Data Protection Impact Assessment (DPIA) Metodyka zarządzania ryzykiem w ochronie danych osobowych. Warszawa 2017

Transkrypt

1 Data Protection Impact Assessment (DPIA) Metodyka zarządzania ryzykiem w ochronie danych osobowych Warszawa 2017

2 Kilka słów o Fundacji Celem Fundacji Bezpieczeństwa Informacji Polska jest podejmowanie działań na rzecz: a) wspierania bezpieczeństwa informacyjnego i cyberprzestrzeni w Polsce; b) budowania świadomości w zakresie bezpieczeństwa oraz świadomego wykorzystania Internetu; c) przeglądu skuteczności i efektywności stosowanych zabezpieczeń, w tym projektowanie i propagowanie nowych rozwiązań organizacyjnych i technicznych powodujących wzrost bezpieczeństwa w kraju.

3 Data Protection Impact Assessment (DPIA) Podstawa prawna: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych Art. 35 Ocena skutków dla ochrony danych

4 Cel Zarządzania ryzykiem w danych osobowych Art. 35, ust. 1 Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

5 Zakres realizacji oceny skutków dla ochrony danych Zarządzania ryzykiem w danych osobowych Art. 35, ust. 7. Ocena zawiera co najmniej: a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie prawnie uzasadnionych interesów realizowanych przez administratora; b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów; c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy. Szkolenie CPI,

6 Oczekiwany rezultat Zarządzania ryzykiem w danych osobowych Art. 24, ust. 1 Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Szkolenie CPI,

7 Modele zarządzania ryzykiem ochrony danych osobowych

8 Określenie kontekstu przetwarzania Celem kontekstu przetwarzania jest określenie i udokumentowanie: a) charakteru przetwarzania danych osobowych; b) zakresu przetwarzania w stosunku do celów, w których dane są przetwarzane; c) kontekstu, w którym zebrano dane osobowe; d) celu przetwarzania; e) odbiorców i przetwarzających dane osobowe; f) okresu przechowywania danych osobowych; g) operacji przetwarzania; h) aktywów wykorzystywanych do operacji przetwarzania.

9 Modele zarządzania ryzykiem ochrony danych osobowych

10 Przykłady rodzajów operacji przetwarzania danych mogących powodować wysokie ryzyko Ocena lub punktacja, w tym profilowanie i przewidywanie; Automatyczne podejmowanie decyzji o skutku prawnym lub podobnym; Systematyczne monitorowanie; Dane osobowe wrażliwe; Dane przetwarzane na dużą skalę; Zestawy danych, które zostały dopasowane lub połączone; Pozbawienie osób fizycznych przysługujących praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; Innowacyjne wykorzystanie lub stosowanie rozwiązań technologicznych lub organizacyjnych; Przesyłanie danych poza granice Unii Europejskiej; Uniemożliwienie osobie fizycznej korzystania z prawa lub korzystania z usługi lub umowy.

11 Modele zarządzania ryzykiem ochrony danych osobowych

12 Ocena konieczności i proporcjonalności przetwarzania danych W celu oceny konieczności i proporcjonalności przetwarzania danych należy zweryfikować i udokumentować czy: a) dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach; b) dane osobowe przetwarzane są zgodnie z prawem; c) dane osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane; d) został ograniczony czas przechowywania danych; e) w przypadku zbierania danych zapewnione są odpowiednie środki, aby udzielić osobie, której dane dotyczą, wszelkich informacji; f) ograniczono liczbę odbiorców danych; g) ograniczono liczbę podmiotów przetwarzających dane (procesorów); h) przeprowadzono uprzednie konsultacje z organem nadzorującym.

