Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


17.09.2019

PLNOG23 czyli sieci 5G,...

Największa polska konferencja telekomunikacyjna powraca do Krakowa! Wśród nowości ścieżka...
05.09.2019

Cloudya – nowa usługa NFON

Po ponad dekadzie ciągłego rozwoju technologii Cloudya, swobodna i niczym nie ograniczona...
02.09.2019

Na dużą skalę

Kaspersky Hybrid Cloud Security
02.09.2019

Bezpieczny brzeg sieci

Fortinet Secure SD-Branch
02.09.2019

Nowoczesne centra danych

AMD EPYC
30.08.2019

Dostęp do AI i ML

VMware Cloud Foundation
30.08.2019

Lekkość i moc

Toshiba Portégé A30-E
30.08.2019

Bez przestojów

APC Easy UPS On-Line
29.08.2019

Duże moce

Lenovo ThinkSystem SR635 i SR655

Prawne podstawy szacowania ryzyka

Data publikacji: 01-12-2014 Autor: Tomasz Cygan

Tworzenie systemu ochrony danych osobowych w praktyce powinno uwzględniać rozmaite elementy. Jednym z nich, wprost nienazwanym w przepisach ustawy z dnia 29 sierpnia 1997 r. (tekst jednolity DzU z 2014 r., poz. 1182) o ochronie danych osobowych (uodo), jest proces nazywany analizą ryzyka.

Wspomniana analiza ryzyka to ocena mogących wystąpić zagrożeń i stosowanie takich środków organizacyjnych i technicznych, które pomogłyby wyeliminować owe zagrożenia lub przynajmniej zminimalizować skutki ich działania. Zgodnie z normą PN-I-13335–1 („Technika informatyczna. Wytyczne do zarządzania bezpieczeństwem systemów informatycznych”) przez wspomniane pojęcie należy rozumieć prawdopodobieństwo, że określone zagrożenie wykorzysta podatność zasobu lub grupy zasobów, aby spowodować straty lub zniszczenie zasobów. W uproszczeniu można przyjąć, że ocenie podlegać powinny poszczególne przetwarzane dane osobowe, przy uwzględnieniu warunków przetwarzania, w zestawieniu z możliwymi do wystąpienia zagrożeniami. Katalog zagrożeń może być w tym przypadku dość szeroki. Wziąć pod uwagę należy bowiem zagrożenia:

 

  • spowodowane czynnikami zewnętrznymi – tj. powódź, huragan, wyładowania atmosferyczne, zbyt niską lub zbyt wysoką temperaturę, awarie zasilania, brak dostępu do siedziby organizacji, atak z zewnątrz na system informatyczny, sniffing, kradzież tożsamości (pojęcie szersze od siły wyższej, obejmujące także działania z zewnątrz o charakterze przestępczym);
  • spowodowane problemami organizacji o charakterze wewnętrznym – tj. choroby pracowników, wypadki, nieobecność pracowników itp.;
  • spowodowane zakłóceniami w funkcjonowaniu systemu informatycznego – mogą one dotyczyć wadliwego działania urządzeń, oprogramowania, dostępu do sieci publicznej, problemów związanych z licencjami na programy komputerowe, wirusami, spamem itp.

> WŁAŚCIWA PROCEDURA I STOSOWANE ROZWIĄZANIA

Wskazane powyżej działania muszą doprowadzić do ustalenia, jakie ryzyko jest akceptowalne dla poszczególnych rodzajów danych osobowych, a co za tym idzie, jakie środki o charakterze organizacyjnym i technicznym mogą być najbardziej przydatne dla należytego zabezpieczenia danych osobowych. Warto zauważyć, że w wielu przypadkach wystarczające mogą okazać się rozwiązania o charakterze organizacyjnym lub mieszanym, organizacyjno-technicznym.

Jednocześnie przepisy regulujące problematykę ochrony danych osobowych nie wskazują wprost na konieczność wykonania analizy ryzyka. Niemniej istnienie takiego wymogu można pośrednio wywnioskować z niektórych przepisów ustawy o ochronie danych osobowych oraz rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024). Celem niniejszego artykułu jest wskazanie właśnie takich przepisów.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"