Szacowanie ryzyka utraty danych w oparciu o normę PN-ISO/IEC 27005
Celem analizy ryzyka jest określenie i oszacowanie prawdopodobieństwa oraz skutków wystąpienia danego (niepożądanego) zdarzenia.
Analiza ryzyka to określone działania skierowane na obniżenie wpływu ryzyka na funkcjonowanie danego podmiotu i podejmowanie odpowiednich środków przeciwdziałania i minimalizacji ryzyka. Pozwala na określenie poziomu ryzyka w sposób jakościowy i ilościowy dzięki czemu mogą zostać przeprowadzane działania zapobiegawcze lub działania polegające na jego eliminacji.
Analiza ryzyka jest jednym z elementów procesu zarządzania ryzykiem. Wyróżnia się kilka rodzajów podejścia do analizy:
- Podejście jakościowe – oparte na wiedzy i doświadczeniu ekspertów,
- Podejście ilościowe – z wykorzystaniem technik analizy ryzyka,
- Podejście mieszane.
Analiza ryzyka jest narzędziem wykorzystywanym m.in. do przygotowania Polityki bezpieczeństwa informacji i Systemów zarządzania bezpieczeństwem informacji. Przeprowadzana jest inwentaryzacja zasobów (aktywów informacyjnych) oraz ich właścicieli, określane są zagrożenia i podatności, oraz skutki utraty poufności, integralności i dostępności tych zasobów. Następnie odbywa się analiza i ocena zidentyfikowanych ryzyk. Na tej podstawie opracowywany jest raport z procesu szacowania ryzyka, uwzględniający wszystkie zidentyfikowane ryzyka.
Ocena skutków dla ochrony danych osobowych jest procesem pozwalającym opisać przetwarzanie oraz ocenić jego konieczność i proporcjonalność, a także mającym wspomóc zarządzanie ryzykiem naruszenia praw i wolności osób fizycznych wynikającym z przetwarzania danych osobowych poprzez ocenę ryzyka i określenie środków pozwalającym zaradzić tym czynnikom ryzyka. Oceny skutków dla ochrony danych są ważnym narzędziem rozliczalności, ponieważ ułatwiają administratorom nie tylko przestrzeganie wymogów określonych w RODO, ale także wykazanie, że podjęto odpowiednie środki w celu zapewnienia przestrzegania przepisów RODO. Innymi słowy ocena skutków dla ochrony danych jest procesem budowania i wykazywania zgodności.
W RODO określono minimalne cechy, jakie powinna posiadać ocena skutków dla ochrony danych (art. 35 ust. 7 oraz motywy 84 i 90), a mianowicie:
- opis planowanych operacji przetwarzania i celów przetwarzania
- ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne
- ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą
- środki planowane w celu:
- zaradzenia ryzyku
- wykazania przestrzegania niniejszego rozporządzenia.