W jaki sposób należy szacować ryzyko zgodnie z RODO

Autor: Marcin Sierpień

Dodano: 20 kwietnia 2018
W jaki sposób należy szacować ryzyko zgodnie z RODO
Pytanie:  Pracuję w urzędzie gminy, przełożony zlecił mi wykonanie oceny ryzyka dla ochrony danych osobowych pod kątem ogólnego rozporządzenia o ochronie danych (RODO). Jak taka ocena powinna wyglądać w praktyce? Jak krok po kroku powinienem przeprowadzić taką analizę, żeby było to zgodne z RODO?
Odpowiedź: 

Wybór metody procesu zarządzania ryzykiem powinien odpowiadać specyfice danego podmiotu, uwzględniać zakres i cele przetwarzania oraz rodzaj danych, uwzględniać wielkość, strukturę oraz możliwości organizacyjne, techniczne i finansowe danej jednostki. Ponadto zastosowana metodyka powinna dawać rzetelną i obiektywną ocenę ryzyka.

Przepisy ogólnego rozporządzenia o ochronie danych (RODO) nie narzucają określonej metodyki przeprowadzania procesu zarządzania ryzykiem. Jest jednak kilka metod, z których można czerpać inspiracje i dobre przykłady do tworzenia własnych rozwiązań. Przykłady tych metod można znaleźć m.in. w:

  • normach ISO/IEC6,
  • dokumencie PIA Methodology CNIL June 20157,
  • dokumentach ISACA8.

Szacowanie ryzyka można przeprowadzić w następujący sposób:

Etap 1. Ustalenie kontekstu w związku z działalnością organizacji

Krok 1.1. Określenie informacji i uwarunkowań związanych z działaniem organizacji.

Określenie czynników zewnętrznych i wewnętrznych związanych z działalnością organizacji, np. informacji dotyczących:

  • środowiska prawnego,
  • środowiska społecznego,
  • środowiska politycznego,
  • zasięgu terytorialnego działalności organizacji.

Krok 1.2. Szczegółowy opis przetwarzanych danych i ich klasyfikacja.

Identyfikacja i kwalifikacja wszystkich aktywów organizacji, które wiążą się z przetwarzaniem danych osobowych. Do aktywów można np. zaliczyć:

  • posiadaną wiedzę,
  • personel,
  • oprogramowanie,
  • inne środki techniczne i organizacyjne związane z przetwarzaniem danych.

Na tym etapie trzeba ustalić:

  • kto i za co ponosi odpowiedzialność w danej organizacji,
  • kryteria oraz skalę, które będą wykorzystywane do określania wartości wszystkich zidentyfikowanych aktywów (np. koszty utraty danych, koszty związane z nałożonymi karami).

Krok 1.3. Szczegółowy opis stosowanych zabezpieczeń i innych ograniczeń.

Należy zebrać informacje na temat istniejących zabezpieczeń. W celu określania istniejących zabezpieczeń można wykorzystać:

  • regulacje już funkcjonujące w organizacji (np. polityki, regulaminy i instrukcje),
  • dokumentację wdrożonych rozwiązań technicznych i fizycznych.

Krok 1.4. Określenie kryteriów akceptacji ryzyka.

Kryteria akceptacji ryzyka definiuje się zwykle przez wartość progową, np. przy przedziałach ryzyka w zakresie 0–2, 3–5 oraz 6–8 jako akceptowalną wartość ryzyka można przyjąć np. wartość mniejszą od 2.

Etap 2. Mechanizmy kontrolne

Krok 2.1. Identyfikacja wymagań wobec procesów przetwarzania danych w kontekście konkretnych celów działalności administratora.

Dla każdego procesu przetwarzania danych należy sprawdzić, czy dane osobowe są przetwarzane zgodnie z ogólnym rozporządzeniem o ochronie danych.

Krok 2.2. Wymagania dotyczące zastosowania środków kontroli i bezpieczeństwa oraz stopień ich wypełnienia.

Na tym etapie należy opisać wymagania w zakresie kontroli przetwarzania danych oraz wymagania w zakresie zapewnienia im bezpieczeństwa wynikające z przepisów ogólnego rozporządzenia o ochronie danych, norm w zakresie bezpieczeństwa, a także przepisów sektorowych związanych z branżą, w której działalność prowadzi administrator danych lub podmiot przetwarzający. Wymagania te powinny być skonfrontowane z działaniami i faktami potwierdzającymi ich spełnienie w odniesieniu do ocenianych czynności.

Etap 3. Szacowanie ryzyka

Krok 3.1. Identyfikacja zagrożeń.

