Archiwalny

Zastanawiasz się, jakie środki bezpieczeństwa wdrożyć? Przeprowadź analizę ryzyka

Wojciech Rudzki

Autor: Łukasz Onysyk

Dodano: 30 stycznia 2017
Dokument archiwalny
Zastanawiasz się, jakie środki bezpieczeństwa wdrożyć? Przeprowadź analizę ryzyka

Przepisy zobowiązują administratorów danych, aby zastosowali środki bezpieczeństwa odpowiednie m.in. do zagrożeń. Zastanawiasz się, jak ustalić, jakie środki będą odpowiednie? Przeprowadź analizę ryzyka. Dzięki niej dowiesz się, przed czym i w jaki sposób musisz zabezpieczyć dane. Dowiedz się, jak wykonać analizę ryzyka.

Analiza ryzyka to kluczowa kwestia dla ochrony danych osobowych w każdej organizacji. W jej trakcie staramy się ustalić ryzyka oraz udzielić odpowiedzi na pytania związane z naruszeniem ustawy o ochronie danych osobowych, takie jak:

  • Do jakich naruszeń może dojść?
  • Jakie są szanse, że dojdzie do naruszenia?
  • Jakie skutki dla procesu przetwarzania danych będzie miało naruszenie?
  • Jak można je ograniczyć?

Dlaczego musisz przeprowadzić analizę ryzyka

Analiza ryzyka jest niezbędna chociażby do przygotowania takich dokumentów, jak polityka bezpieczeństwa czy instrukcja zarządzania systemem informatycznym. Co prawda ustawa o ochronie danych osobowych (uodo) wprost nie zobowiązuje cię do przeprowadzenia analizy ryzyka, jednakże możesz w jej treści znaleźć pewne odwołania do tego zagadnienia.

Zgodnie z art. 36 uodo, jako administrator danych, powinieneś zastosować odpowiednie środki techniczne i organizacyjne w celu zabezpieczenia danych osobowych przed ich utratą, uszkodzeniem lub zniszczeniem. Z przytoczonego artykułu wynika, że musisz wdrożyć odpowiednie środki zabezpieczające dane osobowe. Jak to zrobić i co ma kluczowy wpływ na ich wybór? Aby odpowiedzieć na to pytanie musisz przeprowadzić analizę ryzyka.

Przy analizie ryzyka, możesz posłużyć się opracowanymi schematami dotyczącymi analizy ryzyka bezpieczeństwa informacji wskazanymi w normach, takich jak np. ISO 27001. Musisz jednak rozszerzyć te metody o pewne kwestie, które nie są w nich standardowo ujęte. Powinieneś np. zweryfikować, czy podczas przetwarzania danych nie dochodzi do naruszenia każdej z zasad przetwarzania danych ujętych w ustawie np. czy dane osobowe są przetwarzane z uwzględnieniem zasady adekwatności. Aby wdrożyć odpowiednie środki bezpieczeństwa, musisz przeprowadzić analizę ryzyka w zależności od profilu, skali oraz zasięgu prowadzonej działalności.

Ważne:

Ryzykiem może być np. możliwość udostępnienia danych osobie nieupoważnionej, przetwarzanie z naruszeniem ustawy oraz zmiana, utrata, uszkodzenie lub zniszczenie danych osobowych.

Analiza ryzyka – jak ją przeprowadzić

Można wyodrębnić dwie podstawowe grupy metod przeprowadzania analizy ryzyka (wzorując się na analizie ryzyka bezpieczeństwa informacji) – metody ilościowe (kwantyfikatywne) oraz metody jakościowe (kwalifikatywne).

Podstawą metod ilościowych są matematyczne obliczenia, w których kluczowymi elementami są wpływ zagrożenia na bezpieczeństwo danych oraz prawdopodobieństwa takiego zdarzenia. Aby przeprowadzić analizę metodą ilościową, musisz mieć dane liczbowe opisujące powyższe elementy (zaczerpnięte z analiz statystycznych i historycznych).

