Chroń dane osobowe

Dowiedz się jak zgodnie z prawem chronić dane osobowe.

ANALIZA RYZYKA WOBEC ZASOBÓW

Zgodnie z RODO nie istnieje już lista zabezpieczeń, które muszą być obligatoryjnie zastosowane przez organizację. Od 25 maja 2018r. każda organizacja musi ocenić ryzyko wystąpienia zagrożeń wobec danych osobowych i zastosować takie zabezpieczenia jakie będą wynikiem planu postępowania z ryzykiem.

sprawdź jakie ryzyka są w twojej organizacji

Czy twoja organizacja zidentyfikowała ryzyka? Czy analizując ryzyko uwzględniono prawdopodobieństwo i skutek wystąpienia zagrożeń? Zabezpieczenia danych osobowych muszą być adekwatne do istniejących zagrożeń.

ZAKRES USŁUGI

1. INWENTARYZACJA ZASOBÓW

Przeprowadzenie inwentaryzacji zasobów biorących udział w procesach przetwarzania danych osobowych poprzez identyfikację kontekstu organizacji, identyfikacje procesów przetwarzania danych, identyfikacje zasobów biorących udział w procesach oraz przypisanie zasobów do procesów.

2. INWENTARYZACJA ZAGROŻEŃ

Przeprowadzenie identyfikacji zagrożeń wobec poszczególnych zasobów takich jak przypadkowe lub niezgodne z prawem zniszczenie,  utrata,  modyfikacja, ujawnienie, nieuprawniony dostęp do danych przesyłanych, przechowywanych lub w inny sposób przetwarzanych przez organizację.

3. OCENA PRAWDOPODOBIEŃSTWA

Ocena prawdopodobieństwo wystąpienia zagrożeń wobec zasobów biorących udział w procesach np. w kategoriach dużego, średniego, małego prawdopodobieństwa.

4. OCENA SKUTKÓW

Ocena skutków wystąpienia zagrożeń wobec zasobów biorących udział w procesach np. w kategoriach dużego, średniego, małego skutku.

5. OCENA RYZYKA

Przeprowadzenie identyfikacji ryzyka dla poszczególnych zasobów przez pryzmat wybranego punktu odcięcia takiego jak metoda Pareto (80/20) lub innego w zależności od tzw. apetytu na ryzyko. Dobór sposobów postępowania z ryzykiem w kategoriach takich jak redukcja ryzyka do poziomu akceptowalnego, transfer ryzyka w celu jego obniżenia, unikanie ryzyka, tak by nie występowało, akceptacja ryzyka, które nie przekracza wybranego progu akceptowalności.

CENNIK USŁUG

Narzędzia do analizy ryzyka

SAMODZIELNA ANALIZA RYZYKA
dokumentacja
od 99 zł
  • arkusz inwentaryzacji procesów
  • arkusz inwentaryzacji zasobów
  • plan postępowania z ryzykiem
  • arkusz analizy ryzyka

Wsparcie w analizie ryzyka

ZDALNA POMOC PRZY ANALIZE RYZYKA
zdalna pomoc
od 299 zł
  • ocena planu postępowania z ryzykiem
  • pomoc przy inwentaryzacji procesów
  • pomoc przy inwentaryzacji zasobów
  • pomoc przy ocenie ryzyka

Wspólna analiza ryzyka

ANALIZA RYZYKA KROK PO KROKU
analiza ryzyka
od 499 zł
  • plan postępowania z ryzykiem
  • inwentaryzacja procesów
  • inwentaryzacji zasobów
  • właściwa ocenia ryzyka

