Ocena i zarządzanie ryzykiem w spółce – wzór dokumentu

OGÓLNA OCENA I ZARZĄDZANIE RYZYKIEM
DLA OCHRONY PRZETWARZANYCH DANYCH
OSOBOWYCH W SPÓŁCE ……………….

 

OPRACOWAŁA:

 

powołana decyzją nr 0000/2018 Prezesa Spółki …………… Sp. z o.o. z dnia ……….. r. grupa robocza do opracowania i wdrożenia wewnętrznych regulacji w …………. Sp. z o.o. mających na celu dostosowanie wewnętrznych procedur do wymogów stawianych przez rozporzą­dzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO), zwana dalej grupą roboczą

 

SPIS TREŚCI:

1... KONTEKST PRZETWARZANIA DANYCH OSOBOWYCH

2... GRANICE I ZAKRES ANALIZY RYZYKA

3... WYBÓR METODY ANALIZY RYZYKA

4... IDENTYFIKACJA I OSZACOWANIE ZASOBÓW (AKTYWÓW)

5... IDENTYFIKACJA I OSZACOWANIE NASTĘPSTW WYSTĄPIENIA INCYDENTU

6... OPIS ŚRODOWISKA – ZABEZPIECZENIA

7... IDENTYFIKACJA ZAGROŻEŃ I OKREŚLENIE ICH POZIOMU

8... IDENTYFIKACJA PODATNOŚCI NA RYZYKA, OKREŚLENIE ICH POZIOMU

9... OKREŚLENIE WIELKOŚCI RYZYK – WYZNACZENIE POZIOMÓW ZIDENTYFIKOWANYCH RYZYK

 10. IDENTYFIKACJA I OSZACOWANIE RYZYKA

 11. OCENA RYZYKA

 12. OCENA RYZYK – PODSUMOWANIE

 

1. KONTEKST PRZETWARZANIA DANYCH OSOBOWYCH

 

W spółce ……….. Sp. z o.o. są przetwarzane dane osobowe niżej wyszczególnionych grup osobowych:

1)   pracowników spółki,

2)   najemców i członków ich rodzin,

3)   adresatów działań marketingowych,

4)   kontrahentów – najemców lokali użytkowych,

5)   kandydatów ubiegających się o pracę w spółce,

6)   najemców lokali mieszkalnych,

7)   dłużników spółki,

8)   osób fizycznych składających skargi i wnioski,

9)   interesantów, klientów, petentów – zarejestrowanych w rejestrach ruchów osobowych,

 10)                                  adresatów i nadawców korespondencji,

 11)                                                       członków rad nadzorczych,

 12)                                       oferentów – potencjalnych klientów,

 13) osób fizycznych ujętych w zasobach archiwalnych spółki,

 14)                     zleceniobiorców zamówień – osób fizycznych,

 15) korzystających z pomocy w ramach Zakładowego Funduszu Świadczeń Socjalnych,

 16)                                      dziennikarzy, rzeczników prasowych,

 17)                                          ujętych w aktach spraw sądowych,

 18)                                                         przywołanych w opiniach.

 

Dane osobowe osób fizycznych wyszczególnionych w powyższych grupach są przetwarzane w ……………. Sp. z o.o. na podstawie:

  • przepisów prawa, z których wynika konieczność przetwarzania tych danych, takich jak:
  • ustawa z dnia 26 czerwca 1974 r. Kodeks pracy (t.j. Dz. U. z 2018 r., poz. 917 z późn. zm.),
  • ustawa z dnia 23 kwietnia 1964 r. Kodeks cywilny (t.j. Dz. U. z 2018 r., poz. 1025 z późn. zm.),
  • ustawa z dnia 14 czerwca 1960 r. Kodeks postępowania administracyjnego (t.j. Dz. U. z 2017 r.,
    poz. 1257 z późn. zm.),
  • ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. z 2018 r., poz. 1000),
  • ustawa z dnia 26 lipca 1991 r. o podatku dochodowym od osób fizycznych (t.j. Dz. U. z 2018 r.,
    poz. 200 z późn. zm.),
  • ustawa z dnia 13 marca 2003 r. o szczególnych zasadach rozwiązywania z pracownikami stosunków pracy z przyczyn niedotyczących pracowników (t.j. Dz. U. z 2016 r., poz. 1474 z późn. zm.),
  • ustawa z dnia 4 marca 1994 r. o zakładowym funduszu świadczeń socjalnych (t.j. Dz. U. z 2017 r., poz. 2191 z późn. zm.),
  • ustawa z dnia 23 maja 1991 r. o związkach zawodowych (t.j. Dz. U. z 2015 r., poz. 1881 z późn. zm.),
  • ustawa z 13 października 1998 r. o systemie ubezpieczeń społecznych (t.j. Dz. U. z 2017 r., poz. 1778 z późn. zm.),
  • ustawa z dnia 25 czerwca 1999 r. o świadczeniach pieniężnych z ubezpieczenia społecznego w razie choroby i macierzyństwa (t.j. Dz. U. z 2017 r., poz. 1368 z późn. zm.),
  • ustawa z dnia 10 października 2002 r. o minimalnym wynagrodzeniu za pracę (t.j. Dz. U. z 2017 r., poz. 847 z późn. zm.),
  • ustawa z dnia 20 kwietnia 2004 r. o promocji zatrudnienia i instytucjach rynku pracy (t.j. Dz. U. z 2017 r.,
    poz. 1065 z późn. zm.),
  • ustawa z dnia 27 sierpnia 1997 r. o rehabilitacji zawodowej i społecznej oraz zatrudnianiu osób niepełnosprawnych (t.j. Dz. U. z 2018 r., poz. 511 z późn. zm.),
  • ustawa z dnia 3 marca 2000 r. o wynagradzaniu osób kierujących niektórymi podmiotami prawnymi (t.j. Dz. U. z 2017 r., poz. 1222 z późn. zm.),
  • inne przepisy prawa (w tym wewnętrzne spółki), z których wynika konieczność przetwarzania tych danych;
  • umów zawartych pomiędzy zainteresowanymi stronami;
  • wyrażonych zgód na przetwarzanie danych osobowych zainteresowanych osób, których dane dotyczą;
  • innych podstaw ich przetwarzania, o których mowa w art. 9 ust. 1, 2 i 3 RODO.

Cele przetwarzania tych danych:

  • realizacja prawa do zakwaterowania najemców i członków ich rodzin,
  • korzystanie przez najemców i ich rodzin z innych form realizacji świadczeń w zakresie zakwaterowania,
  • korzystanie z innych form zakwaterowania w zasobie spółki (np. najem),
  • dzierżawienie lub wynajmowanie lokali użytkowych z zasobu spółki,
  • współpraca biznesowa ze spółką osób fizycznych,
  • zatrudnienie na podstawie umowy o pracę,
  • zainteresowanie innymi formami współpracy ze spółką osób fizycznych,
  • składanie skarg i wniosków,
  • działania marketingowe,
  • inne.

 

2. GRANICE I ZAKRES ANALIZY RYZYKA

 

Dane osobowe osób fizycznych są przetwarzane w ……….. Sp. z o.o. w ……….. przy ul. …………………….

 

Dane przetwarzane są w systemie informatycznym, zwanym także Zintegrowanym Systemem Informatycznym (ZSI), oraz w formie papierowej przez upoważnionych pracowników spółki.

 

Zakres analizy ryzyka obejmuje dane osobowe wszystkich grup osobowych wyszczególnionych w poprzednim punkcie.

 

3. WYBÓR METODY ANALIZY RYZYKA

 

Szacowanie ryzyka dla bezpieczeństwa danych osobowych przetwarzanych w ………….. Sp. z o.o. (całościowy proces analizy i oceny ryzyka) przeprowadzono zgodnie z wymogami określonymi w rozporządzeniu Parlamentu
Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE, (RODO) z uwzględnieniem:

  • Polskiej Normy PN-ISO/IEC 27001:2014-12 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania,
  • Polskiej Normy PN-ISO/IEC 27005:2014-01 Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji.

 

Analiza ryzyka została przeprowadzona na podstawie metody CRAMM (Crisis Risk Analysis and Management Method).

 

Wybrana metoda jest metodą uproszczoną, ale opartą na tych samych zasadach i wykorzystującą te same procesy, co większość standardowych metod. Ryzyko zostanie oszacowane jakościowo na podstawie wybranego poziomu wymagań bezpieczeństwa związanego z ochroną poufności, integralności i dostępności informacji. W celu scharakteryzowania wybranego poziomu używana będzie skala 4-stopniowa.

 

Przyjęto, że wielkość szacowanego ryzyka będzie obliczana wg następującej formuły:

 

R = S × P

 

gdzie:

R – wielkość szacowanego ryzyka,

S – wielkość straty, gdy wystąpi rozpatrywane zdarzenie,

P – prawdopodobieństwo wystąpienia rozpatrywanego zdarzenia.

 

4. IDENTYFIKACJA I OSZACOWANIE ZASOBÓW (AKTYWÓW)

 

Grupa wdrożeniowa (do opracowania i wdrożenia wewnętrznych regulacji mających na celu dostosowanie
wewnętrznych procedur do wymogów stawianych przez RODO) wraz z osobami odpowiedzialnymi za bezpieczeństwo i funkcjonowanie systemu ochrony danych osobowych opracowała listę wszystkich zasobów mających podstawowe znaczenie dla bezpieczeństwa przetwarzanych danych.

 

Identyfikacja zasobów wymagających ochrony obejmuje informacje przetwarzane w systemach informatycznych, jak również osoby, usługi, oprogramowanie, dane i sprzęt oraz inne elementy mające wpływ na bezpieczeństwo tych informacji.

 

Wyniki identyfikacji i szacowania zasobów zawarto w tabeli w załączniku nr 1.

 

Oszacowanie wartości zasobów nastąpiło na podstawie materiałów otrzymanych z jednostek i komórek organizacyjnych spółki.

5. IDENTYFIKACJA I OSZACOWANIE NASTĘPSTW WYSTĄPIENIA INCYDENTU

 

W poprzednim punkcie zidentyfikowano wszystkie zasoby (aktywa) w ustalonym zakresie, w tym:

  • przetwarzane dane osobowe,
  • wyposażenie środowiska,
  • użytkownicy systemu teleinformatycznego,
  • usługi, jakie zapewnia system,
  • sprzęt i oprogramowanie,
  • dobra niematerialne, w tym wyszkolony personel.

 

W celu zidentyfikowania następstw wystąpienia incydentu pod względem ochrony poufności, integralności i dostępności informacji przyjęto niżej wymienione wartości liczbowe dla każdej z tych kategorii.

 

Dla następstw/skutków utraty poufności (Sp):

  • Jeżeli utrata poufności odnosi się do pojedynczych przypadków i nie wiąże się z odpowiedzialnością karną
    albo administracyjną osób odpowiedzialnych za zapewnienie ochrony takiej informacji, należy przyjąć Sp = 1. Wskazane skutki w kontekście urzeczywistnienia się analizowanego zagrożenia nie prowadzą do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych dla osób fizycznych.
  • Jeżeli utrata poufności dotyczy informacji o charakterze danych zwykłych lub odnosi się do licznych przypadków, jednak nie wiąże się z odpowiedzialnością karną albo administracyjną osób odpowiedzialnych za zapewnienie ochrony takiej informacji, należy przyjąć Sp = 2. Skutki mogą prowadzić do uszczerbku fizycznego, szkód majątkowych lub niemajątkowych dla osób fizycznych, jednak nie są one wysokie.
  • Jeżeli utrata poufności dotyczy informacji o charakterze wrażliwym lub odnosi się do licznych przypadków, wpływa w sposób znaczący na wizerunek urzędu i organu, który ten urząd obsługuje, jednak nie wiąże się z odpowiedzialnością karną osób odpowiedzialnych za zapewnienie ochrony takiej informacji, ale może wiązać się z odpowiedzialnością administracyjną, należy przyjąć Sp = 3. Skutki mogą prowadzić do wysokiego uszczerbku fizycznego, szkód majątkowych lub nie­majątkowych dla osób fizycznych.
  • Jeżeli utrata poufności może prowadzić do naruszenia interesów osób trzecich i może prowadzić do roszczeń odszkodowawczych ze strony tych osób, a także do odpowiedzialności karnej osób odpowiedzialnych za zapewnienie ochrony takiej informacji, należy przyjąć Sp = 4. Skutki mogą prowadzić do wysokiego uszczerbku
    fizycznego, szkód majątkowych lub niemajątkowych dla osób fizycznych.

