Data Protection Impact Assessment (DPIA) Metodyka zarządzania ryzykiem w ochronie danych osobowych. Warszawa 2017

Podobne dokumenty
XXIII Międzynarodowy Kongres Otwartego Systemu Ochrony Zdrowia

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Maciej Byczkowski ENSI 2017 ENSI 2017

Wydanie 1.0. Metodyka zarządzania ryzykiem w ochronie danych osobowych

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

I. Postanowienia ogólne

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

PRELEGENT Przemek Frańczak Członek SIODO

Ochrona danych osobowych w organizacjach pozarządowych (od 25 maja 2018)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Ochrona danych osobowych w biurach rachunkowych

SZCZEGÓŁOWY HARMONOGRAM KURSU

RODO. Nowe prawo w zakresie ochrony danych osobowych. Radosław Wiktorski

Polityka Ochrony Danych Osobowych w Akademii Wychowania Fizycznego im. Eugeniusza Piaseckiego w Poznaniu

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Nadzór nad przetwarzaniem danych osobowych zgodnie z RODO

Praktyczne aspekty wdrożenia RODO Data Protection Impact Assessment (DPIA)

Przemysław Bańko Dyrektor ds. Bezpieczeństwa Smart In

Reforma ochrony danych osobowych RODO/GDPR

POLITYKA BEZPIECZEŃSTWA INFORMACJI w MYFUTURE HOUSE SP. Z O.O.

! POLITYKA OCHRONY DANYCH OSOBOWYCH W KANCELARII KANCELARIA ADWOKATA ŁUKASZA DOLIŃSKIEGO

POLITYKA BEZPIECZEŃSTWA INFORMACJI w KANCELARII ADWOKACKIEJ AGNIESZKA PODGÓRSKA-ZAETS. Ul. Sienna 57A lok Warszawa

RODO w praktyce JST czas: 353 dni. Michał Jaworski Członek Zarządu Microsoft sp. z o.o.

Monitorowanie systemów IT

POLITYKA BEZPIECZEŃSTWA OCHRONY DANYCH OSOBOWYCH W FUNDACJI CENTRUM IMIENIA PROF. BRONISŁAWA GEREMKA

POLITYKA BEZPIECZEŃSTWA INFORMACJI CENTRUM FOCUS ON GRZEGORZ ŻABIŃSKI. Kraków, 25 maja 2018 roku

POLITYKA BEZPIECZEŃSTWA INFORMACJI. Heksagon sp. z o.o. z siedzibą w Katowicach. (nazwa Administratora Danych)

Polityka Ochrony Danych Osobowych W

POLITYKA BEZPIECZEŃSTWA INFORMACJI

POLITYKA BEZPIECZEŃSTWA INFORMACJI W KANCELARII ADWOKACKIEJ DR MONIKA HACZKOWSKA

POLITYKA BEZPIECZEŃSTWA

RODO w spółkach jak przygotować się do nowych unijnych przepisów o ochronie danych

PARTNER.

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

POLITYKA OCHRONY DANYCH OSOBOWYCH W MIEJSKO-GMINNYM OŚRODKU POMOCY SPOŁECZNEJ W WIERUSZOWIE

Polityka Ochrony Danych Osobowych w Szkole Podstawowej im. Księdza Jana Siuzdaka w Wołkowyi

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

RODO w praktyce psychologicznej. adw. dr Maciej Bocheński Uniwersytet Jagielloński Krakowska Izba Adwokacka

2. Dane osobowe - wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;

Polityka Ochrony Danych Osobowych

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Ochrona danych osobowych w biurach rachunkowych

ZESPÓŁ SZKÓŁ TECHNICZNYCH we Włocławku, ul. Ogniowa 2 PROCEDURA ALARMOWA PROCEDURA POSTĘPOWANIA W PRZYPADKU NARUSZENIA DANYCH OSOBOWYCH

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

rodo. naruszenia bezpieczeństwa danych

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

RODO W ORGANIZACJI- JAK PRAWIDŁOWO PRZYGOTOWAĆ SIĘ ORAZ UNIKNĄĆ KAR PIENIĘŻNYCH

Bezpieczeństwo danych przechowywanych przez 16E sp. z o.o. nazywanej dalej Archivodata.

