GoldenLine
Zaloguj się
Joanna M

Joanna M ABI

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Witam!
Mam pytanie odnośnie analizy zagrożeń i ryzyka. Czy taką analizę musi każdy zrobić i jak ją wykonać. Szczerze mówiąc nie za bardzo wiem jak się za to zabrać. może ktoś podpowie :)
Pozdrawiam
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Tyle, że są to dwie analizy ;-)

W UODO mowa jest o ochronie adekwatnej do zagrożeń, nie do ryzyka. O ryzyku niewiele, więc tym bym się nie przejmował. Tym bardziej, że w odniesieniu do UODO i działania ABI - bardzo okrojonych, główną rolą jest uzyskanie i utrzymanie zgodności, a nie "kombinowanie" z ryzykiem. Skutek materializacji ryzyka jest w kategoriach prawnych wskazany - przepisy karne UODO.

Katalog zagrożeń jest w art 36, który wskazuje podstawowe skutki materializacji zagrożeń (jeszcze nie ryzyka), na które trzeba zwrócić uwagę. Zawsze zalecam, czy na szkoleniach, czy przy wdrożeniach, żeby zaczynać łyżeczką nie chochlą, bo można przekombinować. Dlatego na pierwszy raz (analiza powinna być cykliczna, bo struktura potrafi się zmienić), proponuję pozostać przy podstawowym katalogu, zakreślonym w art 36 ust 1, czyli:
1. Udostępnienie osobie nieupoważnionej;
2. Zabranie przez osobę nieuprawnioną;
3. Przetwarzanie z naruszeniem ustawy;
4. Zmianą - w domyśle (niestety) nieuprawnioną;
5. Utratą
6. Uszkodzeniem;
7. Zniszczeniem (też zakładam nieuprawnionym);

Proponowałbym od razu oznaczyć sobie te zagrożenia, żeby potem przy obsłudze monitorować z którego zagrożenia powstał incydent. Pozwoli to na monitorowanie ryzyka (w dalszym rozwoju systemu). Plus pozwoli oceniać siłę. Bo ryzyko to nic innego jak kombinacja prawdopodobieństwa i skutku. Ale jak pisałem - nie od razu, ale pewne przygotowania już można.

A potem już z górki. Trzeba poszukać źródeł zagrożeń i samych zagrożeń. I tu są dwie szkoły - jedna mówi że zaczynamy od źródła zagrożenia, druga od skutku. Szczerze to nie ma znaczenia, bo wyjdzie na to samo, to tylko preferencje analityka. Jako, że tutaj mamy już skutek (te z katalogu art 36), to tylko rozwinąć. Np 6. uszkodzenie. W jaki sposób może nastąpić uszkodzenie danych?

Tu chwila zatrzymania. Wiele osób myli źródło zagrożenia z samym zagrożeniem. Komputer może zniszczyć woda a nie powódź, nieuwaga pracownika czy awaria instalacji wodnej w budynku, czy usterka samego budynku. Dlatego raczej szedłbym w kierunku wody, która zniszczy, poszukania źródeł wody dla miejsc w których przetwarzane są dane osobowe i z tego kształtowania zabezpieczeń. Np dla wody z powodzi - centra zapasowe w obszarach nieobjętych zagrożeniem (dane z ISOK.gov.pl), dla nieważnego pracownika - zakaz spożywania napojów czy posiłków przy komputerach (stosuje się wyznaczone miejsca przy biurkach, gdzie można postawić szklankę, ale jest po drugiej stronie niż stacja). Przy czym to już kolejny etap, ale warto pamiętać, aby wpisywać cele zabezpieczeń.

Wróćmy do zagrożeń. Jak już wiemy jaki katalog, jakie źródła to wchodzą nam prawdopodobieństwo tego zdarzenia. Tu najciężej, bo z reguły brak danych. Wtedy stosuję nieco inną strukturę, wyniki mam po prostu z burzy mózgów (z odpowiednim zapisem). I:
Poziom 4 Prawie pewne - może wydarzyć się w ciągu najbliższych 3 miesięcy
Poziom 3 Bardzo prawdopodobne - może się wydarzyć w ciągu 6 miesięcy
Poziom 2 Prawdopodobne - może wydarzyć się do roku
Poziom 1 Mało prawdopodobne - może się wydarzyć, ale nie w ciągu roku
Poziom 0 Nieprawdopodobne - to nieprawdopodobne ;-)

I zestawienie źródeł zagrożeń, które mogą spowodować skutek z art 36, z tym co wyżej daje mi już informacje, gdzie mam zagrożenia z którymi trzeba się ogarnąć. W teorii aby to przełożyć na ocenę ryzyka, trzeba by dodać skutek. Wielu specjalistów w zakresie ochrony danych osobowych po prostu skaluje skutek utraty danych (od 0 brak skutku, bo 5 - naruszenie przepisów), ale tylko do tego co w przepisach karnych. Niestety, to trochę nie tak dlatego w pierwszej fazie raczej bym nie szedł za daleko, potem oczywiście i jak najbardziej.

