GoldenLine
Zaloguj się
Marek Popiel

Marek Popiel ochroniarz danych

Temat: prawdopodobieństwo wystąpienia a prawdopodobieństwo...

Mam wrażenie, że RODO w stosunku do ryzyk posługuje się dwoma różnymi prawdopodobieństwami.

Tam gdzie chodzi o dobór zabezpieczeń mówi się o ryzyku , które charakteryzuje się prawdopodobieństwem wystąpienia i wagą zagrożenia (art 32 ust 1).

Tam gdzie jest mowa o powiadomieniu organu nadzorczego mówi się o prawdopodobieństwie skutkowania ryzykiem (art 33 ust 1).

Jak do tego podchodzicie? Rozróżniacie procedurę szacowania ryzyka dla doboru zabezpieczeń od procedury szacowania ryzyka w celu oceny skutków naruszenia?Ten post został edytowany przez Autora dnia 01.05.18 o godzinie 22:54
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: prawdopodobieństwo wystąpienia a prawdopodobieństwo...

Przepis 32.1. dotyczy szacowania ryzyka. Użycie zwrotu "wdrażają" - czas przyszły niedokonany świadczy o obowiązku podjęcia działań zapobiegawczych.

Przepis 33.1. dotyczy oceny skutku incydentu. Użycie zwrotu "skutkowało" - czas przeszły świadczy o konieczności działania po ocenie szkód.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: prawdopodobieństwo wystąpienia a prawdopodobieństwo...

Może źle zapytałem...
Czy stosujecie różne metodologie szacowania ryzyka, w zależności od tego czy dotyczy ono
1) naruszeń przewidywanych (gdzie szacowane jest prawdopodobieństwo wystąpienia)
2) naruszeń, do których doszło (gdzie prawdopodobieństwo wystąpienia przestaje być istotnym parametrem ponieważ do zdarzenia już doszło, natomiast trzeba określić prawdopodobieństwo skutkowania tego konkretnego zdarzenia)
Link do wypowiedziLink
Radosław Zieliński

Radosław Zieliński

Temat: prawdopodobieństwo wystąpienia a prawdopodobieństwo...

Szacowanie ryzyka jest obarczone błędem (szacowania). Poziom prawdopodobieństwa nigdy nie ma wartości 0 (pewność, że dane zdarzenie nie wystąpi) ani 1 (zdarzenie wystąpiło). Jeśli w przeszłości doszło do naruszenia, to na skali prawdopodobieństwa takie ryzyko przesuwa się ku wartości 1. Od metodyki analizy ryzyka zależy jak bardzo.
Oznacza to, że jest jedno prawdopodobieństwo ale o różnej wartości.
ps.
Metodologia, to nauka o metodach badań.
Link do wypowiedziLink
Paweł G.

Paweł G. IOD, podmiot danych

Temat: prawdopodobieństwo wystąpienia a prawdopodobieństwo...

Marek P.:
Tam gdzie jest mowa o powiadomieniu organu nadzorczego mówi się o prawdopodobieństwie skutkowania ryzykiem (art 33 ust 1).
Tu masz dwie opcje:
1. Jest mało prawdopodobne, by naruszenie ochrony skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.
a contrario
2. Jest prawdopodobne, by naruszenie ochrony skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.

Masz jeszcze opcję trzecią (art. 34.1:
3. Naruszenie ochrony może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: prawdopodobieństwo wystąpienia a prawdopodobieństwo...

Marek P.:
Może źle zapytałem...
Czy stosujecie różne metodologie szacowania ryzyka, w zależności od tego czy dotyczy ono
1) naruszeń przewidywanych (gdzie szacowane jest prawdopodobieństwo wystąpienia)
2) naruszeń, do których doszło (gdzie prawdopodobieństwo wystąpienia przestaje być istotnym parametrem ponieważ do zdarzenia już doszło, natomiast trzeba określić prawdopodobieństwo skutkowania tego konkretnego zdarzenia)

Ad 1 - zagrożeń (hazard)
Ad 2 - ryzyka (risk)

Analiza Bow-Tie dla zobrazowania. I zabezpieczenia stawiasz po obu stronach:
Ad 1 - aby nie wystąpiło, albo aby siła zagrożenia nie była zbyt mocna (żeby nie odpalało zdarzenia szczytowego)
Ad 2 - aby jak wystąpi, nie zmaterializowało skutków wynikających ze zdarzenia.

Przykład już dawałem.
Link do wypowiedziLink
Marek Popiel

Marek Popiel ochroniarz danych

Temat: prawdopodobieństwo wystąpienia a prawdopodobieństwo...

Grzegorz K.:
Analiza Bow-Tie dla zobrazowania. I zabezpieczenia stawiasz po obu stronach:
Ad 1 - aby nie wystąpiło, albo aby siła zagrożenia nie była zbyt mocna (żeby nie odpalało zdarzenia szczytowego)
Ad 2 - aby jak wystąpi, nie zmaterializowało skutków wynikających ze zdarzenia.

Dzięki, nie znałem tego.
Przykład już dawałem.

Nie wyłapałem, ostatnio mam mało czasu na przeglądanie forum...
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: prawdopodobieństwo wystąpienia a prawdopodobieństwo...

To tylko dodam, że Sprostowanie do RODO zmienia m.in. art. 32
"ryzyko naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie wystąpienia i wadze zagrożenia"
na
"ryzyko naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie wystąpienia i wadze"

Cieszę się, bo bardzo mnie ta "waga zagrożenia" drażniła.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: prawdopodobieństwo wystąpienia a prawdopodobieństwo...