Zagrożenie może być uszczegółowione przez podanie pochodzenia (np. zagrożenie mechaniczne, zagrożenie elektryczne) albo charakteru potencjalnej szkody (np. ujawnienie poufnych danych). W analizie zagrożeń wykorzystuje się różne klasyfikacje, np. zagrożenia można podzielić ze względu na lokalizację źródła zagrożenia oraz ze względu na jego przyczynę. W powyższej klasyfikacji wyróżnia się zagrożenia wewnętrzne (np. działania pracownika, awaria systemu spowodowana brakiem zasilania) i zewnętrzne (np. atak DDoS). W przypadku drugiej klasyfikacji zagrożenia mogą być następstwem działań człowieka (przypadkowe lub umyślne) lub wynikać z przyczyn naturalnych (środowiskowych).

Krok 3.2. Identyfikacja występujących podatności.

Można wyróżnić wiele podatności związanych ze sprzętem, oprogramowaniem, siecią, personelem, siedzibą i organizacją, np.:

  • oprogramowanie: brak mechanizmów uwierzytelniania, brak aktualnych poprawek bezpieczeństwa,
  • sieć: brak szyfrowania transmisji, brak redundancji sprzętu.

W przypadku aktywu, jakim jest zbiór danych osobowych, podatnością może być sam fakt wykorzystania tych danych w innym celu niż zamierzony.

Krok 3.3. Analiza i ocena następstw zmaterializowania się zagrożeń.

Podczas identyfikacji następstw przygotowuje się listy scenariuszy incydentów (niepożądanych lub niespodziewanych zdarzeń). Scenariusz powinien opisywać sposób, w jaki dane zagrożenie może wykorzystać określoną podatność oraz przedstawiać jego skutki.

Krok 3.4. Szacowanie poziomu ryzyka.

W ramach szacowania ryzyka urzeczywistnienia się zidentyfikowanych zagrożeń w każdym scenariuszu jest wykonywana ocena prawdopodobieństwa jego zajścia oraz szacowanie skutków jego zmaterializowania się.

Krok 3.5. Określenie listy zidentyfikowanych ryzyk.

Etap 4. Postępowanie z ryzykiem – decyzja

Wdrożenie postępowań szczegółowych.

Przykłady postępowań według normy ISO/IEC 27005:

  • modyfikowanie (redukcja) ryzyka – polega na obniżeniu poziomu ryzyka (np. poprzez zmianę prawdopodobieństwa wystąpienia określonego zdarzenia lub zmniejszenie skutków jego wystąpienia),
  • zachowanie (akceptacja) ryzyka – świadoma i obiektywna decyzja o niewprowadzaniu żadnych zmian w działaniu organizacji (zabezpieczeń), jeżeli poziom ryzyka spełnia przyjęte kryteria akceptowania ryzyka,
  • unikanie ryzyka – unikanie przez organizację działań, które powodują powstanie określonych typów ryzyka, np. w przypadku gdy zidentyfikowane ryzyka są zbyt wysokie lub koszt wdrożenia zabezpieczeń nie jest adekwatny do zysków,
  • dzielenie (przeniesienie) ryzyka – wykupienie ubezpieczenia od jakiegoś zdarzenia lub scedowanie skutków ryzyka na inny podmiot.

PRZYKŁAD

Rodzaj operacji przetwarzania danych

Zidentyfikowane zagrożenia

Poziom ryzyka

Decyzja

Uzasadnienie akceptacji wyliczonego poziomu ryzyka

Przechowywanie elektronicznej dokumentacji medycznej

Utrata danych w przypadku awarii nośnika danych

Wysoki

Zastosować dodatkowe środki bezpieczeństwa w postaci systemu kopii zapasowych.

Brak akceptacji.

Dane mogą być niezbędne do ratowania zdrowia i życia.

Utrata zaufania pacjentów do podmiotu przetwarzającego (świadczącego usługi medyczne).

Ocena ryzyka powinna polegać na wielokrotnym (cyklicznym) powtarzaniu etapów przedstawionych powyżej.

Podstawa merytoryczna:

  • poradnik Generalnego Inspektora Ochrony Danych Osobowych „Jak rozumieć podejście oparte na ryzyku”,
  • poradnik Generalnego Inspektora Ochrony Danych Osobowych „Jak stosować podejście oparte na ryzyku”.

Autor: Marcin Sierpień

specjalista w zakresie ochrony danych osobowych

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl
Strona używa plików cookies. Korzystając ze strony użytkownik wyraża zgodę na używanie plików cookies.

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel