Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

K U R S K U R S WYMAGANIA NORMATYWNO-PRAWNE DLA ZARZĄDZANIA RYZYKIEM BEZPIECZEŃSTWA INFORMACJI NIEJAWNYCH dr inż. Andrzej Wójcik Zakładu Rozwoju Technicznej.

Podobne prezentacje


Prezentacja na temat: "K U R S K U R S WYMAGANIA NORMATYWNO-PRAWNE DLA ZARZĄDZANIA RYZYKIEM BEZPIECZEŃSTWA INFORMACJI NIEJAWNYCH dr inż. Andrzej Wójcik Zakładu Rozwoju Technicznej."— Zapis prezentacji:

1 K U R S K U R S WYMAGANIA NORMATYWNO-PRAWNE DLA ZARZĄDZANIA RYZYKIEM BEZPIECZEŃSTWA INFORMACJI NIEJAWNYCH dr inż. Andrzej Wójcik Zakładu Rozwoju Technicznej Ochrony Mienia TECHOM Sp. z o.o. SZKOŁA ELEKTRONICZNYCH SYSTEMÓW ZABEZPIECZEŃ Warszawa, ul. Marszałkowska 60 tel. (0-22) , fax

2 SZACOWANIE RYZYKA W PROCESIE PROJEKTOWANIA I REALIZACJI SYSTEMÓW ALARMOWYCH W ASPEKCIE NOWYCH WYMAGAŃ PRAWNO-NORMATYWNYCH Podstawy prawne i normatywne szacowania ryzyka Wymagania PN-ISO/IEC 27001:2007 z punktu widzenia szacowania i planu postępowania z ryzykiem Wymagania normy PN-ISO/IEC 27005:2010 w zarządzaniu ryzykiem bezpieczeństwa informacji Analiza ryzyka a procesy biznesowe w branży Przebieg procesu analizy ryzyka Zakres systemu i polityka bezpieczeństwa informacji w aspekcie zarządzania ryzykiem Aktywa informacji i ich inwentaryzacja Plan postępowania z ryzykiem Modele i wybrane techniki zarządzania ryzykiem.

3 wprowadzenie

4 Podstawy normatywne zarządzania ryzykiem PN-ISO/IEC 27001:2007 Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania (przeznaczona do certyfikowania systemów zarządzania bezpieczeństwem informacji)

5 Podstawy normatywne zarządzania ryzykiem PN-ISO/IEC 27005:2010 Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie ryzykiem w bezpieczeństwie informacji wspiera SZBI w zakresie zarządzania ryzkiem

6 Risk management – Principles and guidelines (Zarządzanie ryzykiem - zasady i wskazówki) ISO/IEC 31010:2009 Risk management – Risk assessment techniques (Zarządzanie ryzykiem – techniki oceny ryzyka)

7 ISO – Risk Management – Guidelines on principles and implementation on risk management. Standard ten ma pozwolić na wdrożenie spójnego podejścia wspomagającego wdrożenia branżowych standardów zarządzania ryzykiem (uszczegółowione m.in. w ISO – ryzyko środowiskowe, OHSAS – ryzyko BHP, czy ISO – bezpieczeństwo informacji).

8 Szacowanie ryzyka w standardach branżowych

9

10 Aktualny stan prawny 1/2 USTAWA z dnia 5 sierpnia 2010 roku O OCHRONIE INFORMACJI NIEJAWNYCH Dz.U nr 182 poz Data wejścia w życie: Data obowiązywania: USTAWA z dnia 5 sierpnia 2010 roku O OCHRONIE INFORMACJI NIEJAWNYCH Dz.U nr 182 poz Data wejścia w życie: Data obowiązywania:

11 Aktualny stan prawny 2/2 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 01 czerwca 2010 r. w sprawie organizacji i funkcjonowania kancelarii tajnych Dz.U nr 114 poz. 765 Data wejścia w życie: Data obowiązywania: ROZPORZĄDZENIE RADY MINISTRÓW z dnia 01 czerwca 2010 r. w sprawie organizacji i funkcjonowania kancelarii tajnych Dz.U nr 114 poz. 765 Data wejścia w życie: Data obowiązywania:

