Raport z szacowania ryzyka naruszenia bezpieczeństwa danych osobowych

Raport z szacowania

ryzyka dla bezpieczeństwa

danych osobowych

Sporządził: Jan Kowalski

2023-10-27

1. Terminologia

Ryzyko w bezpieczeństwie informacji (danych osobowych) – kombinacja skutków zdarzenia bezpieczeństwa informacji i związanego z nim prawdopodobieństwa jego wystąpienia.

RODO – rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).

ADO – administrator danych osobowych.

Ryzyko szczątkowe – poziom ryzyka po wdrożeniu zabezpieczeń.

Poziom ryzyka akceptowalnego – poziom zapewniający, że ryzyka szczątkowe są świadomie zaakceptowane przez kierownictwo organizacji.

Poufność – właściwość polegająca na tym, że dane nie są udostępniane nieautoryzowanym osobom, podmiotom lub procesom.

Integralność – właściwość polegająca na zapewnieniu dokładności i kompletności danych.

Dostępność – właściwość bycia dostępnym i użytecznym na żądanie autoryzowanego podmiotu.

Podatności – rozumiemy jako wady, luki lub słabości w strukturze fizycznej, organizacji, procedurach, personelu, zarządzaniu, administrowaniu, sprzęcie lub oprogramowaniu (zasobu lub grupy zasobów).

Zagrożenie – rozumiemy jako potencjalną przyczynę niepożądanego incydentu, który może wywołać szkodę w systemu lub organizacji.

Prawdopodobieństwo – możliwość wystąpienia zdarzenia.

2. Klasyfikacja informacji – czynności przetwarzania danych osobowych

Poniżej wskazano czynności przetwarzania danych osobowych wraz z ich klasyfikacją.

Id Nazwa i Klasa: Właścici Wymagania Wymagania Wymagania

. opis niska/średnia/wysoka el Poufność Integralność Dostępność

czynności /wysoka czynnośc niski/średni/wysoki niski/średni/wysoki niski/średni/wysoki

lub i /wysoki /wysoki /wysoki

identyfikat

or zgodnie

z RCP

1

2

3

4

5

6

7

8

3. Wyniki szacowania ryzyka – dla ryzyk przekraczających wartości akceptowalne oraz dla których określono postępowanie z ryzykiem

Po przeprowadzonej identyfikacji i klasyfikacji czynności przetwarzania dokonano identyfikacji, analizy i oceny ryzyka. Do szacowania ryzyka wykorzystano metodykę OCTAVE zgodną z normą ISO 27005 oraz wymaganiami przepisów o ochronie danych osobowych.

Tabela zawiera ryzyka o wartości przekraczającej poziom akceptowalny. Przedstawiono również ryzyka, których poziom zbliża się do wartości akceptowalnej.

Należy szczególnie objąć monitorowaniem te ryzyka, których wartości zbliżają się do progu ryzyka akceptowalnego.

Nr Rodzaj Zidentyfikowane Źródło Skutek Opis Stosowane Poziom Uzasadnienie

ryzyka przetwarzania zagrożenie ryzyka naruszenia wpływu zabezpieczenia ryzyka poziomu ryzyka

danych dla na zgodnie (opis zdarzenia

danych osoby, z mapą z

których ryzyka uwzględnieniem

dane skuteczności

dotyczą środków

zmniejszających

ryzyko)

1

2

3

4

3.1. Postępowanie z ryzykiem

Propozycje postępowania z ryzykiem opracowane zostały na podstawie konsultacji z właścicielami, właściwych norm oraz dobrych praktyk bezpieczeństwa informacji.

Nr Opis sposobu postępowania z ryzykiem

ryzyka

1

2

3

4

4. Opinia inspektora ochrony danych

2023-10-26 i Anna Nowak (podpis)

5. Zatwierdzenie wyników szacowania ryzyka i sposobu postępowania z ryzykiem

2023-10-27 i Jan Kowalski (podpis)