Analiza ryzyka dla zasobów przetwarzających dane osobowe - udostępniamy kalkulator

Większość osób kojarzy RODO z prawem, klauzulami zgód i obowiązkiem informacyjnym. Jednak nawet najlepiej wdrożony system ochrony danych od strony prawnej nie chroni w pełni przed incydentami. Artykuł 32 RODO wymaga, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.

Większość osób kojarzy RODO z prawem, klauzulami zgód i obowiązkiem informacyjnym. Jednak nawet najlepiej wdrożony system ochrony danych od strony prawnej nie chroni w pełni przed incydentami. Artykuł 32 RODO wymaga, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.

Dzięki analizie ryzyka wiemy na przykład, że bez zapisywania danych na serwerze, w razie kradzieży laptopa, utracimy je i musimy zgłosić incydent Prezesowi UODO. Poniżej odpowiadamy, czym jest analiza ryzyka, kiedy i jak jej dokonywać.

Czym jest analiza ryzyka?

  • Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

    Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
    ODBIERZ PAKIET
    Analiza ryzyka to skrócone pojęcie, pod którym rozumiemy analizę możliwości wystąpienia naruszenia ochrony danych osobowych na konkretnym zasobie przetwarzającym dane (np. laptopie, drukarce, serwerze, w pokoju archiwum). Podczas analizy bierzemy pod uwagę także aktualny poziom zabezpieczeń.
  • Naruszenia ochrony danych osobowych to przykładowo:
    • przetwarzanie nieprawidłowych lub niepełnych danych,
    • nieuprawniony dostęp do danych osobowych,
    • nieuprawnione ujawnienie lub udostępnienie danych osobowych,
    • przypadkowe lub nieuprawnione zniszczenie, utrata lub uszkodzenie danych osobowych,
    • nieuprawniona modyfikacja danych osobowych.

W jakim zakresie dokonywać analizy ryzyka?

  • Analizy ryzyka dokonujemy całościowo dla wszystkich typów zasobów przetwarzających dane osobowe. W innym przypadku nie będziemy w stanie stwierdzić, że nasza organizacja wykryła wszystkie najważniejsze luki w zabezpieczeniach informacji. Przykładowo, jeśli nie przeanalizujemy ryzyka dla gniazd LAN, to przy wdrożeniu RODO możemy pominąć zagrożenie podłączeniem się do sieci firmowej przez gości oczekujących w obszarze, gdzie takie gniazda są dostępne.
  • Aby przygotować się do analizy ryzyka, proszę sporządzić listę typów zasobów przetwarzających dane osobowe (np. serwerów, laptopów, niszczarek, dokumentów w wersji papierowej). W dużej organizacji jest ich zwykle tak wiele, że warto sklasyfikować je w ramach grup zasobów:
    • infrastruktura sieciowa (WAN i LAN),
    • infrastruktura serwerowni,
    • sprzęt biurowy (osobisty),
    • sprzęt biurowy (ogólnodostępny),
    • systemy operacyjne i aplikacje,
    • strony internetowe przetwarzające dane osobowe,
    • formaty plików (dane nieustrukturyzowane),
    • personel własny,
    • personel zewnętrzny i goście,
    • główne lokalizacje i obszary krytyczne,
    • umowy krytyczne
    • dokumenty w formie papierowej.

Praca dobryymi narzędziami RODO - to nie praca!

Jak dokonać analizy ryzyka?

Kroki analizy ryzyka:

Ocena wartości zasobu w zależności od tego, jakie dane przetwarza. Przykładowa skala:
2 - Zasób uczestniczy w co najmniej jednym procesie przetwarzania, dla którego zidentyfikowano wysokie ryzyko.
1 - Zasób nie uczestniczy w procesie przetwarzania, dla którego zidentyfikowano wysokie ryzyko.

Identyfikacja zagrożeń dla bezpieczeństwa danych osobowych.

Do każdego z następujących zagrożeń przypisujemy wartość punktową reprezentującą możliwość jego wystąpienia:

  • przypadkowe lub niezgodne z prawem zniszczenie lub utrata danych osobowych,
    przypadkowa lub niezgodna z prawem modyfikacja danych,
  • nieuprawnione ujawnienie lub nieuprawniony dostęp do danych.
  • Na koniec sumujemy wszystkie przyjęte wartości jako łączne prawdopodobieństwo wystąpienia zagrożeń.

Na koniec sumujemy wszystkie przyjęte wartości jako łączne prawdopodobieństwo wystąpienia zagrożeń.

Przykładowa skala – zabezpieczenia techniczne:
5 - Wystąpienie zdarzenia jest nieuchronne lub zdarzenie wystąpiło w ciągu ostatniego miesiąca.
4 - Wystąpienie zdarzenia jest wysoce realne lub zdarzenie wystąpiło w ciągu ostatniego roku.
3 - Wystąpienie zdarzenia jest realne lub zdarzenie wystąpiło w ciągu ostatnich trzech lat.
2 - Wystąpienie zdarzenia jest mało realne lub zdarzenie miało miejsce w przeszłości, ale nie wystąpiło w ciągu ostatnich trzech lat.
1 - Zagrożenie nie może wystąpić dla danego zasobu.
Ocena efektywności zabezpieczeń technicznych i organizacyjnych. Przykładowa skala (oddzielnie oceniamy efektywność zabezpieczeń technicznych, oddzielnie zabezpieczeń organizacyjnych:
3 - Zabezpieczenia są testowane, zostały ocenione jako skuteczne i nie wykryto nieprawidłowości.
2 - Zabezpieczenia nie są testowane, ale zostały ocenione jako skuteczne.
1 - Zabezpieczenia nie są testowane i nie są skuteczne lub są testowane i nie są skuteczne.
Opis, z czego wynika możliwość wystąpienia zagrożenia (podatności). Należy opisać słabości zasobu, które mogą być wykorzystane przez zidentyfikowane zagrożenia. Należy m.in. określić, jakiego zagrożenia dotyczy podatność oraz odpowiedzieć, czy w przeszłości doszło już do incydentu. (źródło: ISO 27000).
Oddziaływanie możliwych następstw na ciągłość operacji przetwarzania danych. Przykładowa skala:
3 - Znaczny wpływ na ciągłość działania organizacji.
2 - Ograniczony wpływ na ciągłość działania organizacji.
1 - Brak zauważalnego wpływu na ciągłość działania organizacji.
Obliczenie poziomu ryzyka. Poziom ryzyka to wielkość ryzyka wyrażona w kategoriach kombinacji następstw oraz ich prawdopodobieństw (ISO 27000, pkt 2.44). Wylicza się z następującego wzoru:

Wr = [Wz × P × S ] / [EfZBT + EfZBO]

Gdzie:

Wr – Wartość ryzyka;
WA – Wartość zasobu (aktywu);
P – Łączne prawdopodobieństwo wystąpienia zagrożeń;
S – oddziaływanie na ciągłość procesów przetwarzania danych;
EfZBT – Efektywność istniejącego zabezpieczenia technicznego;
EfZBA – Efektywność istniejącego zabezpieczenia organizacyjnego.
Ocenia, czy ryzyko jest akceptowalne, czy też należy z nim postępować.

Gdy obliczymy już poziomy ryzyka dla wszystkich zasobów, należy uporządkować wyniki od największego do najmniejszego. W ten sposób będzie jasne, które zasoby powodują najwyższe zagrożenie.

Sugerujemy, aby wydać rekomendacje i zaplanować działania minimalizujące ryzyko w pierwszej kolejności dla zasobów, które przekraczają próg akceptowalności lub gdzie ryzyko oceniono jako wysokie.
Próg akceptowalności najlepiej wyznaczyć w oparciu o zasadę Pareta, zgodnie z którą 20% ryzyk o największej wartości punktowej jest przyczyną 80% pojawiających się zagrożeń i problemów w organizacji. Matematyczny wzór, na podstawie którego oblicza się wartość akceptowalności ryzyka, to:

RAKC = (RMAX – RMIN) x 0,8 + RMIN.
Legenda:
  • RAKC – wartość progu akceptowalności ryzyka.
  • RMAX – ryzyko o drugiej największej wartości (po odrzuceniu wartości skrajnej).
  • RMIN - ryzyko o drugiej najmniejszej wartości (po odrzuceniu wartości skrajnej).

Ponieważ powyższy wzór wymaga porównania wyników dla wszystkich zasobów, alternatywnie można przyjąć następujące kryteria dla pojedynczego zasobu. Maksymalny możliwy wynik to 45, zaś ryzyko jest:

  • Wysokie – gdy wynik analizy ryzyka przekracza 26.
  • Średnie – gdy wynik analizy ryzyka przekracza 13.
  • Niskie – gdy wynik analizy ryzyka jest mniejszy lub równy 13.

Kalkulator analizy ryzyka
Korzystając z naszego kalkulatora analizy ryzyka, krok po kroku dokonasz analizy ryzyka: zidentyfikujesz zabezpieczenia, wskażesz podatności, a także zagrożenia i ich możliwe następstwa. Na tej podstawie, obliczysz poziom ryzyka i odpowiesz, czy ryzyko przekracza próg akceptowalności.

Czytaj także:

Najczęstsze błędy przy zawieraniu umów powierzenia
Pamiętaj: sprawdź link, zanim klikniesz!
Never gonna give you up!
Check the link before you click
Never gonna give you up!