Samoocena bezpieczeństwa danych osobowych
Dane osobowe i wrażliwe zasługują na ochronę
- W życiu sieciowym (internetowym) przekazujemy coraz więcej danych i informacji o sobie. Czasami jest to niezbędne do wykonania określonych czynności, czasami ulegamy presji operatorów witryn i portali a czasami, z własnej i nie przymuszonej woli, narażamy się na spore ryzyko. Na spore ryzyko również narażają się te podmioty, które gromadzą dane osobowe i prywatne.
Dzisiaj zaglądamy do Kanady.
Pod koniec 2020 roku, trzy kanadyjskie instytucje rządowe, tj.:
- Office of the Information and Privacy Commissioner of Alberta
- Office of the Information and Privacy Commissioner for British Columbia
- Office of the Privacy Commissioner of Canada
opublikowały wspólny, niespełna 20-stronicowy dokument zatytułowany : “Securing personal information: A self-assessment for public bodies and organizations”.
Organizacje powinny pamiętać, że ryzyko danych osobowych (danych wrażliwych / prywatnych) wiąże się nie tylko z samym procesem gromadzenia i przechowywania danych osobowych ale również z niepowołanym dostępem, niewłaściwym wykorzystaniem, bezprawnym ujawnieniem, powieleniem, modyfikacją, sprzedażą lub zniszczeniem.
Jak zaznaczono w publikacji, jest to dokument przeznaczony zarówno dla podmiotów prywatnych jak i publicznych. Zawiera on nie mniej ni więcej tylko zestaw pytań (listę kontrolną), pozwalającą organizacjom przeprowadzić samoocenę poziomu (zakresu i stanu) ochrony danych i informacji osobowych.
Przywoływana publikacja może być przydatna zarówno dla osób bezpośrednio odpowiedzialnych za bezpieczeństwo danych osobowych ale i za nadzór nad działaniami mającymi zapewnić to bezpieczeństwo. Również jednostki audytu wewnętrznego mogą wykorzystać tę publikację nie tylko do oceny procesów zarządzania bezpieczeństwem ale i do planowania działań i programów badań (audytów). Tym bardziej, że ostatnia kategoria (zgodność) zawiera pytania odnoszące się wprost do procesu audytu.
Pytania (a jest ich ponad 200) zgrupowano w 16 głównych kategoriach (podzielonych na podkategorie):
- Zarządzanie ryzykiem
- Zasady / polityki
- Zarządzanie zapisami
- Bezpieczeństwo personelu
- Bezpieczeństwo fizyczne
- Bezpieczeństwo systemów
- Bezpieczeństwo sieci
- Łączność bezprzewodowa
- Bezpieczeństwo baz danych
- Bezpieczeństwo poczty elektronicznej i faksu
- Integralność i ochrona danych
- Kontrola dostępu
- Zakup, rozwój i utrzymanie systemów
- Zarządzanie incydentami
- Planowanie ciągłości działania
- Zgodność
Zajrzyjmy do publikacji, w obszarze pierwszym – zarządzania ryzykiem – lista pytań zaczyna się następująco:
1.1 Czy Twoja organizacja określiła, jakie zasoby danych osobowych są przechowywane i jaki jest poziom ich wrażliwości?
1.2 Czy Twoja organizacja udokumentowała swoje zasoby danych osobowych, miejsce ich przechowywania oraz ich wrażliwość (na przykład w rejestrze danych osobowych)?
1.3 Czy Twoja organizacja przeanalizowała, oceniła i udokumentowała wpływ na działalność, który może wynikać z awarii mechanizmów bezpieczeństwa danych osobowych i biorąc pod uwagę konsekwencje utraty poufności, integralności lub dostępności informacji?
1.4 Czy Twoja organizacja przeprowadza ocenę wpływu na prywatność (Privacy Impact Assessment – PIA), która polega na analizie, ocenie i udokumentowaniu wpływu na prywatność klientów i pracowników, gdyby doszło do złamania bezpieczeństwa informacji?
Jak widać, pytania nie mają charakteru szczegółowych pytań technicznych sięgających poziomu bitów i bajtów. Koncentrują się raczej na sferze zarządczej i organizacyjnej zapewniania bezpieczeństwa danych.
Zgrabna publikacja …
