Bezpečnosť informácií a ochrana súkromia sú úzko spojené. A nastavenie adekvátnej bezpečnosti informácií aj ochrany súkromia sa nezaobíde bez riadenia rizík, ktoré môžu mať následky pre organizáciu, tak pre jednotlivcou.
Riziká bezpečnosti informácií a riziká ochrany súkromia
Riziká bezpečnosti informácií sa vzťahujú na porušenie dôvernosti, integrity a dostupnosti podnikateľských procesov alebo informácií. Organizácie môžu pre riadenie týchto rizík použiť rôzne metódy a nástroje, ktorých cieľom je identifikovať riziká, určiť ich závažnosť a prioritizovať opatrenia bezpečnosti informácií.
Posuzování rizik soukromí se často omezuje na dopady na jednotlivce (subjekt údajů). Tyto dopady jsou obvykle posuzovány v rámci tzv. posouzení vlivu na ochranu osobních údajů (DPIA = Data Protection Impact Assessment), které vyžaduje nařízení GDPR, resp. posouzení dopadu na soukromí (PIA = Privacy Impact Assessment), který popisuje mezinárodní norma ISO/IEC 29134. Nicméně, provedení DPIA / PIA nám neřekne nic o možných následcích porušení soukromí jednotlivců pro organizaci. Musíme vzít v úvahu také možnost, že rizika zpracování osobních údajů mohou být pro subjekty údajů velmi nízká, ale pro správce či zpracovatele mohou být velmi vysoká. Příkladem je poškození dobrého jména či neplnění zákonných povinností.
Požiadavky noriem rady ISO/IEC 27000
Požadavek na posuzování rizik ochrany soukromí definuje mezinárodní norma ISO/IEC 27701, která rozšiřuje ISO/IEC 27001 a ISO/IEC 27002 o řízení informací o soukromí. Norma ISO/IEC 27701 v článku 5.4.1.2 uvádí, že organizace musí použít proces posouzení rizik soukromí k identifikaci rizik souvisejících se zpracováním osobních údajů. Norma ISO/IEC 27701 v normativní příloze A, článek A.7.2.5 také specifikuje, že organizace musí posoudit potřebu a případně provést posouzení dopadu na soukromí (PIA), kdykoli se plánuje nové zpracování osobních údajů nebo změny stávajícího zpracování osobních údajů.
Posudzovanie rizík bezpečnosti informácií a rizík ochrany súkromia
Proces identifikace rizik bezpečnosti informací a rizik ochrany soukromí se nemusí příliš lišit. Můžeme použít např. metodu posouzení rizik založenou na událostech na vysoké úrovni v kombinaci a metodou posouzení rizik založenou na podpůrných aktivech. I míru rizika porušení soukromí můžeme určit shodně jako kombinaci následků a pravděpodobnosti jejich výskytu.
Míru následků porušení soukromí ovlivňuje zejména účel zpracování osobních údajů, citlivost dotčených osobních údajů, charakter obávané události (co by se mohlo stát), rozsah obávané události (kolik subjektů údajů by mohlo být dotčeno), jak dlouho by porušení mohlo trvat (např. nedostupnost údajů) atp. Dopady / následky obávané události se mohou projevovat odlišně. Následky porušení bezpečnosti informací i soukromí mohou být pro organizaci podobné, například finanční, reputační nebo neplnění podnikatelských cílů organizace. Následky pro subjekty údajů jsou však odlišné, např. ztráta důstojnosti, diskriminace, finanční ztráty jednotlivců, poškození zdraví nebo dokonce smrt.
Míru pravděpodobnosti výskytu dopadů / následků opět ovlivňuje více faktorů. Prvním z nich je odolnost ekosystému, ve kterém jsou osobní údaje zpracovávány. Odolnost ekosystému je dána účinností stávajících preventivních, detekčních i reaktivních opatření bezpečnosti informací a ochrany soukromí. Čím účinnější opatření máme, tím je menší pravděpodobnost, že zdroj rizika bude moci zneužít slabiny / zranitelnosti aktiv (podpůrných aktiv). Míru pravděpodobnosti výskytu následků / dopadů také ovlivňují charakteristiky zdrojů rizik. Podobně, jak se silou větru roste pravděpodobnost výskytu závažných škod (článek vzniká krátce po tornádu na Moravě), tak roste pravděpodobnost výskytu závažných následků porušení bezpečnosti informací a ochrany soukromí s motivací (záměry) a schopnostmi (vybavením, znalostmi) útočníků v kyberprostoru.
Čím vyšší jsou následky pro organizaci nebo dopady na jednotlivce a současně čím vyšší je pravděpodobnost výskytu těchto následků / dopadů, tím vyšší je míra rizika.
Záver
V článku je řešena otázka, zda a případně jak integrovat procesy posouzení rizik bezpečnosti informací a rizik soukromí s dopady na organizaci i subjekty údajů. Společný přístup k řízení rizik bezpečnosti informací a soukromí je na místě a lze ho doporučit, už pro efektivitu posuzování a ošetřování rizik bezpečnosti informací a ochrany soukromí.