Istnieją dwie podstawowe grupy metod przeprowadzania analizy ryzyka – ilościowe (kwantyfikatywne) i jakościowe (kwalifikatywne). Podstawą metod ilościowych są matematyczne obliczenia, w których kluczowymi elementami jest wpływ zagrożenia na bezpieczeństwo danych oraz prawdopodobieństwa takiego zdarzenia.
Chcesz dobrze chronić dane osobowe? Przeprowadź analizę ryzyka
Kategoria: Ochrona danych osobowych
Data: 24-01-2017 r.
Analiza ryzyka to jedna z najważniejszych kwestii dla odpowiedniej ochrony danych osobowych w każdej organizacji. Podczas niej należy ustalić ryzyka i odpowiedzieć na pytania, do jakich naruszeń może dojść, jakie będą miały one skutki i jak można je ograniczyć.
Aby przeprowadzić analizę metodą ilościową, musimy mieć dane liczbowe opisujące powyższe elementy. Najczęściej stosowane wartości w kwantyfikatywnych metodach analizy ryzyka to:
- wartość monetarna,
- wartość procentowa,
- liczba wystąpień i
- prawdopodobieństwo wystąpienia danego zdarzenia.
Drugim sposobem przeprowadzenia analizy ryzyka są metody kwalifikatywne. Są dużo bardziej subiektywne, gdyż ich podstawą jest wiedza i doświadczenie osoby, która przeprowadza tego typu analizę ryzyka. W metodach jakościowych stosuje się wyniki opisowe, które mogą posiadać liczbowe odpowiedniki (1 – ryzyko bardzo małe, 5 – ryzyko krytyczne itd.). Konieczne jest wiec przeprowadzenie audytu, w trakcie którego ustala się procesy przetwarzania danych, a następnie weryfikuje się ich podatności na możliwość wystąpienia naruszenia.
W imieniu administratora danych lub procesora analizę ryzyka może przeprowadzić wyznaczona osoba, np. administrator bezpieczeństwa informacji czy firma zewnętrzna.
Analiza ryzyka – od czego zacząć
Prowadząc analizę ryzyka, należy zacząć od ustalenia, jakie rodzaju dane osobowe przetwarzamy. Pierwszą kwestią, jaka przychodzi do głowy, jest weryfikacja przetwarzanych danych pod kątem tego, czy stanowią dane wrażliwe, czy też należą do tzw. danych zwykłych.
Generalnie ustawa o mówi o zakazie przetwarzania danych wrażliwych, co powinno być dla nas wskazówką. Prowadząc analizę, powinniśmy zweryfikować przede wszystkim, czy posiadamy podstawę przetwarzania danych wrażliwych i czy nie zbieramy ich na zapas.
Należy przy tym pamiętać, że ustawa nie narzuca wyższych standardów zabezpieczenia danych wrażliwych. Pewien wyjątek dotyczy przetwarzania danych wrażliwych w systemach informatycznych, o ile stacja robocza, na której przetwarzane są dane osobowe, nie jest połączona z siecią publiczną (stosujemy wtedy podwyższony poziom bezpieczeństwa).
Z punktu widzenia ustawy wszystkie dane są tak samo ważne. Nie ma więc znaczenia, czy udostępniliśmy osobom nieupoważnionym imię, nazwisko, numer telefonu, PESEL, adres zamieszkania, informacje o chorobie czy też udostępniony został wyłącznie adres e-mail.
Jest to takie samo naruszenie, które może skutkować odpowiedzialnością karną. Zasób, który jest jednym z elementów analizy ryzyka, jest więc zawsze tak samo istotny. Oczywiście mówimy tutaj wyłącznie o ustawie. Udostępnienie szerszego zakresu danych może być bardziej dotkliwe dla organizacji chociażby z punktu widzenia wizerunkowego czy też ewentualnych pozwów cywilnych.
Na analizę ryzyka ma również wpływ sposób przetwarzania danych. Na inne ryzyka są narażone dane osobowe przetwarzane w systemach informatycznych, a na inne dane przetwarzane w formie papierowej. Obecnie coraz więcej danych jest przetwarzanych w systemach informatycznych i to te dane są narażone na zdecydowanie większą ilość ryzyk. Z drugiej zaś strony istnieje większa świadomość w zakresie zabezpieczenia danych przetwarzanych w formie elektronicznej, a do danych przetwarzanych w formie papierowej przykłada się mniejszą wagę.
Zobacz także:
Tagi: firma, ochrona danych osobowych
Zaloguj się, aby dodać komentarz
Nie masz konta? Zarejestruj się »
