Artykuł pochodzi z wydania: Kwiecień 2020
Przestoje, awarie czy nawet katastrofy mogą się zdarzyć w dowolnym momencie i mieć poważne konsekwencje dla organizacji. Borykamy się z kataklizmami, wśród których szczególnie dotkliwe są powodzie, ale nie tylko – jednym z największych wyzwań związanych z katastrofami jest to, że mogą pochodzić z dowolnej liczby źródeł.
W ostatnim czasie ochrona danych staje się bardziej złożona i wymaga spełnienia wielu norm prawnych. Rodo (ramka Dyrektywy, ustawy i rozporządzenia) określa od 2016 roku zasady i wymagania dla podmiotów przetwarzających dane osobowe. Informacje pozwalające na identyfikację fizycznej osoby obecnie są przetwarzane głównie w postaci elektronicznej. Coraz większa ich część znajduje się w postaci dokumentów elektronicznych w bazach danych i plikach pakietów biurowych, a firmy oraz instytucje sektora publicznego digitalizują zasoby informacyjne. Ochrona danych osobowych jest procesem złożonym, wymagającym w zakresie utrzymania ciągłości działania uwzględnienia wielu przepisów prawa, określenia technicznych środków ochrony oraz implementacji odpowiednich konfiguracji urządzeń i oprogramowania zabezpieczającego dane przed ich utratą.
Ale nie tylko wymagania przepisów o ochronie danych osobowych są istotnym elementem wymagań. Przy planowaniu ciągłości działania należy wziąć pod uwagę wymagania procesów biznesowych, z których powinny wynikać parametry ciągłości działania dla systemów i usług informatycznych. Dodatkowo w zakresie wymagań biznesowych dochodzą również umowy z innymi podmiotami, które mogą zawierać zobowiązania do utrzymania ciągłości działania naszych procesów czy usług IT.
Do systemu zarządzania ciągłością działania niektórzy z nas muszą dodać wymagania cyberustawy, a jednostki realizujące zadania publiczne uwzględniają również wymagania rozporządzenia KRI. Systemy i usługi chroniące dane osobowe powinny być zlokalizowane w odpowiednich miejscach, minimalizując ryzyko wystąpienia zagrożenia. Miejsca przetwarzania i składowania informacji powinny być określone, a ryzyka i potencjalne zagrożenia zidentyfikowane w celu optymalnego dopasowania środków ochrony. Aby uzyskać sprawnie działający system informatyczny w zakresie ochrony danych osobowych, należy w pierwszej kolejności zastanowić się nad organizacją zarządzania bezpieczeństwem.
> WYMAGANIA
Z rodo wynika konieczność zapewnienia ciągłości działania usług i systemów informatycznych służących do przetwarzania danych osobowych. W rodo wyrażone zostało jako „zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego” oraz „zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania”.
Z cyberustawy również wynikają wymagania dotyczące utrzymania ciągłości działania. Cyberustawa w art. 8 wskazuje jako wymóg dla operatorów usług kluczowych wdrożenie odpowiednich i proporcjonalnych do oszacowanego ryzyka środków technicznych i organizacyjnych, uwzględniających najnowszy stan wiedzy, w tym w punkcie C bezpieczeństwo i ciągłość dostaw usług, od których zależy świadczenie usługi kluczowej, oraz w D wdrażanie, dokumentowanie i utrzymywanie planów działania umożliwiających ciągłe i niezakłócone świadczenie usługi kluczowej oraz zapewniających poufność, integralność, dostępność i autentyczność informacji. Ponadto operator usługi kluczowej, którym może być zarówno podmiot komercyjny, jak i jednostka finansów publicznych, powinien zapewnić ciągłość działania usługom monitorowania bezpieczeństwa systemów i usług informatycznych wchodzących w skład usługi kluczowej.
Jednostki realizujące zadania publiczne podlegające pod rozporządzenie KRI zgodnie z § 20 ust. 1 są zobowiązane wdrożyć system zarządzania bezpieczeństwem informacji. Zgodnie z ust. 3 wymagania określone w ust. 1 i 2 uznaje się za spełnione, jeżeli system zarządzania bezpieczeństwem informacji został opracowany na podstawie Polskiej Normy PN-ISO/IEC 27001, a ustanawianie zabezpieczeń, zarządzanie ryzykiem oraz audytowanie odbywa się na podstawie Polskich Norm związanych z tą normą, w tym:
- PN-ISO/IEC 27002 – w odniesieniu do ustanawiania zabezpieczeń;
- PN-ISO/IEC 27005 – w odniesieniu do zarządzania ryzykiem;
- PN-ISO/IEC 24762 – w odniesieniu do odtwarzania techniki informatycznej po katastrofie w ramach zarządzania ciągłością działania.
[…]
Artur Cieślik
Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/IEC 22301 oraz ISO/IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze projektowania i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem.