Analiza ryzyka w kontekście wymagań normy ISO/IEC 27001

Analiza ryzyka w kontekście wymagań normy ISO/IEC 27001

Współczesne systemy informatyczne funkcjonują w środowisku, które skrywa w sobie wiele zagrożeń. Z tego powodu coraz więcej organizacji decyduje się na wdrożenie systemu zarządzania bezpieczeństwem informacji oraz jego certyfikację przez akredytowane jednostki certyfikujące. Norma ISO/IEC 27001:2005 zawiera zbiór wymagań, które muszą spełnić tego typu systemy. Jednym z nich jest przeprowadzenie analizy ryzyka.  

 

Ryzyko w kontekście bezpieczeństwa informacji należy rozumieć jako prawdopodobieństwo wystąpienia określonego zagrożenia, które może spowodować powstanie szkód w zasobach systemu lub przerw bądź zakłóceń w jego funkcjonowaniu. Chcąc tego uniknąć organizacje powinny przeprowadzać analizę ryzyka, która powinna przynieść odpowiedzi na następujące pytania:

  • Jakie zagrożenie może wystąpić?
  • Jakie jest prawdopodobieństwo wystąpienia tego zagrożenia?
  • Jakie będzie ono miało konsekwencje dla organizacji i systemu informatycznego?
  • W jaki sposób i o ile możemy zmniejszyć te straty?
  • Ile to będzie kosztowało?

 

Norma ISO/IEC 27001 nie narzuca konkretnej metodyki analizy ryzyka wymaga jednak aby była ona udokumentowana, tak samo jak cały proces zarządzania ryzykiem począwszy od etapu planowania, a skończywszy na ocenie skuteczności i doskonaleniu.

 

Warto pamiętać, że ryzyko możemy minimalizować ale nigdy nie będziemy w stanie całkowicie go wyeliminować. Wyróżnić możemy kilka metod radzenia sobie z ryzykiem, do których zaliczamy:

  • Unikanie ryzyka - polega na niepodejmowaniu działań mogących zwiększać ryzyko.
  • Transfer ryzyka – to przeniesienie konsekwencji związanych z wystąpieniem szkody lub jej skutków finansowych na inny podmiot.
  • Redukcja - to wprowadzanie zabezpieczeń do systemu.
  • Akceptacja ryzyka - czyli pogodzenie się z możliwymi konsekwencjami wystąpienia szkody i zaniechanie dalszych działań.

 

Analiza ryzyka jest procesem, który polega na systematycznym identyfikowaniu i analizowaniu skutków wystąpienia zagrożeń w odniesieniu do aktywów. Proces ten powinien składać się z następujących etapów:

  • Identyfikacja aktywów i procesów
  • Identyfikacja zagrożeń
  • Identyfikacja zabezpieczeń
  • Identyfikacja podatności
  • Szacowanie ryzyka

 

Identyfikacja aktywów / procesów – pierwszy etap analizy ryzyka ma na celu identyfikację aktywów i procesów oraz określenie ich wartości dla organizacji. Wartość aktywu/procesu będzie tym większa, im większy wpływ ma on na funkcjonowanie organizacji. Innymi słowy im bardziej jego awaria, utrata lub inne związane z nim problemy wpłyną negatywnie na funkcjonowanie organizacji.

 

Identyfikacja zagrożeń – jeżeli posiadamy pełną informację na temat tego co znajduje się w naszym systemie informatycznym, można przejść do kolejnego etapu. Jego celem jest rozpoznanie zagrożeń dla informacji, które są przetwarzane i przechowywane w naszym systemie.

 

Identyfikacja zabezpieczeń – w tym etapie należy zidentyfikować wszystkie środki ochrony istniejące w systemie. Dla każdego zasobu oraz zagrożenia, które określone zostały w poprzednich etapach musimy zidentyfikować przeciwdziałające im zabezpieczenie.

 

Identyfikacja podatności – etap ten polega na oszacowaniu prawdopodobieństwa wystąpienia zidentyfikowanych wcześniej zagrożeń przy uwzględnieniu istniejących w systemie zabezpieczeń.

 

Szacowanie ryzyka – jest to ostatni etap analizy ryzyka. Polega on na obliczeniu ryzyka utraty bezpieczeństwa przez informacje, które są przetwarzane i przechowywane w systemie.

 

Jeżeli chcą Państwo dowiedzieć się więcej na temat analizy ryzyka w kontekście wymagań normy ISO/IEC 27001 zapraszamy do udziału w naszych praktycznych szkoleniach. Więcej informacji na ten temat dostępnych jest TUTAJ.

Skontaktuj się z nami

Wyrażam zgodę na przetwarzanie moich danych osobowych zgodnie z polityką prywatności.

Polityka prywatności