RODO w zakresie systemów informatycznych

W pierwszej kolejności należałoby zadać sobie pytanie czym jest RODO? RODO (ang. General Data Protection Regulation, GDPR) to rozporządzenie unijne, zawierające przepisy o ochronie osób fizycznych w związku z przetwarzaniem danych osobowych oraz przepisy o swobodnym przepływie danych osobowych, która weszła w życie 25 maja 2018. Jednocześnie objęła swoim obszarem kompetencyjnym to co powszechnie znane było jako GIODO.

Nowe przepisy dotyczą danych osobowych przetwarzanych zarówno w formie papierowej, ustnej jak i w ramach systemów informatycznych. Tego ostatniego będzie dotyczyło to opracowanie.

Zacznijmy od tematu zapewnienia bezpieczeństwa dla przetwarzanych danych, mówi o tym art. 32 RODO, którego wymagania w uproszczonej formie opisano poniżej.

1. Pseudonimizacja i szyfrowanie danych osobowych

Wymóg dotyczy zapewnienia poufności danych. Pierwsza z opcji to pseudonimizacja tj. doprowadzenie danych do takiego stanu, by niebyła możliwa identyfikacja osoby, której dane dotyczą. Najczęściej realizowane jest to za pomocą funkcji „haszujących” lub tokenizację. Pozostałe dane osoby przechowywane są w niezależnym zbiorze danych. Druga z opcji, która często jest zaimplementowana równolegle to szyfrowanie danych, które może odbywać się na różnych poziomach systemu informatycznego.

2. Zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania

Administrator danych zobowiązany jest dołożyć wszelkich starań do zapewnienia operacyjności systemu informatycznego zarówno w długim jak i krótkim okresie. Podstawowe narzędzia zapewniające takie możliwości to redundantne urządzenia działające w środowisku wysokodostępnym (HA), nadmiarowe połączenia sieciowe oraz systemy zasilania awaryjnego.

3. Zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego

Powyższe wymagania odnoszą się głównie do systemu kopii bezpieczeństwa, który poza faktem, że powinien istnieć i obejmować wszystkie zbiory danych to powinien być również na tyle wydajny, by w optymalnym czasie pozwolił na przywrócenie danych do systemu produkcyjnego. Warto kopię danych przechowywać w miejscu oddalonym geograficznie w stosunku przynajmniej do systemu produkcyjnego.

4. Regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania

Autorzy powyższych zapisów sugerują, aby regularnie analizować ryzyko, mierzyć i testować poziom bezpieczeństwa. Oczywiście w każdym przedsiębiorstwie będzie wyglądało zupełnie inaczej. Należy też pamiętać, że powyższe działania muszą być udokumentowane, ponieważ podczas kontroli należy to wykazać.

W całym rozporządzeniu RODO, nie ma żadnych konkretnych informacji co do środków technicznych wymaganych do ochrony czy poprawności przetwarzanych danych (tak jak np. w Rekomendacji D do KNF). RODO wskazuje pewne obszary przetwarzania oraz kroki w procesach, które należałoby adekwatnie zabezpieczyć. Tu dochodzimy do sedna sprawy – analizy ryzyka. Analiza ryzyka oparta o to jak dużo, jak krytycznych mamy danych w systemach i jaka jest szansa naruszenia ich poufności czy integralności wykaże jakiego typu i złożoności środki informatyczne należałoby zastosować.

Najważniejsze wytyczne dla samego pozyskiwania i przetwarzania danych ujęte zostały w Artykule 5 RODO, który w uproszczonej formie przedstawiono poniżej:

1. Zapewnienie zgodności z prawem, rzetelności i przejrzystości przetwarzania danych
2. Ograniczenie zakresu przetwarzania danych adekwatnie do celu
3. Minimalizacja ilości pozyskiwanych danych adekwatnie do celu
4. Zapewnienie poprawności i aktualności danych
5. Ograniczenie przechowywania danych do niezbędnego okresu
6. Zapewnienie integralności i poufności przetwarzanych danych
7. Zapewnienie rozliczalności w odniesieniu do przetwarzania danych (logowanie zdarzeń)

 Z punktu widzenia infrastruktury informatycznej powyższe wskazówki dotyczą głównie funkcjonalności konkretnych systemów informatycznych działających w jej obszarze. W praktyce sprowadza się to często do tego, że przedsiębiorcy muszą zaktualizować swoje oprogramowanie lub nawet je wymienić, by spełniało powyższe wytyczne.

Reasumując powyższe informacje, w każdym przedsiębiorstwie infrastruktura informatyczna oraz procedury jej dotyczące będą diametralnie różne, by spełnić wymagania RODO. W ocenie inżynierów bezpieczeństwa firmy INPROX najlepiej opierać się o istniejące już standardy bezpieczeństwa danych takie jak ISO 27001 oraz Rekomendacja D do KNF, ponieważ są to powszechnie uznane standardy, które nie powinny być podważane. Szczególną uwagę należy zwrócić na zabezpieczenie integralności danych dobrej jakości systemem kopii bezpieczeństwa oraz dla zachowania poufności zadbać by transmisja danych była szyfrowana, tak jak i nośniki, na których dane są przechowywane (szczególnie w urządzeniach przenośnych). Warto również zapewniać przynajmniej podstawowe mechanizmy do zapewnienia ciągłości działania systemów, takie jak chociażby zasilacz awaryjny UPS w serwerowni.