13 Modele zarządzania ryzykiem ochrony danych osobowych

14 Ocena ryzyka naruszenia praw i wolności osób fizycznych

15 Analiza i ocena aktywów wykorzystywanych do operacji przetwarzania W ramach przetwarzania danych należy zidentyfikować i zinwentaryzować aktywa lub grupy aktywów wykorzystywane do realizacji operacji przetwarzania danych osobowych. Wyróżnia się następujące kategorie aktywów: a) procesy i działania biznesowe seria powiązanych ze sobą działań lub zadań, które realizują operacje przetwarzania danych osobowych lub prowadzą do osiągnięcia celu przetwarzania danych b) personel - wszystkie grupy osób zaangażowane w przetwarzanie danych tj.: decydenci, użytkownicy, personel eksploatacji/utrzymania, twórcy oprogramowania; c) sprzęt - wszelkie urządzenia fizyczne w organizacji tj.: urządzenia przenośne, stacjonarne, peryferyjne, nośniki danych; d) siedziba - wszelkie lokalizacje wykorzystywane do przetwarzania danych oraz środki fizyczne potrzebne do ich funkcjonowania tj. siedziba, strefy bezpieczeństwa, usługi komunalne i techniczne; e) oprogramowanie - wszelkie programy uczestniczące w operacjach przetwarzania danych tj.: systemy operacyjne, aplikacje biznesowe, oprogramowania usługowe, utrzymaniowe lub administracyjne; f) sieć - wszystkie urządzenia telekomunikacyjne używane do połączenia wielu fizycznie oddalonych komputerów lub elementów systemu informacyjnego, tj.: media i usługi wspierające, przekaźniki aktywne lub pasywne, interfejsy komunikacyjne; g) organizacja - wszystkie struktury ludzkie przypisane do przetwarzania danych osobowych oraz procedury sterujące tymi strukturami, tj.: organy władzy, struktura organizacji, podwykonawcy (procesorzy), dostawcy, producenci; h) informacje - dane przetwarzanie w wersji elektronicznej lub papierowej.

16 Analiza i ocena zagrożeń aktywów wykorzystywanych do operacji przetwarzania Dla zidentyfikowanych aktywów lub/i grup aktywów wykorzystywanych do operacji przetwarzania danych należy przypisać zagrożenia, które mogą oddziaływać na naruszenie praw i wolności osób fizycznych. Zagrożenie należy rozumieć jako potencjalną przyczynę niepożądanego incydentu, która może wywołać naruszenie praw i wolności osób fizycznych. Zniszczenia fizyczne Nazwa zagrożenia Utrata podstawowych usług Naruszenie praw i wolności osób fizycznych Przypadkowe lub niezgodne z prawem zniszczenie danych Utracenie danych Nieuprawnione zmodyfikowanie danych Nieuprawnione ujawnienie danych Nieuprawniony dostęp do danych osobowych przesyłanych Nieuprawniony dostęp do danych przechowywanych Nieuprawniony sposób przetwarzania danych Naruszenie bezpieczeństwa informacji Przechwycenie sygnałów na skutek zjawiska interferencji Szpiegostwo zdalne Podsłuch Kradzież nośników lub dokumentów Kradzież urządzenia Odtworzenie z powtórnie wykorzystanych lub wyrzuconych nośników Ujawnienie Dane z niewiarygodnych źródeł Manipulowanie urządzeniem Sfałszowanie oprogramowania Detekcja umiejscowienia Awarie techniczne Awaria urządzenia Niewłaściwe funkcjonowanie urządzeń Przeciążenie systemu informacyjnego Niewłaściwe funkcjonowanie oprogramowania Nieautoryzowane działania Nieautoryzowane użycie urządzeń Nieuprawnione kopiowanie oprogramowania Użycie fałszywego lub skopiowanego oprogramowania Zniekształcenie danych Naruszenie bezpieczeństwa funkcji Nielegalne przetwarzanie danych Błąd użytkowania Naruszenie praw Fałszowanie praw Odmowa działania Naruszenie dostępności personelu Zagrożenia osobowe Haker (włamanie do systemu)

17 Analiza i ocena skutków urzeczywistnienia się zagrożeń Dla każdego zagrożenia zidentyfikowanego w ramach aktywa lub/i grupy aktywów wykorzystywanych do operacji przetwarzania danych, należy przeanalizować wpływ (skutki) na zmaterializowanie się zagrożeń w kontekście naruszenia praw i wolności osób fizycznych. Lp. Katalog skutków naruszenia praw i wolności osób fizycznych 1 Dyskryminacja 2 Kradzież tożsamości lub oszustwo dotyczące tożsamości 3 Strata finansowa 4 Naruszenie dobrego imienia 5 Naruszenie poufności danych osobowych chronionych tajemnicą zawodową 6 Nieuprawnione odwrócenie pseudonimizacji 7 Wszelka inna znacząca szkoda gospodarcza lub społeczna Oceny skutków naruszenia praw i wolności osób fizycznych Wartość (S) Nazwa Opis 3 Wysokie Skutki mogą prowadzić do wysokiego uszczerbku fizycznego, szkód majątkowych lub niemajątkowych dla osób fizycznych 2 Niskie do Skutki mogą prowadzić do uszczerbku fizycznego, szkód majątkowych lub średniej niemajątkowych dla osób fizycznych, jednakże nie są one wysokie. 0 Nie dotyczy Wskazane skutki w kontekście urzeczywistnienia się analizowanego zagrożenia nie występują.

