Analiza rizika je dokument za provođenje analize poslovnih procesa i utvrđivanja rizika za sigurnost osobnih podataka.
Jedan od osnovnih ciljeva GDPR Uredbe je podizanje svjesnosti voditelja obrade o rizicima koji postoje u obradi osobnih podataka. Cilj analize je utvrditi sve glavne rizike i definirati mjere za njihovo smanjenje i/ili uklanjanje.
Primjeri mogućih tema za analizu rizika:
- gubitak (krađa) prijenosnog računala
- provala u poslovni prostor i otuđenje/uništenje servera s podacima
- gubitak USB-ključeva s osobnim podacima
- krađa i/ili uništenje osobnih podataka putem interneta, virusa...
- slučajno odavanje osobnih podataka posjetiteljima koji imaju pogled na ekrane računala
- krađa osobnih podataka od strane radnika koji napuštaju tvrtku...
Ovdje navedeni slučajevi služe samo za ilustraciju opsega rizika u obradi osobnih podataka, a na korisniku je da sam utvrdi opseg i detaljnost analize.
U izradu analize rizika najbolje je uključiti sve zaposlene, jer će oni sami najbolje prepoznati detalje o kojima treba voditi brigu. Svim zaposlenicima omogućite pristup ovom dokumentu i potaknite ih da sami predlažu rizike i mjere za njihovo rješavanje. Na ovaj način ćete najlakše i najbrže dobiti uvid u cjelovitu sliku rizika u poslovanju.
Za svaki pojedinačni rizik napravite po jedan dokument Analize rizika.
U poljima za opis mjera zaštite (fizičke, tehničke, organizacijske,...) upišite odredbe koje će automatski biti uključene u dokument 'Pravilnik o sigurnosti osobnih podataka'. Na ovaj način, analizom svakog pojedinog slučaja, automatski ćete dobiti gotov Pravilnik o sigurnosti koji će vrlo detaljno uključivati sve prepoznate rizike. Prilikom upisa podataka u polja zaštite, preporučamo da u prvi red upišete kratki naslov odredbe (preporučamo velikim slovima), radi preglednijeg čitanja Pravilnika. Za ilustraciju, u 'Organizacijskim mjerama' bi mogao biti upisan slijedeći tekst:
ARHIVIRANJE PODATAKA NA SERVERU
Da bi se izbjegao gubitak podataka na serveru, voditelj smjene na kraju dana je dužan napraviti arhiviranje podataka na USB ključ. Prilikom arhiviranja, obavezno treba upisati dogovorenu lozinku za šifriranje arhive, kako podaci ne bi bili dostupni neovlaštenim licima u slučaju gubitka ključa. USB ključ na kraju dana voditelj smjene treba spremiti na mjesto xx (ili možda ponijeti sa sobom ?), da u slučaju provale u poslovni prostor ne dođe i do gubitka USB ključa s arhiviranim podacima.
RAZLIKOVANJE VRSTA MJERA ZAŠTITE
Fizičke mjere zaštite opisuju klasičnu mehaničku zaštitu objekta i opreme, kao na primjer, protuprovalna vrata, vatrootporni ormari s ključem, stalna zaštitarska služba i slično.
Tehničke mjere zaštite predstavljaju uglavnom elektronička i aplikativna rješenja za zaštitu (lozinke, kriptiranje...)
Organizacijske mjere zaštite opisuju obavezne postupke i procedure.
Mrežna sigurnost u principu predstavlja tehničke mjere, ali je izdvojena kao zasebna stavka, jer kontrola pristupa podacima kroz mrežu (internet) zahtijeva dosta sigurnosnih postupaka.
Ostale mjere sigurnosti su navedene za opis onih mjera koje ne spadaju u niti jednu od prethodnih.
Prilikom izrade analize, za pojedini slučaj mogu se istovremeno definirati i više vrsta mjera (npr. fizičke i tehničke). Za dobivanje ideje o tome što se sve treba obuhvatiti analizom, preporučamo da otvorite dokument 'Pravilnik o sigurnosti podataka', i klikom na gumb 'Učitaj predložak' učitate ponuđeni tekst. Nakon što proučite ponuđeni tekst, imati ćete jasniju ideju koja se sve područja sigurnosti trebaju obuhvatiti ovom analizom rizika.
PROCJENA RIZIKA
Kod procjene rizika ukupan rizik se procjenjuje s dva faktora: vjerojatnošću događaja i procjenom značaja štete. Ako su i jedan i drugi niski, ukupan rizik je također nizak. Visoka vjerojatnost i visoka šteta imaju za posljedicu neprihvatljivo visok rizik. U odlučivanju posebnu pažnju treba posvetiti mjerama za sprječavanje događaja s visokim rizikom.
UČITAVANJE PODATAKA O ANALIZI U PRAVILNIK O SIGURNOSTI PODATAKA
Prilikom izrade pravilni