„Kontekst” – najtrudniejsze i najważniejsze słowo w RODO!
Z czterech wymienianych w RODO perspektyw oceny ryzyka – charakteru, zakresu, kontekstu i celów przetwarzania – to właśnie określenie kontekstu sprawi najwięcej problemów i będzie źródłem najpoważniejszych błędów. Bo czym tak naprawdę jest kontekst?
W zarządzaniu ryzykiem określenie metod działania rozpoczyna się od ustanowienia kontekstu, w jakim szacuje się różne rodzaje ryzyka i przyjmuje odpowiednie ścieżki postępowania. Błędny, niekompletny, nieprecyzyjny wybór kontekstu nieuchronnie prowadzi do pominięć i niedoszacowania skali zagrożenia, jakie dane ryzyko niesie. Tymczasem pojęcie kontekstu nie jest precyzyjnie wyjaśnione w RODO, a wykładnia językowa może sprawić poważne problemy. W zrozumieniu kontekstu nie w pełni także pomaga wydany przez GIODO w grudniu 2017 r. Poradnik RODO „Podejście oparte na ryzyku”.
Zaczynając od podstaw, na niewiele przyda się definicja kontekstu, którą odnajdujemy w Poradniku
Mówi ona, że kontekstem są wszystkie informacje wiążące się z działaniem organizacji. Co prawda Poradnik w rozdziale 8 części 1 wyjaśnia, że ustanowienie kontekstu jest procesem, w którym zgodnie z motywem (75) dokonujemy analizy czynników ryzyka, ale po szczegóły, jak tego dokonać, odsyła do normy ISO/IEC 27005. Według normy, kontekst organizacji obejmuje wszystkie wewnętrzne i zewnętrzne kwestie istotne dla jej celów oraz wpływ, jaki kwestie te mogą mieć na zdolność do osiągania celów i wyników, które organizacja zamierza osiągnąć w ramach systemu zarządzania bezpieczeństwem informacji. Warto docenić przykłady informacji zewnętrznych i wewnętrznych związanych z działaniem organizacji mających wpływ na bezpieczeństwo informacji, które podaje część 2 Poradnika GIODO w ramach Kroku 1.1. Problem polega na tym, że to nadal pozostaje opis ogólny, a tworzenie przepisu szczegółowego nie jest intencją RODO.
W tym miejscy powinniśmy zastanowić się, jakie metodologie mogą nam pomóc zidentyfikować czynniki ryzyka i kontekst, w jakim je umiejscawiamy. Należy tu postępować z najwyższą rozwagą. Przykład jednego z największych w historii wycieków informacji z 2011 r. daje do myślenia. W wyniku włamania do sieci, przestępcy uzyskali dostęp do danych osobowych 77 mln użytkowników platformy SONY PlayStation Network. Można domniemywać, że słabością systemu było pominięcie pewnego czynnika ryzyka w wyniku zastosowania nieadekwatnej do skali zagrożeń metodologii identyfikacji kontekstu. Słusznie GIODO zachęca w rozdziale 6 części 1 Poradnika, aby czerpać inspiracje z różnych metodyk i wskazuje przykłady takich metodologii jak PIA czy COBIT. Warto jednak mieć świadomość z jakim kalibrem spraw się tu mierzymy. COBIT to rozwiązanie dla nielicznych. Został między innymi wskazany w Rekomendacji D Generalnego Inspektoratu Nadzoru Bankowego, dotyczącej zarządzania ryzykiem towarzyszącym systemom informatycznym i telekomunikacyjnym używanym przez banki. Podmioty o mniejszej kapitale powinny co najmniej wykonać analizę PESTEL dla czynników zewnętrznych i analizę 7S McKinsey’a dla czynników wewnętrznych. Ilu świadczeniodawców będzie miało tego świadomość, znajdzie na to czas, środki, kompetencje, gdy w tak wielu przypadkach niestety słyszymy, że RODO mamy pod kontrolą „bo zajmuje się tym nasz informatyk z radcą prawnym”?
Czy w określaniu kontekstu pozostajemy w takim razie bezradni? Niekoniecznie.
Gdy z jednej strony nie stać nas na kosztowne analizy i doradców, a z drugiej chcemy uniknąć określania kontekstu na gruncie burzy mózgów, czy posługiwania się niepełnymi z założenia listami wytycznych, warto dokonać uporządkowania obszarów zagrożeń. Takie postępowanie odnajdziemy w każdej uznanej metodologii z obszaru architektury organizacyjnej, w tym analizy bezpieczeństwa informacyjnego. Jako punkt startowy powinno nam posłużyć jedno z najbardziej syntetycznych podejść w tym zakresie wychodzące z sieci Zachmana. John A. Zachman w latach 80-ych zeszłego stulecia wypracował genialny w swojej prostocie schemat projektowania i analizy architektury organizacyjnej. Wyróżnia on sześć perspektyw (planisty, właściciela, projektanta, budowniczego, wdrożeniowca, operatora) i zadaje 6 pytań: co, jak, gdzie, kto, kiedy i dlaczego? Siatka powiązań, jaką tworzą poszczególne ogniwa takiej sieci, pozwala w praktyce odpowiedzieć na najbardziej złożone i perspektywiczne pytania, jakie możemy postawić dowolnej organizacji. Do sieci Zachmana nawiązuje warstwowa architektura metodologii SABSA, którą w obszarze analizy bezpieczeństwa informacji uznałbym za wzorcową.
Analizując kontekst, obszary zagrożeń danych osobowych w podmiotach leczniczych, warto zauważyć, że inne spojrzenie na to zagadnienie będzie miał GIODO w swoim Poradniku (tu w roli planisty), inne podmiot tworzący dany podmiot leczniczy (właściciel), inne dyrektor szpitala (projektant), a jeszcze inne wykonawca systemu (budowniczy), dyrektor IT (wdrożeniowiec), czy szef kliniki (operator). Analizując każdą z warstw dostrzeżemy inny kontekst, a zadając pytania – co, jak, gdzie, kto, kiedy i dlaczego – inne zagrożenia. Oczywiście warto byłoby przejść fachowe szkolenie i nabrać praktyki w zakresie użycia sieci Zachmanna, czy metodologii SABSA, ale bądźmy realistami! Szczęśliwie, warstwa pojęciowa jest tu na tyle syntetyczna, czysta i pozbawiona artefaktów, że na metodologiach tych możemy wzorować się poznając ich zasadniczy zręb i sposób aplikowania. To w mojej ocenie lepsze rozwiązania niż zawieszona w niezdefiniowanej przestrzeni i wymiarach spontaniczna dyskusja zagrożeń, nawet jeśli GIODO stara się nam pomóc ją uporządkować wspierając listą przykładowych zagadnień. Jednego nie unikniemy – nadal należy mieć na tyle wyobraźni, czasu i cierpliwości, aby w tej czy innej metodologii dostrzec krytyczny dla bezpieczeństwa kontekst.
RODO wielokrotnie odwołuje się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Charakter, zakres i cel są elementami, które nie powinny nastręczać trudności. Analizując kontekst, warto poznać założenia metodologii wspierających analizę architektury organizacyjnej, która jest osnową, w jakiej rodzi się kontekst i zagrożenia bezpieczeństwa informacji, które mamy zidentyfikować.
Robert Mołdach, IZiD
Komentarze