Post on 16-Dec-2014
description
© Gi4 Sp. z o.o.© Gi4 Sp. z o.o.
Metodyka analizy ryzykaw przetwarzaniu informacji
i jej zgodność z ISO/IEC 27005
© Gi4 Sp. z o.o.
ISO/IEC 27005
• ISO/IEC 27005 wspomaga wdrażanie ISO/IEC 27001• ISO/IEC 27005 – proces zarządzania ryzykiem:
• ISO/IEC 27005 nie definiuje metodyki analizy ryzyka
• Wydanie ISO/IEC 27005: 2011 zostało zharmonizowane z serią 31000 (zarządzanie ryzykiem w przedsiębiorstwie i instytucji)
Cykliczne: monitorowanie i przegląd ryzyk
Komunikacja dotycząca ryzyk
Minimalizacja/transfer/akceptacja ryzyk
Oszacowanie ryzyk
Określenie kontekstu
© Gi4 Sp. z o.o.
Czego wymaga ISO/IEC 27005?
Kolejność zależna od metodyki (8.2.1.1)
Identyfikacja zasobów (8.2.1.2)
Określenie zagrożeń (8.2.1.3)
Określenie istniejących sposobów ochrony (8.2.1.4)
Określenie podatności (8.2.1.5)
Określenie skutków (8.2.1.6)
© Gi4 Sp. z o.o.
MEHARI - założenia do modelu obliczeniowego
Naturalnenarażenie
Analiza skutkówAnaliza przyczyn
Ryzyko szczątkowe
Skutekwłaściwy
Czynniki strukturalne
Czynniki redukująceprawdopodobieństwo:
• Odstraszające• Zapobiegające
Czynniki redukująceskutek:
• Ograniczające• Łagodzące• Odtwarzające
Środki redukcji
Prawdopodobieństwo szczątkowe Skutek szczątkowy
© Gi4 Sp. z o.o.
MEHARI – klasyfikacja zasobów
© Gi4 Sp. z o.o.
MEHARI – macierz narażenia naturalnego
© Gi4 Sp. z o.o.
MEHARI – baza scenariuszy zagrożeń
© Gi4 Sp. z o.o.
MEHARI – audyt zabezpieczeń
© Gi4 Sp. z o.o.
MEHARI - obszary (domeny) audytu
© Gi4 Sp. z o.o.
MEHARI – macierze obliczeniowe
© Gi4 Sp. z o.o.
MEHARI – wyniki analizy i redukcja ryzyka
© Gi4 Sp. z o.o.
MEHARI – podsumowanie – zalety
• Metodyka MEHARI to praktyczna, gotowa do użycia implementacja zaleceń z ISO/IEC 27005
• Jawne obliczenia• Pełna parametryzacja• Skala 1-4• Tak/Nie• Szczegółowa dokumentacja• Licencja Open Source
• MEHARI: © CLUSIF – francuskie stowarzyszenie bezpieczeństwa informacji
• http://rm-inv.enisa.europa.eu/methods/m_mehari.html
© Gi4 Sp. z o.o.
MEHARI – podsumowanie – wady
• Po angielsku/francusku• Konieczność szczegółowego przeszkolenia przed rozpoczęciem
korzystania z arkuszy– Bardzo rozbudowane i skomplikowane arkusze
• Konieczność samodzielnego generowania raportów/wykresów• Kwestionariusze tylko lokalne• „Ręczna” konsolidacja kwestionariuszy
© Gi4 Sp. z o.o.
Nasi klienci się cieszą!
© Gi4 Sp. z o.o.
© 2007-2013 Gi4 Sp. z o.o.
Żadna część niniejszej prezentacji nie może być rozpowszechniana w żadnej formie ani używana do
prowadzenia jakichkolwiek szkoleń, wykładów czy prezentacji bez pisemnej zgody Gi4 Sp. z o.o.
Niniejsza prezentacja zawiera informacje stanowiące tajemnicę przedsiębiorstwa Gi4 Sp. z o.o. Informacje te są przeznaczone wyłącznie dla osób/podmiotu, dla których/którego prezentacja była przeprowadzona i/lub którym to osobom/podmiotowi została przekazana w formie elektronicznej i/lub drukowanej. Ani informacje te, ani treść niniejszej prezentacji (w całości lub w części, w dowolnej formie: papierowej, elektronicznej, nagrania lub dowolnych innych środków gromadzenia i przesyłania informacji) nie mogą być przekazywane innym podmiotom ani osobom bez pisemnej zgody Gi4 Sp. z o.o.
Gi4 Sp. z o.o.ul. Rzymowskiego 53, 02-697 Warszawa
tel. 22 5480140, faks 22 5480001info@gi4.biz