Jeśli znasz ISO/IEC 27001 wiesz, że jest to międzynarodowy standard bezpieczeństwa informacji i zawiera wymagania certyfikacyjne, które zostały rozszerzone w całej klasie norm ISO 27000. Obecnie w serii znajduje się 46 norm (choć tylko kilka dotyczy każdej organizacji), z których ISO/IEC 27005, standard zarządzania ryzykiem, jest prawdopodobnie najważniejszym i najłatwiejszym do pomyłki.
Czym jest zarządzanie ryzykiem?
Zarządzanie ryzykiem to proces analizy, w jaki sposób organizacja może zostać dotknięta destrukcyjnym incydentem i jakie mogą być jego konsekwencje. Obejmuje to każdy scenariusz, w którym poufność, integralność i dostępność danych jest zagrożona.
Ocena tych zagrożeń pomaga w podjęciu decyzji o najlepszym sposobie zmniejszenia ryzyka do akceptowalnego poziomu.
Właściwy proces jest niezbędny, ponieważ cały system ISMS (Information Security Management System - System Zarządzania Bezpieczeństwem Informacji) kształtuje się wokół reakcji na ryzyko. Potrzebne jest dokładne oszacowanie, w jaki sposób rozegrać ryzyko, aby ustalić priorytety największych zagrożeń i przyjąć odpowiedni nadzór.
Co mówi norma ISO/IEC 27005?
Jak w przypadku każdego standardu z serii ISO 27000, norma ISO/IEC 27005 nie określa konkretnego podejścia do zarządzania ryzykiem. Dzieje się tak, dlatego, że organizacje mają własne wyzwania i muszą stawić im czoła w sposób, który im odpowiada.
Różni się to znacznie od innych popularnych standardów zarządzania ryzykiem, takich jak OCTAVE i NIST SP 800-30, które przyjmują podejście uniwersalne i są postrzegane jako ograniczające wydajność i produktywność firmy.
Nie znaczy to, że organizacje muszą same wszystko rozwiązywać. ISO/IEC 27005 dostarcza szczegółową, ale elastyczną strukturę pozwalającą na spełnianie jego wymagań, obejmującą pięć etapów:
1. Identyfikacja
- Identyfikacja zasobów: Po pierwsze, musisz zlokalizować każdą przechowywaną informację i określić, czy jest to „podstawowy” czy „wspierający” składnik. Podstawowe zasoby to informacje lub procesy biznesowe, a pomocnicze to powiązane systemy IT, infrastruktura i zasoby ludzkie. Organizacje są zobowiązane do identyfikacji zasobów podstawowych i zasobów pomocniczych, które mogą mieć wpływ na podstawowy zasób, zazwyczaj podając szczegóły dotyczące własności, lokalizacji i funkcji zasobu.
- Identyfikacja zagrożeń: Zagrożenia są liczne i zróżnicowane i powinny być stale monitorowane, aby uwzględnić nowe i pojawiające się zagrożenia.
- Zidentyfikuj luki: Twoja organizacja będzie miała słabości w technologii, ludziach (błąd ludzki, złośliwe działania, inżynieria społeczna itp.) i w procesach, z których wszystkie muszą zostać zidentyfikowane.
- Zidentyfikuj istniejące kontrole: W przeciwieństwie do innych metodologii oceny ryzyka, ocena ryzyka ISO/IEC 27005 wymaga od organizacji zidentyfikowania wszystkich istniejących kontroli i uwzględnienia ochrony zapewnianej przez te kontrole przed zastosowaniem nowych.
2. Ocena
ISO/IEC 27005 zachęca organizacje do skoncentrowania wysiłków w odpowiedzi na największe zagrożenia, dlatego należy wykorzystać zebrane informacje o swoich zasobach, lukach i zagrożeniach, aby nadać priorytet największym zagrożeniom.
Jest na to wiele sposobów, ale najpowszechniejsze podejście obejmuje następujące równanie:
Ryzyko (risk) = (prawdopodobieństwo zagrożenia przez lukę w zabezpieczeniach) x (całkowity wpływ wykorzystywanej luki)
3. Postępowanie z ryzykiem
Teraz, gdy znasz poziom ryzyka, jakie stwarza każde zagrożenie, musisz zdecydować, jak je potraktujesz. Dostępne są cztery opcje:
- Zmodyfikuj ryzyko, wprowadzając kontrolę w celu zmniejszenia prawdopodobieństwa jego wystąpienia. Na przykład, możesz zaradzić ryzyku kradzieży laptopa wydanego pracownikowi, tworząc politykę, która nakazuje pracownikom bezpieczne przechowywanie urządzeń.
- Unikaj ryzyka, przerywając wszelkie działania, które go tworzą. Ta odpowiedź jest odpowiednia, jeśli ryzyko jest zbyt duże, aby można było nim zarządzać za pomocą kontroli bezpieczeństwa. Na przykład, jeśli nie chcesz ryzykować kradzieży laptopa, możesz zakazać pracownikom korzystania z niego poza biurem. Ta opcja zmniejszy wygodę pracowników, ale drastycznie poprawi stan bezpieczeństwa.
- Podziel się ryzykiem. Można to zrobić na dwa sposoby: zlecając działania bezpieczeństwa innej organizacji lub kupując ubezpieczenie cybernetyczne, aby mieć środki na odpowiednie reagowanie w przypadku katastrofy. Żadna z tych opcji nie jest idealna, ponieważ w ostatecznym rozrachunku jesteś odpowiedzialny za bezpieczeństwo swojej organizacji, ale mogą one być najlepszym rozwiązaniem, jeśli brakuje Ci zasobów, aby poradzić sobie z ryzykiem.
- Zaakceptuj ryzyko. Oznacza to, że Twoja organizacja akceptuje ryzyko i uważa, że koszt postępowania z ryzykiem jest większy niż szkody, które by to spowodowało.
Wybór metody zależy od okoliczności. Unikanie ryzyka jest najskuteczniejszym sposobem zapobiegania incydentom związanym z bezpieczeństwem, ale będzie to prawdopodobnie kosztowne, jeśli nie niemożliwe. Na przykład wiele zagrożeń jest wprowadzanych do organizacji przez błąd ludzki, a często nie można usunąć elementu ludzkiego z równania.
Dlatego będziesz musiał zmodyfikować większość ryzyk. Obejmuje to wybór odpowiednich mechanizmów kontroli bezpieczeństwa informacji, które są opisane w załączniku A do ISO/IEC 27001 i wyjaśnione dalej w ISO 27002.
4. Komunikacja
Musisz prowadzić rejestr tego, jak radzisz sobie z ryzykiem i poinformować o tym każdego, kto może być nim dotknięty.
Na przykład, jeśli zmodyfikowałeś ryzyko, tak że poufne dokumenty zostaną zablokowane poprzez zastosowanie do nich kontroli dostępu, powinieneś poinformować o tym swoich pracowników. W przypadku odmowy dostępu dla pracownika, gdy ma on uzasadnioną potrzebę przeglądania informacji, wie jaka jest tego przyczyna i jakie powinien podjąć działania.
Podobnie, jeśli unikasz ryzyka, nie robiąc już tego, co spowodowało problem, musisz także przekazać wiadomość swoim pracownikom.
5. Przegląd
Zarządzanie ryzykiem (i ogólnie zgodność z normą ISO 27001) jest procesem ciągłym, więc musisz regularnie monitorować swój plan zarządzania. To służy dwóm celom. Po pierwsze, umożliwia sprawdzenie, czy wybrane opcje postępowania z ryzykiem działają zgodnie z przewidywaniem. Może się okazać, że zaimplementowana kontrola nie rozwiązuje problemu tak dobrze, jak się spodziewałeś lub po prostu nie jest odpowiednia. Podobnie, być może zdecydowałeś się uniknąć części zagrożeń, ale odkryłeś, że nadal są obecne.
Po drugie, pozwala ocenić zmieniający się krajobraz zagrożeń. Pojawią się nowe zagrożenia, a istniejące mogą się zmienić, zmuszając do ponownej oceny priorytetów i podejścia do zarządzania ryzykiem.
Jeżeli chcesz dowiedzieć się więcej na temat zarządzania ryzykiem w systemach zarządzania bezpieczeństwem informacji, zapraszamy do udziału w organizowanym przez ISOQAR szkoleniu. Więcej na ten temat znajdziesz na stronie.