12 Analiza zapisów

13 USTAWA z dnia 5 sierpnia 2010r. O OCHRONIE INFORMACJI NIEJAWNYCH Rozdział 1 Przepisy ogólne Art. 2. W rozumieniu ustawy: 15) ryzykiem – jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji; 16) szacowaniem ryzyka – jest całościowy proces analizy i oceny ryzyka; 17) zarządzaniem ryzykiem – są skoordynowane działania w zakresie zarządzania bezpieczeństwem informacji, z uwzględnieniem ryzyka;

14 USTAWA z dnia 5 sierpnia 2010r. O OCHRONIE INFORMACJI NIEJAWNYCH Rozdział 3 Organizacja ochrony informacji niejawnych Art Do zadań pełnomocnika ochrony należy: (m.in.) ………………. 3) zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka; ………………..

15 USTAWA z dnia 5 sierpnia 2010r. O OCHRONIE INFORMACJI NIEJAWNYCH Rozdział 4 Szkolenie w zakresie ochrony informacji niejawnych Art Szkolenie w zakresie ochrony informacji niejawnych przeprowadza się w celu zapoznania z: …………………………………….. 2) zasadami ochrony informacji niejawnych w zakresie niezbędnym do wykonywania pracy lub pełnienia służby, z uwzględnieniem zasad zarządzania ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowania ryzyka; 3) sposobami ochrony informacji niejawnych oraz postępowania w sytuacjach zagrożenia dla takich informacji lub w przypadku ich ujawnienia.

16 USTAWA z dnia 5 sierpnia 2010r. O OCHRONIE INFORMACJI NIEJAWNYCH Rozdział 7 Kancelarie tajne. Środki bezpieczeństwa fizycznego Art Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne o klauzuli poufne lub wyższej, zatwierdza opracowaną przez pełnomocnika ochrony dokumentację określającą poziom zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą.

17 w bezpieczeństwie informacji

18 Wprowadzenie 1/2 W normie PN-ISO/IEC 27005:2010 podano wytyczne dotyczące zarządzania ryzykiem w bezpieczeństwie informacji w organizacji, w szczególności wspierając wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z PN-ISO/IEC 27001:2007. W normach nie przedstawiono żadnej określonej metodyki zarządzania ryzykiem w bezpieczeństwie informacji. Organizacja sama określa swoje podejście do zarządzania ryzykiem w zależności, od zakresu SZBI, kontekstu zarządzania ryzykiem lub branży. W ramach struktury opisanych w normach można zastosować różne już istniejące metodyki.

19 Wprowadzenie 2/2 Norma PN-ISO/IEC 27005:2010 jest kierowana do kierownictwa organizacji oraz personelu zajmującego się w organizacji zarządzaniem ryzykiem w bezpieczeństwie informacji oraz stron zewnętrznych wspierających takie działania. Norma PN-ISO/IEC 27005:2010 stanowi rozwinięcie ogólnych koncepcji określonych w ISO/IEC i została opracowana w celu wsparcia wdrożenia podejścia do bezpieczeństwa opartego na zarządzaniu ryzykiem. Norma ma zastosowanie do wszystkich typów organizacji (np. przedsiębiorstw, instytucji rządowych, organizacji non-profit).

20 Cykl Deminga określany też jako cykl PDCA z ang.. Plan- Do-Check-Act lub cykl P-D-S-A z ang. Plan-Do-Study-Act lub koło Deminga) to schemat ilustrujący podstawową zasadę ciągłego ulepszania (ciągłego doskonalenia). William Edwards Deming (14 października 1900 – 20 grudnia 1993) – amerykański statystyk. W 1928 obronił doktorat z zakresu matematyki i fizyki matematycznej. Był pierwszym amerykańskim specjalistą, który w sposób metodyczny przekazywał japońskim inżynierom i menedżerom wiedzę na temat statystycznego sterowania procesem. Dopiero w 1980 roku, po wywiadzie dla NBC poświęconym sukcesowi gospodarczemu Japończyków, stał się wielkim odkryciem menedżerów amerykańskich.

21 Model PDCA stosowany w procesach SZBI Ustanowienie SZBI Monitorowanie i przegląd SZBI Utrzymanie i doskonalenie SZBI Wdrażanie i eksploatacja SZBI Cykl opracowania, utrzymania i doskonalenia Sprawdzaj Planuj Działaj Wykonuj Zainteresowane strony Wymagania i oczekiwania dotyczące bezpieczeństwa informacji Zarządzanie bezpieczeństwem informacji

22 Model PDCA stosowany w procesach SZBI Planuj (ustanowienie SZBI) Ustanowienie polityk bezpieczeństwa, zadań, celów, procesów i procedur odpowiednich dla zarządzania ryzykiem i doskonalenia bezpieczeństwa informacji w celu spełnienia postanowień polityki i celów organizacji. Wykonuj (wdrożenie i eksploatacja SZBI) Wdrożenie i zastosowanie polityk bezpieczeństwa zabezpieczeń, procesów, procedur, instrukcji. Sprawdzaj (monitorowanie i przegląd SZBI) Ocena i gdzie to możliwe pomiar wykonania procesów w odniesieniu do polityk bezpieczeństwa, celów i praktycznych doświadczeń oraz przekazywanie kierownictwu wyników do przeglądu. Działaj (utrzymanie i doskonalenie SZBI) Podejmowanie działań korygujących i zapobiegawczych na podstawie wyników przeglądu realizowanego przez kierownictwo tak, aby osiągnąć ciągłe doskonalenie SZBI.

23 Szacowanie ryzyka w bezpieczeństwie informacji wg ISO PN-ISO/IEC 27001:2007

24 Zagrożenie zagrożenie (threat) - potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub instytucji (organizacji) [ISO/IEC Guide 73:2002]

25 Szacowania ryzyka ryzyko (risk) - prawdopodobieństwo, że określone zagrożenie wykorzysta podatność zasobu lub grupy zasobów, aby spowodować straty lub zniszczenie zasobów lub ryzyko - funkcja prawdopodobieństwa zdarzenia i jego konsekwencji [ISO/IEC Guide 73:2002] Całościowy (kompletny) proces analizy ryzyka i oceny ryzyka ryzyko szczątkowe - ryzyko pozostające po procesie postępowania z ryzykiem [ISO/IEC Guide 73:2002]

26 Podatność Podatność to słabość aktywów lub grupy aktywów, która może być wykorzystana przez zagrożenie Podatność sama w sobie nie powoduje szkód, jest raczej okolicznością lub zestawem okoliczności (warunków) umożliwiającą zagrożeniom oddziaływanie na aktywa Podatność pozostawiona bez nadzoru pozwoli zmaterializować się zagrożeniom

27 Podstawowe pojęcia związane z ryzykiem 1 analiza ryzyka - systematyczne używanie informacji w celu zidentyfikowania źródeł i estywacji ryzyka [ISO/IEC Guide 73:2002] identyfikowanie ryzyka - proces znajdowania zestawiania i charakteryzowania elementów ryzyka estymowanie ryzyka - proces przypisywania wartości do prawdopodobieństwa i konsekwencji ryzyka [ISO/IEC Guide 73:2002] ocena ryzyka - proces porównywania ryzyka estymowanego z wyznaczonymi kryteriami, w celu określenia wagi ryzyka [ISO/IEC Guide 73:2002]

28 Podstawowe pojęcia związane z ryzykiem 2 akceptowanie ryzyka - decyzja, aby zaakceptować ryzyko [ISO/IEC Guide 73:2002] zarządzanie ryzykiem (risk management) - proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dla bezpieczeństwa, które może dotyczyć systemów informacyjnych, przy zachowaniu akceptowalnego poziomu kosztów lub zarządzanie ryzykiem - skoordynowane działania kierowania i zarządzania organizacją z uwzględnieniem ryzyka [ISO/IEC Guide 73:2002] postępowanie z ryzykiem (risk treatment) - proces wyboru i wdrażania środków modyfikujących ryzyko [ISO/IEC Guide 73:2002]

29 zdarzenie - wystąpienie określonego zbioru okoliczności [ISO/IEC Guide 73:2002] zagrożenie (threat) - potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub instytucji (organizacji) [ISO/IEC Guide 73:2002] podatność - słabość zasobu lub grupy zasobów, która może być wykorzystana przez zagrożenie [ISO/IEC Guide 73:2002] aktywa (assets)/zasoby - wszystko, co ma wartość dla organizacji [ISO/IEC :2004] Podstawowe pojęcia związane z ryzykiem 3

30 Szacowanie ryzyka Wzór Turnera: R = W * P (*PP) gdzie: R – ryzyko; W – wpływ ( skutek); P – prawdopodobieństwo wystąpienia; PP – publiczna percepcja: - w literaturze przedmiotu sugeruje, iż jest to proces poznawania innych ludzi, składający się z trzech komponentów: atrybucji, czyli przypisywania doraźnych i trwałych właściwości; przypisywania oczekiwań; wywoływania emocji.

31 Pomiar ryzyka Ryzyko możemy określić jako funkcję prawdopodobieństwa wystąpienia określonych zagrożeń – realizacji zdarzeń i wynikających stąd konsekwencji. Ryzyko można określić w sposób ilościowy poprzez następująco: RYZYKO = prawdopodobieństwo zagrożenia x skutki Przykład oceny jakościowej prawdopodobieństwa wystąpienia zagrożenia: 1 – niskie – niewielki poziom zagrożenia i wpływ na funkcjonowanie organizacji 2 – średnie – powodują straty, ale nie zakłócają funkcjonowania organizacji 3 – wysokie – powodują wysokie i bardzo wysokie straty, mogą zakłócić działanie lub wręcz sparaliżować działanie organizacji Skutki liczone jako koszty bezpośrednie strat i odtworzenia zasobów oraz pośrednie, niefinansowe np. utrata pozycji na rynku i zaufania klientów, odpływ fachowych kadr, utrata potencjalnych kontraktów itd..

32 Szacowanie ryzyka wg wymagań normy ISO – krótkie wprowadzenie Ustanowienie SZBI 3) ustanawia w organizacji kontekst strategiczny zarządzania ryzykiem dający obszar ustanowienia i utrzymania SZBI; 4) określa kryteria, według których ma być oceniane ryzyko; oraz 5) została zaakceptowana przez kierownictwo.

33 Szacowanie ryzyka wg wymagań normy ISO Ustanowienie SZBI c) Zdefiniować podejście do szacowania ryzyka w organizacji. 1) Wskazać metodykę szacowania ryzyka, odpowiednią dla SZBI, określić bezpieczeństwo informacji; w kontekście prowadzonej działalności, wymagania prawne i wymagania nadzoru. 2) Opracować kryteria akceptacji ryzyka i określić akceptowalne poziomy ryzyk. Wybrana metodyka szacowania ryzyka powinna zapewnić, że szacowanie to daje porównywalne i powtarzalne rezultaty.

34 Szacowanie ryzyka wg wymagań normy ISO d) Określić ryzyka; 1) Określić aktywa znajdujące się w zakresie SZBI oraz właścicieli tych aktywów. 2) Określić zagrożenia dla tych aktywów. 3) Określić podatności, które mogą być wykorzystane przez zagrożenia. 4) Określić skutki utraty poufności, integralności i dostępności w odniesieniu do aktywów.

35 Szacowanie ryzyka wg wymagań normy ISO e) Analizować i oceniać ryzyka; 1) Oszacować szkody i straty biznesowe w organizacji, które mogą wyniknąć z naruszenia bezpieczeństwa, biorąc pod uwagę potencjalne konsekwencje utraty poufności, integralności i dostępności aktywów.