 

Dla następstw/skutków utraty integralności (Si):

  • Jeżeli spowodowana zagrożeniem utrata integralności informacji jest łatwo wykrywalna i przywrócenie integralności nie powoduje nadmiernych kosztów, należy przyjąć Si = 1.
  • Jeżeli spowodowana zagrożeniem utrata integralności informacji jest trudno wykrywalna i informacja taka może zostać użyta w procesach decyzyjnych, jednak istnieje możliwość skorygowania decyzji, należy przyjąć Si = 2.
  • Jeżeli spowodowana zagrożeniem utrata integralności informacji jest trudno wykrywalna, a informacja taka może zostać użyta w procesach decyzyjnych i nie istnieje możliwość skorygowania decyzji, należy przyjąć Si = 3.
  • Jeżeli spowodowana zagrożeniem utrata integralności informacji może okazać się niewykrywalna, należy przyjąć Si = 4.

 

Dla następstw/skutków utraty dostępności (Sd):

  • Jeżeli czas utraty dostępności informacji lub usług systemu spowodowany materializacją zagrożenia mieści się w okresie założonym w planie zapewnienia ciągłości działania (RTO – Recovery Time Objective)[1], a przywrócenie pełnego dostępu do informacji lub usług systemu nie wiąże się z dodatkowymi kosztami, należy przyjąć Sd = 1. Dostęp musi nastąpić w dłuższym przedziale czasu.
  • Jeżeli czas utraty dostępności informacji lub usług systemu spowodowany zagrożeniem mieści się w okresie założonym w planie zapewnienia ciągłości działania (RTO – Recovery Time Objective), ale przywrócenie dostępu do informacji wiąże się z dodatkowymi kosztami, należy przyjąć Sd = 2. Dostęp musi nastąpić w ciągu
    kilku dni.
  • Jeżeli czas utraty dostępności informacji lub usług systemu spowodowany zagrożeniem znacząco nie mieści
    się w okresie założonym w planie zapewnienia ciągłości działania (RTO – Recovery Time Objective), należy przyjąć Sd = 3. Dostęp musi nastąpić w ciągu kilku godzin.
  • Jeżeli czas utraty dostępności informacji lub usług systemu spowodowany zagrożeniem wielokrotnie przekracza czas założony w planie zapewnienia ciągłości działania (RTO – Recovery Time Objective) lub jeżeli spowodowana zagrożeniem utrata dostępności informacji jest nieodwracalna, należy przyjąć Sd = 4. Dostęp musi nastąpić w ciągu kilku minut.

 

Uwaga:

W praktyce może pojawić się problem korelacji atrybutu dostępności z atrybutem integralności, przyjmujący postać dylematu – czy informacja zniekształcona poprzez utratę integralności jest informacją dostępną, czy też wraz z utratą integralności nastąpiła utrata dostępności. Na potrzeby niniejszej analizy należy przyjąć, że utrata integralności informacji nie powoduje automatycznej utraty dostępności. Atrybuty dostępności i integralności informacji należy rozpatrywać rozłącznie.

 

Podczas doboru wartości przypisywanej skutkowi dla odpowiednich atrybutów bezpieczeństwa informacji, należy przyjąć ogólną zasadę, że o ile materializacja zagrożenia, z uwagi na istotę tego zagrożenia, nie wywołuje wpływu na dany atrybut bezpieczeństwa informacji, należy przyjąć Sd, i, p = 0.

 

Kierując się wyżej wymienionymi kryteriami, grupa robocza oszacowała prawdopodobieństwo ewentualnych następstw, rozpatrując je odrębnie dla poufności, integralności i dostępności.

 

Są to typowe składowe S przy wyliczaniu ryzyka R = S × P.

Wyniki identyfikacji i szacowania następstw wystąpienia incydentu zawarto w tabeli w załączniku nr 2.

 

Każdemu zasobowi przyporządkowano potencjalny uszczerbek, jaki mogłaby ponieść osoba, której dane są przetwarzane, w przypadku utraty poufności, integralności, dostępności.

 

Następstwa zostały zidentyfikowane głównie w kontekście naruszenia praw i wolności osób fizycznych.

 

6. OPIS ŚRODOWISKA – ZABEZPIECZENIA

 

Obiekty, w których przetwarzane są dane osobowe, są zlokalizowane w …………. przy ul. …………… (Biuro Spółki …………………..).

 

Ochrona fizyczna pomieszczeń obejmuje zespół przedsięwzięć mających na celu zapewnienie stałej kontroli nad przetwarzanymi danymi osobowymi i jest realizowana przez osoby przeszkolone, w tym przez personel bezpieczeństwa, zapewniające m.in. kontrolę dostępu do pomieszczeń i obszarów, w których są przetwarzane dane osobowe, oraz nadzór nad technicznymi środkami wspomagającymi ochronę fizyczną, a także reagowanie na syg­nały alarmowe lub techniczne, incydenty.

 

Ochronę techniczną pomieszczeń systemu teleinformatycznego stanowią zabezpieczenia uniemożliwiające lub opóźniające wtargnięcie do pomieszczenia osób nieuprawnionych w sposób niezauważony lub z użyciem siły.

Ochrona systemu informatycznego obejmuje m.in. następujące aspekty bezpieczeństwa:

  • bezpieczeństwo fizyczne,
  • fizyczne bezpieczeństwo nośników danych osobowych,
  • kontrolę dostępu do pomieszczeń, w których przetwarzane są dane osobowe,
  • nadawanie uprawnień do przetwarzania danych osobowych,
  • ewidencję osób korzystających z systemu informatycznego.

