facebook

Procedura opisuje sposób przeprowadzenia analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych.

Przyjęto, że analiza ryzyka przeprowadzana jest dla zbioru lub grupy zbiorów (kategorii osób) lub dla procesów przetwarzania (np. dla zbioru pracowników, zbioru klientów, dla procesu wysyłania informacji handlowej z bazy marketingowej banku)

  1. Definicje

  1. Aktywa – środki materialne i niematerialne mające wpływ na przetwarzanie danych osobowych

  2. Naruszenie (Incydent) ochrony danych osobowych - to naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych

  3. Zagrożenie - potencjalne naruszenie (potencjalny incydent)

  4. Skutki - rezultaty niepożądanego incydentu (straty w wypadku wystąpienia zagrożenia)

  5. Ryzyko - prawdopodobieństwo, że określone zagrożenie wystąpi i spowoduje straty lub zniszczenie zasobów

  1. Wyznaczenie zagrożeń

  1. Administrator jest odpowiedzialny za określenie listy zagrożeń, które mogą wystąpić w przetwarzaniu danych w zbiorze, dla kategorii osób lub w procesie przetwarzania

  2. Zagrożenia powinny być identyfikowane w odniesieniu do uprzednio zidentyfikowanych aktywów

  1. Wyliczenie ryzyka dla zagrożeń

  1. Administrator określa Prawdopodobieństwo (P) wystąpienia poszczególnych zagrożeń w zbiorze lub w procesie przetwarzania

  2. Proponowaną skalę prawdopodobieństwa prezentuje Tabela A

  3. Administrator określa Skutki (S) wystąpienia incydentów (materializacji zagrożeń), uwzględniając straty finansowe, utratę reputacji, sankcje/skutki karne

  4. Proponowaną Skalę skutków prezentuje Tabela B

  5. Administrator wylicza Ryzyka (R) dla wszystkich zagrożeń i ich skutków w/g formuły: R = P * S

Tabela A PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻENIA

SKALA (WAGA)

zagrożenie niskie

1

zagrożenie średnie

2

zagrożenie wysokie

3

 

Tabela B SKUTKI WYSTĄPIENIA ZAGROŻENIA

SKALA (WAGA)

małe (do 10000 PLN, incydent prasowy lokalny)

1

średnie (10000-100000 PLN, incydent prasowy ogólnopolski)

2

duże (od 100000 PLN, naruszenie prawa)

3

  1. Porównanie wyliczonych ryzyk ze skalą i określenie dalszego postępowania z ryzykiem

  1. Administrator porównuje wyliczone ryzyka ze skalą i podejmuje decyzje dotyczące  dalszego postępowania z ryzykiem

  2. Proponowaną skalę Ryzyka prezentuje Tabela C

 

Tabela C POZIOM RYZYKA

WARTOŚĆ [R = P*S]

ryzyko pomijalne i akceptowalne (akceptujemy)

1-2

ryzyko jest opcjonalne (akceptujemy albo obniżamy)

3-6

ryzyko jest nieakceptowalne (musimy obniżyć)

9

 

  1. Reakcja na wartość ryzyka

  1. Akceptacja ryzyka – zabezpieczenia są właściwe – brak potrzeby stosowania dodatkowych zabezpieczeń

  2. Działania obniżające ryzyko, które może zastosować Administrator:

    1. Przeniesienie –przerzucenie ryzyka (outsourcing, ubezpieczenie)

    2. Unikanie – eliminacja działań powodujących ryzyko (np. zakaz wynoszenia komputerów przenośnych poza obszar organizacji)

    3. Redukcja – zastosowanie zabezpieczeń w celu obniżenia ryzyka (np. zaszyfrowanie pendrivów z danymi wynoszonych poza firmę)

  3. Wykaz przykładowych zabezpieczeń do  znajduje się w załączniku Lista potencjalnych zabezpieczeń

  4. Analizę ryzyka przeprowadza się w specjalnym szablonie (programie) Arkusz analizy ryzyka RODO

  1. Ponowna analiza ryzyka

Ponowna analiza ryzyka przeprowadzana jest cyklicznie lub po znaczących zmianach w przetwarzaniu danych (np. przetwarzanie nowych zbiorów, nowych procesów przetwarzania, zmiany prawne)