Analizy zagrożeń i ryzyka przy przetwarzaniu danych osobowych
Zgodnie z § 4 p.5 ROZPORZĄDZENIA MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Z 2004, nr 100, poz. 1024), Art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, (Dz. U. z 2015, poz. 2135) oraz § 19 § 20 ROZPORZĄDZENIA PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U. 2011, nr 159 poz. 948) każda instytucja musi posiadać wprowadzony dokument "Analiza zagrożeń i ryzyka".
Analiza zagrożeń i ryzyka określa środki zastosowane dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. Analiza ryzyka jest kluczowym elementem procesu bezpieczeństwa teleinformatycznego.
Co zawiera dokument:
- 1. Podstawa prawna opracowanej dokumentacji
- 2. Wymogi ogólne bezpieczeństwa
- 3. Zagrożenia dla systemu
- 3.1. Poufność
- 3.2. Integralność
- 3.3. Rozliczalność
- 3.4. Zagrożenia dla stanowisk komputerowych
- 3.5. Zagrożenia systemu
- 4. Stopień ważności informacji
- 5. Podatność systemu na zagrożenia
- 6. Analiza zagrożeń i ryzyka
- 7. Wnioski i działania naprawcze
- 7.1 Wnioski
- 7.2 Działania naprawcze