Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


19.03.2019

Pożegnanie z systemem Windows...

System operacyjny Windows 7 wciąż cieszy się dużą popularnością wśród użytkowników...
21.02.2019

Wdrażanie projektów AI

Infrastruktura OVH
21.02.2019

Certyfikacja kluczy

HEUTHES-CAK
21.02.2019

Kopie zapasowe

Veeam Availability for AWS
21.02.2019

Dysk SSD Samsung 970 EVO Plus

Dysk SSD Samsung 970 EVO Plus
21.02.2019

Szyfrowane USB

Kingston IronKey D300 Serialized
21.02.2019

Bezpieczeństwo sieci

Check Point Maestro i seria 6000
21.02.2019

Ochrona danych

Commvault IntelliSnap i ScaleProtect
21.02.2019

Ułatwienie telekonferencji

Plantronics Calisto 3200 i 5200

Szacowanie ryzyka dla systemów IT zgodnie z rodo

Data publikacji: 29-10-2018 Autor: Artur Cieślik
PROCES ZARZĄDZANIA RYZYKIEM

W dobie przetwarzania danych osobowych w systemach informatycznych ochrona danych stała się procesem jeszcze bardziej złożonym. Należy uwzględnić przepisy prawa, metody analizy systemów technicznych oraz zasady stosowania zabezpieczeń. Zabezpieczenia powinny być adekwatne do ryzyka, co oznacza, że właściwe określenie oraz wskazanie ich skuteczności jest podstawowym wyzwaniem dla działów IT.

 

Podejście oparte na ryzyku polega na wdrożeniu adekwatnych zabezpieczeń do zidentyfikowanego ryzyka, czyli zdarzeń, w wyniku których może zostać obniżony wymagany poziom poufności, integralności lub dostępności informacji. Przykładami takich zdarzeń mogą być wycieki danych oraz celowe lub przypadkowe usunięcie danych. Aby uzyskać odpowiedź na pytanie, czy występuje ryzyko naruszenia wymaganego poziomu poufności, integralności lub dostępności, należy zidentyfikować zdarzenia zagrażające oprogramowaniu, sprzętowi, sieci i innym składnikom systemów informatycznych, za pomocą których dane osobowe są przetwarzane.

> RYZYKO W IT

Rodo wymaga wdrożenia zabezpieczeń z uwzględnieniem stanu wiedzy technicznej, kosztu wdrażania, charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. W art. 32 rodo określono propozycje zabezpieczeń, które wdraża administrator adekwatnie do ryzyka. W systemach informatycznych powinniśmy zapewnić regularne testowanie, mierzenie i ocenianie skuteczności zabezpieczeń technicznych oraz organizacyjnych, takich jak procedury bezpieczeństwa, zasady eksploatacji czy reguły ochrony przesyłanych danych osobowych. Trudność sprawia ocena, czy stopień bezpieczeństwa jest odpowiedni. Rodo wskazuje na konieczność uwzględnienia ryzyka wiążącego się z przetwarzaniem, w szczególności wynikającego z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych w naszych systemach informatycznych.

Oszacowanie ryzyka powinniśmy przeprowadzić zgodnie ze sprawdzonym standardem lub metodologią. W zakresie wymagań i dobrych praktyk związanych z szacowaniem ryzyka może być pomocna norma ISO/IEC 27005, która pozwala wprowadzić do zarządzania bezpieczeństwem danych osobowych sprawdzone zasady zarządzania zbiorami i bazami danych osobowych. Jednocześnie wskazuje na sposób identyfikacji, analizy i oceny ryzyka dla zidentyfikowanych aktywów, którymi są wspomniane bazy danych osobowych oraz m.in. sprzęt i oprogramowanie. Mając wyniki szacowania ryzyka, możemy przejść do określenia sposobu postępowania z ryzykiem i wybrać zabezpieczenia. Katalog zabezpieczeń w obszarach bezpieczeństwa stanowi załącznik do normy ISO/IEC 27001, a szczegóły znajdziemy w zaleceniach normy ISO/IEC 27002.

W praktyce, aby ustalić poziom ryzyka, powinniśmy poznać sposób przetwarzania danych i stan obecny zabezpieczeń. Proces zarządzania ryzykiem w zakresie bezpieczeństwa danych osobowych przetwarzanych za pomocą systemów informatycznych składa się z poniższych kroków:

1. Identyfikacja zasad przetwarzania danych osobowych.
2. Identyfikacja systemów informatycznych oraz ich składników, tzw. aktywów informacyjnych, za pomocą których przetwarzane są dane osobowe.
3. Szacowanie ryzyka:

  • identyfikacja ryzyka dla systemów,
  • analiza ryzyka dla systemów,
  • ocena ryzyka dla systemów.

4. Postępowanie z ryzykiem.

Bezpieczeństwo przetwarzanych danych osobowych zapewniamy adekwatnie do wymagań poufności, integralności oraz dostępności danych osobowych. Przy doborze zabezpieczeń należy uwzględniać bieżący stan wiedzy technicznej w różnych technologiach informatycznych oraz koszty ich wdrożenia. Ostatecznie wybór zabezpieczenia powinien uwzględniać charakter danych osobowych i być adekwatny do ryzyka naruszenia bezpieczeństwa tych danych.

> MODELE RYZYKA W IT

Możemy skorzystać ze sprawdzonych sposobów szacowania ryzyka dla systemów informatycznych. Przykładem jest opublikowany przez National Institute of Standards and Technology dokument Guide for Conducting Risk Assessments (NIST Special Publication 800-30 Revision 1).

Ryzyko przedstawione na schemacie Model ryzyka z głównymi czynnikami ryzyka jest funkcją prawdopodobieństwa wystąpienia zagrożenia oraz potencjalnego wpływu w przypadku pojawienia się zagrożenia. Wpływ ten może być określony jako strata finansowa, utrata dobrego imienia lub wizerunku marki, brak możliwości realizacji procesów biznesowych, wydatek środków związanych z wystąpieniem incydentu.

[...]

Autor jest redaktorem naczelnym miesięcznika „IT Professional” oraz audytorem wiodącym normy ISO/IEC 27001. Specjalizuje się w realizacji audytów bezpieczeństwa informacji, danych osobowych i zabezpieczeń sieci informatycznych. Jest konsultantem w obszarze projektowania i wdrażania Systemów Zarządzania Bezpieczeństwem Informacji. Trener i wykładowca z wieloletnim doświadczeniem.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"