Polityka bezpieczeństwa informacji

Dane osobowe w stacji demontażu. Marcin Witaszek Polski Związek Przemysłu Motoryzacyjnego

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Ocena skutków przetwarzania

UMOWA powierzenia przetwarzania danych osobowych, zwana dalej Umową

Nowe przepisy i zasady ochrony danych osobowych

PODSTAWY PRZETWARZANIA DANYCH KANDYDATÓW DO PRACY W NOWYM PROJEKCIE KODEKSU PRACY. r.pr. Patrycja Kozik

Ochrona danych osobowych

POLITYKA BEZPIECZEŃSTWA. w spółce W.EG Polska sp. z o.o. z siedzibą we Wrocławiu

ZAŁĄCZNIK SPROSTOWANIE

UMOWA O UDOSTĘPNIANIE DANYCH OSOBOWYCH. reprezentowanym przez Dyrektora [ ], zwanym dalej jako Przedszkole Nr ; a

Polityka Ochrony Danych Osobowych. w Luxe Property S.C.

Opracowanie dotyczące zasad ochrony danych osobowych po zmianach wprowadzanych przez rozporządzenie RODO

Chroń Dane Osobowe. Personal Data Protection Officer. Konrad Gałaj-Emiliańczyk

ECDL RODO Sylabus - wersja 1.0

Polityka Bezpieczeństwa w zakresie przetwarzania danych osobowych

3) ograniczenie przetwarzania oznacza oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania;

BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH

INSTRUKCJA POSTĘPOWANIA W SYTUACJI STWIERDZENIA NARUSZENIA OCHRONY DANYCH OSOBOWYCH

Zarządzanie ryzykiem w bezpieczeństwie informacji

POLITYKA BEZPIECZEŃSTWA INFORMACJI W ZAKRESIE OCHRONY DANYCH OSOBOWYCH

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

XVI Forum Szpitali Ochrona danych osobowych w kontekście wejścia w życie unijnych regulacji

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Polityka Bezpieczeństwa Danych Osobowych

METODYKA SZACOWANIA I OCENY RYZYKA BEZPIECZEŃSTWA INFORMACJI W URZĘDZIE MIEJSKIM W BIELSKU-BIAŁEJ

PORADNIK PRAWNY DOTYCZĄCY STOSOWANIA W APTECE PRZEPISÓW RODO

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

POLITYKA BEZPIECZEŃSTWA INFORMACJI

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Polityka bezpieczeństwa i instrukcja zarządzania czy trzeba je prowadzić zgodnie z RODO

POLITYKA BEZPIECZEŃSTWA PRZETWARZANIA DANYCH OSOBOWYCH w Dworek Bielin Sp. z o.o.

UMOWA O POWIERZENIE PRZETWARZANIA DANYCH

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

POLITYKA BEZPIECZEŃSTWA INFORMACJI W MELACO SP. Z O.O.

Polityka bezpieczeństwa informacji w Fundacji UPGRADE POLITYKA BEZPIECZEŃSTWA INFORMACJI. Fundacja UPGRADE. ulica Deszczowa Gdynia

ISO bezpieczeństwo informacji w organizacji

POLITYKA BEZPIECZEŃSTWA

POLITYKA BEZPIECZEŃSTWA

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

Umowa wzajemnego powierzenia przetwarzania danych przy realizacji zlecenia transportowego

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Transkrypt:

Data Protection Impact Assessment (DPIA) Metodyka zarządzania ryzykiem w ochronie danych osobowych Warszawa 2017

Kilka słów o Fundacji Celem Fundacji Bezpieczeństwa Informacji Polska jest podejmowanie działań na rzecz: a) wspierania bezpieczeństwa informacyjnego i cyberprzestrzeni w Polsce; b) budowania świadomości w zakresie bezpieczeństwa oraz świadomego wykorzystania Internetu; c) przeglądu skuteczności i efektywności stosowanych zabezpieczeń, w tym projektowanie i propagowanie nowych rozwiązań organizacyjnych i technicznych powodujących wzrost bezpieczeństwa w kraju.

