© Gi4 Sp. z o.o.© Gi4 Sp. z o.o.

Metodyka analizy ryzykaw przetwarzaniu informacji

i jej zgodność z ISO/IEC 27005

© Gi4 Sp. z o.o.

ISO/IEC 27005

• ISO/IEC 27005 wspomaga wdrażanie ISO/IEC 27001• ISO/IEC 27005 – proces zarządzania ryzykiem:

• ISO/IEC 27005 nie definiuje metodyki analizy ryzyka

• Wydanie ISO/IEC 27005: 2011 zostało zharmonizowane z serią 31000 (zarządzanie ryzykiem w przedsiębiorstwie i instytucji)

Cykliczne: monitorowanie i przegląd ryzyk

Komunikacja dotycząca ryzyk

Minimalizacja/transfer/akceptacja ryzyk

Oszacowanie ryzyk

Określenie kontekstu

© Gi4 Sp. z o.o.

Czego wymaga ISO/IEC 27005?

Kolejność zależna od metodyki (8.2.1.1)

Identyfikacja zasobów (8.2.1.2)

Określenie zagrożeń (8.2.1.3)

Określenie istniejących sposobów ochrony (8.2.1.4)

Określenie podatności (8.2.1.5)

Określenie skutków (8.2.1.6)

© Gi4 Sp. z o.o.

MEHARI - założenia do modelu obliczeniowego

Naturalnenarażenie

Analiza skutkówAnaliza przyczyn

Ryzyko szczątkowe

Skutekwłaściwy

Czynniki strukturalne

Czynniki redukująceprawdopodobieństwo:

• Odstraszające• Zapobiegające

Czynniki redukująceskutek:

• Ograniczające• Łagodzące• Odtwarzające

Środki redukcji

Prawdopodobieństwo szczątkowe Skutek szczątkowy

© Gi4 Sp. z o.o.

MEHARI – klasyfikacja zasobów

© Gi4 Sp. z o.o.

MEHARI – macierz narażenia naturalnego

© Gi4 Sp. z o.o.

MEHARI – baza scenariuszy zagrożeń

© Gi4 Sp. z o.o.

MEHARI – audyt zabezpieczeń

© Gi4 Sp. z o.o.

MEHARI - obszary (domeny) audytu

© Gi4 Sp. z o.o.

MEHARI – macierze obliczeniowe

© Gi4 Sp. z o.o.

MEHARI – wyniki analizy i redukcja ryzyka

© Gi4 Sp. z o.o.

MEHARI – podsumowanie – zalety

• Metodyka MEHARI to praktyczna, gotowa do użycia implementacja zaleceń z ISO/IEC 27005

• Jawne obliczenia• Pełna parametryzacja• Skala 1-4• Tak/Nie• Szczegółowa dokumentacja• Licencja Open Source

• MEHARI: © CLUSIF – francuskie stowarzyszenie bezpieczeństwa informacji

• http://rm-inv.enisa.europa.eu/methods/m_mehari.html

© Gi4 Sp. z o.o.

MEHARI – podsumowanie – wady

• Po angielsku/francusku• Konieczność szczegółowego przeszkolenia przed rozpoczęciem

korzystania z arkuszy– Bardzo rozbudowane i skomplikowane arkusze

• Konieczność samodzielnego generowania raportów/wykresów• Kwestionariusze tylko lokalne• „Ręczna” konsolidacja kwestionariuszy

© Gi4 Sp. z o.o.

Nasi klienci się cieszą!

© Gi4 Sp. z o.o.

© 2007-2013 Gi4 Sp. z o.o.

Żadna część niniejszej prezentacji nie może być rozpowszechniana w żadnej formie ani używana do

prowadzenia jakichkolwiek szkoleń, wykładów czy prezentacji bez pisemnej zgody Gi4 Sp. z o.o.

Niniejsza prezentacja zawiera informacje stanowiące tajemnicę przedsiębiorstwa Gi4 Sp. z o.o. Informacje te są przeznaczone wyłącznie dla osób/podmiotu, dla których/którego prezentacja była przeprowadzona i/lub którym to osobom/podmiotowi została przekazana w formie elektronicznej i/lub drukowanej. Ani informacje te, ani treść niniejszej prezentacji (w całości lub w części, w dowolnej formie: papierowej, elektronicznej, nagrania lub dowolnych innych środków gromadzenia i przesyłania informacji) nie mogą być przekazywane innym podmiotom ani osobom bez pisemnej zgody Gi4 Sp. z o.o.

Gi4 Sp. z o.o.ul. Rzymowskiego 53, 02-697 Warszawa

tel. 22 5480140, faks 22 5480001info@gi4.biz