Analiza ryzyka

Po zakończeniu procesu identyfikacji ryzyk przystępuje się do opracowania wykazu typów zidentyfikowanego ryzyka (incydentów) oraz określenia prawdopodobnego poziomu ich wystąpienia (poziomu ryzyka) i skutków jego wystąpienia.

Ryzyko, incydent i poziom, prawdopodobieństwo jego wystąpienia podatność i prawdopodobieństwo zaistnienia naruszenia bezpieczeństwa skutek

Przy wyborze metodologii przeprowadzenia oceny skutków należy uwzględnić podstawowe cele i atrybuty ochrony danych osobowych:

  • Poufność – dane osobowe są udostępniane tylko osobom (podmiotom, procesorom) do tego uprawnionym i upoważnionym.
  • Dostępność – dane muszą być zawsze dostępne dla upoważnionych użytkowników, na żądanie upoważnionego podmiotu (osoby upoważnione mają dostęp do informacji na każde żądanie).
  • Integralność – dane osobowe nie mogą być zmienione w sposób nieuprawniony, pozostają w takim stanie, w jakim zapisał je autor, nikt nieuprawniony nie może w sposób niezauważony zmienić ich treści.
  • Autentyczność – dane osobowe są takie, jak zadeklarowano; musi być zapewniona weryfikacja tożsamości wykonawców, którzy przetwarzają dane lub którym są one udostępniane, a także prawdziwość tych danych.
  • Rozliczalność – działaniom osoby upoważnionej lub podmiotu upoważnionego jest jednoznacznie przypisana odpowiedzialność za udostępnianie i przechowywanie danych.

Administrator lub podmiot przetwarzający może wykonać analizę ryzyka manualnie lub za pomocą narzędzi w postaci specjalistycznego oprogramowania albo aplikacji. Prowadzenie analizy ryzyka w sposób manualny obarcza nas odpowiedzialnością za obliczenia, określenie możliwych zagrożeń, skutków, słabych punktów, pozwala na kontrolę poprawności przyjętych założeń i działań wykonywanych podczas analizy. Analiza taka jest pracochłonna i wymaga koncentracji. Jej zaletą jest to, że po wykonaniu tych czynności zespół odpowiedzialny za ochronę danych osobowych w systemie TI posiada kompletną wiedzę na temat bezpieczeństwa analizowanego systemu oraz wnik­liwie przebadał wszystkie sytuacje, które mogą pojawić się w trakcie życia systemu i przetwarzania w nim danych.

W przypadku dużego i skomplikowanego systemu niezbędne jest użycie narzędzi do automatyzacji pracy. Dzięki odpowiedniemu oprogramowaniu można m.in. w łatwy sposób zarządzać danymi, przeglądać różne scenariusze działań, korzystać z gotowych bibliotek zawierających zbiór zagrożeń, zabezpieczeń i podatności.