 

Należy nadmienić, iż zgodnie z postanowieniami zawartymi w art. 24 RODO przeprowadzono następujące działania:

  • Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
  • Jeżeli jest to proporcjonalne do czynności przetwarzania, środki, o których mowa powyżej, obejmują wdrożenie przez administratora odpowiedniej polityki ochrony danych.

 

Biorąc powyższe pod uwagę, organizacja systemu przetwarzania danych osobowych, ochrona techniczna pomieszczeń, zasady dostępu do pomieszczeń, nadawanie upoważnień do przetwarzania danych osobowych oraz zakres ich przetwarzania zostały opisane w Polityce Bezpieczeństwa Ochrony Danych Osobowych.

7. IDENTYFIKACJA ZAGROŻEŃ I OKREŚLENIE ICH POZIOMU

 

Dla środowiska budynku biurowego spółki rozważano zagrożenia spowodowane przez:

  • celowe działanie człowieka,
  • przypadkowe działanie człowieka,
  • działania sił przyrody oraz wpływ warunków atmo­sferycznych,
  • działanie innych czynników niezależnych od człowieka.

 

Rozpatrzono także warunki wewnętrzne jednostki organizacyjnej, w tym w szczególności następujące zagadnienia:

  • zniszczenia fizyczne,
  • zjawiska naturalne,
  • utrata podstawowych usług,
  • zakłócenia spowodowane promieniowaniem,
  • naruszenia bezpieczeństwa informacji,
  • awarie techniczne,
  • nieautoryzowane działania,
  • naruszenie bezpieczeństwa funkcji.

 

W wyżej wymienionych zagadnieniach analizie poddane zostały typowe zagrożenia, które mogą stanowić istotne zagrożenie dla chronionych zasobów.

 

Przy określaniu listy zagrożeń grupa robocza rozważyła zagrożenia typowe dla jednostki organizacyjnej, posiłkując się zidentyfikowanymi zagrożeniami z Normy PN-ISO/IEC 27005:2014-01 oraz dostępnej literatury.

W tabeli wykorzystano następujące oznaczenia:

N  – siły natury i inne zdarzenia niewynikające z działalności człowieka,

U  – umyślne/celowe działania człowieka skierowane przeciwko zasobom,

P   – przypadkowe działania człowieka, które mogą wykasować, zmodyfikować, zniszczyć lub uszkodzić zasoby.

 

Jednocześnie grupa robocza oszacowała poziom zagrożenia dla zasobów jednostki organizacyjnej.

 

Poziom zagrożenia scharakteryzowano, posługując się skalą 3-stopniową:

  • niski,
  • średni,
  • wysoki.

 

Opracowana lista przewidywanych zagrożeń dla przetwarzanych danych i zasobów pozwoliła wytypować obszary, w których powinny zostać wprowadzone stosowne środki ochrony. Ma to swoje odzwierciedlenie w dalszym procesie analizy ryzyka.

 

Uwaga: Podczas następnej (cyklicznej) oceny analizy ryzyka możliwe jest uzupełnienie potencjalnych zagrożeń. Zmiana taka wpłynie na konieczność uwzględnienia tego zagrożenia w następnej analizie. Nowe zagrożenia dostaną nowe identyfikatory. Zagrożenia wycofane pozostaną jako archiwalne.

 

Nr
zagrożenia

Rodzaj

Zagrożenie

Źródło

Poziom
zagrożenia

ZG-1

Zniszczenia
fizyczne

Pożar

P, U, N

średni

ZG-2

Zalanie

P, U, N

średni

ZG-3

Zanieczyszczenie

P, U, N

średni

ZG-4

Katastrofa budowlana, poważny wypadek

P, U, N

niski

ZG-5

Zniszczenie urządzeń lub nośników

P, U, N

średni

ZG-6

Pył, korozja, wychłodzenie

P, U, N

niski

ZG-7

Zjawiska
naturalne

Zjawiska klimatyczne (np. smog,
ekstremalne temperatury, wilgotność)

N

niski

ZG-8

Zjawiska pogodowe (np. piorun, huragan)

N

średni

ZG-9

Powódź

N

niski

ZG-10

Utrata
podstawowych usług

Awaria systemu klimatyzacji

P, U

średni

ZG-11

Utrata dostaw prądu

P, U, N

średni

ZG-12

Utrata możliwości korzystania z łączy
telekomunikacyjnych

P, U

średni

ZG-13

Zakłócenia
spowodowane promieniowaniem

Promieniowanie elektromagnetyczne

P, U, N

średni

ZG-14

Promieniowanie cieplne

P, U, N

średni

ZG-15

Naruszenie
bezpieczeństwa
informacji

Przechwycenie sygnałów na skutek
zjawiska interferencji

U

niski

ZG-16

Szpiegostwo zdalne, terroryzm, wandalizm

U

średni

ZG-17

Wykorzystanie promieniowania
ujawniającego (w tym podsłuch)

U

niski

ZG-18

Kradzież nośników lub dokumentów

U

średni

ZG-19

Kradzież urządzenia

U

niski

ZG-20

Odtworzenie z powtórnie wykorzystanych nośników

U

niski

ZG-21

Ujawnienie

P, U

średni

ZG-22

Dane z niewiarygodnych źródeł

P, U

średni

ZG-23

Manipulowanie urządzeniem

U

niski

ZG-24

Sfałszowanie oprogramowania

P, U

niski

ZG-25

Wyłudzenie, fałszowanie dokumentów – nośników, kluczy, haseł dostępu itp.

U

wysoki

ZG-26

Awarie techniczne

Awaria urządzenia

P

średni

ZG-27

Niewłaściwe funkcjonowanie
oprogramowania i urządzeń

P

średni

ZG-28

Naruszenie zdolności utrzymania systemu informacyjnego

P, U

niski

ZG-29

Nieautoryzowane działania

Nieautoryzowane użycie urządzeń

U

niski

ZG-30

Nieuprawnione kopiowanie oprogramowania

U

niski

ZG-31

Użycie fałszywego lub skopiowanego
oprogramowania

P, U

niski

ZG-32

Zniekształcenie danych

U

niski

ZG-33

Nielegalne przetwarzanie danych

U

niski

ZG-34

Naruszenie
bezpieczeństwa funkcji

Błędy, pomyłki użytkowników i administratorów

P

średni

ZG-35

Zaniedbania użytkowników i administratorów

P, U

średni

ZG-36

Odmowa działania

U

niski

ZG-37

Niedostępność pracowników (choroba
ważnych osób, niedobór pracowników)

P, U, N

niski

 

 

8. IDENTYFIKACJA PODATNOŚCI NA RYZYKA, OKREŚLENIE ICH POZIOMU

 

W celu określenia podatności na ryzyka opracowano listę słabych punktów (podatności) bezpieczeństwa przetwarzania danych osobowych w jednostce organizacyjnej, ułożoną wg prawdopodobieństwa ich wykorzystania przez wcześniej zidentyfikowane zagrożenia.

