Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.
Bartosz Marcinkowski, Robert Brodzik, Klaudia Czarniecka, Michał Kluska, Katarzyna Kulesza, Olga Legat, Justyna Tyc
Zapewnienie ciągłości działania (dalej: CD) i dostępności zasobów to jeden z obowiązków, jakie rodo nakłada na administratora i podmiot przetwarzający. Dlatego każda organizacja powinna ustalić, w jaki sposób będzie go spełniać oraz jakie procesy, zasoby i systemy IT będą objęte planem CD.
Przy tworzeniu planu CD niezależnie od ich wielkości, lokalizacji czy branży warto skorzystać z normy ISO 22301:2014 Bezpieczeństwo powszechne Systemy zarządzania ciągłością działania – Wymagania, która określa wymagania dla zachowania CD organizacji w kontekście jej wewnętrznych i zewnętrznych zagrożeń. Te dobre praktyki pozwalają zbudować system zarządzania CD, który:
ISO 22301 skonstruowana jest analogicznie do innych norm ISO, dzięki czemu jest łatwa w użyciu.
Plan CD pozwoli utrzymać organizację w działaniu i ochronić ją przed wszelkiego rodzaju niepożądanymi zdarzeniami, m.in. awariami zasilania, systemów informatycznych, klęskami żywiołowymi. Określa on działania pozwalające na odzyskiwanie danych i funkcjonalności organizacji po awarii zgodnie z przyjętymi założeniami.
Opracowanie zasad i procedur
Organizacja powinna działać zgodnie z rodo i wdrożyć odpowiednie zasady i procedury w celu zapewnienia dostępności zasobów. Wynika to wprost z art. 32 ust. 1 rodo.
Wdrożenie i stosowanie procedur CD zapewni możliwość rozliczenia się w przypadku kontroli UODO. Testy przyjętych scenariuszy CD pozwolą wykazać dobór odpowiednich środków bezpieczeństwa oraz zapewnią terminowe i skuteczne odzyskiwanie danych bez ryzyka utraty ich poufności i integralności zgodnie z przyjętymi zasadami.
Zarządzanie ryzykiem i zarządzanie CD ma na celu zapewnienie odpowiedniego poziomu bezpieczeństwa, jednak zarządzanie ryzykiem odnosi się do wszelkich zagrożeń i szans. Zarządzanie CD polega na opracowywaniu planów naprawczych, które w sytuacjach zakłócających działania biznesowe umożliwią powrót do normalnego funkcjonowania organizacji. Organizacja powinna ustalić zasady zgłaszania incydentów i działań łagodzących ich skutki oraz kiedy należy aktywować plan CD.
Analiza wpływu na biznes i podmioty danych
Przygotowanie planu CD rozpoczyna się od analizy wpływu zdarzenia na biznes oraz podmioty danych. Dla każdego zidentyfikowanego procesu ustala się zadania i czynności w nich wykonywane.
Analiza jest przeprowadzana przy wsparciu właściciela biznesowego procesu, a jej celem jest ustalenie wpływu niedostępności zasobów na organizację w trzech obszarach:
1. Ryzyko dla osób, których dane są objęte zdarzeniem – może w szczególności wynikać z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.
2. Ryzyko finansowe – może obejmować utratę przychodów organizacji, odsetek z kont bankowych, przychodów ze sprzedaży, wartości odsetek z odroczonych rozliczeń, kar za niedotrzymanie zobowiązań umownych lub poziomów usług.
3. Ryzyko prawne – może obejmować kary za nieterminowe składanie sprawozdań finansowych lub deklaracji podatkowych, grzywny lub kary za niezgodność z obowiązującymi wymogami prawa.
Dzięki przeprowadzanej analizie można nadać priorytet i adekwatne ramy czasowe przywracania danych i działania procesów biznesowych z uwzględnieniem wykorzystywanych w nich systemów informatycznych i wpływu na podmioty danych i organizację. Biznes, dział bezpieczeństwa i IT powinny wspólnie ustalić, jakie systemy i procesy biznesowe są najważniejsze dla organizacji oraz jaki rodzaj planu jest niezbędny.
Przywracanie danych
Obszar ten wymaga weryfikacji dostępności wszystkich systemów IT (własnych i dostarczanych przez podmioty zewnętrzne) i odpowiedzi na dwa pytania:
1. Ile czasu zajmie przywrócenie pełnego działania systemu IT?
2. Ile danych może być utraconych podczas procesu odzyskiwania dostępu do systemu?
Dla każdego procesu biznesowego i wykorzystywanych w nich systemów IT należy ustalić:
W celu zachowania integralności danych w procesie ich odzyskiwania powinno uwzględniać się zasady aktualizacji danych odtworzonych z kopii zapasowej.
[...]
Autorka pracuje w LexDigital jako Head of Privacy Innovative Technologies; pomaga wykorzystywać i wdrożyć nowe technologie w zgodzie z obowiązującymi zasadami ochrony i bezpieczeństwa danych osobowych.
Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.
Zapraszamy do składania zamówień na prenumeratę.
_____________________________________________________________________________________________________________________________________
Informacje o cookies | © 2019 PRESSCOM Sp. z o.o. |