Data Protection Impact Assessment (DPIA) Podstawa prawna: Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych Art. 35 Ocena skutków dla ochrony danych

Cel Zarządzania ryzykiem w danych osobowych Art. 35, ust. 1 Jeżeli dany rodzaj przetwarzania w szczególności z użyciem nowych technologii ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

Zakres realizacji oceny skutków dla ochrony danych Zarządzania ryzykiem w danych osobowych Art. 35, ust. 7. Ocena zawiera co najmniej: a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie prawnie uzasadnionych interesów realizowanych przez administratora; b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów; c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy. Szkolenie CPI, 09.02.2017

Oczekiwany rezultat Zarządzania ryzykiem w danych osobowych Art. 24, ust. 1 Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane. Szkolenie CPI, 09.02.2017

Modele zarządzania ryzykiem ochrony danych osobowych

Określenie kontekstu przetwarzania Celem kontekstu przetwarzania jest określenie i udokumentowanie: a) charakteru przetwarzania danych osobowych; b) zakresu przetwarzania w stosunku do celów, w których dane są przetwarzane; c) kontekstu, w którym zebrano dane osobowe; d) celu przetwarzania; e) odbiorców i przetwarzających dane osobowe; f) okresu przechowywania danych osobowych; g) operacji przetwarzania; h) aktywów wykorzystywanych do operacji przetwarzania.

Modele zarządzania ryzykiem ochrony danych osobowych

Przykłady rodzajów operacji przetwarzania danych mogących powodować wysokie ryzyko Ocena lub punktacja, w tym profilowanie i przewidywanie; Automatyczne podejmowanie decyzji o skutku prawnym lub podobnym; Systematyczne monitorowanie; Dane osobowe wrażliwe; Dane przetwarzane na dużą skalę; Zestawy danych, które zostały dopasowane lub połączone; Pozbawienie osób fizycznych przysługujących praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi; Innowacyjne wykorzystanie lub stosowanie rozwiązań technologicznych lub organizacyjnych; Przesyłanie danych poza granice Unii Europejskiej; Uniemożliwienie osobie fizycznej korzystania z prawa lub korzystania z usługi lub umowy.

Modele zarządzania ryzykiem ochrony danych osobowych

Ocena konieczności i proporcjonalności przetwarzania danych W celu oceny konieczności i proporcjonalności przetwarzania danych należy zweryfikować i udokumentować czy: a) dane osobowe zbierane są w konkretnych, wyraźnych i prawnie uzasadnionych celach; b) dane osobowe przetwarzane są zgodnie z prawem; c) dane osobowe są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane; d) został ograniczony czas przechowywania danych; e) w przypadku zbierania danych zapewnione są odpowiednie środki, aby udzielić osobie, której dane dotyczą, wszelkich informacji; f) ograniczono liczbę odbiorców danych; g) ograniczono liczbę podmiotów przetwarzających dane (procesorów); h) przeprowadzono uprzednie konsultacje z organem nadzorującym.

