Agnieszka Dornfeld, Ewa Kulińska Zastosowanie zarządzania ryzykiem w przetwarzaniu danych osobowych w systemach informatycznych

Podobne dokumenty
II Lubelski Konwent Informatyków i Administracji r.

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

OCHRONA DANYCH OSOBOWYCH

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Regulamin zarządzania ryzykiem. Założenia ogólne

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Wrocław, Wrocław - Centrum miasta. Koszt szkolenia: 1790.

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

ADMISTRATOR BEZPIECZEŃSTWA INFORMACJI

ADMINISTRATOR BEZPIECZEŃSTWA INFORMACJI. zadania: przepisami; Nowe kompetencje GIODO: Administratora danych; Przekazywanie danych do państw trzecich:

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

POLITYKA ZARZĄDZANIA RYZYKIEM

Szkolenie : Administrator Bezpieczeństwa Informacji (2 dni)

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Wszystkie poniższe numery artykułów dotyczą ustawy o ochronie danych osobowych.

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

ZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.

Szkolenie. Funkcja Administratora Bezpieczeństwa Informacji po deregulacji. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Zmiany w ustawie o ochronie danych osobowych

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

ZARZĄDZENIE NR 473/2015 PREZYDENTA MIASTA KIELCE. z dnia 29 grudnia 2015 r.

Szkolenie otwarte 2016 r.

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Uchwała wchodzi w życie z dniem uchwalenia.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Zarządzenie Nr 623/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 16 sierpnia 2016 r.

Polityka bezpieczeństwa informacji

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Nowy status i zakres obowiązków administratora bezpieczeństwa informacji Andrzej Kaczmarek. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Nowe przepisy i zasady ochrony danych osobowych

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

1/5 INSTRUKCJA OCENY RYZYKA W OPOLSKIM URZĘDZIE WOJEWÓDZKIM W OPOLU I. CEL WYDANIA PROCEDURY

POLITYKA ZARZĄDZANIA RYZYKIEM

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

ZARZĄDZENIE Nr 15/13 WÓJTA GMINY ŚWIĘTAJNO z dnia 16 kwietnia 2013 r.

POLITYKA BEZPIECZEŃSTWA. Wykaz zbiorów danych oraz programów zastosowanych do przetwarzania danych osobowych.

Szkolenie podstawowe z ustawy o ochronie danych osobowych dla wolontariuszy świadczących pomoc na rzecz podopiecznych Ośrodka Pomocy Społecznej

Od 1 stycznia 2015 r. zaczęły obowiązywać znowelizowane przepisy ustawy o ochronie danych osobowych

Zarządzenie Nr 224/ ABI/ 2016 Prezydenta Miasta Słupska z dnia 6 kwietnia 2016 r.

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

ADMINISTRACJI z dnia 1 września 2017 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych

Maciej Byczkowski ENSI 2017 ENSI 2017

Ochrona danych osobowych w biurach rachunkowych

LWKZ Zarządzenie nr 4/2017

Dane osobowe w data center

Ustawa o ochronie danych osobowych po zmianach

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

INSTRUKCJA ZARZĄDZANIA SYSTEMEM INFORMATYCZNYM służącym do przetwarzania danych osobowych w Urzędzie Gminy Ostaszewo.

POLITYKA BEZPIECZEŃSTWA KRAJOWEGO REJESTRU KLIENTÓW HOTELOWYCH sp. z o.o.. Art. 1 Postanowienia ogólne

Sz. P. Michał Serzycki Generalny Inspektor Ochrony Danych Osobowych.

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

KURS ABI. Dzień 1 Podstawy pełnienia funkcji ABI SZCZEGÓŁOWY HARMONOGRAM SZKOLENIA MODUŁ I

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

I. Postanowienia ogólne

Polityka bezpieczeństwa przetwarzania danych osobowych w VII L.O. im. Juliusza Słowackiego w Warszawie.

Dyrektora Gminnego Zespołu Szkół w Ozimku

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

Certyfikowany kurs dla Administratorów Bezpieczeństwa Informacji (ABI) Szczegółowe zagadnienia

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

ABI EXPERT+ Ochrona danych osobowych. Warsztat specjalistyczny. Zadania Administratora danych osobowych. Skuteczne narzędzie ADO

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

Obowiązki ADO. Zasady przetwarzania danych osobowych. Jarosław Żabówka IV Internetowe Spotkanie ABI

Sprawdzenie systemu ochrony danych

Załącznik nr 4 do Zarządzenia Dyrektora nr 15/2010 z dnia 8 marca 2010 r.

Polityka bezpieczeństwa danych osobowych

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

POLITYKA BEZPIECZEŃSTWA INFORMACJI Urzędu Miasta Kościerzyna

POLITYKA BEZPIECZEŃSTWA

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

ZARZĄDZENIE NR 100/2015 WÓJTA GMINY STEGNA. z dnia 16 czerwca 2015 r.

Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia roku

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Propozycje SABI w zakresie doprecyzowania statusu ABI

POLITYKA BEZPIECZEŃSTWA

Samodzielnym Publicznym Szpitalu Klinicznym Nr 1 im. Prof. Stanisława Szyszko w Zabrzu Śląskiego Uniwersytetu Medycznego w Katowicach

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Zarządzenie nr.~ ~2015

Transkrypt:

Agnieszka Dornfeld, Ewa Kulińska Zastosowanie zarządzania ryzykiem w przetwarzaniu danych osobowych w systemach informatycznych Ekonomiczne Problemy Usług nr 117, 497-506 2015

Z E S Z Y T Y N A U K O W E U N IW E R S Y TETU S Z C Z E C IŃ S K IE G O N R 852 E K O N O M IC Z N E P R O B L E M Y U S ŁU G N R 117 2015 EWA KULIŃSKA Politechnika Opolska1 AGNIESZKA DORNFELD Urząd Kontroli Skarbowej12 ZASTOSOWANIE ZARZĄDZANIA RYZYKIEM W PRZETWARZANIU DANYCH OSOBOWYCH W SYSTEMACH INFORMATYCZNYCH Streszczenie W publikacji przedstawiono zarządzanie ryzykiem w obszarze przetwarzania danych osobowych oraz realizowane w tym zakresie mechanizmy kontrolne w jednostkach sektora finansów publicznych. W zakresie mechanizmów kontrolnych uwzględniono zmiany, jakie zaszły w ustawie o ochronie danych osobowych, które weszły w życie 1 stycznia 2015 roku. Zmiany te dotyczą nowej roli administratora bezpieczeństwa informacji. Słowa kluczowe: zarządzanie ryzykiem, identyfikacja i analiza ryzyka, dane osobowe, przetwarzanie danych osobowych, systemy informatyczne. W prowadzenie Cel publikacji to przeanalizowanie zastosowania zarzadzania ryzykiem w przetwarzaniu danych osobowych w systemach informatycznych. Inspiracją do rozpoczęcia badań w tym zakresie są zmiany, jakie zaszły w ustawie o ochronie danych osobowych, które weszły w życie 1 stycznia 2015 roku. 1 Wydział Inżynierii Produkcji i Logistyki. 2 UKS w Opolu.

498 Zastosowanie zarządzania ryzykiem w przetwarzaniu danych osobowych... Zmiany dotyczą w przeważającym zakresie nowej roli administratora bezpieczeństwa informacji (ABI), któremu powierzono większy zakres obowiązków. Część obowiązków, realizowanych do tej pory przez GIODO (Generalnego Inspektora Ochrony Danych Osobowych), przeniesiona zostanie bowiem na administratorów danych osobowych (ADO) i w konsekwencji na powołanych przez nich ABI. Te zmiany pociągają za sobą konsekwencje w funkcjonowaniu mechanizmów kontrolnych w procesie zarządzania ryzykiem w przetwarzaniu danych osobowych w systemach informatycznych. 1. Zarzadzanie ryzykiem w obszarze przetw arzania danych osobowych Pojęcie systemu informatycznego określone zostało w art. 7 pkt 2a ustawy o ochronie danych osobowych. Zgodnie z brzmieniem tego artykułu systemem informatycznym jest zespół współpracujących ze sobą urządzeń, programów, procedur przetwarzania informacji i narzędzi programowych zastosowanych w celu przetwarzania danych (DzU z 2014, poz. 1182). Każdy system, aby został oceniony jako bezpieczny, musi przejść analizę zgodności z przepisami prawa oraz kontrolę zabezpieczeń systemu. Na rys. 1. przedstawiono zakres analiz i kontroli systemów. Rys. 1. Kontrola zabezpieczenia systemów informatycznych Analiza danych osobowych przetwarzanych w systemach informatycznych odnosi się do zasad przetwarzania danych osobowych. Wyróżnia się następujące zasady przetwarzania danych osobowych: 1. zasady legalności - odnosi się do przetwarzania danych zgodnie z prawem;

Ewa Kulińska, Agnieszka Dornfeld 499 2. zasady celowości - która dotyczy zbierania danych dla oznaczonych, zgodnych z prawem celów i niepoddawania ich dalszemu przetwarzaniu niezgodnemu z tymi celami; 3. zasady merytorycznej poprawności - czyli dbałości o merytoryczną poprawność danych; 4. zasady adekwatności - odnoszącej się do adekwatności danych w stosunku do celów, w jakich są przetwarzane; 5. zasady ograniczenia czasowego - w zakresie przechowywania danych w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Stosowanie zasad w zakresie przetwarzania danych osobowych znajduje odzwierciedlenie w prowadzonym procesie zarządzania ryzykiem w zabezpieczeniach systemów informatycznych w obszarze przetwarzania danych osobowych. Proces zarządzania rozpoczyna się od identyfikacji ryzyka w obszarze przetwarzania danych osobowych. W obszarze tym identyfikuje się szereg zagadnień (czynników ryzyka), które są poddawane szczegółowej analizie. Jako najważniejsze należy wymienić: - obchodzenie się użytkowników z dokumentami, - ujawnienie informacji dotyczących danych osobowych, - nadawanie upoważnienia do przetwarzania danych osobowych - przetwarzanie danych osobowych. Do każdego z wymienionych zagadnień należy odnieść analizę ryzyka procesu, celem zabezpieczenia całego obszaru danych osobowych. Drugi etap to analiza ryzyka w obszarze przetwarzania danych osobowych. Dotyczy ona: - znajomości aktów prawnych, - uregulowań wewnętrznych, - sprawdzenia, czy każda osoba przetwarzająca dane osobowe posiada stosowane upoważnienie, - sprawdzenia, czy sprawowana jest właściwa kontrola ADO, ABI, ASI, - sprawdzenia, czy dane w jednostce są właściwie zabezpieczone, - sprawdzenia, czy systemy informatyczne są właściwie zabezpieczone, - sprawdzenia, czy zagrożenia w systemach informatycznych są analizowane, - sprawdzenia, czy stosowane są następujące normy: - Dyrektywa Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych. - PN-SIO/IEC-17799:2005: Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji, PKN, 2007.

500 Zastosowanie zarządzania ryzykiem w przetwarzaniu danych osobowych... - PN-I-13335-1: Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych, PKN, 1999. - PN-I-02000: Zabezpieczenia w systemach informatycznych - Terminologia, PKN, 1998. - PN-SIO/IEC-17799:2005: Technika informatyczna. Praktyczne zasady zarządzania bezpieczeństwem informacji, PKN, 2007. Kolejnym etapem analizy ryzyka jest odniesienie czynników warunkujących negatywne zdarzenia do czynników ryzyka w danym obszarze. Czynniki ryzyka zostały skategoryzowane w ramach następujących kategorii: - ekonomiczne i finansowe, - nadużycia, - organizacja i zarządzanie, - polityczne i społeczne, - prawne, - środowiskowe i działania sił wyższych, - techniczne i związane z infrastrukturą. Każdej z kategorii przypisuje się konkretne parametry warunkujące powstanie czynnika ryzyka. Przykład przypisanych paramentów do obszaru ryzyka znajduje odzwierciedlenie w rejestrze ryzyka. Fragment rejestru ryzyka dotyczący obszaru ochrony danych osobowych przedstawiono w tabeli 1. Rejestr ryzyka obszaru ochrona danych osobowych Ochrona danych osobowych (ABI) Tabela 1 Obszar ryzyka Ryzyko w obszarze Ochrona danych - obchodzenie się użytkowników z dokumentami, ujawnianie informacji dotyczących danych osobowych. Ochrona danych - nadawanie uprawnień i przetwarzanie danych. Wypłynięcie danych na zewnątrz, trafienie danych w niewłaściwe ręce, przetwarzanie danych przez osoby nieuprawnione, nienadanie odpowiednich uprawnień do przetwarzania danych osobowych w systemach informatycznych, w formie papierowej, ujawnienie prawnie chronionych informacji, udostępnianie dokumentacji dotyczących pracowników, nieprawidłowe obchodzenie się z dokumentami, przechowywanie dokumentów na ogólnodostępnych dyskach, na prywatnych komputerach lub nie zabezpieczonych fizycznie lub kryptograficznie nośnikach, niewłaściwe obchodzenie się z danymi osobowymi. Czynniki ryzyka 1.3, 3.5, 3.12, 6.4, 6.6, 7.1, 7.2, 7.3, 7.4, 7.5, 7.6, 7.7, 7.8, 7.9, 7.10 Ocena 4 X 4 = 16 Poziom istotności wysoki Skutek ryzyka Funkcjonujące mechanizmy kontrolne Strategia Organizacyjny. Odpowiedzialność karna, odpowiedzialność odszkodowawcza, wyciek danych, ujawnienie danych osobowych, naruszenie przepisów w zakresie ochrony danych osobowych. Polityka Danych Osobowych, Instrukcja Zarządzania Systemami Informatycznymi, wykaz systemów informatycznych, właściwy podział zadań między ABI i ASI, analiza zagrożeń w systemach informatycznych, akty prawne. redukcja

Ewa Kulińska, Agnieszka Dornfeld 501 Kolejnym etapem analizy jest ustalenie wartości punktowej każdego czynnika ryzyka przy uwzględnieniu stopnia oddziaływania i stopnia prawdopodobieństwa wystąpienia danego ryzyka w obszarze danych osobowych. Wartość ryzyka obliczana jest wg wzoru (1). IR = PR x SR (1) gdzie: IR - to współczynnik istotności ryzyka, PR - to prawdopodobieństwo wystąpienia ryzyka, SR - to potencjalne oddziaływanie wystąpienia ryzyka. Przy obliczaniu wartości ryzyka wzięto pod uwagę parametry z tab. 2 i tab. 3. Stopień oddziaływania wystąpienia ryzyka nieznaczny mały średni poważny katastrofalny Tabela 2 Skala punktowa czynników ryzyka dla rejestru ryzyka Opis szczegółowy znikomy wpływ na realizację celów i zadań, brak skutków prawnych, nieznaczny skutek finansowy, brak wpływu na bezpieczeństwo pracowników, brak wpływu na wizerunek urzędu mały wpływ na realizację celów i zadań, brak skutków prawnych, mały skutek finansowy, brak wpływu na bezpieczeństwo pracowników, niewielki wpływ na wizerunek urzędu średni wpływ na realizację celów i zadań, umiarkowane konsekwencje prawne, średni skutek finansowy, brak wpływu na bezpieczeństwo pracowników, średni wpływ na wizerunek urzędu poważny wpływ na realizację zadania, w tym poważne zagrożenie terminu jego realizacji, jak i osiągnięcia celu, poważne konsekwencje prawne, zagrożenie bezpieczeństwa pracowników, poważne straty finansowe, poważny wpływ na wizerunek urzędu brak realizacji zadania i brak realizacji celu, bardzo poważne i rozległe konsekwencje prawne, naruszenie bezpieczeństwa pracowników (ujemne konsekwencje dla ich życia i zdrowia), wysokie straty finansowe, utrata dobrego wizerunku urzędu w środowisku oraz w opinii publicznej Wartość punktowa skutku i 2 3 4 5

502 Zastosowanie zarządzania ryzykiem w przetwarzaniu danych osobowych... Tabela 3 Punktowe prawdopodobieństwo wystąpienia czynników ryzyka dla rejestru ryzyka Prawdopodob. wystąpienia ryzyka bardzo rzadkie lub prawie niemożliwe małe średnie wysokie Opis szczegółowy zdarzenie może zaistnieć jedynie w wyjątkowych okolicznościach, wystąpi sporadycznie raz na 5 lat, a najprawdopodobniej w ogóle nie zaistnieje, nie wystąpiło dotychczas, dotyczy jednostkowych spraw, prawdopodobieństwo wystąpienia określa się na 1-20% istnieje małe prawdopodobieństwo, że wystąpi kilka razy w ciągu 3 lat, dotyczy nielicznych spraw, prawdopodobieństwo wystąpienia określa się na 21 40% zaistnienie zdarzenia jest średnio możliwe, może wystąpić częściej niż kilka razy w ciągu 3 lat, dotyczy niektórych spraw, prawdopodobieństwo wystąpienia określa się na 41 60% zaistnienie zdarzenia jest bardzo prawdopodobne, wystąpi regularnie przynajmniej raz w roku, dotyczy większości spraw, prawdopodobieństwo wystąpienia określa się na 61 80% Wartość punktowa skutku 1 2 3 4 prawie pewne oczekuje się, że zdarzenie takie nastąpi na pewno, wystąpi regularnie co miesiąc lub częściej, dotyczy wszystkich lub prawie wszystkich spraw, prawdopodobieństwo wystąpienia określa się na 81 100% 5 Kolejnym etapem analizy ryzyka jest ustalenie poziomu ryzyka poprzez odniesienie go do matrycy ryzyka, rys. 2.

Ewa Kulińska, Agnieszka Dornfeld 503 Rys. 2. Matryca 5 x5- ustalenie poziomu ryzyka w jednostce 2. Mechanizmy kontrolne w zarządzaniu ryzykiem w obszarze przetwarzania danych osobowych Po przeprowadzonej analizie czynników ryzyka należy zweryfikować funkcjonujące mechanizmy kontrolne. Należy wskazać wszystkie funkcjonujące mechanizmy kontrolne z podziałem na zewnętrzne i wewnętrzne. W zakres mechanizmów kontrolnych zewnętrznych wchodzą uregulowania prawne i zarządzenia. Natomiast do mechanizmów kontrolnych wewnętrznych należą zarządzenia wewnętrzne oraz zakresy obowiązków. Weryfikuje się w nich aktualność uregulowań, zgodność z aktami prawnymi, regulacje najważniejszych kwestii zabezpieczenia obszaru bezpieczeństwa danych, sprawdza, czy wymagane są korekty. Funkcjonowanie mechanizmów kontrolnych podporządkowane jest według zadań do konkretnych obszarów kierownikom jednostek organizacyjnych. W tabeli 4 wskazano zadania, jakie zostały zidentyfikowane i wskazane przez właścicieli procesu w ramach realizacji mechanizmów kontrolnych.

504 Zastosowanie zarządzania ryzykiem w przetwarzaniu danych osobowych... Zadania do realizacji po przeprowadzeniu analizy ryzyka Tabela 4 Lp. Zakres zadania do realizacji Osoba odpowiedzialna 1 Zakres obowiązków A B I, ASI: Dokonać szczegółowego podziału zadań na A B I i ASI. U w zględnić aspekt prowadzenia kontroli ASI przez ABI. U w zglę dnić aspekt prowadzenia kontroli A B I przez ADO. Składanie rocznych raportów w zakresie sprawowania kontroli i zabezpieczenia procesu ochrony danych osobowych. Dyrektor / kierow nik komórki 2 Upoważnienia do przetwarzania danych osobowych dla pracowników: Przeprowadzenie analizy potrzeb w zakresie nadania uprawnień. Nadanie właściwych uprawnień poszczególnym pracownikom. Uaktualnienia zakresu nadanych uprawnień w upoważnieniach. Zarejestrowanie nadanych upoważnień. A B I, ASI 3 Polityka bezpieczeństwa danych osobowych: Opracowanie lub uaktualnienie. Zweryfikowanie istniejących dokumentów pod k ątem zgodności z przepisami (podstawowych wymagań zawartych w przepisach). A B I, ASI 4 Instrukcja zarządzania systemami informatycznymi: Opracowanie lub uaktualnienie. Zweryfikowanie istniejących dokumentów pod k ątem zgodności z przepisami (podstawowych wymagań zawartych w przepisach). A B I, ASI 5 Analiza zagrożeń w systemach informatycznych: Analiza istniejących systemów informatycznych. Analiza zgodności systemów z przepisami prawa. Kontrola osób przetwarzających dane w systemach. Kontrola zabezpieczeń systemów informatycznych. A B I, ASI 6 Kontrola użytkowników : Ustalenie zakresu kontroli A B I i ASI. Opracowanie harmonogramu kontroli użytkowników przez A B I i ASI. Prowadzenie kontroli przez A B I nad AS I w zakresie zabezpieczenia systemów informatycznych, analiz zagrożeń. Prowadzenie kontroli przez A D O nad A B I w zakresie przetwarzania danych, wypracowanych dokumentów (Polityka bezpieczeństwa danych osobowych, Instrukcja zarządzania systemami informatycznymi). Prowadzenie kontroli nad zgodnością systemów z przepisami prawa przez ABI. Kontrola zagrożeń w systemach inform atycznych sprawowana przez ABI. A B I, ASI Precyzyjne wskazanie zadań i przydzielenie ich konkretnym osobom do realizacji w analizowanym obszarze ma na celu zapewnienie zabezpieczenia procesu.

Ewa Kulińska, Agnieszka Dornfeld 505 Podsumowanie O znaczeniu zarzadzania ryzykiem przy ochronie przetwarzania danych osobowych nie trzeba przekonywać. W publikacji przeanalizowano etapy realizacji tego procesu z uwzględnieniem zmian wprowadzonych od 1 stycznia 2015 roku, dotyczących nowej roli administratora bezpieczeństwa informacji, któremu powierzono większy zakres obowiązków. ABI podlega bezpośrednio kierownikowi jednostki organizacyjnej lub osobie fizycznej będącej administratorem danych. Administrator danych zapewnia środki i organizacyjną odrębność ABI niezbędną do niezależnego wykonywania przez niego zadań. Do jego zadań ponadto należą: przestrzeganie zgodności przetwarzania danych osobowych z przepisami ustawy o ochronie danych osobowych oraz opracowanie w tym zakresie sprawozdania dla ADO; nadzorowanie opracowania i aktualizowania dokumentacji oraz przestrzegania zasad w niej określonych; zapewnienie zapoznania osób upoważnionych do przetwarzania danych osobowych z przepisami o ochronie danych osobowych; prowadzenie jawnego rejestru zbiorów danych przetwarzanych przez ADO. Jest to szereg bardzo istotnych funkcji o kluczowym znaczeniu dla procesu zarzadzania ryzykiem. Szczególnie że zmiana roli administratora bezpieczeństwa informacji wpływa na funkcjonowanie mechanizmów kontrolnych w procesie zarządzania ryzykiem w przetwarzaniu danych osobowych w systemach informatycznych. Literatura 1. Ustawa z dnia z dnia 26 czerwca 2014 r. w sprawie ogłoszenia jednolitego tekstu ustawy o ochronie danych osobowych w internetowym systemie aktów prawnych na stronie Sejmu Rzeczypospolitej Polskiej (DzU z 2014 r., poz. 1182). 2. Ustawa z dnia 22 stycznia 2004 r. o zmianie ustawy o ochronie danych osobowych w internetowym systemie aktów prawnych na stronie Sejmu Rzeczypospolitej Polskiej (DzU z 2004 r. nr 33, poz. 285). 3. Ustawa z dnia 25 sierpnia 2001 r. o zmianie ustawy o ochronie danych osobowych w internetowym systemie aktów prawnych na stronie Sejmu Rzeczypospolitej Polskiej (DzU z 2001 r. nr 100, poz. 1087). 4. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w internetowym systemie aktów prawnych na stronie Sejmu Rzeczypospolitej Polskiej (DzU z 1997 r. nr 133, poz. 883). 5. www.uke.gov.pl (2013). 6. file:///c:/users/user/downloads/sprawozdanie-giodo-za-rok-2008.pdf.

506 Zastosowanie zarządzania ryzykiem w przetwarzaniu danych osobowych... THE R IS K M ANAG EM ENT IN PERSONAL DETAILS PROCESSING IN IT SYSTEMS Summary The risk management was presented in the area of personal details processing and control mechanisms in the department of public finances were presented in this paper. In terms of control mechanisms the changes in the Personal Data Protection Act which is effective on 1 January 2015 was considered. The changes concern new role of an administrator of information safety. Keywords: risk management, identification and risk analysis, personal details, personal data processing, IT systems. Translated by Ewa Kulińska

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres