Kedy použijete formulár?

Týmto formulárom pokračujeme v riadení bezpečnostných incidentov, ktoré vyžaduje príslušná vyhláška.
V prípade vzniku bezpečnostného incidentu je veľmi dôležité zozbierať čo najviac údajov o priebehu incidentu. A to preto, aby:
a) Došlo čo najskôr k prijatiu vhodných priebežných opatrení – najmä v prípade, ak incident stále trvá.
b) Zo zozbieraných údajov mohol byť bezpečnostný incident vyhodnotený s cieľom zamedzenia jeho opätovného výskytu.

Ako formulár vyplníte?

Do formulára vložíte:
Uvedieme si príklad a postupne vyplníme niektoré časti formulára.
Príklad: Pracovník mzdového oddelenia si jedenkrát za deň vyhotovil prevádzkovú zálohu spracúvaných osobných údajov na súkromné USB. Toto si ponechával stále u seba, bolo teda vynášané aj mimo priestorov pracoviska – organizácie. Tašku s USB-čkom svojou nepozornosťou však nechal v MHD a viac sa nenašla.
Hovoríme, že ide o bezpečnostný incident, keďže môže dôjsť k neoprávnenej manipulácii s osobnými údajmi uloženými na USB (napríklad ich sprístupnenie, poskytnutie alebo zverejnenie). Čím by došlo k narušeniu jednej z hlavných zásad politiky bezpečného spracúvania osobných údajov organizácie v časti „Zabezpečíme dôvernosť, integritu a autenticitu spracúvaných osobných údajov.“ Kedy dôvernosťou je vlastnosť, na základe ktorej osobné údaje nie sú sprístupňované a odhaľované neautorizovaným osobám, entitám ani procesom.
• BI rozpoznal: Napríklad meno a priezvisko nešťastného pracovníka, ktorý USB stratil.
• Dátum a čas rozpoznania BI: Napríklad ako 13.11. 2015 o 19:25.
• BI spôsobil nasledovné: Napríklad stratu USB, na ktorom boli vyhotovované zálohy z informačného systému mzdovej a personálne agendy.
• Kde došlo k prejavu BI a ako sa prejavil.
• Pravdepodobný dôvod BI: Napríklad nepozornosť a neopatrnosť pracovníka.
• Ostatné dôležité informácie pre podrobnejší popis BI.
• Dátum a čas kedy došlo k obnove prevádzky použitím priebežných opatrení: V prípade tohto bezpečnostného incidentu nedošlo k narušeniu kontinuity spracúvania osobných údajov (keďže prevádzkové zálohy sú aj na disku stolového počítača) resp. nedošlo k narušeniu nepretržitosti prevádzky, preto políčka môžeme ponechať prázdne.
• Vykonané nápravné opatrenia: Napríklad opätovné poučenie pracovníkov, s dôrazom na bezpečnú manipuláciu s dátovými nosičmi.
(V časti dokumentu s názvom „bezpečnostné opatrenia pre manipuláciu s osobnými údajmi“ je venovaná manipulácii s dátovými nosičmi samostatná časť. Kde okrem iného:
– oprávnená osoba berie na vedomie, že na zálohovanie smie používať len dátové nosiče schválené na použitie v podmienkach organizácie,
– všetky dátové nosiče určené k vytváraniu záloh musia byť riadené …
– vytvorené kópie z informačného systému musia byť chránené pred neoprávneným sprístupnením vhodným bezpečnostným mechanizmom. Napríklad šifrovaním obsahu.)

Nie vždy sa darí úspešne predchádzať bezpečnostnému incidentu. Podrobným skúmaním údajov o jeho priebehu a prijatím príslušných opatrení však môžeme v budúcnosti incidentu predchádzať a ochrániť organizáciu od rizika sankcie a dotknuté osoby od rizika narušenia ich súkromia.

 

2018-12-03T10:32:08+00:00