 

Każdy element z listy potencjalnych słabych punktów (podatności) bezpieczeństwa przetwarzanych danych został oszacowany pod względem prawdopodobieństwa jego wykorzystania przez zidentyfikowane wcześniej zagrożenia. Pozwoliło to na określenie poziomu podatności, polegające na przypisaniu każdej zidentyfikowanej wcześniej słabości odpowiedniej wartości, np.: niski, średni, wysoki, ekstremalny.

 

Dla oszacowania poziomu podatności przyjęto następujące wartości:

  • 0 – brak podatności,
  • 1 – niski poziom podatności,
  • 2 – średni poziom podatności,
  • 3 – wysoki poziom podatności,
  • 4 – ekstremalny poziom podatności.

 

Tabelę oceny podatności poszczególnych aktywów (zasobów) na zdefiniowane powyżej zagrożenia przedstawiono w załączniku nr 3.

 

9. OKREŚLENIE WIELKOŚCI RYZYK – WYZNACZENIE POZIOMÓW ZIDENTYFIKOWANYCH RYZYK

 

Na potrzeby metody oceny naruszenia praw i wolności osób fizycznych przyjęto następujący rozkład ryzyka:

 

Macierz rozkładu oceny ryzyka naruszenia praw i wolności osób fizycznych

 

 

 

Ocena skutków

 

 

1

2

3

4

Ocena prawdopodobieństwa

(podatność)

1

1

2

3

4

2

2

4

6

8

3

3

6

9

12

4

4

8

12

16

 

 

Przyjęto poniższe poziomy i kryteria postępowania z ryzykiem:

 

Poziom

Skala
wartości

Opis

Ryzyko

NISKIE

od 1 do 4

Ryzyka akceptowane niewymagające dalszego postępowania. Pozostawienie ryzyka na poziomie określonym w procesie szacowania ryzyka i zaniechanie dalszych działań

Ryzyko

ŚREDNIE

od 5 do 8

Grupa robocza proponuje administratorowi danych osobowych jedno z poniższych rozwiązań:

  • obniżenie ryzyka poprzez zastosowanie zabezpieczeń,
  • pozostawienie ryzyka na poziomie określonym w procesie szacowania ryzyka i zaniechanie dalszych działań,
  • unikanie ryzyka poprzez niepodejmowanie działań będących źródłem ryzyka,
  • przeniesienie ryzyka na inny podmiot w zakresie odpowiedzialności za zarządzanie ryzykiem bez możliwości przeniesienia odpowiedzialności za skutki wynikające z naruszenia poufności, integralności lub dostępności danych osobowych przetwarzanych w systemie informatycznym

Ryzyko

WYSOKIE

od 9 do 16

Wymaga bezwzględnej reakcji redukującej podatność. Administrator systemu informatycznego (ASI) w porozumieniu z inspektorem ochrony danych (IOD) ma bezwzględny obowiązek zmniejszenia podatności ryzyka (zminimalizowania ryzyka)

 

 

Dla ryzyk, które nie mogą być zaakceptowane ze względu na ich zbyt wysoki poziom, proces postępowania z ryzykiem przeprowadza się ponownie.

 

Ryzyka pozostające po procesie postępowania z ryzykiem (ryzyka szczątkowe) podlegają akceptacji ryzyka.

 

W procesie akceptacji ryzyka administrator ochrony danych dokonuje formalnego zaakceptowania ryzyka szczątkowego wraz z jego ewentualnymi konsekwencjami.

 

Zgodnie z przyjętą metodyką ryzyka wyliczane są wg poniższej formuły:

 

R = P × S

 

gdzie:

R – wielkość szacowanego ryzyka,

S – wielkość straty, gdy wystąpi rozpatrywane zdarzenie,

P
prawdopodobieństwo wystąpienia rozpatrywanego zdarzenia.

10. IDENTYFIKACJA I OSZACOWANIE RYZYKA

 

Macierze poziomów ryzyka dla poufności, integralności i dostępności dla poszczególnych rodzajów zasobów w odniesieniu do zagrożeń przedstawiono w załączniku nr 4.

 

11. OCENA RYZYKA

 

Na podstawie przeprowadzonego szacowania ryzyka ziden­tyfikowano ryzyka średnie i wysokie, które należy ograniczyć w pierwszej kolejności. Grupa robocza podjęła decyzje odnośnie dalszego postępowania z ryzykiem. Jak zaznaczono na wstępie analizy ryzyka, wartość ryzyka R jest szczegółowo analizowana po przekroczeniu wartości 4
dla poufności, integralności i dostępności.

 

Ryzyka dla POUFNOŚCI

 

Ryzyko R-1 = 6 – dla zagrożenia ZG-1 (pożar), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15,
ZS-17.

 

Poziom zagrożenia – średni

Poziom podatności: 2 – średni

Skutek – 3

 

Poziom podatności dla zasobów i systemów informatycznych można obniżyć poprzez zainstalowanie systemu auto­matycznego gaszenia, redundantnej klimatyzacji oraz certyfikowanych czujników temperatury w głównej serwerowni spółki. Ponadto można zobligować IOD do bieżącego nadzoru oraz analizy dziennika zdarzeń.

 

Skutki utraty danych można zmniejszyć, zapewniając kopię cyfrową lub papierową danych przechowywanych w zbiorach.

 

Poziom podatności można obniżyć także poprzez opracowanie i wdrożenie procedur postępowania na wypadek pożaru oraz wprowadzenie zabezpieczeń przeciwpożarowych w zakresie ochrony zasobów.

