Rafał K.

Rafał K. Specjalista ds.
Organizacyjnych,
EMIT

Temat: Ocena poziomu ryzyka w analizie

Zrobiłem analizę ryzyka w postaci tabeli.
kolejne kolumny : rodzaj zagrożenia , prawdopodobieństwo wystąpienia , wpływ na zachowanie integralności , dostępności, poufności i wreszcie poziom ryzyka.
Mam jednak pytania:
Czy jeżeli prawdopodobieństwo wystąpienia zdarzenia np: powodzi jest u mnie zerowe, to wpływ na zachowanie poufności/integralności/dostępności danych powinien być także zero, czy ma to być hipotetyczny wpływ w przypadku wystąpienia zdarzenia?
Jaki będzie wtedy poziom ryzyka - średnia z wszystkich kolumn czy niezależna ocena .

konto usunięte

Temat: Ocena poziomu ryzyka w analizie

Mam jednak pytania:
Czy jeżeli prawdopodobieństwo wystąpienia zdarzenia np: powodzi jest u mnie zerowe, to wpływ na zachowanie poufności/integralności/dostępności danych powinien być także zero, czy ma to być hipotetyczny wpływ w przypadku wystąpienia zdarzenia?

Ale w sumie po co wypisywać zagrożenia, które nie wystąpią na terenie, na którym znajduje się organizacja? To tak samo jak określać w analizie ryzyko wystąpienia trzęsienia ziemi mając siedzibę na obszarze nie zagrożonym sejsmicznie. Trochę sztuka dla sztuki moim zdaniem.
Poza tym, w RODO mamy zrobić analizę zagrożeń i oszacować jak mogą ucierpieć prawa i wolności osób, których dane przetwarzamy, czyli skupiamy się na danych osobowych.

Niech mnie ktoś pouczy, jeśli się mylę.
Rafał K.

Rafał K. Specjalista ds.
Organizacyjnych,
EMIT

Temat: Ocena poziomu ryzyka w analizie

Po to, że istnieje w przyjętej skali zagrożenie zerowe albo bardzo mało prawdopodobne i coś tam trzeba wpisać:)
Poważnie to:
Przy spółce jest rzeka, która nigdy nie zalała terenu zakładu - dlatego prawdopodobieństwo zerowe choć teoretycznie istnieje taka możliwość.

co do reszty
Wytyczne GIODO : Podmioty przetwarzające zobowiązuje się do przeprowadzenia szczegółowej analizy prowadzonych procesów przetwarzania i dokonywania oceny ryzyka, na jakie przetwarzanie danych jest narażone.

Skupmy się może na sednie sprawy żeby nie rozmywać tematu dobrze?

Jaka ma być ocena ryzyka w podanym przypadku? Zerowa ze względu na zerowe prawdopodobieństwo, czy ryzyko jest określane dla hipotetycznego wystąpienia zagrożenia?
Czy w kolumnach wpływu poufność/integralność/dostępność ma być ocena biorąca pod uwagę prawdopodobieństwo zdarzenia , czy są one podstawą do ogólnej oceny ryzyka ( średnia z tych kolumn)?Ten post został edytowany przez Autora dnia 27.04.18 o godzinie 13:53

Temat: Ocena poziomu ryzyka w analizie

ADO określa jakie ryzyka mogą pojawić się w jego organizacji. Robi to na podstawie doświadczenia z lat poprzednich oraz wiedzy. Nie ma żadnych przeszkód by wpisywał wszelkie zagrożenia jakie mu przyjdą do głowy - co najwyżej narazi się na ośmieszenie i brak wiedzy o rodo (art. 24).
Rafał K.

Rafał K. Specjalista ds.
Organizacyjnych,
EMIT

Temat: Ocena poziomu ryzyka w analizie

Radosław Z.:
ADO określa jakie ryzyka mogą pojawić się w jego organizacji. Robi to na podstawie doświadczenia z lat poprzednich oraz wiedzy. Nie ma żadnych przeszkód by wpisywał wszelkie zagrożenia jakie mu przyjdą do głowy - co najwyżej narazi się na ośmieszenie i brak wiedzy o rodo (art. 24).


Skoro jest ryzyko stopniowane i jest skala 0 lub jeden, to trzeba ująć także ryzyko bardzo mało prawdopodobne. Oczywiście nie wpisałem trzęsienia ziemi, ale powódź z racji bliskości rzeki jest teoretycznie możliwa.

