Close Up of Abacus in Green Tone

Analiza ryzyka – kilka uwag wstępnych – cz.1

System zarządzania bezpieczeństwem informacji
Odpowiedni poziom ochrony danych osobowych można uzyskać poprzez wprowadzenie rozwiązania systemowego, jakim jest system zarządzania bezpieczeństwem informacji (SZBI). Wymagania dla tego systemu zostały określone w normie PN-ISO/IEC 27001. Należy przy tym zauważyć, że wskazana norma nie jest dokumentem obowiązkowym do stosowania w podmiotach, lecz korzystanie z niej ułatwia organizację bezpieczeństwa informacji w tym organizację ochrony danych osobowych. Przystępując do rozważań nt. analizy ryzyka, należy rozpocząć od określenia kilku podstawowych definicji.

Podstawowe definicje
Zgodnie z art. 6 ust. 1 Ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych, za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwą do zidentyfikowania osobą fizyczną jest osoba, której tożsamość można określić drogą bezpośrednią lub pośrednią wykorzystując do tego celu jeden lub kilka czynników specyficznych określających cechy fizyczne, fizjologiczne, społeczne, kulturowe lub ekonomiczne. W ostatnich latach, szczególnie uwzględniając szybki rozwój technologii, powyższy katalog został rozszerzony o takie informacje jak adres email, numer telefonu komórkowego, adres IP komputera czy Nick i login. Te dane są powszechnie uznane, jako dane zwykłe.

Istnieje druga grupa tzw. danych wrażliwych, nazywanych również danymi sensytywnymi, które ujawniają pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową. Są to również informacje określające nałogi, orientację seksualną, stan zdrowia, kod genetyczny oraz kwestie związane ze skazaniami, mandatami karnymi i orzeczeniami o ukaraniu.

Zbiorem danych w rozumieniu art. 7 pkt 1 Ustawy z dnia 29 sierpnia o ochronie danych osobowych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych wg. określonych kryteriów, niezależnie od tego, czy ten zestaw jest rozproszony lub podzielony funkcjonalnie.

Zarówno dane zwykłe jak i dane wrażliwe są informacjami, które muszą być odpowiednio sklasyfikowane pod kątem priorytetów, wrażliwości, wartości dla organizacji oraz poziomu ochrony.
Na podstawie powyższych definicji trzeba uznać, że dane osobowe cechuje różny stopień wrażliwości, co wymaga stosowania wielu poziomów ochrony w tym opierania się o wytyczne takich aktów jak m.in.: norma PN-ISO/IEC 27001. Podczas wdrażania systemu ochrony danych osobowych jednym z ważnych elementów jest identyfikowanie zbiorów danych osobowych a następnie szacowanie ryzyka.

Norma PN-ISO/IEC 27001 wprowadza ważną definicję aktywów, czyli wszystkiego, co ma wartość dla organizacji. Zbiory danych osobowych należy traktować właśnie, jako jedno z aktywów podstawowych (informacje) tuż obok procesów i działań biznesowych.
Istnieją aktywa wspierające tzn. takie, na których opierają się aktywa podstawowe, zaliczamy do nich sprzęt, oprogramowanie, personel, strukturę organizacyjną, siedzibę, wyposażenie oraz systemy i sieci.

Proces zarządzenia ryzykiem

Kolejnym ważnym działaniem jest proces zarządzania ryzykiem w organizacji. Najważniejsze etapy zarządzania ryzykiem to:
a. identyfikacja ryzyka,
b. oszacowanie wpływu na działalność,
c. oszacowanie słabych punktów i zagrożeń,
d. wdrożenie planu zarządzania ryzykiem,
e. pomiary zgodności,
f. pomiary wpływu na działalność,
g. przegląd i monitorowanie.
Bardzo często zarządzanie ryzykiem jest rozumiane jako całkowity proces identyfikacji, kontrolowania i postępowania z ryzykiem, który ma wpływ na bezpieczeństwo organizacji.

Metody szacowania ryzyka
Wśród dostępnych metod szacowania ryzyka, występują trzy grupy, które można podzielić na:
a. metody ilościowe,
b. metody jakościowe,
c. metody mieszane.

Najczęściej stosowane i znane metody to te, które wprost wynikają z norm np.: ISO/IEC TR 13335-3, metoda Cobra, Cramm, Mehari, Marion i Octave.

Kolejną część poświęcimy na charakterystykę metod szacowania ryzykiem oraz ich zestawienie pod kątem zalet i wad. Trzecia część będzie dotyczyła zasad postępowania z ryzykiem.

Masz pytania dotyczące tematu artykułu? Skontaktuj się z autorem.

PK NEW

Piotr Kawczyński

Wykonanie Agencja Interaktywna Czarny Kod www.czarnykod.pl

Copyright by Lubasz i Wspólnicy

Używamy cookies i podobnych technologii. Uzyskujemy do nich dostęp w celach statystycznych i zapewnienia prawidłowego działania strony. Możesz określić w przeglądarce warunki przechowywania cookies i dostępu do nich. Więcej