18 Analiza i ocena podatności aktywów wykorzystywanych do operacji przetwarzania Dla każdego zagrożenia zidentyfikowanego w ramach aktywa lub/i grupy aktywów wykorzystywanych do operacji przetwarzania danych należy przypisać podatności. Podatność należy rozumieć jako źródło zagrożenia, słabość lub lukę aktywa lub zabezpieczania, która może być wykorzystana do urzeczywistniania się zagrożenia. Ocena możliwości wykorzystania podatności Wartość (P Pod ) Nazwa Opis 3 Bardzo podatne Podatność występuje często w przeciągu roku lub regularnie. 2 Podatne Podatność wystąpiła w ostatnim roku lub zdarza się nieregularnie. 1 Mało podatne Podatność nie wystąpiła w przeciągu ostatnich 2-3 lat (mogło wydarzyć się wcześniej). 0 Nie podatne Nie odnotowano wystąpienia podatności. Rodzaj aktywa Organizacja Sieć Oprogramowanie Personel Sprzęt Siedziba Przykład podatności Brak opracowanych, aktualizowanych lub testowanych planów ciągłości działania Brak dokumentacji technicznej systemów Brak dokumentacji wymaganej prawem Brak dzienników operatorów Brak kontroli zmian Brak listy osób upoważnionych do dostępu do przetwarzania danych osobowych Brak procedur dostępu do pomieszczeń Brak opracowanych lub aktualizowanych procedur eksploatacyjnych Brak procedur wymiany danych i oprogramowania Brak procedury monitorowania użycia urządzeń do przetwarzania informacji Brak ustanowionych mechanizmów monitorowania naruszeń bezpieczeństwa Brak wymagań bezpieczeństwa w procesach rozwojowych Niedostateczne procedury kontroli zmian Brak zabezpieczenia linii telekomunikacyjnych Brak zabezpieczenia transmisji danych osobowych Transmitowanie haseł w jawnej postaci Brak aktualizacji oprogramowania (usługi sieciowe i systemy operacyjne) Brak kontroli pobieranego oprogramowania Brak lub niedostateczne mechanizmy 'patch management' Brak lub niewystarczające procedury testowania oprogramowania Brak mechanizmów identyfikacji i uwierzytelniania Brak mechanizmów monitorowania aktywności użytkowników (logowania zdarzeń) Brak sformułowanych wymagań bezpieczeństwa dla tworzonych aplikacji Niedostateczne zarządzanie hasłami (hasła łatwe do odgadnięcia) Przechowywanie haseł w jawnej postaci, niedostateczna częstotliwość zmiany haseł Brak kontroli kopiowanych danych Niewłaściwe skonfigurowane aplikacje, usługi lub systemy operacyjne Skomplikowany interfejs użytkownika Użytkowanie usług powszechnie uznanych za niegwarantujące bezpieczeństwa Znane błędy (dziury), podatności w oprogramowaniu lub bazach danych Brak regularnych audytów Brak wykonywanych regularnie procedur nadzoru Brak wymagań bezpieczeństwa na stanowiskach pracy Brak wyznaczonych osób odpowiedzialnych za systemy, procesy i zasoby Niewłaściwy przydział uprawnień dostępu Praca pracowników podmiotów zewnętrznych bez nadzoru Przechowywanie kopii w miejscu wytworzenia Absencja personelu Brak stosowania polityki czystego biurka i ekranu Brak wylogowania się przy opuszczaniu miejsca pracy Brak szkoleń w zakresie bezpieczeństwa Brak testowania urządzeń zasilających Brak alternatywnych dróg połączenia Brak kopii zapasowych/archiwalnych Niewłaściwe przygotowywanie nośników do ponownego użycia Niewłaściwe wycofywanie nośników z użycia Niewłaściwe zabezpieczenie okablowania Pojedynczy punkt uszkodzenia (brak rezerwy) Brak elektronicznej kontroli dostępu Brak fizycznej ochrony budynków, drzwi, okien Brak gwarantowanego zasilania

