koncepcja kolazu html i css z osoba Easy Resize.com

OCENA POWAGI NARUSZENIA

To co każdy z Nas powinien wiedzieć, czyli..

…czym różni się incydent bezpieczeństwa od naruszenia ochrony danych osobowych.

Naruszenie ochrony danych osobowych – każdy incydent bezpieczeństwa informacji w postaci danych osobowych prowadzący do celowego lub przypadkowego, niezgodnego z prawem zniszczenia, zmodyfikowania, ujawnienia lub dostępu do danych.

Incydent bezpieczeństwa – sytuacje, w których dochodzi do zachowań powodujących potencjalne naruszenie danych osobowych, również takie, które finalnie takim naruszeniem się nie kończy.

METODA ENISA

OCENA POWAGI NARUSZENIA = KPD x ŁI x ON

Kontekst przetwarzania danych, w którym po pierwsze należy wziąć pod uwagę rodzaj naruszonych danych

  • KPD – dane zwykłe (np. imię i nazwisko) – wartość 1;
  • dane behawioralne (np. ruch w sieci) – wartość 2;
  • dana finansowe (np. przychody miesięczne) – wartość 3;
  • dane szczególnej kategorii (np. stan zdrowia) – wartość 4.

Następnie należy wziąć pod uwagę ogólny kontekst, bowiem przykładowo nieuprawniony dostęp do danych zwykłych, które przyjmują co do zasady wartość jeden, może zostać zwiększony do wartości.

W przypadku gdy skradzione zostaną dane klienta banków inwestycyjnych i można poczynić pewne założenia co do statusu finansowego.

Łatwość identyfikacji, którą możemy ocenić na podstawie zakresu naruszonych danych osobowych, na podstawie których nieuprawnione osoby będą w stanie zidentyfikować konkretną osobę fizyczną. Wyróżnia się 4 poziomy łatwości identyfikacji:

  • ŁI – znikoma – wartość 0,25;
  • ograniczona – wartość 0,5;
  • znacząca – wartość 0,75;
  • maksymalna – wartość 1.

    Okoliczności naruszenia, przy których brane są również pod uwagę intencje osoby naruszającej. W pierwszej kolejności administrator powinien określić czy została naruszona dostępność, integralność czy poufność danych.

    • ON – nie doszło do ostatecznej utraty danych (np. posiadanie kopii zapasowych) – wartość 0;
    • Jeżeli utracono dostępność do danych, to przyjmuje się następujące wartości:czasowa niedostępność do danych – wartość 0,25;
    • trwała utrata dostępu do danych – 0,5.

    Jeżeli utracono poufność danych, to przyjmuje się następujące wartości:

    • wgląd w dane osobowe przez znaną liczbą osób nieuprawnionych – wartość 0,25;
    • wgląd w dane osoby przez nieznaną, nie będącą do określenia liczbę osób nieuprawnionych – wartość 0,5.

    Jeżeli utracono integralność danych, to przyjmuje się następujące wartości:

    • nastąpiła zmiana danych i potencjalnie wykorzystano je w niewłaściwy sposób, ale z możliwością ich odzyskania – wartość – 0,25;
    • brak możliwości przywrócenia zmienionych danych – wartość 0,5.

    Biorąc pod uwagę intencje naruszającego przyjmuje się:

    • przypadkowe, niecelowe naruszenie wynikające z błędu, pomyłki – wartość 0;
    • celowe naruszenie w celu uzyskania np. korzyści finansowych.

      Po przyjęciu odpowiednich wartości i dokonaniu obliczeń według wzoru należy podjąć określone działania zależne od wyniku:

      • wartość poniżej 2 – poziom niski: dokonanie wpisu do rejestru naruszeń oraz wdrożenie środków zapobiegawczych.
      • wartość 2-3 – poziom średni: jak przy poziomie niskim + rekomenduje się zgłoszenie do organu nadzorczego.
      • wartość 3-4 – poziom wysoki: jak przy poziomie średnim + rekomenduje się powiadomienie osoby, której dane został naruszone.

      wartość powyżej 4 – poziom bardzo wysoki: jak przy poziomie średnim + rekomenduje się powiadomienie osoby, której dane został naruszone.