Rejestr ryzyk monitoringu poczty elektronicznej

Prawo

dane

Kategoria

analiza

Klucze

akceptacja ryzyka, decyzje ado, informowanie, konfiguracja, kontrola, monitoring, poczta elektroniczna, regulamin, ryzyko, użytkownicy, zabezpieczenia, zagrożenia

Dokument <<Rejestr ryzyk monitoringu poczty elektronicznej>> zawiera szczegółowy opis procesu identyfikacji i oceny ryzyk związanych z monitorowaniem przesyłek e-mail. Prezentuje listę potencjalnych zagrożeń oraz sposoby ich minimalizacji. Dokument obejmuje także procedury postępowania w przypadku wystąpienia ryzyka oraz odpowiedzialności za implementację zaleceń.

Arkusz1

 

 

 

 

 

 

 

 

 

 

 

Prawdopodobieństwo

Wartośćryzyka (Pr =P*S)

Czynnośćprzetwarzania

Zagrożenie

Czynniki mające wpływ namaterializację zagrożenia

Zastosowane zabezpieczenia

Dotkliwośćskutku (S)

wystąpienia (P)

Ocena ryzyka

Zalecenia

Postępowanie z ryzykiem – decyzja ADO

Wskazaćczynność

Wskazać zagrożenie

Wskazać czynniki, któremogą przyczynić się dozdarzenia

Wskazać środki techniczne iorganizacyjne, zastosowane dozapewnienia ochrony w ramachwskazanej czynności

Ocenia siędotkliwośćdla osoby,którejdanedotyczą wskali 1-5(1- małe2 możliwe3 - prawiepewne4 -pewne5-katastrofalne)

Jaka jestszansa, żeskutek sięzmaterializuje, 1- małe2 - możliwe3 -prawiepewne

Skala: Pr =1 lub 2niskie, Pr =3 lub 4średnie, Pr= 6 lub 9wysokie

Akceptowalne/nieakceptowalne

Wskazać rozwiązania, które mogąwpłynąć na minimalizację ryzyka

Możliwe działania: zmiana poziomuryzyka poprzez zastosowaniezabezpieczenia / unikanie ryzyka /przeniesienie ryzyka / akceptacja ryzyka.

Monitoring serwera pocztyfirmowej

Naruszenie prawa doprywatności pracowników

Nieskuteczne poinformowanieadministratorów systemów oraz kierownikówo monitoringu poczty elektronicznej,celu monitoringu i zakresiewykorzystania danych.

Opracowanie regulaminu monitoringupoczty elektronicznej firmowej

3

3

9

nieakceptowalne

Wprowadzenie skutecznego mechanizmuinformowania użytkowników o monitoringupoczty elektronicznej, a także potwierdzania przekazaniainformacji. Okresowe przypominanie omonitoringu oraz jego zasadach.

zmiana poziomu ryzyka poprzezzastosowanie zabezpieczenia

Monitoring serwera pocztyfirmowej

Zbyt szeroki zakrespozyskiwanych danych

Zakupione narzędzie dajemożliwość monitorowania pracowników,w tymtreści wiadomości e-mail (tzn.„podsłuchiwania”). Chęćkontrolowania pracownikówprzez kierowników.

Konfiguracja systemu zgodnie zregulaminem monitoringu, aby zakreswykorzystania nie wykraczał pozaustalone cele i sposoby wykorzystania.Ustanowienie jednej osoby (administratorbezpieczeństwa), którajest odpowiedzialna za kontrolękonfiguracji.

3

1

3

wymaga monitorowania

Weryfikacja konfiguracji narzędzia pokażdej aktualizacji (czy nie zmienił sięzakres zbieranych danych i możliwościwykorzystania). Regularne kontrolowaniesposobu wykorzystania monitoringu orazjego ustawień, a także przypominaniekierownikom, o dozwolonymzakresie użytkowania.

zmiana poziomu ryzyka poprzezzastosowanie zabezpieczenia

Monitoring serwera pocztyfirmowej

Ujawnienie danych zmonitoringu pracownikówzewnętrznym

Opublikowanie przezadministratora danychstatystycznych, dotyczącychaktywności pracowników zdziału IT.

Wprowadzenie regulaminu monitoringu,określającego zakres i sposóbwykorzystania monitoringu, w tymodpowiedzialności oraz uprawnieniaadministratora.

2

1

2

akceptowalne

Okresowe przypominanie administratorowitreści regulaminu monitoringupoczty elektronicznej.

akceptacja ryzyka

Monitoring serwera pocztyfirmowej

Ocena sposobuwykonywania pracy zwykorzystaniem danych zmonitoringu

Wykorzystanie przezkierownika danych oaktywności pracowników dooceny jego pracy

Regulamin określa, że dane nie mogąbyć wykorzystane w takim celu, a takżeodpowiedzialność za naruszeniepostanowień regulaminu

3

1

3

wymaga monitorowania

Okresowe przypominanie kierownikowitreści regulaminu monitoringupoczty elektronicznej. Wyciąganie konsekwencji wobeckierowników, które naruszają postanowieniaregulaminu

akceptacja ryzyka

Monitoring serwera pocztyfirmowej

Zbyt długi lub zbyt krótkiczas przechowywaniadanych

Nie ustawiono czasuusuwania danych z systemu

W regulaminie określono czasprzechowywania danych

2

2

4

wymaga monitorowania

Ustanowienie odpowiedzialności administratora zakonfigurację systemu zgodnie zregulaminem, okresowa weryfikacjalogów.

zmiana poziomu ryzyka poprzez zastosowaniezabezpieczenia

Monitoring serwera pocztyfirmowej

Zbyt długi lub zbyt krótkiczas przechowywaniadanych

Brak skutecznychmechanizmów usuwaniadanych po 3 miesiącachautomatycznie

W regulaminie określono czasprzechowywania danych

2

2

4

wymaga monitorowania

Jeśli system nie umożliwiaautomatycznego usuwania danych powskazanym czasie – zmiana systemu.Ustanowienie odpowiedzialności administratora zakonfiguracje systemu oraz weryfikacjępoprawności usuwania danych.

zmiana poziomu ryzyka poprzez zastosowaniezabezpieczenia

Strona 1

Rejestr ryzyk monitoringu poczty elektronicznej to istotne narzędzie administracyjne, mające na celu zapobieganie incydentom związanym z bezpieczeństwem e-maili. Podsumowuje on kluczowe zagrożenia oraz prezentuje skuteczne strategie redukcji ryzyka. Dzięki temu dokumentowi organizacja może skutecznie zabezpieczyć swoje komunikacje elektroniczne i minimalizować potencjalne straty.