Drugim sposobem przeprowadzenia analizy ryzyka są metody kwalifikatywne. Są znacznie bardziej subiektywne, gdyż ich podstawą jest wiedza i doświadczenie osoby, która przeprowadza tego typu analizę. W metodach jakościowych stosuje się wyniki opisowe, które mogą posiadać liczbowe odpowiedniki (1 – ryzyko bardzo małe, 5 – ryzyko krytyczne itd.). Taką analizę musisz więc poprzedzić audytem, w trakcie którego ustalisz procesy przetwarzania danych, a następnie zweryfikujesz ich podatności na możliwość wystąpienia naruszenia.

Uwaga

Z art. 36 ustawy wynika wprost, że to administrator danych powinien zastosować odpowiednie środki (a nie pracownik administratora danych bądź administrator systemu informatycznego). Oczywiście możesz wyznaczyć inną osobę np. administratora bezpieczeństwa informacji, która przeprowadzić analizę ryzyka, która pomoże ustalić odpowiednie środki.

Co musisz zrobić w pierwszej kolejności

Prowadząc analizę ryzyka, zacznij od ustalenia, jakie rodzaju dane osobowe przetwarzasz. Zweryfikuj przetwarzane dane pod kątem tego, czy stanowią dane wrażliwe, czy też należą do tzw. danych zwykłych. Powinieneś zweryfikować przede wszystkim, czy masz podstawę prawną przetwarzania danych wrażliwych i czy nie zbierasz ich na zapas.

Pamiętaj, że ustawa nie narzuca wyższych standardów zabezpieczenia danych wrażliwych. Pewien wyjątek dotyczy przetwarzania danych wrażliwych w systemach informatycznych, o ile stacja robocza, na której przetwarzane są dane osobowe, nie jest połączona z siecią publiczną (stosujesz wtedy podwyższony poziom bezpieczeństwa).

Z punktu widzenia ustawy wszystkie dane są tak samo ważne. Nie ma więc znaczenia, czy udostępniłeś osobom nieupoważnionym imię, nazwisko, numer telefonu, PESEL, adres zamieszkania, informacje o chorobie czy też wyłącznie adres e-mail.

Na analizę ryzyka ma również wpływ sposób przetwarzania danych. Na inne ryzyka są narażone dane osobowe przetwarzane w systemach informatycznych, a na inne dane przetwarzane w formie papierowej. Zaczynając analizę ryzyka, zweryfikuj, czy zostały wdrożone minimalne środki zabezpieczenia danych osobowych.

Sprawdź, czy zabezpieczasz obszar przetwarzania danych

Zabezpieczenie obszaru przetwarzania jest istotne zarówno w przypadku przetwarzania danych w formie papierowej, jak i elektronicznej. Zagrożenia związane z naruszeniem tego wymogu dotyczą w szczególności dostępu do obszaru przetwarzania danych osób nieupoważnionych.

Osobami nieupoważnionymi będą nie tylko osoby postronne, czy też pracownicy innych organizacji, ale również mogą być to pracownicy twojej organizacji. Na to ryzyko są narażone podmioty, które dzielą obszar przetwarzania danych z innymi, poprzez pracę w open space lub wspólne pomieszczenia, w których znajdują się urządzenia wielofunkcyjne.

Pamiętaj, aby przechowywać dokumenty zawierające dane osobowe w szafkach/szafach zamykanych na klucz, wdrożyć politykę czystych biurek oraz o zastosować inne rozwiązania chroniące dane osobowe w formie papierowej.

Zastosuj kontrolę dostępu

Kontrola dostępu rozumiana jako posiadanie indywidualnego konta w systemie informatycznym dla każdego użytkownika dotyczy wyłącznie przetwarzania danych w formie elektronicznej. Obecnie ten wymóg jest czymś zrozumiałym i powszechnie funkcjonującym. Niestety czasami zapominamy, aby nowym użytkownikom nie nadawać „starych” identyfikatorów albo odbierać uprawnienia do systemów IT.

Zabezpiecz dane przed szkodliwym oprogramowaniem

Mowa tu przede wszystkim o zainstalowaniu oprogramowania antywirusowego na stacjach roboczych. Istotne jest, aby oprogramowanie ściągało automatycznie sygnatury nawet podczas pracy poza siecią LAN.

Zabezpiecz dane przed awarią zasilania

Stacje robocze oraz serwery przetwarzające dane osobowe powinny być zabezpieczone przed awarią zasilania. Tego typu zabezpieczeniem może być podpięcie każdej stacji roboczej lub serwera pod UPS albo pod odrębny obwód zasilania (podtrzymywany osobnym agregatem prądotwórczym).

Stosuje odpowiednie hasła i regularnie je zmieniaj

Hasła do systemów informatycznych powinny się składać (w zależności od koniecznego poziomu bezpieczeństwa) od 6 do 8 znaków. Powinny zawierać małe i wielkie litery, znaki specjalne albo cyfry. Hasła powinny być zmieniane co 30 dni.

Zastosuj zabezpieczenia kryptograficzne

Zabezpieczenia kryptograficzne powinieneś stosować, jeżeli przesyłasz dane osobowe za pomocą sieci publicznej. Jest to szczególnie istotne, jeżeli przesyłasz dane osobowe zawarte w piłkach Excel lub Word. Pamiętaj wówczas o założeniu hasła na taki plik. Może to być co prawda dosyć uciążliwe, ale zadaj sobie pytanie, jak dotkliwa będzie dla ciebie sytuacja, kiedy wyślesz tabelkę zawierającą dane osobowe, nie do tej osoby co trzeba.

Ważne:

Wskazane zabezpieczenia nie są jedynymi, o jakich musisz pamiętać. Nie możesz pominąć również innych obowiązków wynikających z ustawy o ochronie danych osobowych. Zweryfikuj więc, czy masz podstawę prawną do przetwarzania danych osobowych. Jeżeli nie, Generalny Inspektor Ochrony Danych Osobowych może wydać decyzję nakazującą usunięcie przetwarzanych danych, co niewątpliwe rodzi różne ryzyka dla organizacji.

O czym jeszcze musisz pamiętać

Przeprowadzając analizę ryzyka, musisz mieć świadomość, że ryzyko możesz zmniejszyć, ale nie da się go wyeliminować. Dotyczy to w szczególności „błędu ludzkiego”, który jest w mojej ocenie najczęstszym powodem powstawiania incydentów.

Dlatego pamiętaj o szkoleniach dla pracowników, podczas których musisz uczulać ich na możliwe naruszenia i skutki z nich wynikające. Pamiętaj również o tym, aby podczas projektowania procesów przetwarzania danych osobowych uwzględnić dwie zasady, a mianowicie „privacy by design” oraz „privacy by default”.

Pierwsza z nich mówi o konieczności wdrożenia niezbędnych elementów związanych z ochroną danych osobowych już na etapie projektowania procesu. Druga zakłada ochronę danych osobowych, jako domyślne ustawienie każdego procesu przetwarzania danych osobowych. Te zasady są obecnie dobrymi praktykami, ale już niedługo, na mocy ogólnego rozporządzenia o ochronie danych osobowych, będą obowiązkiem.

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922).
Wojciech Rudzki

Autor: Łukasz Onysyk

ekspert ds. ochrony danych osobowych, zajmuje się usługami konsultingowymi z zakresu ochrony danych osobowych, doradzał ponad 200 podmiotom, zarówno z sektora prywatnego jak i administracji publicznej

WIDEOSZKOLENIA »

Bezpieczne przechowywanie danych w chmurze

Bezpieczne przechowywanie danych w chmurze

Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.

14.06.2024 czytaj więcej »

ZMIANY W PRAWIE »

Nasi partnerzy i zdobyte nagrody » 


Nagrody i wyróżnienia» 

Poznaj kluczowe zagadnienia, z jakimi możesz się zetknąć podczas codziennej pracy IODO.
E-kurs dla początkującego Inspektora Danych Osobowych. Rzetelna wiedza i praktyczne ćwiczenia.

24-h bezpłatny test portalu!
Zyskaj pełen dostęp do bazy porad i aktualności!

SPRAWDŹ »

x