Analizy zagrożeń i ryzyka przy przetwarzaniu danych osobowych

Zgodnie z § 4 p.5 ROZPORZĄDZENIA MINISTRA SPRAW WEWNĘTRZNYCH I ADMINISTRACJI w sprawie dokumentacji przetwarzania danych  osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do  przetwarzania danych osobowych (Dz. U. Z 2004, nr 100, poz. 1024), Art. 36 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, (Dz. U. z 2015, poz. 2135) oraz § 19 § 20 ROZPORZĄDZENIA PREZESA RADY MINISTRÓW z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego (Dz.U. 2011, nr 159 poz. 948) każda instytucja musi posiadać wprowadzony dokument "Analiza zagrożeń i ryzyka".

Analiza zagrożeń i ryzyka określa środki zastosowane dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. Analiza ryzyka jest kluczowym elementem procesu bezpieczeństwa teleinformatycznego.

Co zawiera dokument:

• 1. Podstawa prawna opracowanej dokumentacji
• 2. Wymogi ogólne bezpieczeństwa
• 3. Zagrożenia dla systemu
• 3.1. Poufność
• 3.2. Integralność
• 3.3. Rozliczalność
• 3.4. Zagrożenia dla stanowisk komputerowych
• 3.5. Zagrożenia systemu
• 4. Stopień ważności informacji
• 5. Podatność systemu na zagrożenia
• 6. Analiza zagrożeń i ryzyka
• 7. Wnioski i działania naprawcze
• 7.1 Wnioski
• 7.2 Działania naprawcze