[aktualizacja] Czy muszę mieć analizę ryzyka i zagrożeń?
Coraz częściej pytacie o to, czy istnieje obowiązek opracowania analizy zagrożeń i ryzyka. A tak w ogóle, to o co chodzi z tą analizą? Zgodnie z nazwą, analiza służy szacowaniu ryzyka i zagrożeń na poufności, integralności oraz rozliczalności informacji chronionych (myślę, że należy ten temat omawiać szerzej, nie tylko w zakresie danych osobowych). Krajowe przepisy o ochronie danych osobowych nie wskazują wprost na obowiązek opracowania analizy, jednakże już w ogólnym rozporządzeniu o ochronie danych osobowych, które będzie bezwzględnie obowiązywać od połowy 2018 roku, pojawia się konieczność szacowania ryzyka, aby móc zapewnić odpowiednie środki ochrony danych. Podobnie obowiązek szacować ryzyko mają wszystkie podmioty, które dotyczy Rozporządzenie Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego, czyli, te w których przetwarzane są informacje niejawne. Natomiast podmioty, które prowadzą rejestry publiczne są zobligowane do szacowania ryzyka na podstawie Rozporządzenia Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych. Analiza ryzyka i zagrożeń to dokument będący wynikiem procesu szacowania ryzyka. Oznacza to, że nie można kupić gotowej analizy ryzyka i zagrożeń – powinna być ona tworzona indywidualnie dla każdego podmiotu.Szacowanie ryzyka to proces, który wymaga:
- Ustalenia zasobów, które mają być chronione (obszary przetwarzania danych, sprzęt komputerowy, bazy danych).
- Ustalenia rodzajów i poziomów zagrożeń (zagrożenia ze strony działań ludzi, zagrożenia losowe, zagrożenia teleinformatyczne, itd.).
- Ustalenia zasad postępowania z ryzykiem, tzn. działań, które mają je zmniejszyć (np. wprowadzenie procedur niszczenia dokumentów).
- Ustalenie zasad monitorowania ryzyka (kiedy powinna być prowadzona kolejna analiza).
Przeprowadzenie tego procesu stanowi wstęp do opracowania dokumentacji bezpieczeństwa informacji. Uważam, że osoba pełniąca obowiązki Administratora Bezpieczeństwa Informacji, powinna przeprowadzać na potrzeby swojej pracy analizę ryzyka i zagrożeń informacji, nawet wtedy gdy nie wymagają tego przepisy prawa. Jest to dokument bardzo przydatny, dzięki któremu można zastanowić się nad słabymi stronami we wprowadzonych środkach ochrony informacji i określić metodologię zmniejszenia ryzyka naruszenia poufności.
Dodaję jeszcze komentarz jednego z moich czytelników, Pana Łukasza Wojciechowskiego, który prowadzi portal statuo.pl (który nawiasem mówiąc serdecznie i gorąco polecam) i jest specjalistą w zakresie bezpieczeństwa informacji:
Warto dodać, że zgodnie z ustawą finansach publicznych wszystkie podmioty, które można określić w skrócie „jednostki sektora finansów publicznych”, obowiązuje kontrola zarządcza. Nieodłącznym elementem kontroli zarządczej jest proces zarządzania ryzykiem. Jednostki prowadzą rejestr ryzyk i dokonują jego (co najmniej) cyklicznej aktualizacji i trudno sobie wyobrazić, żeby w analizie ryzyka nie znalazły się potencjalne przypadki zagrożenia bezpieczeństwa informacji i danych osobowych. Dlatego w dobrze funkcjonującym podmiocie kierownik jednostki współpracuje z ABI, głównym księgowym i innymi osobami, które „dokładają” ryzyka ze swojego obszaru działań, a szef zbiera to w jedną całość. Są to przykłady dobrych praktyk, które – jak napisała Sylwia Czub bloguje o danych osobowych w artykule – warto polecać wszystkim ABI, nie tylko z tzw. budżetówki. Dodatkowo poważnym problemem jest brak wykwalifikowanych pracowników, którzy poradzą sobie z analizą ryzyka. I tutaj także jest pozytyw związany z kontrolą zarządczą, bo jeśli dany samorząd ją wprowadza to daje narzędzia i szkolenia swoim jednostkom i zwyczajnie po ludzki łatwiej im to wtedy robić.
Więcej na temat szacowania ryzyka:
Masz jeszcze jakieś pytania? A może potrzebujesz pomocy przy danych osobowych? Pomogłam już wielu, pomogę i Tobie!