Współczesne systemy informatyczne funkcjonują w środowisku, które skrywa w sobie wiele zagrożeń. Z tego powodu coraz więcej organizacji decyduje się na wdrożenie systemu zarządzania bezpieczeństwem informacji oraz jego certyfikację przez akredytowane jednostki certyfikujące. Norma ISO/IEC 27001 zawiera zbiór wymagań, które muszą spełnić tego typu systemy. Jednym z nich jest przeprowadzenie analizy ryzyka.
Ryzyko w kontekście bezpieczeństwa informacji należy rozumieć jako prawdopodobieństwo wystąpienia określonego zagrożenia, które może spowodować powstanie szkód w zasobach systemu lub przerw bądź zakłóceń w jego funkcjonowaniu. Chcąc tego uniknąć organizacje powinny przeprowadzać analizę ryzyka, która powinna przynieść odpowiedzi na następujące pytania:
Norma ISO/IEC 27001 nie narzuca konkretnej metodyki analizy ryzyka wymaga jednak aby była ona udokumentowana, tak samo jak cały proces zarządzania ryzykiem począwszy od etapu planowania, a skończywszy na ocenie skuteczności i doskonaleniu.
Warto pamiętać, że ryzyko możemy minimalizować ale nigdy nie będziemy w stanie całkowicie go wyeliminować. Wyróżnić możemy kilka metod radzenia sobie z ryzykiem, do których zaliczamy:
Analiza ryzyka jest procesem, który polega na systematycznym identyfikowaniu i analizowaniu skutków wystąpienia zagrożeń w odniesieniu do aktywów. Proces ten powinien składać się z następujących etapów:
Identyfikacja aktywów / procesów – pierwszy etap analizy ryzyka ma na celu identyfikację aktywów i procesów oraz określenie ich wartości dla organizacji. Wartość aktywu/procesu będzie tym większa, im większy wpływ ma on na funkcjonowanie organizacji. Innymi słowy im bardziej jego awaria, utrata lub inne związane z nim problemy wpłyną negatywnie na funkcjonowanie organizacji.
Identyfikacja zagrożeń – jeżeli posiadamy pełną informację na temat tego co znajduje się w naszym systemie informatycznym, można przejść do kolejnego etapu. Jego celem jest rozpoznanie zagrożeń dla informacji, które są przetwarzane i przechowywane w naszym systemie.
Identyfikacja zabezpieczeń – w tym etapie należy zidentyfikować wszystkie środki ochrony istniejące w systemie. Dla każdego zasobu oraz zagrożenia, które określone zostały w poprzednich etapach musimy zidentyfikować przeciwdziałające im zabezpieczenie.
Identyfikacja podatności – etap ten polega na oszacowaniu prawdopodobieństwa wystąpienia zidentyfikowanych wcześniej zagrożeń przy uwzględnieniu istniejących w systemie zabezpieczeń.
Szacowanie ryzyka – jest to ostatni etap analizy ryzyka. Polega on na obliczeniu ryzyka utraty bezpieczeństwa przez informacje, które są przetwarzane i przechowywane w systemie.
Jeżeli chcą Państwo dowiedzieć się więcej na temat analizy ryzyka w kontekście wymagań normy ISO/IEC 27001 zapraszamy do udziału w naszych praktycznych szkoleniach. Więcej informacji na ten temat dostępnych jest TUTAJ.
Skontaktuj się z nami, by uzyskać akredytowany certyfikat ISO/IEC 27001!