19 Ocena prawdopodobieństwa urzeczywistnienia się zagrożenia Każde zagrożenie zidentyfikowane w ramach aktywa lub/i grupy aktywów wykorzystywanych do operacji przetwarzania, przy uwzględnieniu zidentyfikowanych podatności i istniejących zabezpieczeń, należy ocenić w kontekście prawdopodobieństwa urzeczywistnienia się zagrożenie. Ocena prawdopodobieństwa wystąpienia zagrożenia Wartość (S) Nazwa Opis 5 Niemal pewne Wysoce prawdopodobne Bardzo prawdopodobne Średnio prawdopodobne Mało prawdopodobne Istnieją racjonalne przesłanki by ocenić, że zagrożenie zmaterializuje się w najbliższym czasie (prawie na 90%). Istnieją racjonalne przesłanki by ocenić, że zagrożenie raczej się zmaterializuje, istnieje więcej niż połowa szans na wystąpienie. Materializowało się w przeciągu ostatniego roku. Wystąpienie zagrożenia jest realne, lecz nie przekracza 50% prawdopodobieństwa. Materializowało się sporadycznie w przeszłości (w ciągu ostatnich 2 lat) Zagrożenie może wystąpić sporadycznie. Materializowało się sporadycznie w przeszłości (w ciągu ostatnich 3 lat). Zagrożenie raczej nie wystąpi lub możliwość jego wystąpienia jest znikoma (bliska zeru). Zagrożenie nie materializowało się w przeszłości.

20 Ocena prawdopodobieństwa Ocena powagi ryzyka naruszenia praw i wolności osób fizycznych Ocena powagi ryzyka naruszenia praw i wolności osób fizycznych oblicza się na podstawie niniejszego wzoru: R = S P Pod P Pb gdzie: R Ocena powagi ryzyka naruszenia praw i wolności osób fizycznych S Ocena skutków naruszenia praw i wolności osób fizycznych P Pod - Ocena podatności aktywów wykorzystywanych do operacji przetwarzania; P Pb Ocena prawdopodobieństwa urzeczywistnienia się zagrożenia Ocena skutków x Ocena podatności Poziom Skala wartości Opis Niskie ryzyko od 2 do 16 Ryzyka akceptowane, niewymagające dalszego postępowania. Wysokie ryzyko od 18 do 45 Ryzyka nieakceptowane, wymagające zastosowania postępowania z ryzykiem

21 Modele zarządzania ryzykiem ochrony danych osobowych

22 Postępowanie z ryzykiem Celem postępowania z ryzykiem jest dokonanie wyboru wariantu postępowania z ryzykiem oraz zaplanowanie zabezpieczeń organizacyjnych i technicznych mających zapewnić ochronę danych osobowych i wykazać zgodność z RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób fizycznych, których dane dotyczą, i innych osób fizycznych, których sprawa dotyczy. Źródło: ISO 27005

23 Przykłady środków przyczyniających się do ograniczenia ryzyka naruszenia praw i wolności osób fizycznych W celu zapewniania ograniczenia ryzyka naruszenia praw i wolności osób fizycznych należy dobrać adekwatne zabezpieczenia wynikające z dobrych praktyk opisanych w normie PN-ISO/IEC 27002: Norma ta, jako zbiór dobrych praktyk, opisuje zabezpieczenia organizacyjne i techniczne, które mogą pomóc w ochronie informacji w organizacji w podziale na: a) Cele stosowania zabezpieczeń informacja jaki cel ma osiągnąć wdrożenie zabezpieczenia lub grupy zabezpieczeń; b) Zabezpieczenia opis zabezpieczenia, które wspiera osiągniecie celu stosowania zabezpieczenia; c) Wskazówki dotyczące wdrożenia dodatkowe informacje wspierające prawidłowe zaprojektowanie i wdrożenia zabezpieczenia w organizacji; d) Inne informacje informacje pomocnicze, o których warto pamiętać przy stosowaniu zabezpieczenia.

24 Modele zarządzania ryzykiem ochrony danych osobowych

25 Informowanie o ryzyku i konsultacje W proces informowania o ryzyku i konsultacjach powinny być zaangażowane wszystkie strony zainteresowane na każdym etapie procesu zarządzania ryzykiem ochrony danych osobowych, tj.: administrator danych; inspektor danych osobowych lub inne osoby powołane przez administratora danych odpowiedzialne za ochronę danych osobowych w organizacji; właściciele zasobów wykorzystywanych do realizacji operacji przetwarzania danych osobowych; właściciele procesów odpowiedzialnych za weryfikację: zgodności w wymaganiami prawnymi oraz regulacjami wewnętrznymi; skuteczności wdrożenia i efektywności utrzymania ochrony danych osobowych w organizacji; organ nadzorczy odpowiedzialny za ochronę danych osobowych w organizacji; osoby fizyczne, których dane osobowe dotyczą. W stosownych przypadkach zaleca się zasięganie opinii niezależnych ekspertów różnych zawodów, tj. prawników, informatyków, ekspertów ds. bezpieczeństwa.