OPIS REALIZACJI USŁUGI

IDENTYFIKACJI ZASOBÓW INFORMACYJNYCH

Korzystając z przygotowanych arkuszy inwentaryzacji procesów przetwarzania danych osobowych wspólnie z przedstawicielami klienta przypisujemy właścicieli do procesów przetwarzania danych osobowych (chyba że działanie to już zostało wykonane przez klienta samodzielnie). W wyniku tego działania otrzymujemy kompletny wykaz procesów wraz z osobami za nie odpowiedzialnymi.  Kolejno korzystając z następnych narzędzi wspólnie z właścicielami procesów przypisujemy grupy zasobów informacyjnych do procesów. W wyniku tego działania wiemy jakie grupy zasobów są wykorzystywane do przetwarzania danych osobowych w poszczególnych procesach. Przykładowo wiemy, że w procesie rekrutacji bierze udział infrastruktura informatyczna, oprogramowanie, know how (procedury rekrutacji), personel. Ostatecznie wyodrębniamy poszczególne zasoby z grup zasobów. Przykładowo z grupy zasobów infrastruktura informatyczna wyodrębniamy serwer plików na którym są umieszczane dokumenty aplikacyjne kandydatów do pracy, a z personelu wyodrębniamy kategorie pracowników którzy biorą udział w procesach rekrutacji. Ostatnim działaniem jest przypisanie wartości do poszczególnych zasobów. Z natury rzeczy nie każdy zasób informacyjny posiada taką samą wartość. Przykładowo serwer na który są wykonywane kopie zapasowe będzie miał większą wartość niż laptop z którego są wykonywane regularnie kopie. Wynikiem powyższych działań jest kompletny spis wszystkich zasobów, przypisanych do procesów, które z kolei są przypisane do swoich właścicieli.

IDENTYFIKACJI ZAGROŻEŃ WOBEC ZASOBÓW

Korzystając z opracowanej listy zasobów wspólnie z właścicielami procesów identyfikujemy zagrożenia dla każdego z zasobów. Zagrożenie jest definiowane jako potencjalna przyczyna niepożądanego incydentu, który może wywołać szkodę w systemie lub organizacji. Z natury rzeczy inne zagrożenia mogą wystąpić wobec serwera, inne wobec smartfonów, a jeszcze inne wobec personelu. Przykładowo zagrożeniem dla zasobu informacyjnego jakim jest personel może być brak zastępowalności pracownika. Z drugiej strony laptop jako urządzenie przenośne może być zagrożony kradzieżą. Innymi słowy do każdego zasobu przypisujemy co najmniej jedno zagrożenie. Nasze działania sprowadzają się do podpowiadania zagrożeń wobec zasobów na które ich właściciele nie wpadliby ze względu na z reguły zbyt małe doświadczenie w obszarze bezpieczeństwa informacji. Wynikiem powyższych działań jest lista zasobów wraz z przypisanymi zagrożeniami. Ostatecznie do każdego zagrożenia przypisujemy podatność, czyli właściwość, która powoduje, że zagrożenie może się zmaterializować. W ten sposób otrzymujemy listę zasobów wraz z zagrożeniami oraz lukami, które mogą spowodować, że zagrożenia staną się faktem.

OCENIE PRAWDOPODOBIEŃSTWA WYSTĄPIENIA ZAGROŻEŃ

Z natury rzeczy nie każde zagrożenie może się ziścić z takim samym prawdopodobieństwem. Prawdopodobieństwo jest definiowane jako po prostu możliwość wystąpienia zagrożenia. Przykładowo jest mało prawdopodobne by ktoś uzyskał dostęp do danych znajdujących sie na zaszyfrowanym dysku twardym laptopa. Z drugiej strony może być bardzo prawdopodobne, że dojdzie do włamania do systemu informatycznego jeżeli nie zostanie skonfigurowana zapora ogniowa na styku z siecią publiczną. Innymi słowy na podstawie zdefiniowanej skali (np. trzy stopniowej lub pięcio stopniowej) przypisujemy do poszczególnych zagrożeń prawdopodobieństwo ich wystąpienia. Z jednej strony skala prawdopodobieństwa jest określana przez pryzmat zdarzeń, które miały miejsce w przeszłości np. regularne nie blokowanie stacji roboczych przez użytkowników. Z drugiej strony prawdopodobieństwo jest określane przez pryzmat subiektywnej oceny właściciela procesu, w którym zasób jest wykorzystywany. Wynikiem tego etapu analizy ryzyka jest lista zasobów wraz zagrożeniami oraz prawdopodobieństwem ich wystąpienia.

