Τεκμηρίωση μέτρων ασφάλειας και απόδειξη της συμμόρφωσης

Τα μέτρα ασφάλειας πρέπει να τεκμηριώνονται με κατάλληλα έγγραφα πολιτικής, όπως επιβάλλει η αρχή της λογοδοσίας. Παράλληλα, πρέπει να είναι αποδεδειγμένα επικυρωμένα από τη διοίκηση του υπευθύνου ή του εκτελούντος την επεξεργασία, ώστε να μην υπάρχει περιθώριο αμφισβήτησής τους.

Υπεύθυνοι και εκτελούντες επεξεργασία μπορούν να χρησιμοποιούν εγκεκριμένο κώδικα δεοντολογίας (σύμφωνα με το άρθρο 40 του ΓΚΠΔ) ή μηχανισμό πιστοποίησης (άρθρο 42 ΓΚΠΔ) για την απόδειξη της συμμόρφωσής τους, δηλαδή προς απόδειξη ότι, καταρχήν, λαμβάνουν τα ενδεδειγμένα μέτρα ασφάλειας. Επισημαίνεται, βέβαια, ότι οι φορείς θα πρέπει να είναι σε θέση να αποδείξουν ότι τα εν λόγω μέτρα εφαρμόζονται αποτελεσματικά στην πράξη.

Συνεπώς, απαραίτητο βήμα για την απόδειξη της συμμόρφωσης είναι η καταγραφή των μέτρων ασφάλειας. Η ύπαρξη πολιτικής ασφάλειας, η οποία έχει εγκριθεί από τη διοίκηση του υπευθύνου επεξεργασίας και εφαρμόζεται στην πράξη, αποτελεί ορθή πρακτική, ενώ σε πολλές περιπτώσεις μπορεί να θεωρηθεί και απαιτούμενο (π.χ. μεγάλες επιχειρήσεις, επιχειρήσεις με κύριο αντικείμενο την επεξεργασία δεδομένων προσωπικού χαρακτήρα ανεξαρτήτως μεγέθους, επιχειρήσεις των οποίων οι πράξεις επεξεργασίας υπόκεινται στην απαίτηση για  διενέργεια εκτίμησης αντικτύπου σχετικά με την προστασία δεδομένων  κ.λπ.). Δείτε περισσότερες πληροφορίες σχετικά με την πολιτική ασφάλειας.

Στις περισσότερες περιπτώσεις απαραίτητη για τον προσδιορισμό των κατάλληλων μέτρων ασφάλειας είναι η μελέτη επικινδυνότητας. Ανάλογα με τα αποτελέσματα αυτής και την πολιτική ασφάλειας προκύπτουν τα εφαρμοζόμενα τεχνικά και οργανωτικά μέτρα ασφάλειας. Τα μέτρα αυτά, όπως και οι απαραίτητες ενέργειες για την υλοποίησή τους, περιέχονται στο Σχέδιο Ασφάλειας (Security Plan). Ανάλογα με τον υπεύθυνο επεξεργασίας ή τον εκτελούντα  επεξεργασία, το Σχέδιο Ασφάλειας μπορεί να περιλαμβάνει επιμέρους εφαρμοζόμενες πολιτικές και μέτρα ασφάλειας, σε περιοχές (κατηγορίες μέτρων ασφάλειας) που καλύπτουν συγκεκριμένους στόχους της πολιτικής ασφάλειας. Σε κάθε περίπτωση, το Σχέδιο Ασφάλειας πρέπει να υπόκειται σε τακτικές επισκοπήσεις και αναθεωρήσεις, δεδομένης της ραγδαίας ανάπτυξης τεχνολογικών λύσεων και της εφαρμογής τους στα πληροφοριακά συστήματα και τις τεχνολογικές υποδομές. Επιπλέον, στο Σχέδιο Ανάκαμψης από Καταστροφές (Disaster Recovery Plan), το οποίο συμπληρώνει το Σχέδιο Ασφάλειας, περιέχονται τα μέτρα προστασίας, ανάκαμψης και αποκατάστασης πληροφοριακών συστημάτων και τεχνολογικών υποδομών σε περιπτώσεις έκτακτης ανάγκης, όπως φυσικές καταστροφές, εξωτερικές επιθέσεις/εισβολές, κ.λπ.

Στην υπο-ενότητα «Μέτρα ασφάλειας» παρουσιάζεται ενδεικτική, μη εξαντλητική, κατηγοριοποίηση των μέτρων ασφάλειας. Επίσης, στην υπο-ενότητα «Σχέδιο ανάκαμψης από καταστροφές» παρουσιάζονται τα αντίστοιχα μέτρα ασφάλειας. Επισημαίνεται ότι ο εκάστοτε φορέας πρέπει να προσδιορίζει τις διαδικασίες του και τα σχέδιά του έτσι ώστε τα λαμβανόμενα μέτρα να είναι τα κατάλληλα για τους κινδύνους που ενέχει η επεξεργασία.

 

Πρότυπα και οδηγοί υλοποίησης πλαισίου ασφάλειας επεξεργασίας

Σήμερα, είναι διαθέσιμες διάφορες πιστοποιήσεις ασφάλειας πληροφοριακών συστημάτων, βασισμένες σε διεθνώς αποδεκτά πρότυπα. Αν και μια τέτοια πιστοποίηση υποδηλώνει, κατ’ αρχάς, εύλογες προσπάθειες του υπευθύνου ή εκτελούντος  επεξεργασία ως προς την ασφάλεια, η πιστοποίηση αυτή δεν αποτελεί απόδειξη συμμόρφωσης με τις απαιτήσεις ασφάλειας του ΓΚΠΔ. Οι πιστοποιήσεις αυτές δεν σχετίζονται με τις πιστοποιήσεις του άρθρου 42 ΓΚΠΔ.

Βέβαια, τα υφιστάμενα διεθνή πρότυπα είναι εξαιρετικά χρήσιμα, προκειμένου να βοηθήσουν έναν υπεύθυνο ή εκτελούντα στην επιλογή των κατάλληλων μέτρων μείωσης των κινδύνων μιας δραστηριότητας επεξεργασίας. Περαιτέρω, τα περισσότερα από τα πρότυπα είναι προσανατολισμένα στην ασφάλεια των πληροφοριακών συστημάτων και των δικτύων, συνεπώς απαιτείται κατάλληλη προσαρμογή, όπως για παράδειγμα για την ικανοποίηση των αρχών της ελαχιστοποίησης των δεδομένων και του χρονικού περιορισμού της επεξεργασίας.

Πρότυπα στα οποία μπορεί να ανατρέχει κανείς είναι τα: ISO/IEC 27701, ISO/IEC 27001 και 27002, ISO/IEC 29000 και 29151, Control Objectives for Information Technology (CobIT), Common Criteria, κ.λπ., εθνικά πρότυπα (π.χ. NIST/SP 800-53) ή λίστες εποπτικών αρχών ή άλλων οργανισμών (π.χ. ENISA).

Ειδικά για μικρομεσαίες επιχειρήσεις, οι υπεύθυνοι και εκτελούντες  επεξεργασία μπορούν να ανατρέχουν σε κείμενα προσανατολισμένα στις δραστηριότητές τους, όπως αυτά που δημοσιεύει ο ENISA και πρωτοβουλίες όπως η European DIGITAL SME Alliance.
.