26 Konsultacje z organem nadzorczym Jeżeli po przeprowadzeniu postępowania z ryzykiem, czyli po zastosowaniu środków minimalizujących ryzyko związanych z: a) koniecznością i proporcjonalnością przetwarzania danych lub/i b) wysokim ryzkiem naruszenia praw i wolności osób fizycznych, nadal nie ma możliwość zmitygowania ryzyka do poziomu akceptowalnego i zapewnienia zgodności z wymaganiami RODO to przed rozpoczęciem przetwarzania administrator musi skonsultować się z organem nadzorczym.

27 Modele zarządzania ryzykiem ochrony danych osobowych

28 Monitorowanie i przegląd ryzyka Monitorowanie i przegląd mechanizmów ochrony danych osobowych powinien być realizowany na każdym etapie procesu zarządzania ryzykiem ochrony danych osobowych, tj.: Weryfikacji, czy kontekst przetwarzania danych nie uległ zmianie lub planowane są jego modyfikacje, np. wdrożenie nowej technologii lub rozwiązań biznesowych, co może powodować realizację nowych operacji przetwarzania danych lub/i modyfikację aktywów wykorzystywanych do przetwarzania danych; Weryfikacji, czy operacje przetwarzania, wyłączone z przeprowadzenia oceny skutków, aktualnie nie powodują wysokiego ryzyka naruszenia praw i wolności osób fizycznych; Weryfikacji, czy organ nadzorczy ustanowił nowy lub zaktualizował wykaz rodzajów operacji przetwarzania podlegających i niepodlegających wymogowi dokonania oceny skutków dla ochrony danych; Weryfikacji, czy nie zmieniły się lub planowane są zmiany warunków przyczyniających się do konieczności i proporcjonalności przetwarzania danych; Weryfikacji, czy zidentyfikowane ryzyka naruszenia praw i wolności osób fizycznych są wciąż adekwatne; Weryfikacji, czy zastosowane zabezpieczenia lub/i ograniczenie przetwarzania danych są skuteczne i nadal oddziaływują na minimalizację ryzyka;

29 Administrator danych Inspektor danych osobowych lub inna osoba/osoby Właściciele zasobów Właściciele procesów odpowiedzialnych za weryfikację Organ nadzorujący Eksperci Role i odpowiedzialności Krok Działanie Rola i odpowiedzialność Podział ról i odpowiedzialności zaangażowanych w realizację procesu zarządzania ryzykiem ochrony danych osobowych został przedstawiona na podstawie modelu RACI. RACI jest skrótem dla: R - Osoba odpowiedzialny za realizację zadań (ang. Responsible); A - Osoba nadzorująca i zatwierdzająca realizację zadań (ang. Approver); C - Osoba konsultująca i doradzająca w realizacji zadań (ang. Consulted); I - Osoba informowana o prowadzonych działaniach oraz niewpływająca na realizację zadań (ang. Informed); 1. Określenie kontekstu przetwarzania A R C I Ocena, czy rodzaj operacji przetwarzania danych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych Ocena, czy rodzaj operacji przetwarzania danych zwolniony jest z przeprowadzenia oceny skutków dla danych osobowych Ocena konieczności i proporcjonalności przetwarzania danych Ocena ryzyka naruszenia praw i wolności osób fizycznych A R C I A R A R C I C C A R R C C C 6. Ocena, czy ryzyko jest akceptowalne AR R I C C C 7. Przeprowadzenie postępowania z ryzykiem A R R C C Ocena, czy ryzyko szczątkowe jest akceptowalne Informowanie o ryzyku lub/i przeprowadzenie konsultacji Nie ma potrzeby przeprowadzenia oceny skutków dla ochrony danych osobowych AR R I C C C A R R R R R 11. Monitorowanie i przegląd ryzyka A R R R AR

30 Rekomendacja D i M KNF Krajowy system cyberbezpiecz eństwa Zarządzanie Bezpieczeńst wem Informacji Zarządzanie Ciągłością Działania Zarządzanie jakością Obszary zarządzania ryzykiem w organizacji Zarządzanie ryzykiem Krajowe Ramy Interoperacyj ności Zarządzanie projektami Ochrona danych osobowych Kontrola zarządcza Informacje niejawne

31 Informowanie o metodyce Dokument oparty o licencje Creative Commons typu CC BY-NC-ND Licencja ta pozwala na pobieranie utworu i dzielenie się nim z innymi, tak długo jak autorstwo zostaje uznane, a utwór nie jest modyfikowany lub wykorzystywany komercyjnie. Rozpowszechnianie utworu w celach komercyjnych jest możliwe po zyskaniu zgody Fundacji Bezpieczeństwa Informacji Polska. Wszelkie uwagi, sugeruje lub możliwości doskonalenia dokumentu proszę zgłaszać na adres kamil.pszczolkowski@fbipolska.pl

32 Dziękuję za uwagę