Zapraszamy do strefy RODO - prezentujemy najważniejsze zmiany i nowości Więcej

Analiza ryzyka
dla zasobów przetwarzających dane osobowe

Analiza ryzyka dla zasobów

Większość osób kojarzy RODO z prawem, klauzulami zgód i obowiązkiem informacyjnym. Jednak nawet najlepiej wdrożony system ochrony danych od strony prawnej nie chroni w pełni przed incydentami. Artykuł 32 RODO wymaga, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych.

Dzięki analizie ryzyka wiemy na przykład, żeby nie zapisywać danych osobowych lokalnie na laptopach, ponieważ w razie kradzieży sprzętu, utracimy je i musimy zgłosić taki incydent Prezesowi UODO. Poniżej odpowiadamy, czym jest analiza ryzyka, kiedy i jak jej dokonywać, a na końcu udostępniamy formularz.

Analiza ryzyka - udostępniamy formularz
Korzystając z udostępnionego pliku, krok po kroku dokonasz analizy ryzyka: zidentyfikujesz zabezpieczenia, wskażesz podatności, a także zagrożenia i ich możliwe następstwa. Na tej podstawie, obliczysz poziom ryzyka i odpowiesz, czy ryzyko przekracza próg akceptowalności.
Pobierz

Czym jest analiza ryzyka?

  • Analiza ryzyka to skrócone pojęcie, pod którym rozumiemy analizę możliwości wystąpienia naruszenia ochrony danych osobowych na konkretnym zasobie przetwarzającym dane (np. laptopie, drukarce, serwerze, w pokoju archiwum). Podczas analizy bierzemy pod uwagę także aktualny poziom zabezpieczeń.
  • Naruszenia ochrony danych osobowych to przykładowo:
    • przetwarzanie nieprawidłowych lub niepełnych danych,
    • nieuprawniony dostęp do danych osobowych,
    • nieuprawnione ujawnienie lub udostępnienie danych osobowych,
    • przypadkowe lub nieuprawnione zniszczenie, utrata lub uszkodzenie danych osobowych,
    • nieuprawniona modyfikacja danych osobowych.

W jakim zakresie dokonywać analizy ryzyka?

  • Analizy ryzyka dokonujemy całościowo dla wszystkich typów zasobów przetwarzających dane osobowe. W innym przypadku nie będziemy w stanie stwierdzić, że nasza organizacja wykryła wszystkie najważniejsze luki w zabezpieczeniach informacji. Przykładowo, jeśli nie przeanalizujemy ryzyka dla gniazd LAN, to przy wdrożeniu RODO możemy pominąć zagrożenie podłączeniem się do sieci firmowej przez gości oczekujących w obszarze, gdzie takie gniazda są dostępne.
  • Aby przygotować się do analizy ryzyka, proszę sporządzić listę typów zasobów przetwarzających dane osobowe (np. serwerów, laptopów, niszczarek, dokumentów w wersji papierowej). W dużej organizacji jest ich zwykle tak wiele, że warto sklasyfikować je w ramach grup zasobów:
    • infrastruktura sieciowa (WAN i LAN),
    • infrastruktura serwerowni,
    • sprzęt biurowy (osobisty),
    • sprzęt biurowy (ogólnodostępny),
    • systemy operacyjne i aplikacje,
    • strony internetowe przetwarzające dane osobowe,
    • formaty plików (dane nieustrukturyzowane),
    • personel własny,
    • personel zewnętrzny i goście,
    • główne lokalizacje i obszary krytyczne,
    • umowy krytyczne
    • dokumenty w formie papierowej.

Przejęcie funkcji IOD

Jak dokonać analizy ryzyka?

Kroki analizy ryzyka:

Ocena wartości zasobu w zależności od tego, jakie dane przetwarza. Przykładowa skala:
1 - Zasób jest wykorzystywany do przetwarzania danych w procesie o małym lub znikomym znaczeniu dla realizacji celów biznesowych.
2 - Zasób jest wykorzystywany do przetwarzania danych w procesie o kluczowym lub średnim znaczeniu dla realizacji celów biznesowych.
Identyfikacja poziomu zabezpieczeń technicznych i organizacyjnych. Przykładowa skala – zabezpieczenia techniczne:
3 - Do zabezpieczenia wykorzystywane są nowoczesne rozwiązania, posiadające certyfikację bezpieczeństwa.
2 - Zasób został zasób został objęty ochroną z zastosowaniem rozwiązań technologicznych lub technicznych.
1- Zasób nie posiada zabezpieczeń technologicznych lub technicznych. Przykładowa skala – zabezpieczenia organizacyjne:
3 - Zabezpieczenia organizacyjne są wdrożone i podlegają okresowym, niezależnym przeglądom.
2 - Zasób został objęty ochroną organizacyjną, prawną, finansową lub ubezpieczeniową.
1 - Zasób nie został objęty ochroną organizacyjną, prawną, finansową lub ubezpieczeniową.
Identyfikacja zagrożeń dla bezpieczeństwa danych osobowych.

Do każdego z następujących zagrożeń przypisujemy wartość punktową reprezentującą możliwość jego wystąpienia:
  • zniszczenia fizyczne,
  • utrata usług i awarie techniczne,
  • naruszenie bezpieczeństwa informacji,
  • nieautoryzowane działania,
  • naruszenie bezpieczeństwa funkcji.
Na koniec sumujemy wszystkie przyjęte wartości jako łączne prawdopodobieństwo wystąpienia zagrożeń.
Przykładowa skala:
1 - Wystąpienie zdarzenia jest mało realne lub zdarzenie miało miejsce miało miejsce w przeszłości, ale nie wystąpiło w ciągu ostatnich trzech lat.
2 - Wystąpienie zdarzenia jest realne lub zdarzenie wystąpiło w ciągu ostatnich trzech lat.
3 - Wystąpienie zdarzenia jest wysoce realne lub zdarzenie wystąpiło w ciągu ostatniego roku.
4 - Wystąpienie zdarzenia jest nieuchronne lub zdarzenie wystąpiło w ciągu ostatniego miesiąca.
Nie dotyczy lub brak zagrożenia - Zagrożenie nie może wystąpić dla danego zasobu (np. zniszczenia fizyczne nie dotyczą oprogramowania).
Ocena efektywności zabezpieczeń technicznych i organizacyjnych. Przykładowa skala (oddzielnie oceniamy efektywność zabezpieczeń technicznych, oddzielnie zabezpieczeń organizacyjnych:
3 - Zabezpieczenia są testowane, zostały ocenione jako skuteczne i nie wykryto nieprawidłowości.
2 - Zabezpieczenia nie są testowane, ale zostały ocenione jako skuteczne.
1 - Zabezpieczenia nie są testowane i nie są skuteczne lub są testowane i nie są skuteczne.
Opis, z czego wynika możliwość wystąpienia zagrożenia (podatności). Należy opisać słabości zasobu, które mogą być wykorzystane przez zidentyfikowane zagrożenia. Należy m.in. określić, jakiego zagrożenia dotyczy podatność oraz odpowiedzieć, czy w przeszłości doszło już do incydentu. (źródło: ISO 27000).
Identyfikacja możliwych finansowych i wizerunkowych skutków naruszeń. Przykładowa skala (skutki finansowe):
5 - katastrofa finansowa,
4 - znaczny wpływ na finanse,
3 - umiarkowany wpływ na finanse,
2 - nieznaczny wpływ na finanse,
1 - brak wpływu.

Przykładowa skala (skutki wizerunkowe):
5 - długoterminowe negatywne informacje w branży,
4 - krótkoterminowe negatywne informacje w branży,
3 - zwiększona liczba skarg, wniosków, listów, telefonów do organizacji,
2 - negatywne informacje wewnątrz powodujące niestabilność,
1 - brak negatywnych skutków wizerunkowych zarówno ogólnopolskich jak i wewnątrz organizacji.

Obliczenie poziomu ryzyka. Poziom ryzyka to wielkość ryzyka wyrażona w kategoriach kombinacji następstw oraz ich prawdopodobieństw (ISO 27000, pkt 2.44). Wylicza się z następującego wzoru:

Wr = [WA x P x (Of + Or) ] / [(ZBT + ZBO) x (EfZBT + EfZBO)]

Gdzie:

Wr - Wartość ryzyka;
WA – Wartość zasobu (aktywu);
P – Łączne prawdopodobieństwo wystąpienia zagrożeń;
Of – Oddziaływanie na finanse;
Or – Oddziaływanie na reputację;
ZBT – Istniejące zabezpieczenie techniczne;
ZBO – Istniejące zabezpieczenie organizacyjne;
EfZBT – Efektywność istniejącego zabezpieczenia technicznego;
EfZBA – Efektywność istniejącego zabezpieczenia organizacyjnego.
Ocenia, czy ryzyko jest akceptowalne, czy też należy z nim postępować.

Gdy obliczymy już poziomy ryzyka dla wszystkich zasobów, należy uporządkować wyniki od największego do najmniejszego. W ten sposób będzie jasne, które zasoby powodują najwyższe zagrożenie.

Sugerujemy, aby wydać rekomendacje i zaplanować działania minimalizujące ryzyko w pierwszej kolejności dla zasobów, które przekraczają próg akceptowalności.
Próg akceptowalności wyznaczamy w oparciu o zasadę Pareta, zgodnie z którą 20% ryzyk o największej wartości punktowej jest przyczyną 80% pojawiających się zagrożeń i problemów w organizacji. Matematyczny wzór, na podstawie którego oblicza się wartość akceptowalności ryzyka, to:

RAKC = (RMAX – RMIN) x 0,8 + RMIN.
Legenda:
  • RAKC – wartość progu akceptowalności ryzyka.
  • RMAX – ryzyko o drugiej największej wartości (po odrzuceniu wartości skrajnej).
  • RMIN - ryzyko o drugiej najmniejszej wartości (po odrzuceniu wartości skrajnej).

Formularz analizy ryzyka
Korzystając z udostępnionego pliku, krok po kroku dokonasz analizy ryzyka: zidentyfikujesz zabezpieczenia, wskażesz podatności, a także zagrożenia i ich możliwe następstwa. Na tej podstawie, obliczysz poziom ryzyka i odpowiesz, czy ryzyko przekracza próg akceptowalności.
Pobierz

Analizy ryzyka dokonuje każdy administrator lub podmiot przetwarzający, ponieważ jest to najbardziej efektywny sposób na realizację wymogów art. 32 RODO. Dzięki wykryciu luk w zabezpieczeniach zasobów, będziesz mógł lepiej zabezpieczyć nie tylko dane osobowe, ale także całą swoją organizację. Kompletne informacje na temat analizy ryzyka znajdziesz w podręcznikach organu nadzorczego „Podejście oparte na ryzyku”: cz. 1 i cz. 2.

 

Sprawdź również:

Konsekwencje nieprzestrzegania procedur ochrony danych osobowych

Identyfikatory a RODO - jakie dane mogą zawierać?

Strefa RODO - najważniejsze informacje


Dr Paweł Mielniczek
16 października 2018
Biuletyn
informacyjny
Biuletyn ODO 24

Raz w miesiącu wysyłamy subiektywny przegląd najważniejszych informacji i wydarzeń oraz naszych promocji i nowości. Wystarczy poniżej podać swój adres e-mail.

Zobacz poprzednie wydanie.