Poradnik 11 Analiza ryzyka w bezpieczeństwie informacji
13
Wstęp 1 Wlaściciel: Wersja demonstracyjna, pobrana z http://www.e-doskonalenie.pl Poradnik nr 11 Analiza ryzyka w bezpieczeństwie informacji Poradnik dla Pełnomocników systemu zarządzania bezpieczeństwem informacji. Seria: „Poradniki dla Pelnomocnika” Warszawa 2013
-
Upload
cdz-meritum -
Category
Documents
-
view
217 -
download
2
description
Poradnik prezentujący metodykę oceny ryzyka, gotową do wykorzystania, uzupełnioną o praktyczne wzory dokumentów
Transcript of Poradnik 11 Analiza ryzyka w bezpieczeństwie informacji
Wstęp
1
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Poradnik nr 11
Analiza ryzyka w bezpieczeństwie informacji
Poradnik dla Pełnomocników systemu zarządzania
bezpieczeństwem informacji.
Seria: „Poradniki dla Pełnomocnika”
Warszawa 2013
Wstęp
2
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Copyright by Centrum Doskonalenia Zarządzania MERITUM Sp. z o.o.,
Warszawa 2013, wydanie II
Wszelkie prawa zastrzeżone. Żadna część niniejszego podręcznika nie może być zwielokrotniana jakąkolwiek techniką.
Centrum Doskonalenia Zarz ądzania MERITUM Sp. z o.o.
ul. Zamkowa 2/5, 03-890 Warszawa,
http://www.centrum-doskonalenia.pl
Wstęp
3
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Spis tre ści
Wstęp ....................................................................................................................................................... 4
Wstęp ................................................................................................................................................... 5
Wprowadzenie do analizy ryzyka ............................................................................................................ 6
Parę słów o analizie ryzyka ................................................................................................................. 7
Struktura zarządzania ryzykiem ............................................................................................................ 11
Role, odpowiedzialności i uprawnienia .............................................................................................. 12
Kontekst zarządzania ryzykiem ............................................................................................................. 14
Ustanowienie kontekstu ..................................................................................................................... 15
Identyfikacja ryzyka ............................................................................................................................... 17
Identyfikacja aktywów ........................................................................................................................ 18
Identyfikacja zagrożeń ....................................................................................................................... 21
Identyfikacja podatności .................................................................................................................... 23
Analiza ryzyka ....................................................................................................................................... 27
Ocena prawdopodobieństwa ............................................................................................................. 28
Obliczenie ryzyka i ryzyka szczątkowego ......................................................................................... 30
Ewaluacja ryzyka ................................................................................................................................... 32
Kryteria akceptacji ryzyka i poziom ryzyka akceptowalnego ............................................................. 33
Postępowanie z ryzykiem ...................................................................................................................... 34
Postępowanie z ryzykiem (PN-ISO/IEC 27001:2007, 4.2.1 f) ........................................................... 35
Monitorowanie, przegląd i informowanie o ryzyku ................................................................................ 38
Monitorowanie, przegląd i informowanie o ryzyku ............................................................................ 39
Analiza, ocena i działania związane z ryzykami (PN-ISO/IEC 27001:2007, 4.2.1 h, i) ..................... 40
Załączniki ............................................................................................................................................... 41
Wstęp
4
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Wstęp
Wstęp
5
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Wstęp
Szanowni Państwo!
Oddajemy w Państwa ręce efekt naszych doświadczeń z wielu wdrożeń systemów zarządzania, w których podstawą jest analiza ryzyka.
Nasz celem jest zapewnienie pomocy w procesie zaplanowania, opracowania oraz przeprowadzenia analizy ryzyka w organizacji. W poradniku znajdziecie Państwo omówienia poszczególnych elementów procesu, poparte przykładami, oraz propozycjami gotowych wzorców do bezpośredniego wykorzystania u siebie w przedsiębiorstwie.
Nie chcemy zanudzić Was nadmiernie rozbudowaną teorią, ale w praktyczny sposób umożliwić przeprowadzenie skutecznej analizy ryzyka.