Patrząc przez profil - zakładam dane medyczne. Ryzyko zniszczenia danych osobowych wrażliwych, będących jednocześnie danymi medycznymi (inwentaryzacja zasobów informacyjnych się kłania), niesie wiele innych skutków poza odpowiedzialność karną za brak realizacji zapisów ustaw (UODO I tej drugiej). Ale to będzie tylko za czyn formalny, w sensie wystarczy tylko wypełnienie znamion czynu zabronionego. Natomiast ryzyko może eskalować sobie dalej i może dojść do zgonu pacjenta, wskutek braku dokumentacji medycznej (niewłaściwa pomoc, rozpoznanie, czy podanie leku na który jest uczulony). Pytanie - czy to ryzyko jest już wysokie do krytycznego? Moim zdaniem tak, bo odpalone zostaną skutki prawne (dyrektor ZOZ, osoba która dopuściła do zniszczenia - czy przez działanie, czy przez zaniechanie), skutki finansowe - odszkodowanie oraz wiele innych.

I tym tak w zarysie różni się analiza zagrożeń od analizy ryzyka. Zagrożenia - po prostu czy są i czy wystąpić może zakładany skutek w postaci naruszenia przepisów (i tyle wymaga ustawa), a ryzyko - to co dalej dla organizacji, w kategoriach najczęściej prawnych, organizacyjnych, finansowych, reputacyjnych (które też na finanse się przeniesie) i innych, charakterystycznych dla konkretnej branży.
Link do wypowiedziLink
Joanna M

Joanna M ABI

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Dziękuję za odpowiedź :)
Ta analiza zagrożeń to ma być osobny dokument, czy można ją np w Politykę bezpieczeństwa wrzucić? Prawdę mówiąc troszkę nie wiem jak się za to zabrać choć wiem że pomalutku ogarnę temat :)
Link do wypowiedziLink
Julia W.

Julia W. Bezpieczeństwo
informacji

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Analiza zagrożeń powinna być odrębnym dokumentem - z dwóch względów:
1. prawdopodobnie będzie podlegać zmianom częstszym niż polityka z uwagi na jej iteracyjny charakter;
2. zidentyfikowane zagrożenia oraz sposób podejścia - ocena, metody ich niwelacji oraz istota zagrożeń mogących występować w Pani Zakładzie, nie powinny być informacją powszechnie dostępną. Z uwagi np. na przepisy prawa oraz charakter zagrożeń - jeśli informacja o nich dostałaby się w niepowołane ręce, spowodowałoby to więcej szkody niż pożytku w Pani organizacji.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Joanna M.:
Dziękuję za odpowiedź :)
Ta analiza zagrożeń to ma być osobny dokument, czy można ją np w Politykę bezpieczeństwa wrzucić? Prawdę mówiąc troszkę nie wiem jak się za to zabrać choć wiem że pomalutku ogarnę temat :)

Tu będą dwa dokumenty:
Opis procesu analizy zagrożeń, czyli co z czego i do czego
Analiza - okresowo wykonywana

Po analizie (tej okresowej) warto zweryfikwoać aktualny system zabezpieczeń i potwierdzić gdzieś w przeglądzie, że aktualny ich stan odpowiada zagrożeniom lub zmienić zabezpieczenia (aktualizacja polityki i instrukcji)
Link do wypowiedziLink
Joanna M

Joanna M ABI

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Dziękuję za podpowiedzi, są pomocne i to bardzo :)
Jeszcze jedno pytanie: pani z jakieś firmy oferującej szkolenia proponowała napisanie takiej analizy i wspomniała coś o jakiś wzorach, wyliczeniach, i jak troszkę poszukałam to się natknęłam na coś takiego, ale czy akurat taka metoda jest wymagana czy mogłaby być na zasadzie "burzy mózgów", spostrzeżeń itp.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

;-)

Metod analizy jest bardzo dużo. Ale jesli nie macie zbyt dużo danych - to proponuję PHA (preliminary hazard analisys). Co prawda internet zawładnęła PHA dla BHP, ale to jest standardowa analiza dla zagrożeń, wykonywana tam, gdzie jeszcze nie za bardzo mamy dane wejściowe..

Mam wrażenie, że żadnej innej nie wykonacie na dziś.

Burza mózgów jak najbardziej we wstępnej analizie jest dopuszczalna, przy czym warto stosować zapis z burzy. Jako dobry poradnik:
http://www.mf.gov.pl/ministerstwo-finansow/dzialalnosc...

Niżej nieco podręcznik zarządzania ryzykiem i tam nieco o wykorzystaniu burzy .Przy czym przypomnę tylko - UODO mówi o analizie zagrożeń, więc przynajmniej na początku w ryzyko bym nie szedł. Bo się można nieco zapętlić.
Link do wypowiedziLink
Joanna M

Joanna M ABI

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Dziękuję Panie Grzegorzu za odpowiedź :)
Myślę, że już sobie teraz poradzę :) (mam przynajmniej taka nadzieję :) )
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Z "Panem" nie ma co przesadzać ;-)

Proszę uprzejmie i polecam się na przyszłość. Zawsze możemy tutaj jakiś prawie-warsztat zrobić.
Link do wypowiedziLink
Kamila D.