 

Ryzyko R-2 = 6 – dla zagrożenia ZG-5 (zniszczenie urządzeń lub nośników), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – średni

Poziom podatności: 2 – średni

Skutek – 3

 

Poziom podatności dla zasobów i systemów informatycznych można obniżyć poprzez wdrożenie systemu kopi zapasowych, odmiejscowienie nośników, zainstalowanie odpowiednich zabezpieczeń automatycznego gaszenia pożarów, redundantnej klimatyzacji oraz certyfikowanych czujników temperatury w głównej serwerowni spółki. Ponadto należy zobligować IOD do bieżącego nadzoru oraz analizy dziennika zdarzeń.

 

Ryzyko R-3 = 6 – dla zagrożenia ZG-6 (pył, korozja lub wychłodzenie), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7,
ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – niski

Poziom podatności: 2 – średni

Skutek – 3

 

Poziom podatności dla urządzeń teleinformatycznych, a tym samym i dla zasobów, można obniżyć poprzez zastosowanie klimatyzatorów w pomieszczeniach serwerowni. Warunkiem utrzymania pełnej sprawności jest także wykonywanie cyklicznych przeglądów serwisowych.

 

Ryzyko R-4 = 6 – dla zagrożenia ZG-11 (utrata dostaw prądu), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – średni

Poziom podatności: 2 – średni

Skutek – 3

 

Poziom podatności na to zagrożenie można obniżyć poprzez wyposażenie serwerowni w urządzenia podtrzymujące zasilanie (UPS), które wymagają kontrolowanego wyłączenia.

 

Ryzyko R-5 = 6 – dla zagrożenia ZG-12 (utrata możliwości korzystania z łączy telekomunikacyjnych), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – średni

Poziom podatności: 2 – średni

Skutek – 3

 

Poziom podatności na to zagrożenie można obniżyć poprzez przyłączenie sprzętu telekomunikacyjnego do dwóch punktów dostępowych operatora usług telekomunikacyjnych co najmniej dwiema różnymi drogami. Powinno to zapobiec niedostępności usług w przypadku awarii jednego z przyłączy.

 

Ryzyko R-6 = 6 – dla zagrożenia ZG-13 (promieniowanie elektromagnetyczne), dla zasobów (wrażliwych) ZS-1, ZS-2,
ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – niski

Poziom podatności: 2 – średni

Skutek – 3

 

Poziom podatności można zmniejszyć poprzez zmniejszenie wrażliwości systemów informatycznych na promieniowanie elektromagnetyczne, np. przez zastosowanie ekranów elektromagnetycznych do ochrony okablowania i informatycznej infrastruktury krytycznej.

 

Ryzyko R-7 = 6 – dla zagrożenia ZG-15 (przechwycenie sygnałów na skutek zjawiska interferencji), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – niski

Poziom podatności: 2 – średni

Skutek – 3

 

Ryzyko R-8 = 6 – dla zagrożenia ZG-16 (szpiegostwo zdalne, terroryzm, wandalizm), dla zasobów (wrażliwych) ZS-1,
ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – średni

Poziom podatności: 3 – wysoki

Skutek – 3

 

Ryzyko R-9 = 6 dla zagrożenia ZG-16 (szpiegostwo zdalne, terroryzmem, wandalizmem) dla zasobów (wrażliwych) ZS-21, ZS-22, ZS-24, ZS-25, ZS-26.

 

Poziom zagrożenia – średni

Poziom podatności: 3 – wysoki

Skutek – 2

 

Ryzyko R-10 = 6 – dla zagrożenia ZG-17 (wykorzystanie promieniowania ujawniającego, w tym podsłuch), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – niski

Poziom podatności: 2 – średni

Skutek – 3

 

Ryzyko R-11 = 6 – dla zagrożenia ZG-18 (kradzież nośników lub dokumentów), dla zasobów (wrażliwych) ZS-1, ZS-2,
ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – średni

Poziom podatności: 2 – średni

Skutek – 3

 

Ryzyko R-12 = 6 – dla zagrożenia ZG-19 (kradzież urządzenia), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11,
ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – niski

Poziom podatności: 2 – średni

Skutek – 3

 

Ryzyko R-13 = 6 – dla zagrożenia ZG-21 (ujawnienie danych), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11,
ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – średni

Poziom podatności: 2 – średni

Skutek – 3

 

Ryzyko R-14 = 6 – dla zagrożenia ZG-23 (manipulowanie urządzeniem), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – niski

Poziom podatności: 2 – średni

Skutek – 3

 

Ryzyka od R-7 do R-14 – to ryzyka związane z zagrożeniami, które można zdefiniować jako związane z naruszeniem bezpieczeństwa informacji i najczęściej ich źródłem jest działanie umyślne (czasami przypadkowe) hakerów, przestępców komputerowych, szpiegów przemysłowych (z innych firm), źle wyszkolonych lub niezadowolonych pracowników.

 

Poziom podatności można obniżyć poprzez wdrożenie procedur nadzoru IOD nad wybranymi czynnościami admi­nistracyjnymi. Należy wdrożyć zabezpieczenia, takie jak: blokady napędów, nadanie odpowiednich uprawnień pracownikom itp., co zagwarantuje odpowiedni poziom bezpieczeństwa. Ponadto należy zobligować IOD do bieżącego nadzoru oraz analizy dziennika zdarzeń.

 

Poziom podatności można zmniejszyć także poprzez wprowadzenie kontroli dostępu do wyznaczonych stref bezpieczeństwa, stosowanie bezpiecznych urządzeń do przechowywania danych, wprowadzenie zabezpieczeń przed niekontrolowanym kopiowaniem danych wrażliwych, wprowadzenie mechanizmów identyfikacji i uwierzytelnienia użytkowników, wdrożenie nowoczesnych rozwiązań w zakresie fizycznej i technicznej ochrony zasobów.

 

Ryzyko R-15 = 6 – dla zagrożenia ZG-26 (awaria urządzenia), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11,
ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – średni

Poziom podatności: 2 – średni

Skutek – 3

 

Poziom podatności można obniżyć poprzez wdrożenie procedur sprawnego usuwania awarii urządzeń oraz poprzez podpisanie umów na naprawy i konserwację infrastruktury informatycznej.

