieczeń powinna uwzględniać zapewnienie poufności, integralności oraz dostępności przetwarzanych informacji. Ochronę stosujemy zarówno przed nieuprawnionym dostępem do danych, jak i do zabezpieczania sprzętu służącego do przetwarzania tego typu informacji. Dobór zabezpieczeń powinien uwzględniać bieżący stan wiedzy technicznej w technologiach informatycznych oraz koszty ich wdrożenia.

> PODEJŚCIE DO WYBORU ZABEZPIECZEŃ

Ostatecznie wybór zabezpieczenia musi być adekwatny do ryzyka naruszenia bezpieczeństwa danych osobowych, z uwzględnieniem wspomnianych czynników oraz charakteru tego typu danych. Wymagania dla bezpieczeństwa danych osobowych zostały zapisane w Sekcji 2 rodo. Podstawowym wymaganiem jest bezpieczeństwo przetwarzania. Organizacja powinna więc wdrożyć środki techniczne i organizacyjne, zapewniające odpowiedni stopień bezpieczeństwa odpowiadający szacowanemu ryzyku dla danych osobowych. Zgodnie z rodo ryzyko powinno być adekwatne do stanu wiedzy technicznej, kosztu wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania danych osobowych.

W praktyce organizacje przetwarzające dane osobowe mają obowiązek wdrożenia czterech rodzajów zabezpieczeń: organizacyjnych, prawnych, informatycznych oraz fizycznych. Dobierając zabezpieczenia, należy kierować się dobrymi praktykami w danej dziedzinie, normami oraz standardami wykorzystywanymi w obrocie profesjonalnym. Zapewnienie bezpieczeństwa danych w systemie informatycznym to także zastosowanie środków organizacyjnych, prawnych, fizycznych i informatycznych w celu zabezpieczenia ich przed: przypadkowym lub niezgodnym z prawem zniszczeniem, utratą, zmodyfikowaniem, nieuprawnionym ujawnieniem lub nieuprawnionym dostępem do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

> KIEDY SZYFROWAĆ

W rodo nie znajdziemy wielu szczegółowych wymagań dotyczących celów zabezpieczeń i sposobów zabezpieczania danych osobowych. Podstawowym wymaganiem rodo jest wdrożenie zabezpieczeń z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania, charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych, o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Motyw 83 rodo wskazuje, że w celu zachowania bezpieczeństwa i zapobiegania przetwarzaniu niezgodnemu z rodo administrator lub podmiot przetwarzający powinni oszacować ryzyko właściwe dla przetwarzania oraz wdrożyć środki – takie jak szyfrowanie – minimalizujące to ryzyko. Jak wspomniano, środki takie powinny zapewnić odpowiedni poziom bezpieczeństwa, w tym poufność, oraz uwzględniać stan wiedzy technicznej oraz koszty wdrożenia tych środków, w stosunku do ryzyka i charakteru danych osobowych podlegających ochronie. Oceniając ryzyko w zakresie bezpieczeństwa danych, należy wziąć pod uwagę ryzyko związane z przetwarzaniem danych osobowych. Ryzyko związane z przetwarzaniem danych może w szczególności prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych.

Oceniając, czy stopień bezpieczeństwa jest odpowiedni, należy uwzględnić ryzyko wiążące się z przetwarzaniem informacji. Następnie stosownie do przeprowadzonej analizy, a więc w przypadku gdy poziom ryzyka wskazuje na taką potrzebę, wdrożyć pseudonimizację i szyfrowanie danych osobowych. Powinniśmy też zwrócić uwagę, czy nasze systemy i usługi informatyczne posiadają zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności oraz czy posiadają zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Ostatnim elementem, nad którym się zastanawiamy, jest decyzja w zakresie regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

Zabezpieczenia kryptograficzne można wykorzystać do zapewnienia poufności oraz integralności danych. Możemy również wykorzystać metody i algorytmy szyfrujące do zapewnienia niezaprzeczalności oraz uwierzytelnienia. Poprzez wykorzystanie szyfrowania ograniczamy dostęp dla osób nieupoważnionych do danych przechowywanych na nośnikach oraz przesyłanych przez sieć. Integralność można zapewnić, stosując podpisy certyfikatami, a za pomocą generowanych kodów potwierdzać autentyczność wiadomości. Kryptografia odpowiada również na potrzebę uzyskania dowodu na to, czy czynność została wykonana na danych czy też nie. Pozwala to na uzyskanie wiarygodnego dowodu na podstawie zabezpieczonych kryptograficznie zapisów logów. Logowanie tzw. czynności przetwarzania powinno wykorzystywać mechanizmy zapewniające oryginalność ciągłości zapisów zdarzeń w systemach.

[...]
 

Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze projektowania i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"