Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki

Podobne dokumenty
Maciej Byczkowski ENSI 2017 ENSI 2017

Zmiana obowiązków zabezpieczania danych osobowych

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Warszawa, 17 marca 2014 r.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Wprowadzenie do BCM. dr inż. Janusz Zawiła-Niedźwiecki Wydział Zarządzania Politechniki Warszawskiej

PRELEGENT Przemek Frańczak Członek SIODO

ABI nie tylko audytor i koordynator. Wykonywanie przez ABI innych obowiązków niż określone w ustawie o ochronie danych osobowych.

mgr inż. Joanna Karczewska CISA, ISACA Warsaw Chapter Konsekwencje wyroku Trybunału Konstytucyjnego dla bezpieczeństwa informacji

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Zdrowe podejście do informacji

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Wykaz opublikowanych prac naukowych skrót JZN Janusz Zawiła-Niedźwiecki

Polityka Bezpieczeństwa Informacji Urzędu Miejskiego w Zdzieszowicach

ABI potrzebny i przydatny Zakres i sposób wykonywania zadań ABI w praktyce. Andrzej Rutkowski

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Krzysztof Świtała WPiA UKSW

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Praktyczne aspekty ochrony danych osobowych w ubezpieczeniach

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

PARTNER.

Marcin Soczko. Agenda

ZARZĄDZENIE Nr 128/2012 BURMISTRZA ŻNINA. z dnia 25 września 2012 r.

PROCEDURA zarządzania ryzykiem w Gminnym Ośrodku Pomocy Społecznej w Świdwinie

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Usługi środowiska w świetle bezpieczeństwa ekologicznego

Bezpieczeństwo informacji. jak i co chronimy

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Promotor: dr inż. Krzysztof Różanowski

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH w przedsiębiorstwie QBL Wojciech Śliwka Daszyńskiego 70c, Ustroń

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Technologia Infromacyjna i Prawo w służbie ochrony danych - #RODO2018

Rola biura rachunkowego w nowym modelu ochrony danych osobowych

Grzegorz Pieniążek Hubert Szczepaniuk

20 lat doświadczeń w wykonywaniu funkcji ABI. ewolucja funkcji od administratora do inspektora

Bezpieczeństwo teleinformatyczne danych osobowych

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

NOWE UJĘCIE OCHRONY DANYCH OBOWIĄZKI ADMINISTRATORA DANYCH OSOBOWYCH

Kontrola dostępu do informacji w administracji publicznej

Powiązania norm ISO z Krajowymi Ramami Interoperacyjności i kontrolą zarządczą

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

Akademia Młodego Ekonomisty. Zarządzanie ryzykiem

Ochrona biznesu w cyfrowej transformacji

Kwestionariusz samooceny kontroli zarządczej

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

ISO bezpieczeństwo informacji w organizacji

Strategia identyfikacji, pomiaru, monitorowania i kontroli ryzyka w Domu Maklerskim Capital Partners SA

Instytucja administratora bezpieczeństwa informacji przy obecnie obowiązujących przepisach prawa Pytania, odpowiedzi, fakty i mity

Ochrona danych osobowych

WYŻSZA SZKOŁA BEZPIECZEŃSTWA z siedzibą w Poznaniu PROGRAM KSZTAŁCENIA

SKUTECZNE SZKOLENIA PERSONELU JAKO NOWY OBOWIĄZEK ADMINISTRATORA BEZPIECZEŃSTWA INFORMACJI

Przetwarzanie danych osobowych w chmurze

Program. Polexpert - informacje o szkoleniu. Kod szkolenia: Miejsce: Kraków, Centrum miasta. Koszt szkolenia: zł

SZCZEGÓŁOWY HARMONOGRAM KURSU

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

POLITYKA ZARZĄDZANIA RYZYKIEM

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Szkolenie otwarte 2016 r.

POLITYKA BEZPIECZEŃSTWA DANYCH OSOBOWYCH

Polityka bezpieczeństwa przeznaczona dla administratora danych, który powołał administratora bezpieczeństwa informacji

Spis treści. Wykaz skrótów... Wykaz literatury... O Autorach... Wprowadzenie...

POLITYKA BEZPIECZEŃSTWA w Gimnazjum nr 1 w Żarach. Podstawa prawna

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Nowe przepisy i zasady ochrony danych osobowych

Art. 36a - Ustawa o ochronie danych osobowych (Dz. U r. poz. 922 z późn. zm.)

Nowe wymagania dla systemów informatycznych wynikające z ogólnego rozporządzenia o ochronie dany

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Zastosowanie norm w ochronie danych osobowych. Biuro Generalnego Inspektora. Ochrony Danych Osobowych

Świadomy Podatnik projekt Rady Podatkowej PKPP Lewiatan.

