Zapewnienie ciągłości działania (dalej: CD) i dostępności zasobów to jeden z obowiązków, jakie rodo nakłada na administratora i podmiot przetwarzający. Dlatego każda organizacja powinna ustalić, w jaki sposób będzie go spełniać oraz jakie procesy, zasoby i systemy IT będą objęte planem CD.

Przy tworzeniu planu CD niezależnie od ich wielkości, lokalizacji czy branży warto skorzystać z normy ISO 22301:2014 Bezpieczeństwo powszechne Systemy zarządzania ciągłością działania – Wymagania, która określa wymagania dla zachowania CD organizacji w kontekście jej wewnętrznych i zewnętrznych zagrożeń. Te dobre praktyki pozwalają zbudować system zarządzania CD, który:

• ochroni przed incydentami zakłócającymi jej działanie;
• zmniejszy prawdopodobieństwo ich wystąpienia;
• pozwoli przygotować się na nie;
• odpowiednio na nie zareaguje;
• powróci do normalnego funkcjonowania w przypadku ich wystąpienia.

ISO 22301 skonstruowana jest analogicznie do innych norm ISO, dzięki czemu jest łatwa w użyciu.

Plan CD pozwoli utrzymać organizację w działaniu i ochronić ją przed wszelkiego rodzaju niepożądanymi zdarzeniami, m.in. awariami zasilania, systemów informatycznych, klęskami żywiołowymi. Określa on działania pozwalające na odzyskiwanie danych i funkcjonalności organizacji po awarii zgodnie z przyjętymi założeniami.

Opracowanie zasad i procedur

Organizacja powinna działać zgodnie z rodo i wdrożyć odpowiednie zasady i procedury w celu zapewnienia dostępności zasobów. Wynika to wprost z art. 32 ust. 1 rodo.

Wdrożenie i stosowanie procedur CD zapewni możliwość rozliczenia się w przypadku kontroli UODO. Testy przyjętych scenariuszy CD pozwolą wykazać dobór odpowiednich środków bezpieczeństwa oraz zapewnią terminowe i skuteczne odzyskiwanie danych bez ryzyka utraty ich poufności i integralności zgodnie z przyjętymi zasadami.

Zarządzanie ryzykiem i zarządzanie CD ma na celu zapewnienie odpowiedniego poziomu bezpieczeństwa, jednak zarządzanie ryzykiem odnosi się do wszelkich zagrożeń i szans. Zarządzanie CD polega na opracowywaniu planów naprawczych, które w sytuacjach zakłócających działania biznesowe umożliwią powrót do normalnego funkcjonowania organizacji. Organizacja powinna ustalić zasady zgłaszania incydentów i działań łagodzących ich skutki oraz kiedy należy aktywować plan CD.

Analiza wpływu na biznes i podmioty danych

Przygotowanie planu CD rozpoczyna się od analizy wpływu zdarzenia na biznes oraz podmioty danych. Dla każdego zidentyfikowanego procesu ustala się zadania i czynności w nich wykonywane.

Analiza jest przeprowadzana przy wsparciu właściciela biznesowego procesu, a jej celem jest ustalenie wpływu niedostępności zasobów na organizację w trzech obszarach:

1. Ryzyko dla osób, których dane są objęte zdarzeniem – może w szczególności wynikać z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

2. Ryzyko finansowe – może obejmować utratę przychodów organizacji, odsetek z kont bankowych, przychodów ze sprzedaży, wartości odsetek z odroczonych rozliczeń, kar za niedotrzymanie zobowiązań umownych lub poziomów usług.

3. Ryzyko prawne – może obejmować kary za nieterminowe składanie sprawozdań finansowych lub deklaracji podatkowych, grzywny lub kary za niezgodność z obowiązującymi wymogami prawa.

Dzięki przeprowadzanej analizie można nadać priorytet i adekwatne ramy czasowe przywracania danych i działania procesów biznesowych z uwzględnieniem wykorzystywanych w nich systemów informatycznych i wpływu na podmioty danych i organizację. Biznes, dział bezpieczeństwa i IT powinny wspólnie ustalić, jakie systemy i procesy biznesowe są najważniejsze dla organizacji oraz jaki rodzaj planu jest niezbędny.

Przywracanie danych

Obszar ten wymaga weryfikacji dostępności wszystkich systemów IT (własnych i dostarczanych przez podmioty zewnętrzne) i odpowiedzi na dwa pytania:

1. Ile czasu zajmie przywrócenie pełnego działania systemu IT?

2. Ile danych może być utraconych podczas procesu odzyskiwania dostępu do systemu?

Dla każdego procesu biznesowego i wykorzystywanych w nich systemów IT należy ustalić:

• maksymalny czas potrzebny na przywrócenie dostępu do zasobów;
• zakres odzyskiwania i dostępności danych przez ustalenie częstotliwości wykonywania kopii zapasowych.

W celu zachowania integralności danych w procesie ich odzyskiwania powinno uwzględniać się zasady aktualizacji danych odtworzonych z kopii zapasowej.

[...]

Autorka pracuje w LexDigital jako Head of Privacy Innovative Technologies; pomaga wykorzystywać i wdrożyć nowe technologie w zgodzie z obowiązującymi zasadami ochrony i bezpieczeństwa danych osobowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.