Wprowadzenie do analizy ryzyka
6
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Wprowadzenie do analizy ryzyka
Wprowadzenie do analizy ryzyka
7
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Parę słów o analizie ryzyka
Analiza ryzyka stałą się obecnie modnym tematem. Ryzyka są identyfikowane i analizowane wszędzie dookoła nas. Przykładem są:
- Ryzyka finansowe
- Ryzyka operacyjne
- Ryzyka kredytowe
- Ryzyka w bezpieczeństwie informacji
- Ryzyka w ciągłości działania
- Ryzyka zawodowe
- I inne
Podstawą do zarządzania ryzykiem w bezpieczeństwie informacji może być norma PN ISO/IEC 27005:2010 Zarządzanie ryzykiem w bezpieczeństwie informacji. W roku 2011 ukazała się aktualizacja wydania w wersji angielskojęzycznej. W 2012 roku ukazała się norma PN ISO 31000:2012 Zarządzanie ryzykiem, której wytyczne również mogą być wykorzystana podczas projektowania zarządzania ryzykiem w firmie. Obie normy korzystają ze wspólnego słownika ISO Guide 73. W chwili powstania tego poradnika najnowszym tłumaczeniem jest tłumaczenie normy ISO 31000 i ono zostanie wykorzystane w dalszej części.
Szacowanie ryzyka wg PN ISO/IEC 27001:2007
Podstawą do analizy ryzyka w bezpieczeństwie informacji są wymagania normy PN-ISO/IEC 27001:2007, pkt. 4.2.1 c, d. Wymaganym etapem jest zdefiniowanie podejścia do szacowania ryzyka w organizacji. W skład tego etapu wchodzą:
- wskazanie metodyki szacowania ryzyka akceptowalną dla SZBI,
- określenie bezpieczeństwa informacji w kontekście prowadzonej działalności,
- wymagań prawnych,
- wymagań nadzoru,
- opracowanie kryteriów akceptacji ryzyka i określenie akceptowalnych poziomów ryzyk.
Wprowadzenie do analizy ryzyka
8
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Istnieje wiele definicji ryzyka. Ryzyko jest to:1
- działanie, które może przynieść niepowodzenie, stratę
- jest to przedsięwzięcie, którego wynik jest niepewny, nieznany,
- możliwość wystąpienia odchylenia faktycznego wyniku od planowanego,
- możliwość poniesienia straty lub osiągnięcia korzyści mniejszych lub zaplanowane,
- niebezpieczeństwo niezrealizowania celu założonego przy podejmowaniu określonej decyzji,
- synonim niepewności,
- niepewność, jakiej doświadczają decydenci, gdy nie są w stanie przewidzieć konsekwencji swoich decyzji.
Specjalnie na potrzeby zarządzania ryzykiem w Systemie zarządzania bezpieczeństwem informacji została opracowana norma ISO/IEC 27005 Zarządzanie Ryzykiem, która definiuje ryzyko związane z bezpieczeństwie informacji jako:
potencjalną sytuację, w której określone zagrożenie wykorzysta podatność aktywów lub grupy aktywów powodując w ten sposób szkodę dla organizacji.
Wyniki oceny ryzyka umożliwią wskazanie i określenie odpowiednich działań zarządczych i priorytetów dla zarządzania ryzykami bezpieczeństwa informacji oraz wdrożenie zabezpieczeń wybranych w celu ochrony przed tymi ryzykami.
Wymagania bezpieczeństwa określa się przez metodyczną ocenę ryzyka bezpieczeństwa. Nakłady na zabezpieczenia nie powinny przekraczać potencjalnych strat, jakie mogą spowodować naruszenia bezpieczeństwa.
Ocena ryzyka powinna być okresowo powtarzana (min. raz w roku) lub w miarę potrzeb (np. po istotnych zmianach w organizacji), aby uwzględnić wszelkie zmiany, które mogą wpływać na jego wyniki.
Wybór metodyki, która nam posłuży do przeprowadzenia procesu oceny ryzyka należy do organizacji. Jednak norma ISO/IEC 27001 nieco ogranicza ten wybór jasno określając elementy, jakie muszą być wzięte pod uwagę przy naszej analizie. Elementami ryzyka, których uwzględnienia wymaga norma są:
Aktywa Wszystko to, co ma wartość dla organizacji, np.: informacje, zasoby, cele do osiągnięcia, ciągłość działania, aktywa finansowe, techniczne itp.
1 Psychologia decyzji i ryzyka, wykład 8; DR BEATA BAJCAR; ZAKŁAD PSYCHOLOGII
I ERGONOMII
Wprowadzenie do analizy ryzyka
9
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Zagro żenia dla aktywów
Czego się obawiamy? (na podstawie wiedzy, doświadczenia, danych historycznych, sytuacji na rynku, społecznej itp.)
Podatno ści , które mog ą być wykorzystane przez zagro żenia
słabości w środowisku fizycznym, organizacji, procedurach, personelu, zarządzaniu, administracji, sprzęcie, oprogramowaniu lub sprzęcie telekomunikacyjnym, które mogłoby zostać wykorzystane przez źródło zagrożenia, w konsekwencji powodując szkody w aktywach i działalności biznesowej, której aktywa te służą.
