Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów Prowadzący: Artur Cieślik MBA, IRCA lead auditor ISO/IEC 27001, redaktor naczelny IT Professional artur.cieslik@politykabezpieczenstwa.com.pl
Zagadnienia ochrony danych osobowych ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) Zgodnie z art. 99 ogólnego rozporządzenia o ochronie danych, rozporządzenie wchodzi w życie 20. dnia po publikacji w Dzienniku Urzędowym UE, a będzie stosowane od dnia 25 maja 2018 r.
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym między innymi w stosownym przypadku: zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania.
Przetwarzanie oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych: w sposób zautomatyzowany lub niezautomatyzowany; takich jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie; poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk for the purposes of Regulation 2016/679
PN-ISO/IEC 27005:2014-01 stosuje się w odniesieniu do zarządzania ryzykiem w bezpieczeństwie informacji. PN-ISO/IEC 27002:2014-12 stosuje się w odniesieniu do ustanawiania zabezpieczeń. Z praktyki w zakresie zarządzania ryzykiem wchodzą: metoda procedura wybranie właścicieli ryzyk prowadzenie rejestru ryzyk raportowanie monitorowanie
PN-ISO/IEC 27005:2014-01
Możemy skorzystać ze sprawdzonej praktyki szacowania ryzyka. National Institute of Standards and Technology Guide for Conducting Risk Assessments (NIST Special Publication 800-30 Revision 1)
Guide for Conducting Risk Assessments (NIST Special Publication 800-30 Revision 1)
Identyfikacja zasobów, procesów, operacji, technologii służących do przetwarzania Opis zdarzeń mogących mieć wpływ na PID Szacowanie poziomu prawdopodobieństwa zdarzeń Szacowanie poziomu wpływu zdarzeń na PID Szacowanie poziomu ryzyka
Opis ryzyka Zagrożenie Podatność Zasoby Poziom prawdopodobieństwa Poziom wpływu Właściciel
Obszary identyfikacji ryzyka Sprzęt Oprogramowanie Ludzie Procesy Środowisko
Kontrola dostępu użytkowników. Podatność: hasła słabej jakości Zagrożenie: dostęp osób nieupoważnionych do danych w systemie Wartość ryzyka (R) Prawdopodobieństwo wystąpienia (Pr) Wpływ, poziom strat (S) R = Pr * S
Kontrola dostępu użytkowników. Podatność: hasła słabej jakości Zagrożenie: dostęp osób nieupoważnionych do danych w systemie Zabezpieczenie: wymuszana polityka haseł za pomocą funkcji w oprogramowaniu Wartość ryzyka (R) Prawdopodobieństwo wystąpienia (Pr) Wpływ, poziom strat (S) R = Pr * S
Literatura: Privacy Impact Assessment Framework for data Protection and privacy rights Recommendations for a privacy impact assessment framework for the European Union. Brussels London, November 2012. PN-ISO/IEC 27005:2014-01 Zarządzanie ryzykiem w bezpieczeństwie informacji NIST Special Publication 800-30 Revision 1 Guide for Conducting Risk Assessments Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is likely to result in a high risk for the purposes of Regulation 2016/679
Dziękuję za uwagę a r t u r. c i e s l i k @ p o l i t y k a b e z p i e c z e n s t w a. c o m. p l