Modele zarządzania ryzykiem ochrony danych osobowych

Ocena ryzyka naruszenia praw i wolności osób fizycznych 1 2 4 5 3 6

Analiza i ocena aktywów wykorzystywanych do operacji przetwarzania W ramach przetwarzania danych należy zidentyfikować i zinwentaryzować aktywa lub grupy aktywów wykorzystywane do realizacji operacji przetwarzania danych osobowych. Wyróżnia się następujące kategorie aktywów: a) procesy i działania biznesowe seria powiązanych ze sobą działań lub zadań, które realizują operacje przetwarzania danych osobowych lub prowadzą do osiągnięcia celu przetwarzania danych b) personel - wszystkie grupy osób zaangażowane w przetwarzanie danych tj.: decydenci, użytkownicy, personel eksploatacji/utrzymania, twórcy oprogramowania; c) sprzęt - wszelkie urządzenia fizyczne w organizacji tj.: urządzenia przenośne, stacjonarne, peryferyjne, nośniki danych; d) siedziba - wszelkie lokalizacje wykorzystywane do przetwarzania danych oraz środki fizyczne potrzebne do ich funkcjonowania tj. siedziba, strefy bezpieczeństwa, usługi komunalne i techniczne; e) oprogramowanie - wszelkie programy uczestniczące w operacjach przetwarzania danych tj.: systemy operacyjne, aplikacje biznesowe, oprogramowania usługowe, utrzymaniowe lub administracyjne; f) sieć - wszystkie urządzenia telekomunikacyjne używane do połączenia wielu fizycznie oddalonych komputerów lub elementów systemu informacyjnego, tj.: media i usługi wspierające, przekaźniki aktywne lub pasywne, interfejsy komunikacyjne; g) organizacja - wszystkie struktury ludzkie przypisane do przetwarzania danych osobowych oraz procedury sterujące tymi strukturami, tj.: organy władzy, struktura organizacji, podwykonawcy (procesorzy), dostawcy, producenci; h) informacje - dane przetwarzanie w wersji elektronicznej lub papierowej.

Analiza i ocena zagrożeń aktywów wykorzystywanych do operacji przetwarzania Dla zidentyfikowanych aktywów lub/i grup aktywów wykorzystywanych do operacji przetwarzania danych należy przypisać zagrożenia, które mogą oddziaływać na naruszenie praw i wolności osób fizycznych. Zagrożenie należy rozumieć jako potencjalną przyczynę niepożądanego incydentu, która może wywołać naruszenie praw i wolności osób fizycznych. Zniszczenia fizyczne Nazwa zagrożenia Utrata podstawowych usług Naruszenie praw i wolności osób fizycznych Przypadkowe lub niezgodne z prawem zniszczenie danych Utracenie danych Nieuprawnione zmodyfikowanie danych Nieuprawnione ujawnienie danych Nieuprawniony dostęp do danych osobowych przesyłanych Nieuprawniony dostęp do danych przechowywanych Nieuprawniony sposób przetwarzania danych Naruszenie bezpieczeństwa informacji Przechwycenie sygnałów na skutek zjawiska interferencji Szpiegostwo zdalne Podsłuch Kradzież nośników lub dokumentów Kradzież urządzenia Odtworzenie z powtórnie wykorzystanych lub wyrzuconych nośników Ujawnienie Dane z niewiarygodnych źródeł Manipulowanie urządzeniem Sfałszowanie oprogramowania Detekcja umiejscowienia Awarie techniczne Awaria urządzenia Niewłaściwe funkcjonowanie urządzeń Przeciążenie systemu informacyjnego Niewłaściwe funkcjonowanie oprogramowania Nieautoryzowane działania Nieautoryzowane użycie urządzeń Nieuprawnione kopiowanie oprogramowania Użycie fałszywego lub skopiowanego oprogramowania Zniekształcenie danych Naruszenie bezpieczeństwa funkcji Nielegalne przetwarzanie danych Błąd użytkowania Naruszenie praw Fałszowanie praw Odmowa działania Naruszenie dostępności personelu Zagrożenia osobowe Haker (włamanie do systemu)

Analiza i ocena skutków urzeczywistnienia się zagrożeń Dla każdego zagrożenia zidentyfikowanego w ramach aktywa lub/i grupy aktywów wykorzystywanych do operacji przetwarzania danych, należy przeanalizować wpływ (skutki) na zmaterializowanie się zagrożeń w kontekście naruszenia praw i wolności osób fizycznych. Lp. Katalog skutków naruszenia praw i wolności osób fizycznych 1 Dyskryminacja 2 Kradzież tożsamości lub oszustwo dotyczące tożsamości 3 Strata finansowa 4 Naruszenie dobrego imienia 5 Naruszenie poufności danych osobowych chronionych tajemnicą zawodową 6 Nieuprawnione odwrócenie pseudonimizacji 7 Wszelka inna znacząca szkoda gospodarcza lub społeczna Oceny skutków naruszenia praw i wolności osób fizycznych Wartość (S) Nazwa Opis 3 Wysokie Skutki mogą prowadzić do wysokiego uszczerbku fizycznego, szkód majątkowych lub niemajątkowych dla osób fizycznych 2 Niskie do Skutki mogą prowadzić do uszczerbku fizycznego, szkód majątkowych lub średniej niemajątkowych dla osób fizycznych, jednakże nie są one wysokie. 0 Nie dotyczy Wskazane skutki w kontekście urzeczywistnienia się analizowanego zagrożenia nie występują.

Analiza i ocena podatności aktywów wykorzystywanych do operacji przetwarzania Dla każdego zagrożenia zidentyfikowanego w ramach aktywa lub/i grupy aktywów wykorzystywanych do operacji przetwarzania danych należy przypisać podatności. Podatność należy rozumieć jako źródło zagrożenia, słabość lub lukę aktywa lub zabezpieczania, która może być wykorzystana do urzeczywistniania się zagrożenia. Ocena możliwości wykorzystania podatności Wartość (P Pod ) Nazwa Opis 3 Bardzo podatne Podatność występuje często w przeciągu roku lub regularnie. 2 Podatne Podatność wystąpiła w ostatnim roku lub zdarza się nieregularnie. 1 Mało podatne Podatność nie wystąpiła w przeciągu ostatnich 2-3 lat (mogło wydarzyć się wcześniej). 0 Nie podatne Nie odnotowano wystąpienia podatności. Rodzaj aktywa Organizacja Sieć Oprogramowanie Personel Sprzęt Siedziba Przykład podatności Brak opracowanych, aktualizowanych lub testowanych planów ciągłości działania Brak dokumentacji technicznej systemów Brak dokumentacji wymaganej prawem Brak dzienników operatorów Brak kontroli zmian Brak listy osób upoważnionych do dostępu do przetwarzania danych osobowych Brak procedur dostępu do pomieszczeń Brak opracowanych lub aktualizowanych procedur eksploatacyjnych Brak procedur wymiany danych i oprogramowania Brak procedury monitorowania użycia urządzeń do przetwarzania informacji Brak ustanowionych mechanizmów monitorowania naruszeń bezpieczeństwa Brak wymagań bezpieczeństwa w procesach rozwojowych Niedostateczne procedury kontroli zmian Brak zabezpieczenia linii telekomunikacyjnych Brak zabezpieczenia transmisji danych osobowych Transmitowanie haseł w jawnej postaci Brak aktualizacji oprogramowania (usługi sieciowe i systemy operacyjne) Brak kontroli pobieranego oprogramowania Brak lub niedostateczne mechanizmy 'patch management' Brak lub niewystarczające procedury testowania oprogramowania Brak mechanizmów identyfikacji i uwierzytelniania Brak mechanizmów monitorowania aktywności użytkowników (logowania zdarzeń) Brak sformułowanych wymagań bezpieczeństwa dla tworzonych aplikacji Niedostateczne zarządzanie hasłami (hasła łatwe do odgadnięcia) Przechowywanie haseł w jawnej postaci, niedostateczna częstotliwość zmiany haseł Brak kontroli kopiowanych danych Niewłaściwe skonfigurowane aplikacje, usługi lub systemy operacyjne Skomplikowany interfejs użytkownika Użytkowanie usług powszechnie uznanych za niegwarantujące bezpieczeństwa Znane błędy (dziury), podatności w oprogramowaniu lub bazach danych Brak regularnych audytów Brak wykonywanych regularnie procedur nadzoru Brak wymagań bezpieczeństwa na stanowiskach pracy Brak wyznaczonych osób odpowiedzialnych za systemy, procesy i zasoby Niewłaściwy przydział uprawnień dostępu Praca pracowników podmiotów zewnętrznych bez nadzoru Przechowywanie kopii w miejscu wytworzenia Absencja personelu Brak stosowania polityki czystego biurka i ekranu Brak wylogowania się przy opuszczaniu miejsca pracy Brak szkoleń w zakresie bezpieczeństwa Brak testowania urządzeń zasilających Brak alternatywnych dróg połączenia Brak kopii zapasowych/archiwalnych Niewłaściwe przygotowywanie nośników do ponownego użycia Niewłaściwe wycofywanie nośników z użycia Niewłaściwe zabezpieczenie okablowania Pojedynczy punkt uszkodzenia (brak rezerwy) Brak elektronicznej kontroli dostępu Brak fizycznej ochrony budynków, drzwi, okien Brak gwarantowanego zasilania

Ocena prawdopodobieństwa urzeczywistnienia się zagrożenia Każde zagrożenie zidentyfikowane w ramach aktywa lub/i grupy aktywów wykorzystywanych do operacji przetwarzania, przy uwzględnieniu zidentyfikowanych podatności i istniejących zabezpieczeń, należy ocenić w kontekście prawdopodobieństwa urzeczywistnienia się zagrożenie. Ocena prawdopodobieństwa wystąpienia zagrożenia Wartość (S) Nazwa Opis 5 Niemal pewne 4 3 2 1 Wysoce prawdopodobne Bardzo prawdopodobne Średnio prawdopodobne Mało prawdopodobne Istnieją racjonalne przesłanki by ocenić, że zagrożenie zmaterializuje się w najbliższym czasie (prawie na 90%). Istnieją racjonalne przesłanki by ocenić, że zagrożenie raczej się zmaterializuje, istnieje więcej niż połowa szans na wystąpienie. Materializowało się w przeciągu ostatniego roku. Wystąpienie zagrożenia jest realne, lecz nie przekracza 50% prawdopodobieństwa. Materializowało się sporadycznie w przeszłości (w ciągu ostatnich 2 lat) Zagrożenie może wystąpić sporadycznie. Materializowało się sporadycznie w przeszłości (w ciągu ostatnich 3 lat). Zagrożenie raczej nie wystąpi lub możliwość jego wystąpienia jest znikoma (bliska zeru). Zagrożenie nie materializowało się w przeszłości.

Ocena prawdopodobieństwa Ocena powagi ryzyka naruszenia praw i wolności osób fizycznych Ocena powagi ryzyka naruszenia praw i wolności osób fizycznych oblicza się na podstawie niniejszego wzoru: R = S P Pod P Pb gdzie: R Ocena powagi ryzyka naruszenia praw i wolności osób fizycznych S Ocena skutków naruszenia praw i wolności osób fizycznych P Pod - Ocena podatności aktywów wykorzystywanych do operacji przetwarzania; P Pb Ocena prawdopodobieństwa urzeczywistnienia się zagrożenia Ocena skutków x Ocena podatności 2 3 4 6 9 1 2 3 4 6 9 2 4 6 8 12 18 3 6 9 12 18 27 4 8 12 16 24 36 5 10 15 20 30 45 Poziom Skala wartości Opis Niskie ryzyko od 2 do 16 Ryzyka akceptowane, niewymagające dalszego postępowania. Wysokie ryzyko od 18 do 45 Ryzyka nieakceptowane, wymagające zastosowania postępowania z ryzykiem

Modele zarządzania ryzykiem ochrony danych osobowych

Postępowanie z ryzykiem Celem postępowania z ryzykiem jest dokonanie wyboru wariantu postępowania z ryzykiem oraz zaplanowanie zabezpieczeń organizacyjnych i technicznych mających zapewnić ochronę danych osobowych i wykazać zgodność z RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób fizycznych, których dane dotyczą, i innych osób fizycznych, których sprawa dotyczy. Źródło: ISO 27005

Przykłady środków przyczyniających się do ograniczenia ryzyka naruszenia praw i wolności osób fizycznych W celu zapewniania ograniczenia ryzyka naruszenia praw i wolności osób fizycznych należy dobrać adekwatne zabezpieczenia wynikające z dobrych praktyk opisanych w normie PN-ISO/IEC 27002:2014-12. Norma ta, jako zbiór dobrych praktyk, opisuje zabezpieczenia organizacyjne i techniczne, które mogą pomóc w ochronie informacji w organizacji w podziale na: a) Cele stosowania zabezpieczeń informacja jaki cel ma osiągnąć wdrożenie zabezpieczenia lub grupy zabezpieczeń; b) Zabezpieczenia opis zabezpieczenia, które wspiera osiągniecie celu stosowania zabezpieczenia; c) Wskazówki dotyczące wdrożenia dodatkowe informacje wspierające prawidłowe zaprojektowanie i wdrożenia zabezpieczenia w organizacji; d) Inne informacje informacje pomocnicze, o których warto pamiętać przy stosowaniu zabezpieczenia.

Modele zarządzania ryzykiem ochrony danych osobowych

Informowanie o ryzyku i konsultacje W proces informowania o ryzyku i konsultacjach powinny być zaangażowane wszystkie strony zainteresowane na każdym etapie procesu zarządzania ryzykiem ochrony danych osobowych, tj.: administrator danych; inspektor danych osobowych lub inne osoby powołane przez administratora danych odpowiedzialne za ochronę danych osobowych w organizacji; właściciele zasobów wykorzystywanych do realizacji operacji przetwarzania danych osobowych; właściciele procesów odpowiedzialnych za weryfikację: zgodności w wymaganiami prawnymi oraz regulacjami wewnętrznymi; skuteczności wdrożenia i efektywności utrzymania ochrony danych osobowych w organizacji; organ nadzorczy odpowiedzialny za ochronę danych osobowych w organizacji; osoby fizyczne, których dane osobowe dotyczą. W stosownych przypadkach zaleca się zasięganie opinii niezależnych ekspertów różnych zawodów, tj. prawników, informatyków, ekspertów ds. bezpieczeństwa.

Konsultacje z organem nadzorczym Jeżeli po przeprowadzeniu postępowania z ryzykiem, czyli po zastosowaniu środków minimalizujących ryzyko związanych z: a) koniecznością i proporcjonalnością przetwarzania danych lub/i b) wysokim ryzkiem naruszenia praw i wolności osób fizycznych, nadal nie ma możliwość zmitygowania ryzyka do poziomu akceptowalnego i zapewnienia zgodności z wymaganiami RODO to przed rozpoczęciem przetwarzania administrator musi skonsultować się z organem nadzorczym.

