Należyta staranność – KSC
Czy ktoś dziś o niej pamięta?
Dzisiaj przykład dotyczący szacowania ryzyka. Art. 8. pkt. 1 prowadzenie systematycznego szacowania ryzyka wystąpienia incydentu oraz zarządzanie tym ryzykiem.
-
identyfikacja (nazwanie, opisanie, określenie właścicielstwa) systemów będących przedmiotem oceny,
-
wyznaczenie do oceny wszystkich systemów mających wpływ na usługę, ze szczegółowością umożliwiającą skuteczną ocenę bezpieczeństwa,
-
zdefiniowanie (jeżeli jeszcze nie są zdefiniowane) kryteria oceny systemu – czyli co oznacza dla nas system bezpieczny, z niskim prawdopodobieństwem wystąpienia zagrożenia,
-
identyfikacja i ocena słabości – niespełnionych kryteriów – które mogą przyczynić się do powstania incydentu,
-
szacowanie ryzyka – określenie jego poziomu w zestawieniu z krytycznością i oceną słabości zidentyfikowanie działań naprawczych,
-
z obowiązkowym wskazaniem właściciela ryzyka, ale również uzgodnieniem z nim działania,
-
zatwierdzenie działania przez najwyższe kierownictwo,
-
monitorowanie realizacji działania, tak aby w sposób skuteczny zostało wdrożone.
Na pewno takiego opisu oceny ryzyka nie znajdziemy w ustawie. Znajdziemy go w normach i standardach przywoływanych często na stronie cyberustawa.pl. Znajdziemy też w wynikach ocen ryzyka przeprowadzanych przez wiele agencji rządowych krajów w których zarządza się cyberbezpieczeństwem.
Czy w związku z tym powinniśmy zachować należytą staranność i zrobić ocenę ryzyka w krokach zgodnych ze standardami?
Czy po prostu wypełnić kartkę A4 lub prosty arkusz kalkulacyjny i zaraportować zwycięstwo? Jak sądzicie?
Zobacz także
Wczoraj w późnych godzinach wieczornych w sieci TOR ujawniono ponad 6 milionów rekordów zawierających poświadczenia, które są skojarzone z polskimi organizacjami. To jeden z największych wycieków w historii, który ma poważne implikacje w wielu firmach.
22 maja gruchnęła informacja, że w wyniku wiążącej decyzji EROD (EDPB – European Data Protection Board) Irlandzki organ nadzorczy w zakresie ochrony danych osobowych (IE DPA) nałożył karę, aż 1,2 miliarda dolarów na Meta Platforms Ireland Limited za bezprawne przekazywanie danych osobowych do USA. Meta Platforms Ireland dokonywała transferu danych do USA na podstawie standardowych klauzul umownych (SCC), których skuteczność została zakwestionowana wyrokiem Schrems II.