36 Szacowanie ryzyka wg wymagań normy ISO ) Oszacować realne prawdopodobieństwo zdarzenia się takiego naruszenia bezpieczeństwa w świetle istotnych zagrożeń i podatności oraz konsekwencji związanych z tymi aktywami oraz aktualnie wdrożonymi zabezpieczeniami. 3) Wyznaczyć poziomy ryzyk. 4) Stosując kryteria określone stwierdzić, czy ryzyko jest akceptowalne, czy też wymaga postępowania z ryzykiem.

37 Szacowanie ryzyka wg wymagań normy ISO f) Zidentyfikować i ocenić warianty postępowania z ryzykiem. Możliwe działania obejmują: 1) zastosowanie odpowiednich zabezpieczeń; 2) poznanie i zaakceptowanie ryzyk, w sposób świadomy i obiektywny, przy założeniu, że jasno spełniają warunki wyznaczone w polityce organizacji oraz kryteria akceptowania ryzyk; 3) unikanie ryzyk; 4) przeniesienie związanych ryzyk biznesowych na innych uczestników, np. ubezpieczycieli, dostawców.

38 Szacowanie ryzyka wg Wymagań normy ISO g) Wybrać cele stosowania zabezpieczeń i zabezpieczenia jako środki postępowania z ryzykiem. Cele stosowania zabezpieczeń i zabezpieczenia należy wybrać i wdrożyć w taki sposób, aby spełniały wymagania zidentyfikowane w procesach szacowania ryzyka i postępowania z ryzykiem. Wybierając należy brać pod uwagę kryteria akceptacji ryzyka, jak również wymagania prawne, wymagania nadzoru oraz zobowiązania wynikające z umów.

39 Postępowanie z ryzykiem Definicja Proces polegający na wyborze i wdrożeniu środków modyfikujących ryzyko

40 Kolejność postępowania INWENTARYZACJA AKTYWÓW Co mamy chronić? PLAN POSTĘPOWANIA Z RYZYKIEM ANALIZA RYZYKA Przed czym mamy chronić? Jak mamy chronić? UWAGA: Jednakże, warto się posiłkować spisem zabezpieczeń, aby wyobrazić sobie wszelkie możliwe zagrożenia.

41 Strategie radzenia sobie z ryzykiem Unikanie ryzyka Unikanie ryzyka – wszelkie działania mające na celu przeniesienie aktywów z obszaru wysokiego ryzyka; rezygnacja z pewnych działań np. zablokowanie zdalnego dostępu do wrażliwych aplikacji; zakaz przenoszenia dokumentów o określonej klauzuli/wrażliwości poza firmę. Przeniesienie (transfer) ryzyka Przeniesienie (transfer) ryzyka – najlepsza strategia w sytuacji, kiedy nie można uniknąć ryzyka, lub trudno kosztownie jest je zredukować np. na ubezpieczyciela, dostawcę. Akceptacja ryzyk Akceptacja ryzyk – zawsze zostaje ryzyko szczątkowe, może być ono na poziomie akceptowalnym lub nie. Może wystąpić świadoma akceptacja ryzyka w sytuacji, w której działania redukcji, przeniesienia mogą być zbyt kosztowne. Redukcja ryzyka Redukcja ryzyka – proces wyboru zabezpieczeń mających na celu zmniejszenie ryzyka.

42 Szacowanie ryzyka Definicja systematycznego podejścia do szacowania ryzyka Identyfikacja metodyki szacowania ryzyka Określenie kryteria akceptacji ryzyka Identyfikacja akceptowanych poziomów ryzyk Określenie ryzyka Identyfikacja aktywów objętych zakresem SZBI Identyfikacja zagrożeń dla tych aktywów Identyfikacja podatności, które mogą być wykorzystane przez zagrożenia Identyfikacja skutków, jakie mogą wystąpić w stosunku do aktywów w przypadku utraty: poufności, integralności i dostępności

43 Procedura szacowania ryzyka Krok 1. Określ zasoby informacji biznesowej (INWETARYZACJA) Krok 2. Oceń aktywa Krok 3. Oceń potencjalne zagrożenia/podatności Krok4. Oceń ryzyka Krok 5. Przypisz wynik ryzykom PROCEDURA POSTĘPOWANIA Z RYZYKIEM