 

Ryzyko R-16 = 6 – dla zagrożenia ZG-27 (niewłaściwe funkcjonowanie oprogramowania i urządzeń), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – średni

Poziom podatności: 2 – średni

Skutek – 3

 

Poziom podatności można zmniejszyć poprzez podpisanie umów utrzymaniowych na kluczowe systemy spółki.

 

Ryzyko R-17 = 6 – dla zagrożenia ZG-28 (naruszenie zdolności utrzymania systemu informacyjnego), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – niski

Poziom podatności: 2 – średni

Skutek – 3

Poziom podatności dla systemów informatycznych można obniżyć poprzez instalację oprogramowania monitorującego kondycję urządzeń oraz informacje na temat działania oprogramowania.

 

Ryzyko R-18 = 6 – dla zagrożenia ZG-29 (nieautoryzowane użycie urządzeń), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4,
ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – niski

Poziom podatności: 2 – średni

Skutek – 3

 

Poziom podatności można obniżyć poprzez wprowadzenie zabezpieczeń w postaci kodów, haseł indywidualnych itp.
dla poszczególnych użytkowników.

 

Ryzyko R-19 = 6 – dla zagrożenia ZG-30 (nieuprawnione kopiowanie oprogramowania), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – niski

Poziom podatności: 2 – średni

Skutek – 3

 

Poziom podatności dla systemów informatycznych można obniżyć poprzez instalację w kluczowych systemach spółki baz danych rozdzielonych od aplikacji klienckich.

 

Ryzyko R-20 = 6 – dla zagrożenia ZG-32 (zniekształcenie danych) – dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – niski

Poziom podatności: 2 – średni

Skutek – 3

 

Poziom podatności dla systemów informatycznych można obniżyć np. poprzez wdrożenie systemu kopii zapasowych.

 

Ryzyko R-21 = 9 – dla zagrożenia ZG-34 (błędy, pomyłki użytkowników i administratorów), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – średni

Poziom podatności: 3 – wysoki

Skutek – 3

 

Ryzyko R-22 = 6 dla zagrożenia ZG-34 (błędy, pomyłki użytkowników i administratorów), dla zasobów (wrażliwych) ZS-21, ZS-22, ZS-23, ZS-24, ZS-25, ZS-26.

 

Poziom zagrożenia – średni

Poziom podatności: 3 – wysoki

Skutek – 2

 

Poziom podatności można obniżyć poprzez wdrożenie odpowiednich zabezpieczeń, zaimplementowanie licencjonowanego oprogramowania, dokonywanie okresowych przeglądów oraz wdrożenie procedur reagowania na incydenty komputerowe, co znacznie zmniejszy ryzyko wystąpienia tego typu zagrożenia.

 

Ryzyko R-23 = 6 – dla zagrożenia ZG-35 (zaniedbania użytkowników i administratorów), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – średni

Poziom podatności – 2 – średni

Skutek – 3

 

Poziom podatności można zmniejszyć poprzez wprowadzenie systemu zabezpieczającego dane lub konfigurację urządzeń, a także poprzez wdrożenie systemu kopii zapasowych.

 

Ryzyko R-24 = 6 – dla zagrożenia ZG-37 (niedostępność pracowników, np. choroba ważnych osób, niedobór pracowników), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17.

 

Poziom zagrożenia – niski

Poziom podatności – 2 – średni

Skutek – 3

 

Poziom podatności można obniżyć poprzez wdrożenie zasady wzajemnej zastępowalności pracowników.

 

Ryzyka dla INTEGRALNOŚCI

 

Ryzyko R-25 = 6 – dla zagrożenia ZG-16 (szpiegostwo zdalne, terroryzm, wandalizm), dla zasobów (wrażliwych) ZS-1,
ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17, ZS-21, ZS-22, ZS-24, ZS-25, ZS-26.

 

Zagrożenie naruszenia integralności przetwarzanych danych osobowych spowodowane szpiegostwem zbiorów danych osobowych w powyższych zasobach, systemów informatycznych, dysków twardych, innych nośników danych oraz „podsłuchem elektronicznym” okablowania.

 

Poziom zagrożenia – średni

Poziom podatności: 3 – wysoki

Skutek – 2

 

Poziom podatności można obniżyć poprzez wdrożenie odpowiednich zabezpieczeń, zastosowanie właściwego uziemienia urządzeń, separację urządzeń, ekranowanie okablowania.

 

Ryzyko R-26 = 6 – dla zagrożenia ZG-34 (błędy, pomyłki użytkowników i administratorów), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17, ZS-21, ZS-22, ZS-23, ZS-24, ZS-25, ZS-26.

 

Zagrożenie naruszenia integralności przetwarzanych danych dla powyższych zasobów spowodowane błędami użytkowania, zaniedbaniami użytkowników przetwarzanych danych osobowych, systemów informatycznych,
teczek osobowych, dysków twardych i innych nośników danych.

 

Poziom zagrożenia – średni

Poziom podatności: 3 – wysoki

Skutek – 2

 

Poziom podatności można obniżyć poprzez wdrożenie odpowiednich zabezpieczeń, co znacznie zmniejszy ryzyko wystąpienia tego typu zagrożeń. Należy wdrożyć m.in. takie zabezpieczenia, jak: blokady napędów czy nadawanie odpowiednich uprawnień, co zagwarantuje odpowiedni poziom bezpieczeństwa. Ponadto należy zobligować IOD do bieżącego nadzoru i analizy dziennika zdarzeń.

 

Ryzyka dla DOSTĘPNOŚCI

 

Ryzyko R-27 = 6 – dla zagrożenia ZG-16 (szpiegostwo zdalne, terroryzm, wandalizm), dla zasobów (wrażliwych) ZS-1,
ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17, ZS-21, ZS-22, ZS-24, ZS-25, ZS-26, ZG-27.

 

Dostęp do przetwarzanych danych w wyszczególnionych powyżej zasobach może być niemożliwy na żądanie w określonym czasie z powodu zdalnego szpiegostwa i zakłócenia pracy systemów informatycznych.