Prawdopodobieństwo wyst ąpienia zagro żenia
Jak bardzo się obawiamy w/w zagrożenia? Na ile jest to prawdopodobne lub z jaką częstotliwością występuje obecnie lub występowało w przeszłości...
Skutek/wpływ zagro żenia
Co się wydarzy? Jaki będzie wpływ na: bezpieczeństwo informacji, osiągnięcie celu, funkcjonowanie organizacji itp. Ile to będzie kosztowało?
Zapami ętaj : W wyborze odpowiedniej metodyki szacowania ryzyka może pomóc norma ISO 31010 Techniki oceny ryzyka, zawierająca opisy i zakresy stosowania wielu obecnie wykorzystywanych w różnych obszarach metodyk szacowania ryzyka.
Ocena ryzyka wymaga ustalenia kryteriów akceptacji ryzyka oraz akceptowalnych poziomów ryzyka.
Przyjęta metoda oceny ryzyk powinna dawać pewność, że uzyskane wyniki są porównywalne i powtarzalne.
Proces oceny ryzyka jest najważniejszym elementem SZBI, stanowi on podstawę do wyboru zabezpieczeń i rozwiązań, jakie chcemy zastosować w naszej organizacji. Jest punktem wyjściowym całego systemu. Ocena ryzyka pozwala zidentyfikować obszary wymagające zabezpieczeń.
Zarządzanie ryzykiem jest procesem, który pozwala kierownictwu na zrównoważenie operacyjnych i ekonomicznych kosztów środków ochrony z wynikami biznesowymi, ma on na celu ograniczenie ryzyka do akceptowalnego poziomu.
Fundamentalną zasadą, na której opiera się proces zarządzania ryzykiem jest to, że celem jest ochrona danego podmiotu - organizacji a nie tylko jej zasobów informacyjnych.
Wprowadzenie do analizy ryzyka
10
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Rys. 1. Proces zarządzania ryzykiem2
2 PN-ISO 31000:2012
Struktura zarządzania ryzykiem
11
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Struktura zarz ądzania ryzykiem
Struktura zarządzania ryzykiem
12
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Role, odpowiedzialno ści i uprawnienia
W celu zapewnienia skuteczności funkcjonowania zarządzania ryzykiem niezbędne jest, aby
organizacja ustaliła rozliczalność, uprawnienia oraz odpowiednie kompetencje do
zarządzania ryzykiem, łącznie z wdrażaniem i utrzymaniem procesu zarządzania ryzykiem
oraz zapewnieniem adekwatności, skuteczności i efektywności wszystkich środków kontroli.
Może to być zrealizowane poprzez:
- identyfikację osób, które będą rozliczane z identyfikacji, analizy i ewaluacji ryzyka – właścicieli i administratorów ryzyka
- identyfikację właścicieli ryzyka rozliczanych z zarządzania ryzykiem i mających uprawnienia do zarządzania nim;
- identyfikację innych odpowiedzialności osób na wszystkich poziomach w organizacji za proces zarządzania ryzykiem;
- ustalenie pomiarów wyników działalności, wewnętrznego i/lub zewnętrznego raportowania oraz rozwijania procesów;
Rys. 2. Role w zarządzaniu ryzykiem
Załączniki
48
Właściciel: Wersja demonstracyjna, pobrana z http://www.e -doskonalenie.pl
Szkolenia e-learningowe
Co to jest szkolenie e-learningowe?
Jest to forma szkoleń opierająca się na wszelkich dostępnych
mediach elektronicznych. Szkolenia odbywają się na odległość
poprzez kursy internetowe.
Jakie korzyści e-learning daje osobie
szkolonej?
• dostosowanie procesu szkoleniowego przez dobór zakresu,
intensywności, tempa i poziomu szkolenia do możliwości
uczestnika,
• nauki w dowolnym czasie i miejscu,
• kontrola osoby uczącej się nad procesem przyswajania
wiedzy i rozwoju umiejętności,
• stały dostęp do baz wiedzy, co zwiększa możliwości
samokształcenia osób zainteresowanych własnym rozwojem.
e-ISO: poradniki, oprogramowanie
Zapraszamy do odwiedzenia pierwszego
w Polsce sklepu internetowego
poświęconego tematyce ISO!!! Oferujemy
tradycyjne podręczniki o tematyce ISO, jak
również e-booki i oraz szkolenia e-
learningowe z tego zakresu oraz
oprogramowanie wspomagające wdrożenie i utrzymanie systemów zarządzania wg norm ISO. Nasza oferta
będzie ciągle zwiększana i dostosowywana do potrzeb naszych Klientów.
Adres sklepu: http://www.e-doskonalenie.pl