Jarosław Ż.:
To tylko dodam, że Sprostowanie do RODO zmienia m.in. art. 32
"ryzyko naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie wystąpienia i wadze zagrożenia"
na
"ryzyko naruszenia praw lub wolności osób fizycznych o różnym
prawdopodobieństwie wystąpienia i wadze"

Cieszę się, bo bardzo mnie ta "waga zagrożenia" drażniła.

Bo to taki potworek był. Na szkoleni z ICM i UW rozkmniliśmy definicję wysokiego prawdopodobieństwa ryzyka naruszenia praw i wolności. Jako, że ryzyko to kombinacja prawdopodobieństwa i skutku, to nam wyszło:
Wysokie prawdopodobieństwo wystąpienia kombinacji prawdopodobieństwa i skutku, skutku (w postaci naruszenia).

Ja czekam jeszcze na sprostowanie babola w naruszeniu ochrony. Bo u nas naruszenie ochrony, to od razu naruszenie bezpieczeństwa a w wersji UK jest a breach of security. Czyli nadal:
naruszenie ochrony - to naruszenie ochrony... itd
U nas
naruszenie ochrony - to naruszenie bezpieczeństwa

Dla jasności przykład:
Polityka ochrony pomieszczeń zakłada, że tylko uprawnieni mają dostęp. A nośniki danych są przechowywane w zamkniętych szafach. Włamanie oznacza naruszenie ochrony danych (zabezpieczeń o charakterze organizacyjnym - bo miał dostęp nieuprawniony, oraz technicznych, bo zniszczono zamek, okucia etc).

Ale czy naruszenie tejże ochrony skutkowało naruszeniem bezpieczeństwa danych osobowych? No nie - bo zadziałał alarm, a gościu nie zdążył się włamać do sejfu. Gdzie jeszcze nadziałby się np. na szyfrowanie (ochrona wielostrefowa).

A w efekcie, czy takie naruszenie ochrony skutkuje powiadomieniem urzędu i osoby?

Marku, przykład dla Ciebie w sumie. To wyżej, to jest właśnie lewa strona Bow-Tie. Warstwy zabezpieczeń uchroniły od materializacji zdarzenia szczytowego, którym byłby nieuprawniony dostęp. To działanie to jest działanie własnie na zagrożeniach - czyli po lewej stronie muszki.
Link do wypowiedziLink
Jarosław Żabówka

Jarosław Żabówka Administrator
Bezpieczeństwa
Informacji (ABI).

Temat: prawdopodobieństwo wystąpienia a prawdopodobieństwo...

Nie mam z tym takiego problemu, bo zawsze rozróżniałem „ochronę danych” od „bezpieczeństwa danych”. Ochrona jest dla mnie pojęciem szerszym, obejmującym m.in. zapewnienie bezpieczeństwa.
Ale rzeczywiście, mamy tu denerwujący brak spójności:
-RODO – „naruszenie ochrony danych osobowych”
-Prawo telekomunikacyjne, dyrektywa 2009/136/WE – „naruszenie danych osobowych”

Mam wrażenie, że w Twoim przykładzie powinno być odwrotnie – włamanie do szafy to naruszenie bezpieczeństwa. Ale nie spowodowało „przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych”, czyli nie mówiłbym o naruszeniu ochrony danych osobowych.
Link do wypowiedziLink
Grzegorz Krzemiński

Grzegorz Krzemiński 600+ projektów w
bezpieczeństwie |
Trener | RODO | HSSE
|...

Temat: prawdopodobieństwo wystąpienia a prawdopodobieństwo...

Raczej nadal naruszenie ochrony. ;-) Dlatego, że przełamane zabezpieczenia, są z kategorii ochrony mienia. Wprost ochrony.

Natomiast co do słowników pojęciowych, to jest w tej kwestii dość duży bałagan. Na szczęście nie tylko w Polsce. Moja definicja jest powiązana też z poczuciem bezpieczeństwa i D. Frei.
Bezpieczeństwo - to stan niezagrożenia (niezależnie, czy dlatego, że zagrożeń nie ma, czy dlatego, ze je ogarnęliśmy)
Ochrona - to zespół środków i przedsięwzięć zmierzających do uzyskania określonego stanu bezpieczeństwa.

Brytole mają ten sam problem z safety i security.
https://www.collinsdictionary.com/dictionary/english/sa...
https://www.collinsdictionary.com/dictionary/english/se...

Zwróć uwagę, że w GDPR nie ma mieszania w kwestii naruszenia ochrony. Naruszenie ochrony, to naruszenie ochrony (a breach of security). A u nas byłoby to a breach of safety (poza tym, że to nieco potworek językowy).

To też nieco rozjaśnia kwestie polityk, bo u nas w Polsce słowo polityka odnosi się raczej do bezpieczeństwa, a nie ochrony, a ochrony są raczej procedury. Przy czym znów nieco się bałaganu robi bo i programy ochrony (jako działania i zestawienia sił i środków). Ale znów GDPR posługuje się określeniem "security policies" - a więc polityk ochronnych, nie bezpieczeństwa. Co niektórzy polscy tłumacze sobie stosują zamiennie.

Do brzegu, bo kawa stygnie.

Polityka bezpieczeństwa - np. z ISO 27001 to ta deklaratywna i drogowskaz, co wisi na ścianie u prezesa.
Polityki ochronne - to te, które wprowadzają zasady backupów, dostępu, etc.

Naprawdę prościej się żyje ;-)
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy





Wyślij zaproszenie do
Anuluj