 

Poziom zagrożenia – średni

Poziom podatności: 3 – wysoki

Skutek – 2

 

Stosować licencjonowane oprogramowanie. Opracować procedury aktualizacji baz wirusów oraz reagowania na incydenty komputerowe (procedura zgłaszania incydentów).

 

Poziom podatności można dodatkowo obniżyć poprzez wdrożenie odpowiednich zabezpieczeń, zastosowanie właściwego uziemienia urządzeń, separację urządzeń, ekranowanie okablowania.

 

Ryzyko R-28 = 6 – dla zagrożenia ZG-34 (błędy, pomyłki użytkowników i administratorów), dla zasobów (wrażliwych) ZS-1, ZS-2, ZS-4, ZS-7, ZS-11, ZS-13, ZS-15, ZS-17, ZS-21, ZS-22, ZS-23, ZS-24, ZS-25, ZS-26, ZG-27.

 

Dostęp do przetwarzanych danych w wyszczególnionych powyżej zasobach może być niemożliwy na żądanie w określonym czasie z powodu błędów i pomyłek użytkownika lub administratora.

Poziom zagrożenia – średni

Poziom podatności: 3 – wysoki

Skutek – 2

 

Proponuje się stosowanie wymogu szkoleń użytkowników (co najmniej raz w roku) z zasad bezpieczeństwa infor­matycznego. Zobligować ASI do systematycznego wyko­nywania kopii zapasowych i backupów. Opracować procedury nadzoru IOD nad wybranymi czynnościami administracyjnymi, w tym bieżącego nadzoru i analizy dziennika zdarzeń.

 

12. OCENA RYZYK – PODSUMOWANIE

 

Analiza ryzyka pozwoliła na określenie właściwych potrzeb w zakresie zabezpieczenia przetwarzanych danych, w tym zasobów systemu informatycznego, co będzie istotnym czynnikiem wpływającym na efektywność zastosowanych środków ochrony. Dlatego równolegle z budową bezpiecznego systemu ochrony danych osobowych lub z wdrażaniem nowych zabezpieczeń należy przewidzieć prowadzenie szkoleń mających na celu podniesienie ogólnej świadomości w zakresie bezpieczeństwa i ukształtowanie nawyków.

 

Biorąc pod uwagę wyniki szacowania ryzyka, należy podkreślić, iż utrzymanie założonego poziomu bezpieczeństwa danych osobowych przetwarzanych, udostępnianych i przechowywanych w jednostce organizacyjnej można uzyskać poprzez:

  • wprowadzenie kompleksowych przeglądów ryzyk w okresach nieprzekraczających 12 miesięcy,
  • wprowadzenie cyklicznych przeglądów stanu bezpieczeństwa, nie rzadziej niż raz na 6 miesięcy,
  • zapewnienie prawidłowej i bezpiecznej eksploatacji systemu informatycznego przez cały rok kalendarzowy poprzez systematyczne konserwacje sprzętu i oprogramowania,
  • utrzymanie aktualności list upoważnionych użytkowników systemu, uaktualnianie procedur i zastosowanych środków zabezpieczających – na bieżąco,
  • wdrożenie odpowiednich zabezpieczeń systemów informatycznych (m.in. blokady napędów, nadanie odpowiednich uprawnień itp.), co zagwarantuje odpowiedni poziom bezpieczeństwa,
  • zobligowanie IOD oraz ASI do bieżącego nadzoru oraz analizy dziennika zdarzeń,
  • wdrożenie procedur postępowania w przypadku incydentu,
  • systematyczne utrzymywanie czystości pomieszczeń i urządzeń,
  • szkolenie nowych użytkowników w ramach aktualnych potrzeb,
  • wdrożenie polityki bezpieczeństwa, zasad przydzielania kont i bezpiecznego korzystania z systemów informatycznych – wdrożono,
  • wdrożenie procedur w razie wystąpienia nieprzewidzianych wypadków, w tym szpiegostwa – wdrożono postępowanie z incydentem,
  • wyjaśnienie i reagowanie na incydenty naruszenia bezpieczeństwa w momencie wystąpienia incydentu – wdrożono postępowanie z incydentem,
  • systematyczne tworzenie kopii zapasowych i backupów – wdrożono.
  • W celu zminimalizowania zagrożeń główny ciężar odpowiedzialności za bezpieczeństwo systemu spoczywać będzie na inspektorze ochrony danych (IOD) oraz administratorze systemu informatycznego (ASI). To oni, prowadząc systematyczne kontrole zabezpieczeń, sprzętu i oprogramowania, jak również szkolenia z użytkownikami systemu, mają za zadanie zminimalizować ryzyko.

 

Z wnioskami i propozycjami grupy roboczej zapoznałem się.

 

Wszystkie propozycje akceptuję i nakazuję ich realizację.

 

Prezes Zarządu ……………. Sp. z o.o.

 

………………………………………….

                                                                                                                                                                                              (data i podpis)

 

 

Załączniki:

  • Załącznik nr 1 – Identyfikacja i oszacowanie zasobów (aktywów)
  • Załącznik nr 2 – Szacowanie następstw (skutków) ze względu na poufność, integralność i dostępność
  • Załącznik nr 3 – Oszacowanie (określenie) podatności zasobów na zidentyfikowane zagrożenia
  • Załącznik nr 4A – Identyfikacja i oszacowanie ryzyka – Macierz poziomów ryzyka dla poufności
  • Załącznik nr 4B – Identyfikacja i oszacowanie ryzyka – Macierz poziomów ryzyka dla integralności
  • Załącznik nr 4C – Identyfikacja i oszacowanie ryzyka – Macierz poziomów ryzyka dla dostępności

 

 

[1]    RTO jest kategorią, którą posługuje się w planowaniu ciągłości działania i oznacza czas, przez jaki system może być niedostępny,
nie powodując przy tym nieodwracalnych skutków dla realizowanych zadań. Problematykę planowania ciągłości działania, w tym dopuszczalnego okresu utraty dostępności informacji, opisano szczegółowo w stosownym załączniku do „Systemu Zarządzania Bezpieczeństwem Informacji”.