Rodo obliguje administratorów oraz podmioty przetwarzające do wdrożenia środków technicznych i organizacyjnych, które mają zapewnić odpowiedni stopień bezpieczeństwa przetwarzania. Biorąc pod uwagę nieustający rozwój technologii oraz ciągły wzrost liczby nowych zagrożeń, określenie stopnia bezpieczeństwa mianem „odpowiedni” jest praktycznie niemożliwe.

Czy rodo daje nam jakieś wskazówki w tym zakresie? Zgodnie z art. 32 ust. 2 rodo, oceniając, czy stopień bezpieczeństwa jest odpowiedni, należy uwzględniać ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

W celu zapewnienia bezpieczeństwa przetwarzania, które będzie odpowiadało danemu ryzyku, administrator i podmiot przetwarzający muszą wdrożyć określone środki techniczne i organizacyjne. Co ciekawe, rodo w art. 32 ust. 1 lit. d) zalicza do nich także środki umożliwiające regularne testowanie, mierzenie i ocenianie skuteczności środków mających zapewnić bezpieczeństwo przetwarzania.

> SKUTECZNOŚĆ

Niestety, rodo nie zawiera definicji skuteczności. Nie mówi także nic na temat jej testowania, mierzenia czy też oceniania. Jest to o tyle istotne, że w wielu opracowaniach pojęcie skuteczności stosowane jest wymiennie z efektywnością.

Czym zatem jest skuteczność? Słownik języka polskiego PWN definiuje pojęcie „skuteczny” jako: 1. dający pożądane wyniki, 2. taki, którego działalność przynosi efekty. Norma PN-ISO/IEC 27000 definiuje skuteczność jako stopień, w jakim zaplanowane działania zostały zrealizowane i planowane wyniki osiągnięte. Patrząc z punktu widzenia ekonomicznego, co jest typowe w większości organizacji, obydwie definicje nic nie mówią na temat nakładów. W uproszczeniu, dopiero gdy porównamy efekty do poniesionych nakładów, wówczas będziemy mówili o efektywności.

Innymi słowy, skuteczność mówi nam, czy dane działania przyniosły i w jakim stopniu oczekiwane wyniki, zaś efektywność, czy się opłacało je wykonać. Może się więc zdarzyć, że działanie, które zostało określone jako skuteczne, może być nieefektywne i odwrotnie.

> SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI

Dane osobowe stanowią szczególną kategorię informacji przetwarzanych w ramach organizacji. Jak chronić te informacje? Jakie zabezpieczenia, czyli środki techniczne i organizacyjne wdrożyć? Traktując organizację jako system, możemy wyróżnić w niej wiele podsystemów, np. system zarządzania bezpieczeństwem informacji (SZBI). Do zarządzania tego typu systemem możemy wykorzystać normy z rodziny ISO/IEC 27000. Podstawową normą w tej rodzinie jest norma PN-ISO/IEC 27001, która definiuje wymagania dotyczące ustanawiania, wdrażania, utrzymania i ciągłego doskonalenia SZBI. Norma ta jest także podstawą certyfikacji SZBI.

Podobnie jak w przypadku rodo podstawą SZBI jest proces zarządzania ryzykiem. Realizacja tego procesu pozwala uzyskać gwarancję, że ryzyka dotyczące poufności, integralności i dostępności informacji są odpowiednio zarządzane, a wdrożone zabezpieczenia odpowiadają określonym ryzykom. Mimo że proces zarządzania ryzykiem nie jest tematem tego artykułu, warto tutaj zwrócić uwagę na normę ISO/IEC 31000, która zawiera zasady i ogólne wytyczne dotyczące zarządzania ryzykiem oraz normę ISO/IEC 27005, która dotyczy zarządzania ryzykiem w bezpieczeństwie informacji.

> CZY SZBI DZIAŁA SKUTECZNIE

Planując SZBI, należy zaplanować sposób, w jaki organizacja będzie dokonywać oceny jego skuteczności. Jednak planowanie i wdrożenie to jedna strona medalu, zaś utrzymanie i doskonalenie SZBI to druga. Zgodnie z normą PN-ISO/IEC 27001 najwyższe kierownictwo organizacji powinno wykazywać swoje zaangażowanie w stosunku do SZBI, m.in. poprzez zapewnienie, że system ten osiąga zamierzone wyniki, oraz zobowiązanie do ciągłego jego doskonalenia.

W obydwu przypadkach niezbędne jest podjęcie działań, które pozwolą ocenić wyniki wdrożenia SZBI oraz na ich podstawie podjąć niezbędne działania korygujące czy też zmiany, jeżeli będą konieczne. Dlatego też norma PN-ISO/IEC 27001 zawiera oddzielny rozdział, który określa mechanizmy kontrolne dotyczące oceny wyników działań na rzecz bezpieczeństwa informacji oraz skuteczności SZBI. Do mechanizmów tych zaliczono:

• monitorowanie, pomiary, analizę i ocenę,
• audyt wewnętrzny,
• przegląd zarządzania.

[...]

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych oraz bezpieczeństwa systemów informatycznych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.