OCENIE SKUTKÓW WYSTĄPIENIA ZAGROŻEŃ

Ocena możliwych konsekwencji wystąpienia zagrożeń jest kolejnym etapem przeprowadzanym wspólnie z właścicielem procesu. Ocena następstw wystąpienia zagrożenia jest definiowana jako rezultat zdarzenia, który ma wpływ na cele jakie zostały założone, czyli bezpieczeństwo informacji. W trakcie oceny skutków podobnie jak w przypadku oceny prawdopodobieństwa korzysta się ze skali skutków, która również może być trzy stopniowa lub np. pięciostopniowa. Każdy z atrybutów skali jest zdefiniowany rozmiarem skutku. Przykładowo skutkiem kradzieży laptopa na którym znajdują się niezaszyfrowane dane może być nieuprawnione ujawnienie danych, a w sytuacji gdy nie była wykonywana kopia bezpieczeństwa skutkiem może być również utrata danych. Każde zidentyfikowane zagrożenie zostaje sklasyfikowane w ramach oceny i otrzymuje przypisaną wartość. Wynikiem tego etapu analizy ryzyka jest list zasobów wraz z przypisanymi zagrożeniami oraz prawdopodobieństwem i skutkiem ich wystąpienia.

OCENIE POZIOMU RYZYKA WOBEC ZASOBÓW

Przedostatnim etapem analizy ryzyka jest określenie poziomu ryzyka wystąpienia zagrożeń dla poszczególnych zasobów. Poziom ryzyka jest definiowany jako wielkość ryzyka wyrażona w kategoriach kombinacji następstw oraz ich prawdopodobieństw. Wybór właściwego wzoru matematycznego określającego poziom ryzyka jest przeprowadzany wspólnie z klientem na podstawie szeregu zaproponowanych metodyk. Ostatecznie najczęściej przy ocenie poziomu ryzyka uwzględnia się poza standardowymi czynnikami jak prawdopodobieństwo i skutek, również wartość zasobu oraz podatność, która powoduje, że zidentyfikowany poziom ryzyka jest bardziej dopasowany do konkretnej organizacji. Wynikiem tego etapu jest lista zasobów wraz z określonym w skali poziomem ryzyka. Ostatnim działaniem wykonywanym wspólnie z klientem jest określenie punktu odcięcia, czyli wybór poziomu ryzyka, które jest akceptowalne oraz tego ryzyka wobec, którego należy podjąć działania zmierzające do jego obniżenia. Gdy już mamy punkt odcięcia wystarczy wybrać metodę postępowania z ryzykiem oraz zaplanować jej realizację. Ostatecznie klient uzyskuje plan postępowania z ryzykiem wraz z rekomendacjami co do realizacji wybranych metod postępowania z ryzykiem.

OPINIE KLIENTÓW

87%
Umiejętność przekazywania wiedzy
76%
Znajomość zagrożeń wobec zasobów
90%
Przystępność prezentowanych narzędzi
83%
Przejrzystość raportowania wyników
moje-crop

Konrad Gałaj-Emiliańczyk

Prawnik, inspektor ochrony danych, audytor wiodący systemu zarządzania ciągłością działania wg normy PN-EN ISO 22301. Wykładowca biorący udział w licznych konferencjach i seminariach, samodzielnie przeprowadził ponad 700 otwartych szkoleń i warsztatów dla administratorów bezpieczeństwa informacji. Zawodowo zajmuje się m.in. kontrolą i audytem w zakresie bezpieczeństwa informacji (ISO 27001), tworzeniem wewnętrznych procedur i dokumentacji oraz sporządzaniem opinii prawnych. Odpowiedzialny za bezpieczeństwo informacji w kilkunastu podmiotach. Koordynator projektów wdrażania RODO w szeregu organizacji zarówno sektora prywatnego jak i publicznego.

KONTAKT

Oferujemy kompleksowe usługi w zakresie dostosowania organizacji do RODO.

Close Menu