W jaki sposób należy szacować ryzyko zgodnie z RODO

Przepisy ogólnego rozporządzenia o ochronie danych (RODO) nie narzucają określonej metodyki przeprowadzania procesu zarządzania ryzykiem. Jest jednak kilka metod, z których można czerpać inspiracje i dobre przykłady do tworzenia własnych rozwiązań. Przykłady tych metod można znaleźć m.in. w:

• normach ISO/IEC6,
• dokumencie PIA Methodology CNIL June 20157,
• dokumentach ISACA8.

Szacowanie ryzyka można przeprowadzić w następujący sposób:

Krok 1.1. Określenie informacji i uwarunkowań związanych z działaniem organizacji.

Określenie czynników zewnętrznych i wewnętrznych związanych z działalnością organizacji, np. informacji dotyczących:

• środowiska prawnego,
• środowiska społecznego,
• środowiska politycznego,
• zasięgu terytorialnego działalności organizacji.

Krok 1.2. Szczegółowy opis przetwarzanych danych i ich klasyfikacja.

Identyfikacja i kwalifikacja wszystkich aktywów organizacji, które wiążą się z przetwarzaniem danych osobowych. Do aktywów można np. zaliczyć:

• posiadaną wiedzę,
• personel,
• oprogramowanie,
• inne środki techniczne i organizacyjne związane z przetwarzaniem danych.

Na tym etapie trzeba ustalić:

• kto i za co ponosi odpowiedzialność w danej organizacji,
• kryteria oraz skalę, które będą wykorzystywane do określania wartości wszystkich zidentyfikowanych aktywów (np. koszty utraty danych, koszty związane z nałożonymi karami).

Krok 1.3. Szczegółowy opis stosowanych zabezpieczeń i innych ograniczeń.

Należy zebrać informacje na temat istniejących zabezpieczeń. W celu określania istniejących zabezpieczeń można wykorzystać:

• regulacje już funkcjonujące w organizacji (np. polityki, regulaminy i instrukcje),
• dokumentację wdrożonych rozwiązań technicznych i fizycznych.

Krok 1.4. Określenie kryteriów akceptacji ryzyka.

Kryteria akceptacji ryzyka definiuje się zwykle przez wartość progową, np. przy przedziałach ryzyka w zakresie 0–2, 3–5 oraz 6–8 jako akceptowalną wartość ryzyka można przyjąć np. wartość mniejszą od 2.

Krok 2.1. Identyfikacja wymagań wobec procesów przetwarzania danych w kontekście konkretnych celów działalności administratora.

Dla każdego procesu przetwarzania danych należy sprawdzić, czy dane osobowe są przetwarzane zgodnie z ogólnym rozporządzeniem o ochronie danych.

Krok 2.2. Wymagania dotyczące zastosowania środków kontroli i bezpieczeństwa oraz stopień ich wypełnienia.

Na tym etapie należy opisać wymagania w zakresie kontroli przetwarzania danych oraz wymagania w zakresie zapewnienia im bezpieczeństwa wynikające z przepisów ogólnego rozporządzenia o ochronie danych, norm w zakresie bezpieczeństwa, a także przepisów sektorowych związanych z branżą, w której działalność prowadzi administrator danych lub podmiot przetwarzający. Wymagania te powinny być skonfrontowane z działaniami i faktami potwierdzającymi ich spełnienie w odniesieniu do ocenianych czynności.

Krok 3.1. Identyfikacja zagrożeń.

Zagrożenie może być uszczegółowione przez podanie pochodzenia (np. zagrożenie mechaniczne, zagrożenie elektryczne) albo charakteru potencjalnej szkody (np. ujawnienie poufnych danych). W analizie zagrożeń wykorzystuje się różne klasyfikacje, np. zagrożenia można podzielić ze względu na lokalizację źródła zagrożenia oraz ze względu na jego przyczynę. W powyższej klasyfikacji wyróżnia się zagrożenia wewnętrzne (np. działania pracownika, awaria systemu spowodowana brakiem zasilania) i zewnętrzne (np. atak DDoS). W przypadku drugiej klasyfikacji zagrożenia mogą być następstwem działań człowieka (przypadkowe lub umyślne) lub wynikać z przyczyn naturalnych (środowiskowych).

Krok 3.2. Identyfikacja występujących podatności.

Można wyróżnić wiele podatności związanych ze sprzętem, oprogramowaniem, siecią, personelem, siedzibą i organizacją, np.:

• oprogramowanie: brak mechanizmów uwierzytelniania, brak aktualnych poprawek bezpieczeństwa,
• sieć: brak szyfrowania transmisji, brak redundancji sprzętu.

W przypadku aktywu, jakim jest zbiór danych osobowych, podatnością może być sam fakt wykorzystania tych danych w innym celu niż zamierzony.

Krok 3.3. Analiza i ocena następstw zmaterializowania się zagrożeń.

Podczas identyfikacji następstw przygotowuje się listy scenariuszy incydentów (niepożądanych lub niespodziewanych zdarzeń). Scenariusz powinien opisywać sposób, w jaki dane zagrożenie może wykorzystać określoną podatność oraz przedstawiać jego skutki.

Krok 3.4. Szacowanie poziomu ryzyka.

W ramach szacowania ryzyka urzeczywistnienia się zidentyfikowanych zagrożeń w każdym scenariuszu jest wykonywana ocena prawdopodobieństwa jego zajścia oraz szacowanie skutków jego zmaterializowania się.

Krok 3.5. Określenie listy zidentyfikowanych ryzyk.

Wdrożenie postępowań szczegółowych.

Przykłady postępowań według normy ISO/IEC 27005:

• modyfikowanie (redukcja) ryzyka – polega na obniżeniu poziomu ryzyka (np. poprzez zmianę prawdopodobieństwa wystąpienia określonego zdarzenia lub zmniejszenie skutków jego wystąpienia),
• zachowanie (akceptacja) ryzyka – świadoma i obiektywna decyzja o niewprowadzaniu żadnych zmian w działaniu organizacji (zabezpieczeń), jeżeli poziom ryzyka spełnia przyjęte kryteria akceptowania ryzyka,
• unikanie ryzyka – unikanie przez organizację działań, które powodują powstanie określonych typów ryzyka, np. w przypadku gdy zidentyfikowane ryzyka są zbyt wysokie lub koszt wdrożenia zabezpieczeń nie jest adekwatny do zysków,
• dzielenie (przeniesienie) ryzyka – wykupienie ubezpieczenia od jakiegoś zdarzenia lub scedowanie skutków ryzyka na inny podmiot.

Ocena ryzyka powinna polegać na wielokrotnym (cyklicznym) powtarzaniu etapów przedstawionych powyżej.

Podstawa merytoryczna:

• poradnik Generalnego Inspektora Ochrony Danych Osobowych „Jak rozumieć podejście oparte na ryzyku”,
• poradnik Generalnego Inspektora Ochrony Danych Osobowych „Jak stosować podejście oparte na ryzyku”.