Czym jest analiza ryzyka?
- Analiza ryzyka to skrócone pojęcie, pod którym rozumiemy analizę możliwości wystąpienia naruszenia ochrony danych osobowych na konkretnym zasobie przetwarzającym dane (np. laptopie, drukarce, serwerze, w pokoju archiwum). Podczas analizy bierzemy pod uwagę także aktualny poziom zabezpieczeń.
- Naruszenia ochrony danych osobowych to przykładowo:
- przetwarzanie nieprawidłowych lub niepełnych danych,
- nieuprawniony dostęp do danych osobowych,
- nieuprawnione ujawnienie lub udostępnienie danych osobowych,
- przypadkowe lub nieuprawnione zniszczenie, utrata lub uszkodzenie danych osobowych,
- nieuprawniona modyfikacja danych osobowych.
W jakim zakresie dokonywać analizy ryzyka?
- Analizy ryzyka dokonujemy całościowo dla wszystkich typów zasobów przetwarzających dane osobowe. W innym przypadku nie będziemy w stanie stwierdzić, że nasza organizacja wykryła wszystkie najważniejsze luki w zabezpieczeniach informacji. Przykładowo, jeśli nie przeanalizujemy ryzyka dla gniazd LAN, to przy wdrożeniu RODO możemy pominąć zagrożenie podłączeniem się do sieci firmowej przez gości oczekujących w obszarze, gdzie takie gniazda są dostępne.
-
Aby przygotować się do analizy ryzyka, proszę sporządzić listę typów zasobów przetwarzających dane osobowe (np. serwerów, laptopów, niszczarek, dokumentów w wersji papierowej). W dużej organizacji jest ich zwykle tak wiele, że warto sklasyfikować je w ramach grup zasobów:
Kiedy ostatnio
robiłeś analizę ryzyka?Ryzyko i DPIA są podstawowymi elementami budowy systemu ochrony danych.ZAMÓW OFERTĘ- infrastruktura sieciowa (WAN i LAN),
- infrastruktura serwerowni,
- sprzęt biurowy (osobisty),
- sprzęt biurowy (ogólnodostępny),
- systemy operacyjne i aplikacje,
- strony internetowe przetwarzające dane osobowe,
- formaty plików (dane nieustrukturyzowane),
- personel własny,
- personel zewnętrzny i goście,
- główne lokalizacje i obszary krytyczne,
- umowy krytyczne
- dokumenty w formie papierowej.
Jak dokonać analizy ryzyka?
Kroki analizy ryzyka:
| Ocena wartości zasobu w zależności od tego, jakie dane przetwarza. | Przykładowa skala: 1 - Zasób jest wykorzystywany do przetwarzania danych w procesie o małym lub znikomym znaczeniu dla realizacji celów biznesowych. 2 - Zasób jest wykorzystywany do przetwarzania danych w procesie o kluczowym lub średnim znaczeniu dla realizacji celów biznesowych. |
| Identyfikacja poziomu zabezpieczeń technicznych i organizacyjnych. | Przykładowa skala – zabezpieczenia techniczne: 3 - Do zabezpieczenia wykorzystywane są nowoczesne rozwiązania, posiadające certyfikację bezpieczeństwa. 2 - Zasób został zasób został objęty ochroną z zastosowaniem rozwiązań technologicznych lub technicznych. 1- Zasób nie posiada zabezpieczeń technologicznych lub technicznych. Przykładowa skala – zabezpieczenia organizacyjne: 3 - Zabezpieczenia organizacyjne są wdrożone i podlegają okresowym, niezależnym przeglądom. 2 - Zasób został objęty ochroną organizacyjną, prawną, finansową lub ubezpieczeniową. 1 - Zasób nie został objęty ochroną organizacyjną, prawną, finansową lub ubezpieczeniową. |
| Identyfikacja zagrożeń dla bezpieczeństwa danych osobowych. Do każdego z następujących zagrożeń przypisujemy wartość punktową reprezentującą możliwość jego wystąpienia:
|
Przykładowa skala: 1 - Wystąpienie zdarzenia jest mało realne lub zdarzenie miało miejsce miało miejsce w przeszłości, ale nie wystąpiło w ciągu ostatnich trzech lat. 2 - Wystąpienie zdarzenia jest realne lub zdarzenie wystąpiło w ciągu ostatnich trzech lat. 3 - Wystąpienie zdarzenia jest wysoce realne lub zdarzenie wystąpiło w ciągu ostatniego roku. 4 - Wystąpienie zdarzenia jest nieuchronne lub zdarzenie wystąpiło w ciągu ostatniego miesiąca. Nie dotyczy lub brak zagrożenia - Zagrożenie nie może wystąpić dla danego zasobu (np. zniszczenia fizyczne nie dotyczą oprogramowania). |
| Ocena efektywności zabezpieczeń technicznych i organizacyjnych. | Przykładowa skala (oddzielnie oceniamy efektywność zabezpieczeń technicznych, oddzielnie zabezpieczeń organizacyjnych: 3 - Zabezpieczenia są testowane, zostały ocenione jako skuteczne i nie wykryto nieprawidłowości. 2 - Zabezpieczenia nie są testowane, ale zostały ocenione jako skuteczne. 1 - Zabezpieczenia nie są testowane i nie są skuteczne lub są testowane i nie są skuteczne. |
| Opis, z czego wynika możliwość wystąpienia zagrożenia (podatności). | Należy opisać słabości zasobu, które mogą być wykorzystane przez zidentyfikowane zagrożenia. Należy m.in. określić, jakiego zagrożenia dotyczy podatność oraz odpowiedzieć, czy w przeszłości doszło już do incydentu. (źródło: ISO 27000). |
| Identyfikacja możliwych finansowych i wizerunkowych skutków naruszeń. | Przykładowa skala (skutki finansowe): 5 - katastrofa finansowa, 4 - znaczny wpływ na finanse, 3 - umiarkowany wpływ na finanse, 2 - nieznaczny wpływ na finanse, 1 - brak wpływu. Przykładowa skala (skutki wizerunkowe): 5 - długoterminowe negatywne informacje w branży, 4 - krótkoterminowe negatywne informacje w branży, 3 - zwiększona liczba skarg, wniosków, listów, telefonów do organizacji, 2 - negatywne informacje wewnątrz powodujące niestabilność, 1 - brak negatywnych skutków wizerunkowych zarówno ogólnopolskich jak i wewnątrz organizacji. |
| Obliczenie poziomu ryzyka. | Poziom ryzyka to wielkość ryzyka wyrażona w kategoriach kombinacji następstw oraz ich prawdopodobieństw (ISO 27000, pkt 2.44). Wylicza się z następującego wzoru: Wr = [WA x P x (Of + Or) ] / [(ZBT + ZBO) x (EfZBT + EfZBO)] Gdzie: Wr - Wartość ryzyka; WA – Wartość zasobu (aktywu); P – Łączne prawdopodobieństwo wystąpienia zagrożeń; Of – Oddziaływanie na finanse; Or – Oddziaływanie na reputację; ZBT – Istniejące zabezpieczenie techniczne; ZBO – Istniejące zabezpieczenie organizacyjne; EfZBT – Efektywność istniejącego zabezpieczenia technicznego; EfZBA – Efektywność istniejącego zabezpieczenia organizacyjnego. |
| Ocenia, czy ryzyko jest akceptowalne, czy też należy z nim postępować. Gdy obliczymy już poziomy ryzyka dla wszystkich zasobów, należy uporządkować wyniki od największego do najmniejszego. W ten sposób będzie jasne, które zasoby powodują najwyższe zagrożenie. Sugerujemy, aby wydać rekomendacje i zaplanować działania minimalizujące ryzyko w pierwszej kolejności dla zasobów, które przekraczają próg akceptowalności. |
Próg akceptowalności wyznaczamy w oparciu o zasadę Pareta, zgodnie z którą 20% ryzyk o największej wartości punktowej jest przyczyną 80% pojawiających się zagrożeń i problemów w organizacji. Matematyczny wzór, na podstawie którego oblicza się wartość akceptowalności ryzyka, to: RAKC = (RMAX – RMIN) x 0,8 + RMIN. Legenda:
|
Analiza ryzyka - udostępniamy formularz
Korzystając z udostępnionego pliku, krok po kroku dokonasz analizy ryzyka: zidentyfikujesz zabezpieczenia, wskażesz podatności, a także zagrożenia i ich możliwe następstwa. Na tej podstawie, obliczysz poziom ryzyka i odpowiesz, czy ryzyko przekracza próg akceptowalności.
Pobierz
Analizy ryzyka dokonuje każdy administrator lub podmiot przetwarzający, ponieważ jest to najbardziej efektywny sposób na realizację wymogów art. 32 RODO. Dzięki wykryciu luk w zabezpieczeniach zasobów, będziesz mógł lepiej zabezpieczyć nie tylko dane osobowe, ale także całą swoją organizację. Kompletne informacje na temat analizy ryzyka znajdziesz w podręcznikach organu nadzorczego „Podejście oparte na ryzyku”: cz. 1 i cz. 2.
Jeśli ten temat Cię zaciekawił, koniecznie skontaktuj się z Cezarym Lutyńskim. Nie tylko omówi z Tobą analizę ryzyka w Twojej firmie, ale także wskaże konkretne rozwiązania.