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

ARKUSZ SAMOOCENY SYSTEMU KONTROLI ZARZĄDCZEJ UWAGI/DODATKOW E INFORMACJE

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

Szczegółowe informacje o kursach

Standardy kontroli zarządczej

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

I. O P I S S Z K O L E N I A

Transkrypt:

Analiza ryzyka jako podstawa zabezpieczenia danych osobowych Maciej Byczkowski Janusz Zawiła-Niedźwiecki Centrum Informatyzacji II Konferencja Zabezpieczenie danych osobowych Nowa rola ABI aspekty organizacyjne i techniczne Politechnika Warszawska 24.06.2015 Niniejszy referat omawia analizę ryzyka związanego z przechowywaniem i przetwarzaniem danych osobowych oraz niezbędnych procedur dotyczących ich zabezpieczania, przy uwzględnieniu krajowych i międzynarodowych przepisów dotyczących ochrony danych osobowych. Autorzy zwracają uwagę również na to, że do realizacji wymagań wynikających z przepisów prawa można wykorzystać związane z zarządzaniem bezpieczeństwem informacji normy ISO. Wskazują również na praktyczne aspekty i etapy postępowania dotyczące procesu analizy ryzyka przetwarzania danych osobowych w organizacjach. 2

W 2010 r. na forum PTE sformułowano pogląd, że współcześnie właściwie należałoby mówić o społeczeństwie ryzyka i dlatego obecne zarządzanie we wszystkich dziedzinach aktywności ludzkiej musi opierać się na panowaniu nad kwestią ryzyka. Ryzyko tak znacząco wpływa na nasze życie, nie tylko dlatego, że wiemy o nim coraz więcej, ale zwłaszcza dlatego, że w ostatnich 20 latach trendy liberalizacji i globalizacji w gospodarce światowej oraz w sposobach funkcjonowania społecznego doprowadziły do nieznanego dotąd zintensyfikowania konkurencji rynkowej, postępu technicznego, wymiany informacji. Wobec takiego wyzwania naturalną reakcją jest wszechstronne badanie tego zjawiska oraz poszukiwanie podejść, metod, technik jego rozpoznawania i ograniczania jego wpływu. 3 W ogólnym ujęciu ryzyko polega na możliwości niezrealizowania zamierzeń w wyniku zajścia zdarzeń, które nie zostały przewidziane albo na które nie ma się wpływu. Brzmi to przede wszystkim złowrogo, ale należy wskazać też atrakcyjny aspekt ryzyka. Jest ono bowiem nie tylko zagrożeniem, lecz kryje się też za nim szansa na powodzenie szczególnie trudnych zamierzeń, co jest motorem postępu cywilizacyjnego ludzkości i rozwoju efektywnego biznesu. 4

Zasadniczo ryzyko można podzielić na biznesowe (lub dla niektórych podmiotów ryzyko działalności statutowej), które jest kategorią rozpoznaną już dawno, oraz operacyjne, które wskazano pod koniec XX w. Ryzyko biznesowe to możliwość poniesienia strat w wyniku niewłaściwych decyzji co do doboru klientów, kształtu produktów i usług lub zobowiązań wobec partnerów biznesowych albo w wyniku niesprawności lub niespójności systemu społeczno-gospodarczego państwa. Ryzyko operacyjne to ryzyko strat w wyniku niewłaściwego lub błędnego działania procesu, ludzi i systemów albo wpływu wydarzeń zewnętrznych. Właśnie ryzyko operacyjne, obejmujące także ryzyko niewypełniania obowiązków prawnych w działalności bieżącej, zostanie dalej omówione. 5 Triada: ryzyko bezpieczeństwo ciągłość działania 6

Całość działań panowania nad ryzykiem w sferze gospodarczej i administracyjnej nazywana jest zarządzaniem ryzykiem, a w sferze społecznej (funkcjonowania społeczności lokalnych lub całego kraju) zarządzaniem kryzysowym. W obydwu przypadkach chodzi o poznanie istoty ryzyka i wyrażających je, w rozważanej lokalizacji i warunkach, konkretnych zagrożeń, podjęcie prewencji oraz przygotowanie gotowości do reagowania na zakłócenia. Naruszenie bezpieczeństwa jest spełnieniem się potencjalnego dotąd ryzyka i zawsze polega na utracie jakichś kluczowych zasobów lub na utracie kontroli nad tymi zasobami. 7 W klasycznej działalności gospodarczej i klasycznych stosunkach społecznych, pomiędzy zakresem polegania na zapewnianiu bezpieczeństwa a zakresem polegania na planach reagowania, ustalana jest swoista równowaga wynikająca z ekonomicznej racjonalności wyboru między kosztami zabezpieczania a kosztami przewidywanych strat powstających w wyniku zajścia zakłóceń (z uwzględnieniem trudniej już policzalnych strat wizerunkowych związanych z zajściem zakłócenia). Opracowując więc rozwiązania zapewniania bezpieczeństwa, bierze się pod uwagę rozwiązania zapewniania ciągłości działania i odwrotnie. Można nawet powiedzieć, że zabezpieczanie jako prewencja jest częścią zapewniania ciągłości działania, a ono z kolei jest zabezpieczeniem ostatniego poziomu. 8

Od takiej reguły racjonalności jedynym odstępstwem są obowiązki nakładane przepisami prawa. Same w sobie nie zapewniają one pełnej skuteczności zabezpieczeń, ale w tym przypadku racjonalność polega tylko na statystycznie utrwalanej świadomości, że mimo zabezpieczeń jakiś procent zdarzeń zakłócających zajść musi. Wynika to i z prawa wielkich liczb, i świadomości zawodności materiałów, urządzeń czy technologii, i z ludzkiej niedoskonałości. Nie są natomiast akceptowane ani niekompetencja (w tym nieznajomość prawa), ani błąd ludzki (w tym lekceważenie prawa), ani tym bardziej świadomie szkodliwe działanie. 9 Wymogi dotyczące przeprowadzania analizy ryzyka procesów przetwarzania danych osobowych są zawarte w przepisach ustawy o ochronie danych osobowych. Chociaż nie występuje w przepisach sam termin analiza ryzyka, to z wymagań dotyczących zabezpieczenia danych osobowych określonych w art. 36 ust. 1 wynika obowiązek przeprowadzania takich działań. Przepis ten wprost odnosi się do zagadnienia ryzyka operacyjnego, w ramach którego należy przeprowadzać analizę ryzyka, która obejmuje identyfikację i ocenę zagrożeń związanych z przetwarzaniem danych osobowych z podziałem na kategorie danych. Pod pojęciem kategorii danych należy rozumieć podział na tzw. dane osobowe zwykłe oraz dane osobowe wrażliwe wymienione w art. 27 ust. 1. 10

Celem tych działań jest poznanie istoty ryzyka i wyrażających je konkretnych zagrożeń, związanych z miejscem przetwarzania danych osobowych, systemami informatycznymi służącymi do przetwarzania danych oraz procesami ich przetwarzania, które są realizowane przez administratora danych lub procesora. W treści art. 36 ust. 1 określone są szczególne sytuacje, które należy objąć analizą w celu zapewnienia bezpieczeństwa danych, minimalizacji ryzyka ich wystąpienia oraz przygotowania działań reagowania w sytuacji naruszenia bezpieczeństwa. Wynikiem przeprowadzenia wymaganej analizy ryzyka jest zastosowanie przez administratora danych oraz procesora odpowiednich zabezpieczeń dla przetwarzanych danych osobowych oraz opracowanie odpowiedniej dokumentacji określającej właściwe stosowanie tych zabezpieczeń. 11 W rozporządzeniu MSWiA w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych są określone: a) podstawowe warunki techniczne i organizacyjne, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych; b) sposób prowadzenia i zakres dokumentacji opisującej sposób przetwarzania danych osobowych; c) środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych odpowiednią do zagrożeń i kategorii danych objętych ochroną. 12

Wskazane w 4 wymagania są podstawą do opracowania odpowiedniej dokumentacji Polityki bezpieczeństwa dla przetwarzanych danych osobowych, która powinna uwzględniać również zasady przeprowadzania okresowej analizy ryzyka przetwarzania danych. Aby móc zrealizować w praktyce ten wymóg, należy przeprowadzić analizę ryzyka przetwarzania danych w odniesieniu do wymienionych w 4 pkt 5 atrybutów bezpieczeństwa informacji jakimi są: poufność, integralność i rozliczalność przetwarzania danych. 13 Wymogi dotyczące analizy ryzyka wynikające z przepisów dotyczących Krajowych Ram Interoperacyjności Planowane wymagania dotyczące zarządzania ryzykiem przetwarzania danych osobowych w projekcie Rozporządzenia PE i Rady UE Zarządzanie bezpieczeństwem danych osobowych z wykorzystaniem norm ISO serii 2700x 14

Proces analizy ryzyka przetwarzania danych osobowych podejście praktyczne: identyfikacja zasobów danych osobowych, które będą podlegać ochronie oraz procesów ich przetwarzania przez ADO lub procesora określenie miejsc agregowania zidentyfikowanych zasobów danych osobowych rozpoznania procesów przetwarzania danych, które są realizowane przez danego ADO lub procesora identyfikacja zagrożeń oraz podatności na zagrożenia związane z przetwarzaniem danych osobowych sporządzenie Mapy zagrożeń związanych z przetwarzaniem danych identyfikacją podatności na zagrożenia w procesach przetwarzania danych osobowych plan 15 postępowania z ryzykiem różnych rodzajów Referat jest oparty na M.Byczkowski, J.Zawiła-Niedźwiecki, Analiza ryzyka w zarządzaniu bezpieczeństwem danych osobowych, Monitor Prawniczy 2014 (dodatek Aktualne problemy prawnej ochrony danych osobowych ) Polecamy też: M.Byczkowski, J.Zawiła-Niedźwiecki, Information security aspect of operational risk management, Foundations of Management nr 2/2009 F.Wołowski, J.Zawiła-Niedźwiecki, Bezpieczeństwo systemów informacyjnych, edu-libri 2012 I.Staniec, J.Zawiła-Niedźwiecki, Ryzyko operacyjne w naukach o zarządzaniu, C.H.Beck 2015 16

Centrum Informatyzacji dziękuję maciej.byczkowski@ensi.net j.zawila-niedzwiecki@wz.pw.edu.pl 17

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres