PIA (Privacy Impact Assessment, PIA or DPIA ) jest to narzędzie open source przeznaczone do oceny skutków dla ochrony danych opracowane przez francuski organ ochrony danych osobowych.
PIA przygotowano dla systemów Windows, Linux oraz Mac OS zarówno w architekturze 32 bit jak i 64 bit. Istnieje także wersja dla serwera zarówno front-end jak i back-end.
Po instalacji i uruchomieniu programu zobaczysz poniższe okno.
Aplikacja została przetłumaczona na kilka języków: angielski, czeski, niemiecki, hiszpański, włoski, niderlandzki i polski. Program został stworzony przez francuski organ nadzorczy CNIL na potrzeby wsparcia przedsiębiorcy w przeprowadzeniu oceny skutków dla ochrony danych.
Program jest przystosowany dla osób słabowidzących a kolorystykę przystosowano specjalnie dla daltonistów (bardzo kontrastowe barwy).
Pomimo iż program został stworzony by pomóc, to nie znaczy, że zrobi wszystko za nas. Jego ideologia opiera się na podpowiedziach do konkretnych zagadnień i prowadzi użytkownika krok po kroku aż do finalizacji i zatwierdzenia.
Program wyszczególnia poniższe zagadnienia:
1. Konteksty
◦ przegląd
◦ dane, procesy i aktywa
2. Podstawowe zasady
◦ proporcjonalność i konieczność
◦ środki ochrony praw osób, których dane dotyczą
3. Ryzyka
◦ środki istniejące lub przewidzianego
◦ nieupoważniony dostęp do danych
◦ niepożądana modyfikacja danych
◦ zniknięcie danych
◦ obraz ryzyka
4. Zatwierdzenie
◦ mapa ryzyka
◦ plan działania
◦ opinie IOD i osób, których dane dotyczą
Nie będę tutaj omawiał każdej sekcji z osobna bo niestety zajęło by to zbyt dużo czasu. Sama forma programu jest na tyle intuicyjna, że powinien poradzić sobie każdy użytkownik. Jednak do przeprowadzenia analizy niezbędne jest posiadanie szerokiej wiedzy technicznej ukierunkowanej na bezpieczeństwo danych. Niemniej jednak jest to program godny polecenia.
Przykładowo dział Ryzyka omawia między innymi środki istniejące lub przewidziane, które mają wpływ na bezpieczeństwo danych. Są to:
1. Środki organizacyjne
organizacja
polityka ochrony danych osobowych
zarządzanie ryzykiem
uwzględnianie ochrony prywatności w projektach
zarządzanie naruszeniami ochrony danych osobowych
zarządzanie pracownikami
relacje ze stronami trzecimi
nadzór
2. Środki ochrony logicznej
szyfrowanie
anonimizacja
partycjonowanie danych
kontrola dostępu logicznego
dzienniki systemowe (logi)
archiwizacja
zabezpieczenie dokumentów papierowych
minimalizacja danych osobowych
3. Środki ochrony fizycznej
zabezpieczenie eksploatacji
zwalczanie złośliwego oprogramowania
zarządzanie stacjami roboczymi
bezpieczeństwo stron WWW
kopie zapasowe
konwersja
umowa powierzenia przetwarzania
bezpieczeństwo sieci
kontrola dostępu fizycznego
monitorowanie aktywności sieci
zabezpieczenie sprzętu (hardware)
unikanie źródeł ryzyka
ochrona przed nieosobowymi źródłami ryzyka
Trochę się tego zebrało. A wyszczególniłem tylko jeden punkt całego procesu. Po przejściu wszystkich etapów będzie można zobaczyć stan zagrożenia w utworzonym wykresie. Przykład poniżej:
Powyższe zdjęcie przedstawia: obraz ryzyka
Mapa ryzyka przedstawia wzajemne pozycjonowanie się ryzyk, przed i po wdrożeniu odpowiednich środków.
Powyższe zdjęcie przedstawia: mapę ryzyka
Niestety w procesie oceny ryzyka i sporządzania jakiejkolwiek polityki bezpieczeństwa, konieczna jest dogłębna znajomość tematu, który nie jest łatwy. Podobne narzędzia jak PIA są miłym prezentem dla przedsiębiorcy, który może dzięki niemu zminimalizować koszty podniesienia stanu bezpieczeństwa a nawet zatrudnić do tego typu działań dedykowaną osobę.