Kamila D. Specjalista, Urząd

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Bardzo by się TU przydały WARSZTATY :-)
Link do wypowiedziLink
Joanna M

Joanna M ABI

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Jestem za :) nadal walczę z tą analizą choć widzę już światełko w tunelu :)
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Wstępnie:
22-23 marca Warszawa
22 marca - szkolenie szacowania i analiza ryzyka (podbudowa teoretyczna)
23 marca - 9-12 Analizy otoczenia (kontekst zewnętrzny organizacji)
23 marca 14-17 Analiza zagrożeń i oceny ryzyka

Każde wydarzenie jest odrębnie. W sensie, że można uczestniczyć w jednym, w dwóch lub we wszystkich trzech.

Ale to jak wrócę z Londynu to dogram.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Więcej:
http://essa.academy/blog/index.php?entryid=2
A dziś wrzucę we właściwy wątek.
Link do wypowiedziLink
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Nie chcę zbytnio "zamieszać". Jednak w takiej sytuacji w jaki sposób interpretować obowiązki wynikające z Rozp. KRI? Szczególnie w połączeniu z wytycznymi GIODO dot. wdrażania i budowy PBI. Nie mówiąc o wynikach zeszłorocznych kontroli NIK.
Jest to dobry temat na dyskusję bo problemów interpretacyjnych mnóstwo.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Którą kontrolę NIK masz na myśli?
Link do wypowiedziLink
Jarosław M.

Jarosław M. CGAP, QMS, ISMS

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

NIK nr P/14/004. Publikowane w marcu 2015 roku.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

ja mam prośbę. Wrzucajmy wątki z wyjaśnieniem, a linki jako dodatek.

Sorry - ja bym chciał się włączyć, ale pracuję w UK i w PL w co najmniej 5 obszarach bezpieczeństwa. I sorry, ale NIKu akurat nie czytam, bo takie bzdury jakie w ich raportach wyczytałem to coś, co mnie odrzuca od całości. A poza tym mam SEVESO, COSHH i masę innych.

Wrzucajmy może cytat co nie pasi i czemu i wtedy go rozpatrujmy. Taka moja prośba, bo ja nie dam rady...
Link do wypowiedziLink
Mariusz Kędzior

Mariusz Kędzior nauczyciel, Szkoła
Srednia

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Podepnę się pod temat, czy ktoś z Państwa ma już może stworzoną tą analizę zagrożeń i ryzyka przy przetwarzaniu danych osobowych?
Jestem ABI w szkole i cały czas dzwonią firmy prywatne do szkoły z ofertą, że taki dokument stworzą za oczywiście odpowiednią opłatą, a szkoła, jak to szkoła nigdy nie ma pieniędzy, więc będę musiał taki dokument stworzyć.
Jeśli bym mógł prosić choć o jakiś wzór byłbym wdzięczny.
Co prawda podobną rzecz ująłem w Polityce bezpieczeństwa, ale podobno to nie to samo.
Dziękuję
Link do wypowiedziLink
Basia Basia

Basia Basia

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

jeżeli w urzędzie od kilku lat co roku opracowane są ryzyka w procesach, to czy do już obowiązujących ryzyk w procesach można dodać ryzyka - RODO. Czy ryzyka przy przetwarzaniu danych RODO muszą być odrębnym dokumentem
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: Analiza zagrożeń i ryzyka przy przetwarzaniu danych...

Basia B.:
jeżeli w urzędzie od kilku lat co roku opracowane są ryzyka w procesach, to czy do już obowiązujących ryzyk w procesach można dodać ryzyka - RODO. Czy ryzyka przy przetwarzaniu danych RODO muszą być odrębnym dokumentem
Jeśli w posiadanych ryzykach procesów uwzględniono te wynikające z rodo (np. art.4.12) to nie ma takiej potrzeby.
Rodo nie narzuca metody oceny ryzyka, a także by była to odrębna procedura. Jeśli Organizacja ma wdrożoną analizę ryzyka , to wręcz wskazanym jest by używając tej samej metody dokonać analizy pod kątem ochrony danych osobowych. Do rozwiązania pozostaje jeden punkt - kompetencje. W odniesieniu do danych osobowych tylko IOD ma możliwość monitorowania przestrzegania rodo (art.39.1.b) w Organizacji. Jeśli więc w dotychczasowych dokumentach osobą odpowiedzialną za monitorowanie była inna niż IOD osoba, to należałoby dodać zastrzeżenie, że w doniesieniu do danych osobowych wyłączną kompetencję posiada IOD. Takie rozwiązanie może nieć inne ryzyka, w zależności od tego jak rozbudowana jest dokumentacja i kto ma do niej dostęp.
Z praktycznego punktu widzenia, chyba lepiej stworzyć oddzielną.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

zgoda na przetwarzanie dany...




Wyślij zaproszenie do
Anuluj