Иван Савов, председател на Европейския институт за риск политика
Член 5(1)(f) от новата европейска директива изисква личните данни да се обработват сигурно, като се запазва тяхната конфиденциалност и интегритет, включително да бъдат защитени срещу неоторизирано или незаконно обработване и срещу загуба, унищожаване или нарушаване. За това трябва да се предприемат съответните технически или организационни мерки.
Член 32 също дава допълнителна специфика по отношение на сигурността, като обръща внимание на предприемането на адекватни мерки за управление на риска, които следва да покриват всички действия, свързани с личните данни, като събиране, достъпване, коригиране, комуникиране, архивиране, унищожаване. И всичко това през целия жизнен цикъл на личните данни, за които организациите носят отговорност като администратори и/или обработващи.
След като инвентаризира личните данни, организацията трябва да проведе анализ на риска и да приведе в действие програма за управление на риска, която да покрие всички лични данни и свързаните с тях процеси от техническа и организационна гледна точка.
Анализът на риска се провежда, като се използват добри практики и приложими международни стандарти, като ISO/IEC 27001, 27002, 27018, 31000, в които може да се намерят подходящи методики, както и контроли за информационна сигурност. Организацията проверява какви мерки за управление на риска са въведени към момента, какви рискове съществуват и с какви контроли те могат да бъдат елиминирани или минимизирани до приемливо ниво.
Анализът на риска покрива всички процеси в организацията, свързани с обработването на лични данни, включително организационни, управленски, технически и административни. Добра практика е да се провери наличието на контроли по информационна сигурност (ISO/IEC 27001 Анекс А, ISO/IEC 27002) и да се засекат спрямо идентифицираните лични данни, като по този начин може да се потвърди наличието на ефективни защити, както ще се открият и уязвимостите, които създават рискове. На базата на идентифицираните рискове се подготвя и последващата класификация и програма. Зоните, които се покриват, включват организация на информационната сигурност; сигурност, свързана с човешките ресурси; управление на информационните активи и данни – отговорности, класификация, среда; контрол на достъпа; криптография; физическа и периметър сигурност; оперативна сигурност на информационните системи; мрежова сигурност; трансфер на информация и данни; придобиване; разработване и поддръжка на софтуер; рискове, свързани с доставчици и други.
Доклад за рисковете и програма за тяхното управление
След като се направи анализът, се подготвя доклад с класификация на рисковете и програма за управление на риска, в която се приоритизират по значимост рисковете и се разписват контроли за тях с цел елиминиране, избягване или минимизиране.
Примерна диаграма за класификация на риска
В програмата за управление на риска се разписват мерките, които могат да са модифициращи – прилагане на контроли за намаляване на щетата; мерки с цел избягване на риска – предприемане на действия, които го правят риска, или мерки, чрез които рискът се споделя или трансферира – чрез застраховане например.
Специфичните контроли могат да се изберат с помощта на посочените по-горе стандарти. Примери за контроли са: ограничаване на дистанционния достъп, регистрация/дерегистрация на достъпа, политика за пароли, криптография, защитни стени, антивирусни и антиспам защити, сигурни зони, логове, мрежова сегрегация, сигурен периметър и други.
В договарянето на отношенията администратор – обработващ се обръща изрично внимание на сигурната и защитена обработка на личните данни, което да гарантира конфиденциалност, интегритет и достъпност съобразно целите на обработка и регламента за защита на личните данни.
В следващата статия ще разгледаме въпроса с международния трансфер на лични данни.
Текстът е публикуван в брой 21/2018 г. на списание "Икономист", който може да купите в разпространителската мрежа. Вижте какво още може да прочетете в броя.
