Z definicji danych osobowych wynika, że są to wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (osobie, której dane dotyczą). Ochrona danych osobowych wiąże się zatem z zapewnieniem bezpieczeństwa informacji. Stąd w wytycznych i komentarzach w zakresie bezpieczeństwa danych osobowych, w szczególności analizy ryzyka funkcjonują odwołanie do norm ISO dotyczących bezpieczeństwa informacji.
Czym jest informacja i system informacyjny?
Dzisiejszy temat zaczniemy od zdefiniowania podstawowych pojęć związanych z bezpieczeństwem informacji.
Wypadałoby zacząć od informacji i znowu nie będzie łatwo, bo pojęcie to nie jest jednoznaczne. Definiowane jest różnie w zależności od dziedziny nauki. Mówiąc potocznie o informacji mamy na myśli komunikat lub inną formę niosącą treść, zmniejszającą poziom niewiedzy.
Często z informacją utożsamiane są dane i już tutaj warto podkreślić, że nie są to synonimy:
informacje ≠ dane
Dane są pewną formą prezentacji informacji. Przetwarzanie danych prowadzi do uzyskania informacji. Dane mogą być przechowywane i przedstawiane w formie zbiorów danych.
W normie ISO/IEC 17799:2007 wskazano, że informacja może przybierać różne formy: może być wydrukowana lub zapisana odręcznie na papierze, przechowywana elektronicznie, przesyłana pocztą lub za pomocą urządzeń elektronicznych, wyświetlana w formie filmów lub wypowiadana w czasie rozmowy. Niezależnie od tego, jaką formę przybiera lub za pomocą jakich środków jest udostępniana lub przechowywana, zaleca się, aby zawsze była w odpowiedni sposób chroniona.
Zbiór i przepływ informacji w organizacji tworzy system informacyjny, w którym część procesów będzie wspomagana systemami informatycznymi, a zatem:
system informacyjny ≠ system informatyczny
Widzimy różnice?
Mając na uwadze definicje systemu informacyjnego musimy pamiętać, że ochrona informacji nie ogranicza się tylko do zabezpieczenia jej formy elektronicznej przetwarzanej w systemach informatycznych.
Jak zdefiniujemy bezpieczeństwo?
Bezpieczeństwo jest to stan dający poczucie pewności i gwarancję jego zachowania oraz szanse na doskonalenie.
Bezpieczeństwo informacji oznacza jej ochronę przed zagrożeniami, jest to zatem zespół działań podejmowanych w celu zabezpieczenia informacji przed zagrożeniami.
To co możemy chronić w informacji zostało nazwane jej atrybutami bezpieczeństwa:
W ochronie danych osobowych wymienia się trzy podstawowe atrybuty bezpieczeństwa informacji: poufność, integralność oraz dostępność. Pozostałe atrybuty są jednak równie ważne. Wyjaśnijmy wszystkie pojęcia:
Poufność – zapewnienie, że informacja jest dostępna jedynie osobom upoważnionym; ochrona przed nieautoryzowanym pozyskaniem informacji.
Integralność – zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania; ochrona przed nieautoryzowaną modyfikacją informacji.
Dostępność – zapewnienie, że osoby upoważnione mają możliwość wykorzystania informacji i związanych z nią aktywów wtedy, gdy jest to potrzebne; ochrona przed nieautoryzowaną odmową udostępnienia informacji lub zasobu.
Autentyczność – właściwość, która polega na tym, że podmiot przetwarzający informację jest tym za kogo się podaje, a pochodzenie lub zawartość danych opisujących obiekt są takie jak deklarowane.
Niezaprzeczalność – zdolność do udowodnienia, że wystąpiły deklarowane zdarzenia lub działania oraz że dany podmiot je wywołał.
Rozliczalność – odpowiedzialność podmiotu za jego akcje i decyzje oraz zapewnienie, że określone działanie dowolnego podmiotu może być jednoznacznie przypisane temu podmiotowi.
Kiedy zabezpieczać informacje?
Informacje należy zabezpieczeń w całym cyklu jej życia.
Cykl życia informacji obejmuje okres od momentu jej wytworzenia do momentu jej zniszczenia.
Cykl życia danych osobowych obejmuje okres od momentu ich pozyskania do momentu ich zniszczenia.
Dla skutecznego chronienia informacji należy zatem przeanalizować procesy biznesowe i przepływy informacji w ramach tych procesów.
Czym jest bezpieczeństwo danych osobowych?
RODO nie definiuje bezpieczeństwa danych osobowych. W rozporządzeniu znajdziemy definicję naruszenia ochrony danych osobowych, która odpowiada na pytanie przed czym chronimy dane osobowe:
Naruszenie ochrony danych osobowych – naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Zapewnienie bezpieczeństwa danych osobowych będzie zatem polegało na ochronie przed zagrożeniami, które prowadzą do nieuprawnionego:
- zniszczenia danych, a zatem naruszenia atrybutu dostępności informacji;
- utracenia danych, które może się wiązać z naruszeniem atrybutu dostępności informacji, ale również poufności danych (np. jeżeli skradziono nam komputer, na którym znajdowały się pliki z danymi osobowymi i nie mamy ich kopii – utrata dostępności; jeżeli komputer i pliki nie były zabezpieczone (szyfrowanie dysku, hasła do plików) – utrata poufności);
- zmodyfikowania danych – naruszenia atrybutu integralności informacji;
- ujawnienia lub dostępu – naruszenia atrybutu poufności informacji.
Wyjaśniliśmy sobie dotychczas najważniejsze pojęcia dotyczące istoty ryzyka oraz informacji i jej bezpieczeństwa. W kolejnym wpisie zajmiemy się bliżej zarządzaniem ryzykiem w bezpieczeństwie informacji.
Jeżeli spodobał Ci się mój artykuł i uznasz, że warto się nim podzielić, udostępnij go w mediach społecznościowych lub wyślij znajomemu. Wystarczy, że klikniesz przyciski poniżej. Jeżeli chcesz zostawić komentarz pod artykułem jest to równoznaczne z wyrażeniem zgody na przetwarzanie przeze mnie Twoich danych zawartych w formularzy komentarza. Więcej przeczytasz w polityce prywatności.