Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


26.10.2020

Nowa wersja nVision

Można już pobierać nową wersję nVision
26.10.2020

Monitorowanie infrastruktury

Vertiv Environet Alert
23.10.2020

Telefonia w chmurze

NFON Cloudya
23.10.2020

Nowości w EDR

Bitdefender GravityZone
23.10.2020

Wykrywanie anomalii

Flowmon ADS11
23.10.2020

Mobilny monitor

AOC 16T2
22.10.2020

HP Pavilion

HP zaprezentowało nowe laptopy z linii Pavilion.
22.10.2020

Inteligentny monitoring

WD Purple SC QD101
22.10.2020

Przełącznik 2,5GbE

QNAP QSW-1105-5T

RODO a dostępność danych osobowych

Data publikacji: 19-04-2018 Autor: Piotr Michałkiewicz

Przeglądając informacje dotyczące bezpieczeństwa przetwarzania danych osobowych, można odnieść wrażenie, że większość z nich skupia się na szyfrowaniu i pseudonimizacji. Problem związany z dostępnością nie jest postrzegany w nich jako istotny. Jest to o tyle osobliwe podejście, że na cztery wymienione w rodo przykładowe rozwiązania dotyczące bezpieczeństwa danych aż dwa dotyczą dostępności. Mowa o zdolności do ciągłego zapewniania dostępności oraz zdolności do szybkiego przywrócenia dostępności.

Z punktu widzenia bezpieczeństwa przetwarzania danych osobowych najważniejszym artykułem w rodo jest art. 32. Wynika z niego, że administrator i podmiot przetwarzający zobligowani zostali do wdrożenia odpowiednich środków technicznych i organizacyjnych, które mają zapewnić odpowiedni stopień bezpieczeństwa przetwarzania, biorąc pod uwagę stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. W artykule tym jako przykładowe środki bezpieczeństwa wskazane zostały:

1. pseudonimizacja i szyfrowanie danych osobowych;
2. zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
3. zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
4. regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

> CO OZNACZA DOSTĘPNOŚĆ

Dostępność to jedna z trzech podstawowych cech bezpieczeństwa informacji. Norma PN-ISO/IEC 27000 do podstawowych cech bezpieczeństwa informacji zalicza poufność, integralność i dostępność informacji, zaś samą dostępność definiuje jako właściwość bycia dostępnym i użytecznym na żądanie autoryzowanego podmiotu.

W przypadku systemów teleinformatycznych definicję dostępności możemy znaleźć w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Zgodnie z tym rozporządzeniem dostępność to właściwość określająca, że zasób systemu teleinformatycznego jest możliwy do wykorzystania na żądanie w założonym czasie przez podmiot uprawniony do pracy w systemie teleinformatycznym.

Biorąc pod uwagę powyższe definicje, należy rozróżnić pojęcia dostępności i dostępu. W przypadku dostępności danych osobowych może zachodzić dostęp uprawniony i nieuprawniony. Przed dostępem nieuprawnionym mają nas zabezpieczać środki bezpieczeństwa typu szyfrowanie czy pseudonimizacja. W przypadku dostępu uprawnionego środkiem bezpieczeństwa jest właśnie dostępność.

> DLA KOGO DOSTĘP

Komu przysługuje dostęp? Biorąc pod uwagę rodo, administrator danych osobowych oraz podmiot przetwarzający muszą zapewnić dostęp do danych, poza osobami przetwarzającymi dane, następującym podmiotom:

1. osobie, której dane dotyczą – zgodnie z art. 15 ust. 1 osoba ta jest uprawniona do uzyskania od administratora dostępu do danych osobowych;
2. inspektorowi ochrony danych – zgodnie z art. 38 ust. 2 administrator oraz podmiot przetwarzający wspierają inspektora ochrony danych w wypełnianiu przez niego zadań, zapewniając mu zasoby niezbędne do wykonania tych zadań oraz dostęp do danych osobowych i operacji przetwarzania;
3. organowi nadzorczemu – zgodnie z art. 58 ust. 1 organowi nadzorczemu przysługuje w zakresie prowadzonych postępowań uzyskiwanie od administratora i podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do realizacji jego zadań, a także dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych, zgodnie z procedurami określonymi w prawie unijnym lub w prawie państwa członkowskiego.

Powyższe wymagania dotyczą nie tylko dostępu do danych osobowych, ale także do pomieszczeń, a co za tym idzie, także do sprzętu i środków służących do przetwarzania danych. Wynika z tego, że dostępność możemy utracić nie tylko w przypadku incydentu technicznego, ale także w przypadku incydentu fizycznego.

> CIĄGŁOŚĆ DZIAŁANIA

Z punktu widzenia organizacji pojęcie dostępności wiąże się z ciągłością działania. Wymagania dotyczące systemu zarządzania ciągłością działania zawiera norma PN-EN ISO 22301. Zgodnie z nią organizacja powinna ustanowić, wdrożyć i utrzymywać formalny i udokumentowany proces oceny ryzyka, który systematycznie identyfikuje, analizuje i ocenia ryzyko incydentu zakłócającego działanie organizacji.

[…]

Autor jest audytorem wiodącym normy ISO/IEC 27001, specjalizuje się w audycie bezpieczeństwa informacji, danych osobowych oraz bezpieczeństwa systemów informatycznych. Ekspert w zakresie zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"