Może podpowiecie coś w sprawie oceny o którą pytałem ?
Paweł G.

Paweł G. IOD, podmiot danych

Temat: Ocena poziomu ryzyka w analizie

Rafał K.:
Czy jeżeli prawdopodobieństwo wystąpienia zdarzenia np: powodzi jest u mnie zerowe, to wpływ na zachowanie poufności/integralności/dostępności danych powinien być także zero, czy ma to być hipotetyczny wpływ w przypadku wystąpienia zdarzenia?
To drugie. Skutek, jeżeli zagrożenie się zmaterializuje.
Rafał K.

Rafał K. Specjalista ds.
Organizacyjnych,
EMIT

Temat: Ocena poziomu ryzyka w analizie

To w wielu przypadkach wpływ zdarzenia na integralność/poufność/dostępność danych wyjdzie wysoki , przy bardzo niskim prawdopodobieństwie zaistnienia
W takim razie ocena ryzyka w ostatniej kolumnie ma być średnią z poprzednich 3 czy ma uwzględniać także prawdopodobieństwo i może być niższa ?
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: Ocena poziomu ryzyka w analizie

Dlatego, że zagrożenia mogą się pojawić. I przy okresowym przeglądzie warto o nich pamiętać. Katalog zagrożeń jest w miarę stały. Dla sceptyków - mieliśmy w Polsce tsunami, mamy ruchy tektoniczne związane z górotworem a nie tylko w wyniku szkód górniczych. Poza tym samo źródło zagrożenia dla np, wibracji i uszkodzenia talerzy w dyskach twardych (coraz mniej) może być nie w ruchach tektonicznych, a np. w bliskości drogi, po której naginać będą "patelnie" 40 tonowe, dostarczające kruszywo do budowy drogi obok.

Poza tym istnieje pojęcie w zarządzaniu ryzykiem: czarne łabędzie. Są to zdarzenia mało prawdopodobne, ale skutkujące naprawdę poważnymi konsekwencjami. Także proponuję jednak "przejechać się" po wszystkich. I jak prawdopodobieństwo będzie mniej niż raz na rok, po prostu wpisać "0". Bo przy kolejnym przeglądzie może być już "1".

Po drugie kilka spraw. Zagrożenie, podatność, zdarzenie szczytowe i ryzyko (konsekwencja).
1. Zagrożenie - zbytnie naświetlenie dokumentów papierowych
2. Podatność - papier określonego typu zadrukowany określoną techniką jest podatny na zbyt ostre światło.
3. Efekt (zdarzenie szczytowe) - utrata zapisów w aktach pracowniczych
4. Skutek (konsekwencja) utrata informacji (integralność i/lub dostępność) związanych z zatrudnieniem, wynagrodzeniem, etc.
5. Ryzyko w kontekście RODO - naruszone prawo osoby do uzyskania odpowiedniego do stażu świadczenia (emerytura czy renta).

Ważne, aby tak myśleć, bo ustawiasz zabezpieczenia zarówno na zagrożeniu jak i na skutki (sprawdź zasady związane ze zgłaszaniem naruszeń ochrony danych).
Dla zagrożenia (ograniczenie możliwości wystąpienia): właściwie przygotowane archiwum
Dla ryzyka (bo już mogło wystąpić): digitalizacja. Zniszczone, ale masz na dysku (tu nowe zagrożenia i ryzyka, plus info gdzie to jest, do obowiązku informacyjnego i ustalenia retencji)

Nie idź drogą prostych kalkulacji, bo one pomogą tylko w prostych rozwiązaniach. Źródła zagrożeń:
1. Siły natury:
- woda
-ogień
-powietrze (w tym ekstremalne temperatury niszczące np. zapisy na tasiemkach)
-ziemia (tu te nieszczęsne trzęsienia ziemi, ale też i osuwiska, etc).
Dodaję jeszcze media.
2. Działanie człowieka
- umyślne działanie swojego
- nieumyślnie działanie swojego
- umyślne działanie obcego
- nieumyślne działanie obcego
3. Technika - czyli to w czym to wszystko jest przetwarzane czy obok czego jest przetwarzane
- przechowywanie
-przesyłanie (wszelkie media)
-otoczenie

To tak pokrótce.

Następna dyskusja:

Analiza Ryzyka, SWBS i PBE




Wyślij zaproszenie do