Modele zarządzania ryzykiem ochrony danych osobowych

Monitorowanie i przegląd ryzyka Monitorowanie i przegląd mechanizmów ochrony danych osobowych powinien być realizowany na każdym etapie procesu zarządzania ryzykiem ochrony danych osobowych, tj.: Weryfikacji, czy kontekst przetwarzania danych nie uległ zmianie lub planowane są jego modyfikacje, np. wdrożenie nowej technologii lub rozwiązań biznesowych, co może powodować realizację nowych operacji przetwarzania danych lub/i modyfikację aktywów wykorzystywanych do przetwarzania danych; Weryfikacji, czy operacje przetwarzania, wyłączone z przeprowadzenia oceny skutków, aktualnie nie powodują wysokiego ryzyka naruszenia praw i wolności osób fizycznych; Weryfikacji, czy organ nadzorczy ustanowił nowy lub zaktualizował wykaz rodzajów operacji przetwarzania podlegających i niepodlegających wymogowi dokonania oceny skutków dla ochrony danych; Weryfikacji, czy nie zmieniły się lub planowane są zmiany warunków przyczyniających się do konieczności i proporcjonalności przetwarzania danych; Weryfikacji, czy zidentyfikowane ryzyka naruszenia praw i wolności osób fizycznych są wciąż adekwatne; Weryfikacji, czy zastosowane zabezpieczenia lub/i ograniczenie przetwarzania danych są skuteczne i nadal oddziaływują na minimalizację ryzyka;

Administrator danych Inspektor danych osobowych lub inna osoba/osoby Właściciele zasobów Właściciele procesów odpowiedzialnych za weryfikację Organ nadzorujący Eksperci Role i odpowiedzialności Krok Działanie Rola i odpowiedzialność Podział ról i odpowiedzialności zaangażowanych w realizację procesu zarządzania ryzykiem ochrony danych osobowych został przedstawiona na podstawie modelu RACI. RACI jest skrótem dla: R - Osoba odpowiedzialny za realizację zadań (ang. Responsible); A - Osoba nadzorująca i zatwierdzająca realizację zadań (ang. Approver); C - Osoba konsultująca i doradzająca w realizacji zadań (ang. Consulted); I - Osoba informowana o prowadzonych działaniach oraz niewpływająca na realizację zadań (ang. Informed); 1. Określenie kontekstu przetwarzania A R C I 2. 3. 4. 5. Ocena, czy rodzaj operacji przetwarzania danych może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych Ocena, czy rodzaj operacji przetwarzania danych zwolniony jest z przeprowadzenia oceny skutków dla danych osobowych Ocena konieczności i proporcjonalności przetwarzania danych Ocena ryzyka naruszenia praw i wolności osób fizycznych A R C I A R A R C I C C A R R C C C 6. Ocena, czy ryzyko jest akceptowalne AR R I C C C 7. Przeprowadzenie postępowania z ryzykiem A R R C C 8. 9. 10. Ocena, czy ryzyko szczątkowe jest akceptowalne Informowanie o ryzyku lub/i przeprowadzenie konsultacji Nie ma potrzeby przeprowadzenia oceny skutków dla ochrony danych osobowych AR R I C C C A R R R R R 11. Monitorowanie i przegląd ryzyka A R R R AR

Rekomendacja D i M KNF Krajowy system cyberbezpiecz eństwa Zarządzanie Bezpieczeńst wem Informacji Zarządzanie Ciągłością Działania Zarządzanie jakością Obszary zarządzania ryzykiem w organizacji Zarządzanie ryzykiem Krajowe Ramy Interoperacyj ności Zarządzanie projektami Ochrona danych osobowych Kontrola zarządcza Informacje niejawne

Informowanie o metodyce Dokument oparty o licencje Creative Commons typu CC BY-NC-ND Licencja ta pozwala na pobieranie utworu i dzielenie się nim z innymi, tak długo jak autorstwo zostaje uznane, a utwór nie jest modyfikowany lub wykorzystywany komercyjnie. Rozpowszechnianie utworu w celach komercyjnych jest możliwe po zyskaniu zgody Fundacji Bezpieczeństwa Informacji Polska. Wszelkie uwagi, sugeruje lub możliwości doskonalenia dokumentu proszę zgłaszać na adres e-mail: kamil.pszczolkowski@fbipolska.pl

Dziękuję za uwagę kamil.pszczolkowski@fbipolska.pl

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres