Analiza ryzyka dla zasobów przetwarzających dane osobowe - udostępniamy kalkulator

Większość osób kojarzy RODO z prawem, klauzulami zgód i obowiązkiem informacyjnym. Jednak nawet najlepiej wdrożony system ochrony danych od strony prawnej nie chroni w pełni przed incydentami. Artykuł 32 RODO wymaga, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.

Większość osób kojarzy RODO z prawem, klauzulami zgód i obowiązkiem informacyjnym. Jednak nawet najlepiej wdrożony system ochrony danych od strony prawnej nie chroni w pełni przed incydentami. Artykuł 32 RODO wymaga, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.

Dzięki analizie ryzyka wiemy na przykład, że bez zapisywania danych na serwerze, w razie kradzieży laptopa, utracimy je i musimy zgłosić incydent Prezesowi UODO. Poniżej odpowiadamy, czym jest analiza ryzyka, kiedy i jak jej dokonywać.

Czym jest analiza ryzyka?

  • Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO

    Dołącz do grona czytelników naszego biuletynu, odbierz bezpłatny pakiet i trzymaj rękę na pulsie.
    ODBIERZ PAKIET
    Analiza ryzyka to skrócone pojęcie, pod którym rozumiemy analizę możliwości wystąpienia naruszenia ochrony danych osobowych na konkretnym zasobie przetwarzającym dane (np. laptopie, drukarce, serwerze, w pokoju archiwum). Podczas analizy bierzemy pod uwagę także aktualny poziom zabezpieczeń.
  • Naruszenia ochrony danych osobowych to przykładowo:
    • przetwarzanie nieprawidłowych lub niepełnych danych,
    • nieuprawniony dostęp do danych osobowych,
    • nieuprawnione ujawnienie lub udostępnienie danych osobowych,
    • przypadkowe lub nieuprawnione zniszczenie, utrata lub uszkodzenie danych osobowych,
    • nieuprawniona modyfikacja danych osobowych.

W jakim zakresie dokonywać analizy ryzyka?

  • Analizy ryzyka dokonujemy całościowo dla wszystkich typów zasobów przetwarzających dane osobowe. W innym przypadku nie będziemy w stanie stwierdzić, że nasza organizacja wykryła wszystkie najważniejsze luki w zabezpieczeniach informacji. Przykładowo, jeśli nie przeanalizujemy ryzyka dla gniazd LAN, to przy wdrożeniu RODO możemy pominąć zagrożenie podłączeniem się do sieci firmowej przez gości oczekujących w obszarze, gdzie takie gniazda są dostępne.
  • Aby przygotować się do analizy ryzyka, proszę sporządzić listę typów zasobów przetwarzających dane osobowe (np. serwerów, laptopów, niszczarek, dokumentów w wersji papierowej). W dużej organizacji jest ich zwykle tak wiele, że warto sklasyfikować je w ramach grup zasobów:
    • infrastruktura sieciowa (WAN i LAN),
    • infrastruktura serwerowni,
    • sprzęt biurowy (osobisty),
    • sprzęt biurowy (ogólnodostępny),
    • systemy operacyjne i aplikacje,
    • strony internetowe przetwarzające dane osobowe,
    • formaty plików (dane nieustrukturyzowane),
    • personel własny,
    • personel zewnętrzny i goście,
    • główne lokalizacje i obszary krytyczne,
    • umowy krytyczne
    • dokumenty w formie papierowej.

Praca dobryymi narzędziami RODO - to nie praca!

Jak dokonać analizy ryzyka?

Kroki analizy ryzyka:

Ocena wartości zasobu w zależności od tego, jakie dane przetwarza. Przykładowa skala:
2 - Zasób uczestniczy w co najmniej jednym procesie przetwarzania, dla którego zidentyfikowano wysokie ryzyko.
1 - Zasób nie uczestniczy w procesie przetwarzania, dla którego zidentyfikowano wysokie ryzyko.

Identyfikacja zagrożeń dla bezpieczeństwa danych osobowych.

Do każdego z następujących zagrożeń przypisujemy wartość punktową reprezentującą możliwość jego wystąpienia:

  • przypadkowe lub niezgodne z prawem zniszczenie lub utrata danych osobowych,
    przypadkowa lub niezgodna z prawem modyfikacja danych,
  • nieuprawnione ujawnienie lub nieuprawniony dostęp do danych.
  • Na koniec sumujemy wszystkie przyjęte wartości jako łączne prawdopodobieństwo wystąpienia zagrożeń.

Na koniec sumujemy wszystkie przyjęte wartości jako łączne prawdopodobieństwo wystąpienia zagrożeń.

Przykładowa skala – zabezpieczenia techniczne:
5 - Wystąpienie zdarzenia jest nieuchronne lub zdarzenie wystąpiło w ciągu ostatniego miesiąca.
4 - Wystąpienie zdarzenia jest wysoce realne lub zdarzenie wystąpiło w ciągu ostatniego roku.
3 - Wystąpienie zdarzenia jest realne lub zdarzenie wystąpiło w ciągu ostatnich trzech lat.
2 - Wystąpienie zdarzenia jest mało realne lub zdarzenie miało miejsce w przeszłości, ale nie wystąpiło w ciągu ostatnich trzech lat.
1 - Zagrożenie nie może wystąpić dla danego zasobu.
Ocena efektywności zabezpieczeń technicznych i organizacyjnych. Przykładowa skala (oddzielnie oceniamy efektywność zabezpieczeń technicznych, oddzielnie zabezpieczeń organizacyjnych:
3 - Zabezpieczenia są testowane, zostały ocenione jako skuteczne i nie wykryto nieprawidłowości.
2 - Zabezpieczenia nie są testowane, ale zostały ocenione jako skuteczne.
1 - Zabezpieczenia nie są testowane i nie są skuteczne lub są testowane i nie są skuteczne.
Opis, z czego wynika możliwość wystąpienia zagrożenia (podatności). Należy opisać słabości zasobu, które mogą być wykorzystane przez zidentyfikowane zagrożenia. Należy m.in. określić, jakiego zagrożenia dotyczy podatność oraz odpowiedzieć, czy w przeszłości doszło już do incydentu. (źródło: ISO 27000).
Oddziaływanie możliwych następstw na ciągłość operacji przetwarzania danych. Przykładowa skala:
3 - Znaczny wpływ na ciągłość działania organizacji.
2 - Ograniczony wpływ na ciągłość działania organizacji.
1 - Brak zauważalnego wpływu na ciągłość działania organizacji.
Obliczenie poziomu ryzyka. Poziom ryzyka to wielkość ryzyka wyrażona w kategoriach kombinacji następstw oraz ich prawdopodobieństw (ISO 27000, pkt 2.44). Wylicza się z następującego wzoru:

Wr = [Wz × P × S ] / [EfZBT + EfZBO]

Gdzie:

Wr – Wartość ryzyka;
WA – Wartość zasobu (aktywu);
P – Łączne prawdopodobieństwo wystąpienia zagrożeń;
S – oddziaływanie na ciągłość procesów przetwarzania danych;
EfZBT – Efektywność istniejącego zabezpieczenia technicznego;
EfZBA – Efektywność istniejącego zabezpieczenia organizacyjnego.
Ocenia, czy ryzyko jest akceptowalne, czy też należy z nim postępować.

Gdy obliczymy już poziomy ryzyka dla wszystkich zasobów, należy uporządkować wyniki od największego do najmniejszego. W ten sposób będzie jasne, które zasoby powodują najwyższe zagrożenie.

Sugerujemy, aby wydać rekomendacje i zaplanować działania minimalizujące ryzyko w pierwszej kolejności dla zasobów, które przekraczają próg akceptowalności lub gdzie ryzyko oceniono jako wysokie.
Próg akceptowalności najlepiej wyznaczyć w oparciu o zasadę Pareta, zgodnie z którą 20% ryzyk o największej wartości punktowej jest przyczyną 80% pojawiających się zagrożeń i problemów w organizacji. Matematyczny wzór, na podstawie którego oblicza się wartość akceptowalności ryzyka, to:

RAKC = (RMAX – RMIN) x 0,8 + RMIN.
Legenda:
  • RAKC – wartość progu akceptowalności ryzyka.
  • RMAX – ryzyko o drugiej największej wartości (po odrzuceniu wartości skrajnej).
  • RMIN - ryzyko o drugiej najmniejszej wartości (po odrzuceniu wartości skrajnej).

Ponieważ powyższy wzór wymaga porównania wyników dla wszystkich zasobów, alternatywnie można przyjąć następujące kryteria dla pojedynczego zasobu. Maksymalny możliwy wynik to 45, zaś ryzyko jest:

  • Wysokie – gdy wynik analizy ryzyka przekracza 26.
  • Średnie – gdy wynik analizy ryzyka przekracza 13.
  • Niskie – gdy wynik analizy ryzyka jest mniejszy lub równy 13.

Kalkulator analizy ryzyka
Korzystając z naszego kalkulatora analizy ryzyka, krok po kroku dokonasz analizy ryzyka: zidentyfikujesz zabezpieczenia, wskażesz podatności, a także zagrożenia i ich możliwe następstwa. Na tej podstawie, obliczysz poziom ryzyka i odpowiesz, czy ryzyko przekracza próg akceptowalności.

Czytaj także:

Szkolenie RODO od podstaw

Szkolenie dla osób, które zaczynają swoją „przygodę” z RODO i z funkcją inspektora ochrony danych.

Zobacz więcej
Tomasz Ochocki
Tomasz Ochocki
Kierownik zespołu merytorycznego.
Ekspert ds. ochrony danych.
Audytor wiodący systemu zarządzania bezpieczeństwem informacji (ISO/IEC 27001:2013), zarządzania ciągłością działania (ISO 22301) oraz audytor wewnętrzny ISO/IEC 27701. Ukończył podyplomowe studia z zakresu ochrony danych osobowych i informacji niejawnych oraz analizy bezpieczeństwa i zagrożeń terrorystycznych.

Autor oraz prelegent dedykowanych szkoleń pracowniczych z zakresu bezpieczeństwa informacji.

Współautor opracowania: "RODO Nawigator", "DODO Nawigator" oraz książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Adw. Łukasz Pociecha
Adw. Łukasz Pociecha
Ekspert ds. ochrony danych.
Swoje doświadczenie zawodowe zdobywał współpracując z kancelariami specjalizującymi się w obsłudze przedsiębiorców, w tym klientów korporacyjnych. Audytor wiodący ISO/IEC 27001.

Do jego kompetencji należy kompleksowa obsługa klientów w zakresie ochrony danych osobowych i bezpieczeństwa informacji, w tym m.in.: sporządzenie opinii prawnych i umów, prowadzenie szkoleń oraz przeprowadzanie audytów. Posiada aktualny certyfikat metodyki zarządzania projektami PRINCE2.

Współautor książki: "Ustawa o ochronie danych osobowych przetwarzanych w związku z zapobieganiem i zwalczaniem przestępczości. Komentarz".

Barbara Matasek
Barbara Matasek
Ekspert ds. ochrony danych
Doktorant w Kolegium Prawa Akademii Leona Koźmińskiego w Warszawie. Odpowiada za przeprowadzanie audytów, przygotowanie dokumentacji w zakresie ochrony danych osobowych oraz doradztwo prawne.

Swoje zainteresowania skupia wokół prawa handlowego i prawa cywilnego, ze szczególnym uwzględnieniem zagadnień dotyczących ochrony danych osobowych. Doświadczenie zawodowe zdobywała pracując w kancelariach prawnych oraz jako asystent sędziego.

Współautorka poradnika: "Jak przygotować się do kontroli".