Analiza ryzyka w obszarze bezpieczeństwa informacji

Dane osobowe i inne chronione informacje są cennymi aktywami dla każdej organizacji, a na rynku wymierną, dużą wartością handlową. Dlatego warto opracować, wdrożyć i nadzorować szeroko rozumianą politykę bezpieczeństwa informacji. Trzeba to wykonać nie tylko przez wzgląd na obowiązki ustawowe, ale przede wszystkim z praktycznych względów dla ochrony danych.

Wypada jednak się zastanowić, jakie dane i w jaki sposób chronić w naszej organizacji. Jakie skuteczne środki bezpieczeństwa przedsięwziąć. Kto i za co ma odpowiadać. Co może się stać i jakie będą konsekwencje naruszenia przyjętych zasad ochrony danych. W tym celu analizujemy ryzyko w obszarze bezpieczeństwa informacji: określamy prawdopodobieństwo wystąpienia określonych zagrożeń, skutki ich ewentualnego wystąpienia oraz istotność dla analizowanego obszaru.

Jeśli taką analizę przeprowadzimy rzetelnie, to na podstawie wniosków z niej wypływających przygotujemy sensowną i praktyczną Politykę bezpieczeństwa i zastosujemy odpowiednie środki minimalizujące zagrożenia dla danych osobowych i innych cennych informacji.

Obowiązek przeprowadzenia analizy ryzyka wynika również z różnych przepisów prawa. Już ustawa o ochronie danych osobowych w art. 36 ust. 1 mówi, że administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. W szczególności chodzi o zabezpieczenie danych przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.

Zwróćmy uwagę na zwrot „ochronę odpowiednią do zagrożeń oraz kategorii danych objętych ochroną”. Wyraźnie odnosi się on do analizowania ryzyka w stosunku do określonych informacji i tym samym do stosowania odpowiednich środków bezpieczeństwa.

Z kolei określenie „odpowiednie” środki bezpieczeństwa oznacza takie, jakie powinny ochronić dane przed kradzieżą czy innym wyciekiem. Niektóre z tych środków są określone w przepisach wykonawczych i branżowych. W większości jednak przypadków to administrator danych decyduje, jakie środki, kiedy i gdzie zastosować i czy są w tym celu na przykład niezbędne metalowe szafy, czy wystarczą niemetalowe, czy blokować porty USB, czy nie.

To powinno wynikać z analizy ryzyka. Przypominam przy tej okazji o art. 36 ust. 2 uodo, który mówi, że administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki, o których mowa w ust. 1.

Innym aktem prawnym, jaki wprost nakazuje przeprowadzenie analizy ryzyka, jest rozporządzenie Rady Ministrów z 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.

§ 20 ust. 1 tego rozporządzenia mówi, że podmiot realizujący zadania publiczne opracowuje i ustanawia, wdraża i eksploatuje, monitoruje i przegląda oraz utrzymuje i doskonali system zarządzania bezpieczeństwem informacji zapewniający poufność, dostępność i integralność informacji z uwzględnieniem takich atrybutów, jak autentyczność, rozliczalność, niezaprzeczalność i niezawodność.

W § 20 ust. 2 pkt 3 rozporządzenie mówi, że zarządzanie bezpieczeństwem informacji realizowane jest w szczególności przez (…) przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmowania działań minimalizujących to ryzyko, stosownie do wyników przeprowadzonej analizy. Pozostałe punkty tego paragrafu są wręcz zagadnieniami i zadaniami, które powinny być przedmiotem takiej analizy.