Zgodne z RODO zarządzanie bezpieczeństwem oparte na ryzyku

• Authors: Mizerski Adam

Title variants

EN

GDPR risk based approach

• Languages of publication: PL

Abstracts

PL

Od 25 maja 2018 r. wymagania w zakresie zastosowanych środków bezpieczeństwa w systemach informatycznych przetwarzających dane osobowe powinny być uzależnione od rzetelnie przeprowadzonej analizy ryzyk. Risk Based Approach oznacza, że regulator nie narzuca ściśle określonych środków i procedur w zakresie bezpieczeństwa, obliguje jednak do samodzielnego przeprowadzania analizy prowadzonych procesów przetwarzania danych i dokonywania samodzielnej oceny ryzyka. W tym kontekście celem artykułu jest przedstawienie oceny aktualnego stanu przygotowania organizacji do procesu szacowania ryzyk na podstawie sektora finansowego, jak również jednostek samorządu terytorialnego oraz prezentacja metody szacowania ryzyka dla organizacji, które zmuszone będą zmierzyć się z tematyką ochrony danych osobowych i zarządzania bezpieczeństwem na podstawie oceny ryzyka.

EN

Since 25th May 2018 requirements concerning personal data processing information system security should be dependent on risk analysis. Risk Based Approach means that regulation does not force to application of particular procedures and media, but it suggests to conduct autonomous analysis of risks. In that context, the paper aims to the presentation of actual situation in financial sector, as well as in public administration sector in the aspect of preparation to the risk analysis process. Next, the method of risk estimation is presented and its usability for privacy protection is discussed.

Keywords

PL

Bezpieczeństwo informacji; Ochrona danych osobowych; RODO; Zarządzanie ryzykiem technologicznym

EN

GDPR; Information security; IT risk management; Personal data protection

• Publisher: Uniwersytet Ekonomiczny w Katowicach
• Journal: Studia Ekonomiczne
• Year: 2018
• Volume: 355
• Pages: 45-60

Contributors

author

Mizerski Adam

• ISACA Katowice Chapter Getin Noble Bank S.A.

References

• COSO (2004), Zarządzanie ryzykiem korporacyjnym – zintegrowana struktura ramowa, http://www.coso.org/documents/COSO_ERM_ExecutiveSummary_Polish.pdf (dostęp: 15.02.2018).
• ISACA (br.), COBIT 5 for Risk, https://www.isaca.org/COBIT/Pages/COBIT-5-polish.aspx (dostęp: 15.02.2018).
• Jatkiewicz P. (2016), Stan wdrożenia wybranych wymagań Krajowych Ram Interoperacyjności w serwisach samorządowych. Raport z badań, Polskie Towarzystwo Informatyczne, Warszawa, http://ir.pti.org.pl/wp-content/uploads/2017/02/Biblioteczka-Izby-Rzeczoznawc%C3%B3w-PTI-Tom-3.pdf (dostęp: 15.02.2018).
• Komunikat Nr 6 Ministra Finansów z dnia 6 grudnia 2012 r. w sprawie szczegółowych wytycznych dla sektora finansów publicznych w zakresie planowania i zarządzania ryzykiem, Dz.U. Ministra Finansów, http://www.mf.gov.pl/documents/764034/1095334/Dz.+Urz.+Min.+Fin.+z+dnia+18+grudnia+2012+r.+-+poz.+56+- (dostęp:15.02.2018).
• PN-ISO/IEC 27005:2014-01 (wersja polska), Technika informatyczna – Techniki bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji, http://sklep.pkn.pl/pn-iso-iec-27005-2014-01p.html (dostęp: 15.02.2018).
• PN-ISO/IEC 31000 (wersja polska), Zarządzanie ryzykiem – Zasady i wytyczne, http://sklep.pkn.pl/pn-iso-31000-2012p.html (dostęp: 15.02.2018).
• Rekomendacja D Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach (2013), https://www.knf.gov.pl/knf/pl/komponenty/img/Rekomendacja_D_8_01_13_uchwala_7_33016.pdf (dostęp: 15.02.2018).
• Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, http://prawo.sejm.gov.pl/isap.nsf/DocDetails.xsp?id=WDU20041001024 (dostęp: 15.02.2018).
• Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), http://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX%3A32016R0679 (dostęp: 15.02.2018).
• Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, http://isap.sejm.gov.pl/DetailsServlet?id=WDU20120000526 (dostęp: 15.02.2018).
• [www 1] https://zaufanatrzeciastrona.pl/post/hasla-ponad-10-milionow-polskich-kontemail-dostepne-do-pobrania-w-sieci/ (dostęp: 15.02.2018).
• [www 2] Podejście oparte na ryzyku, czyli Risk Based Approach, http://przetwarzaniedanych.pl/podejscie-oparte-na-ryzyku-czyli-risk-based-approach/ (dostęp: 15.02.2018).
• [www 3] Metodyka zarządzania ryzykiem cyberprzestrzeni w systemach zarządzania bezpieczeństwem informacji podmiotów rządowych, http://krmc.mc.gov.pl/download/50/12585/MetodykaZarzadzaniaRyzykiemCRP2015v18ZZKRMC.docx (dostęp: 15.02.2018).

Identifiers

ISSN

2083-8611