Czy fakt posiadania certyfikowanego SZBI w oparciu o ISO 27001 oznacza, że jestem zgodny z RODO?

Mimo wielu podobieństw, oczywiście że nie. RODO to regulacja prawna, która nakłada na organizacje konkretne obowiązki i wymagania dotyczące ochrony danych osobowych. ISO 27001 to dobrowolny standard, który można wdrożyć jako ramy zarządzania bezpieczeństwem informacji. Organizacje mogą decydować się na certyfikację zgodności z ISO 27001, ale nie ma obowiązku posiadania tego certyfikatu w celu spełnienia wymagań RODO. Wdrożenie procesów i zabezpieczeń opisanych w ISO 27001 pomoże nam jednak tę zgodność osiągnąć.

Dlaczego?

Bo mamy wiele podobieństw np.:

• Ocena ryzyka: Zarówno RODO, jak i norma ISO 27001 wymagają przeprowadzenia oceny ryzyka (promują podejście oparte na ryzyku). RODO nakłada na organizacje obowiązek identyfikacji i oceny ryzyka związanego z przetwarzaniem danych osobowych oraz wprowadzenia odpowiednich środków ochrony. ISO 27001 również nakłada obowiązek przeprowadzenia oceny w zakresie bezpieczeństwa informacji w zaplanowanych odstępach czasu lub w przypadku zaproponowania lub wystąpienia znaczących zmian w otoczeniu organizacji.
• Zarządzanie incydentami: Zarówno RODO, jak i norma ISO 27001 wymagają, aby organizacje miały odpowiednie procedury zarządzania incydentami. RODO nakłada obowiązek powiadomienia organu nadzorczego i osób, których dane dotyczą, o naruszeniu bezpieczeństwa danych w określonym czasie. Norma ISO 27001:2022 wymaga z kolei wdrożenia planu reagowania na incydenty, który obejmuje procedury zgłaszania, śledzenia i rozwiązywania incydentów związanych z bezpieczeństwem informacji.
• Audyty wewnętrzne: Zarówno RODO, jak i norma ISO 27001 wymagają, aby organizacje realizowały okresowe audyty wewnętrzne.  RODO nakłada obowiązek regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania danych osobowych. Norma ISO 27001 wymaga z kolei przeprowadzania audytów wewnętrznych w zaplanowanych odstępach czasu. Działania te realizowane są w celu dostarczenia informacji, czy system zarządzania bezpieczeństwem informacji jest zgodny z wymaganiami organizacji, samego standardu oraz czy jest skutecznie wdrożony i utrzymywany.
• Udokumentowane informacji (Polityka bezpieczeństwa): Zarówno RODO, jak i norma ISO 27001 wymagają ustanowienia pewnych formalnych dokumentów. RODO nakłada na organizacje obowiązek opracowania polityki prywatności, która określa zasady i procedury dotyczące ochrony danych osobowych. Norma ISO 27001:2022 wymaga natomiast ustanowienia polityki bezpieczeństwa informacji, która obejmuje szeroki zakres zagadnień związanych z zarządzaniem bezpieczeństwem informacji w organizacji.

W nowym wydaniu normy ISO 27001 z 2022 roku widać jeszcze większy ukłon w stronę RODO między innymi poprzez wprowadzenie takich zabezpieczeń 8.10 oraz 8.11.

Zabezpieczenie 8.10 –  Usuwanie informacji (Information deletion) – Informacje przechowywane w systemach informatycznych, urządzeniach lub na wszelkich innych nośnikach powinny być usuwane gdy nie są już potrzebne.

W wytycznych zawartych w ISO 27002 przeczytamy, że informacje wrażliwe nie powinny być przechowywane dłużej niż jest to wymagane w celu zmniejszenia ryzyka niepożądanego ujawnienia. Przy usuwaniu informacji w systemach, aplikacjach i usługach należy rozważyć następujące kwestie:

• wybór metody usuwania (np. elektroniczne nadpisywanie lub kryptograficzne usuwanie);
• rejestrowanie wyników usuwania jako dowodów;
• w przypadku korzystania z usługodawców w zakresie usuwania informacji, uzyskanie dowodów usunięcia informacji od nich.

W przypadku gdy strony trzecie przechowują informacje organizacji w jej imieniu, organizacja powinna rozważyć włączenie do umów z podmiotami trzecimi wymagań dotyczących usuwania informacji w celu ich egzekwowania w trakcie i po zakończeniu świadczenia takich usług.

Zabezpieczenie 8.11 – Maskowanie danych (Data masking) – Maskowanie danych powinno być stosowane zgodnie z obowiązującą w danej organizacji polityką dotyczącą kontroli dostępu i innymi powiązanymi politykami tematycznymi oraz wymaganiami biznesowymi, z uwzględnieniem obowiązujących przepisów prawnych.

