Analiza ryzyka w kontekście wymagań normy ISO/IEC 27001

Analiza ryzyka w kontekście wymagań normy ISO/IEC 27001

Współczesne systemy informatyczne funkcjonują w środowisku, które skrywa w sobie wiele zagrożeń. Z tego powodu coraz więcej organizacji decyduje się na wdrożenie systemu zarządzania bezpieczeństwem informacji oraz jego certyfikację przez akredytowane jednostki certyfikujące. Norma ISO/IEC 27001:2005 zawiera zbiór wymagań, które muszą spełnić tego typu systemy. Jednym z nich jest przeprowadzenie analizy ryzyka.  

 

Ryzyko w kontekście bezpieczeństwa informacji należy rozumieć jako prawdopodobieństwo wystąpienia określonego zagrożenia, które może spowodować powstanie szkód w zasobach systemu lub przerw bądź zakłóceń w jego funkcjonowaniu. Chcąc tego uniknąć organizacje powinny przeprowadzać analizę ryzyka, która powinna przynieść odpowiedzi na następujące pytania:

  • Jakie zagrożenie może wystąpić?
  • Jakie jest prawdopodobieństwo wystąpienia tego zagrożenia?
  • Jakie będzie ono miało konsekwencje dla organizacji i systemu informatycznego?
  • W jaki sposób i o ile możemy zmniejszyć te straty?
  • Ile to będzie kosztowało?

 

Norma ISO/IEC 27001 nie narzuca konkretnej metodyki analizy ryzyka wymaga jednak aby była ona udokumentowana, tak samo jak cały proces zarządzania ryzykiem począwszy od etapu planowania, a skończywszy na ocenie skuteczności i doskonaleniu.

 

Warto pamiętać, że ryzyko możemy minimalizować ale nigdy nie będziemy w stanie całkowicie go wyeliminować. Wyróżnić możemy kilka metod radzenia sobie z ryzykiem, do których zaliczamy:

  • Unikanie ryzyka - polega na niepodejmowaniu działań mogących zwiększać ryzyko.
  • Transfer ryzyka – to przeniesienie konsekwencji związanych z wystąpieniem szkody lub jej skutków finansowych na inny podmiot.
  • Redukcja - to wprowadzanie zabezpieczeń do systemu.
  • Akceptacja ryzyka - czyli pogodzenie się z możliwymi konsekwencjami wystąpienia szkody i zaniechanie dalszych działań.

 

Analiza ryzyka jest procesem, który polega na systematycznym identyfikowaniu i analizowaniu skutków wystąpienia zagrożeń w odniesieniu do aktywów. Proces ten powinien składać się z następujących etapów:

  • Identyfikacja aktywów i procesów
  • Identyfikacja zagrożeń
  • Identyfikacja zabezpieczeń
  • Identyfikacja podatności
  • Szacowanie ryzyka

 

Identyfikacja aktywów / procesów – pierwszy etap analizy ryzyka ma na celu identyfikację aktywów i procesów oraz określenie ich wartości dla organizacji. Wartość aktywu/procesu będzie tym większa, im większy wpływ ma on na funkcjonowanie organizacji. Innymi słowy im bardziej jego awaria, utrata lub inne związane z nim problemy wpłyną negatywnie na funkcjonowanie organizacji.

 

Identyfikacja zagrożeń – jeżeli posiadamy pełną informację na temat tego co znajduje się w naszym systemie informatycznym, można przejść do kolejnego etapu. Jego celem jest rozpoznanie zagrożeń dla informacji, które są przetwarzane i przechowywane w naszym systemie.

 

Identyfikacja zabezpieczeń – w tym etapie należy zidentyfikować wszystkie środki ochrony istniejące w systemie. Dla każdego zasobu oraz zagrożenia, które określone zostały w poprzednich etapach musimy zidentyfikować przeciwdziałające im zabezpieczenie.

 

Identyfikacja podatności – etap ten polega na oszacowaniu prawdopodobieństwa wystąpienia zidentyfikowanych wcześniej zagrożeń przy uwzględnieniu istniejących w systemie zabezpieczeń.

 

Szacowanie ryzyka – jest to ostatni etap analizy ryzyka. Polega on na obliczeniu ryzyka utraty bezpieczeństwa przez informacje, które są przetwarzane i przechowywane w systemie.

 

Jeżeli chcą Państwo dowiedzieć się więcej na temat analizy ryzyka w kontekście wymagań normy ISO/IEC 27001 zapraszamy do udziału w naszych praktycznych szkoleniach. Więcej informacji na ten temat dostępnych jest TUTAJ.

Skontaktuj się z nami

Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) informuję, iż:

1) administratorem Pani/Pana danych osobowych jest ISOQAR CEE  Sp. z o.o. ul. Wąwozowa 11, 02-796 Warszawa,

2) Pani/Pana dane osobowe przetwarzane będą w celach marketingowych na podstawie Art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.

3) Pani/Pana dane osobowe przechowywane będą do momentu odwołania zgody

4) odbiorcami Pani/Pana danych osobowych będą wyłącznie podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa oraz podmioty realizujące usługę mass mailingu

5) posiada Pani/Pan prawo do żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania usunięcia lub ograniczenia przetwarzania, prawo do cofnięcia zgody oraz prawo do przenoszenia danych

6) ma Pani/Pan prawo wniesienia skargi do organu` nadzorczego

7) Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach określonych w regulaminie (opcje: subskrypcji, itp.) a konsekwencją takiego przetwarzania będzie otrzymywanie wyselekcjonowanej informacji marketingowej

8) podanie danych osobowych jest dobrowolne, jednakże niepodanie danych może skutkować niemożliwością uczestnictwa w (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Jednocześnie zgodnie z art.6 ust.1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. wyrażam zgodę na przetwarzanie moich danych osobowych w celu (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Regulamin plików cookies