W wytycznych zawartych w ISO 27002 przeczytamy, że w przypadku, gdy ochrona danych wrażliwych (np. danych osobowych) jest przedmiotem zainteresowania, organizacja powinna rozważyć ukrycie takich danych za pomocą technik takich jak maskowanie danych pseudonimizacja lub anonimizacja. Anonimizacja danych powinna uwzględniać wszystkie elementy informacji wrażliwych, aby była skuteczna.

Techniki maskowania danych obejmują:

• szyfrowanie (wymagające od uprawnionych użytkowników posiadania klucza);
• unieważnianie lub usuwanie znaków (uniemożliwienie nieupoważnionym użytkownikom zobaczenia pełnych wiadomości)
• różnicowanie liczb i dat;
• substytucja (zamiana jednej wartości na inną w celu ukrycia wrażliwych danych);
• zastępowanie wartości ich hashami

W obu przypadkach nie sposób nie dopatrzeć się bezpośrednich nawiązań do wymagań RODO:

• art. 5 ust. 1 lit e RODO  ograniczenie przechowywania = Zabezpieczenie 8.10 –  Usuwanie informacji (Information deletion); 
• art. 32 ust. 1 lit a RODO  pseudonimizację i szyfrowanie danych osobowych = Zabezpieczenie 8.11 – Maskowanie danych (Data masking).

Samo ISO 27001 możemy rozszerzyć również o stosowanie ISO 27701. ISO 27701 jest rozszerzeniem normy  ISO 27001 (UWAGA: odnosi się do wydania normy z 2013 roku nie 2022) i jest związane z zarządzaniem prywatnością informacji. Jest to pierwszy międzynarodowy standard dotyczący zarządzania prywatnością informacji, który został opublikowany w sierpniu 2019 roku. ISO 27701 wprowadza wymagania dotyczące Systemu Zarządzania Prywatnością Informacji (Information Security Privacy Management System – IS-PMS). Standard ten ma na celu pomóc organizacjom w ochronie prywatności danych osobowych i spełnieniu wymagań dotyczących ochrony prywatności określonych w różnych regulacjach, w tym w RODO (ale i nie tylko).

ISO 27701 zawiera zarówno wymagania dotyczące zarządzania prywatnością informacji, jak i wskazówki dotyczące wdrożenia tych wymagań. Standard obejmuje aspekty takie jak identyfikacja ryzyka prywatności, wdrożenie odpowiednich środków technicznych i organizacyjnych, zarządzanie uprawnieniami dostępu do danych osobowych, zarządzanie żądaniami podmiotów danych, reagowanie na incydenty związane z prywatnością oraz audytowanie i monitorowanie skuteczności Systemu Zarządzania Prywatnością Informacji.

Musimy ciągle jednak pamiętać, że RODO jest przede wszystkim regulacją dotyczącą ochrony danych osobowych, podczas gdy norma ISO 27001 to standard dotyczący ogólnego zarządzania bezpieczeństwem informacji. Norma ISO 27001 jest szersza i obejmuje całościowe podejście do zarządzania bezpieczeństwem informacji, a nie tylko ochronę danych osobowych. ISO 27001 nie będzie więc adresowało procesów takich jak:

• Posiadanie podstaw prawnych do przetwarzania danych osobowych;
• Spełnianie obowiązków informacyjnych;
• Realizacja praw podmiotów danych;
• Prowadzenie rejestru czynności i kategorii czynności przetwarzania;
• Transfer danych poza EOG.

UWAGA: 27701 już te aspekty dotknie. 

Jako praktyk w dziedzinie bezpieczeństwa informacji i ochrony danych osobowych uważam więc, że ramy jakie daje nam standard ISO 27001 powinny być wykorzystywane do projektowania systemów ochrony danych osobowych w organizacjach. Takie podejście pozwoli nam zadbać zarówno o aspekt prawny zgodności z RODO jak i faktyczne bezpieczeństwo informacje, o którym wiele osób zapomina gmatwając się w prawnych aspektach Rozporządzenia.

Ja nazywam się Jakub Wietrzyński i jestem menadżerem zespołu ds. bezpieczeństwa informacji i ochrony danych osobowych. Na co dzień wraz z zespołem pomagam dbać o zgodność z RODO i wdrażam systemy zarządzania bezpieczeństwem informacji w instytucjach z sektora publicznego i prywatnego. Jeśli chciałbyś porozmawiać o bezpieczeństwie informacji lub ochronie danych osobowych, skontaktuj się ze mną w wiadomości prywatnej.