44 Przykłady dokumentacji

45 AKTYWA (assets) - zasób AKTYWA To wszystko co ma wartość dla organizacji

46 Przykładowe aktywa związane z systemami informacji Zasoby informacji - bazy danych, pliki z nadymi, system dokumentacji, instrukcje dla użytkowników, materiały szkoleniowe, procedury operacyjne i pomocnicze, plany ciągłości, ustalenia na wypadek sytuacji awaryjnej, kartoteki, podręczniki ; Dokumenty papierowe - umowy, wytyczne, dokumentacja przedsiębiorstwa, dokumenty zawierające istotne wyniki związane z działalnością przedsiębiorstwa; Oprogramowanie - a szczególnie aplikacje komputerowe, oprogramowanie systemowe, programy narzędziowe i użytkowe; Zasoby fizyczne - sprzęt komputerowy i komunikacji, nośniki magnetyczne (taśmy i dyski), inny sprzęt techniczny (agregat prądotwórczy, agregat klimatyzacyjny), umeblowanie, pomieszczenia; Ludzie - personel, klienci, abonenci; Prestiż i marka firmy; Usługi - usługi informatyczne i komunikacyjne, inne media techniczne (ogrzewanie, oświetlenie, zasilanie energią elektryczną, klimatyzacja); Infrastruktura techniczna i technologiczna itd..

47 Określenie Właściciela aktywów Odpowiedzialny za określenie właściwej klasyfikacji zasobów i praw dostępu do nich Utrzymuje zabezpieczenia związane z jego zasobami Okresowo przegląda prawa dostępu i klasyfikację bezpieczeństwa Odpowiedzialny za włączenie nowych/zmienionych aktywów do szacowania ryzyka

48 Wartość aktywów Wartość będzie mierzona w kategoriach wpływu na organizację, jej dostawców, partnerów, klientów i inne zainteresowane strony w przypadku naruszenia bezpieczeństwa, mającego wpływ na poufność, integralność lub dostępność informacji Wartość aktywów winna być ustalana w odniesieniu do uwarunkowań, w jakich zasoby są wykorzystywane Realistyczną ocenę wartości aktywów mogą przeprowadzić jedynie właściciele procesów lub ich klienci. Stad istotne jest dokonanie oceny oddzielnie dla każdego kontekstu w jakim pojawia się lub jest wykorzystywana informacja Czasami wartość pozytywnego postrzegania organizacji przez klientów jest większa niż jakikolwiek inny składnik majątku firmy Należy zastosować odpowiednią skalę do oceny wartości aktywów Wartość aktywów można powiązać z klasyfikacją tych aktywów

49 Wartość aktywów a 3 (4) cechy bezpiecznej informacji Wartość danego aktywa powinna zostać wyceniona osobno dla utraty poufności, integralności i dostępności*, ponieważ właściwości te są niezależne i mogą się różnić dla danego aktywa. poufność: zapewnienie dostępu do informacji tylko osobom upoważnionym, czyli ochronę przed kradzieżą informacji; integralność: zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania, czyli ochronę przed celową lub przypadkową jej modyfikacją; dostępność: zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy gdy jest to potrzebne, czyli ochronę przed utratą chwilową lub trwałą; *rozliczalność - właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi (ISO :1989).

50 Przykład jakościowego określenia wartości aktywów wartość AktywaPoufnośćIntegralnośćDostępność 1.Umowa z klientemD???? PLNŚ M 2.Budynki siedzibyŚ ???? PLN M M 3.Szafy na korytarzuM ???? PLN M D 4.LudzieD ???? PLN M M 5.Pamięci przenośneM ???? PLN M Ś 6.KomputeryŚ ???? PLN M M M - mało istotne, poradzimy sobie bez problemu Ś - dość ważne, będzie kłopot, firma zatrzyma się na 1 lub 2 dni D - katastrofa, nie damy rady bez tych danych, przywrócenie działania może być groźne dla firmy

51 Klasyfikacja zasobów pod względem wrażliwości (przykład) Krytyczne - konsekwencje lub straty materialne lub niematerialne katastrofalne dla funkcjonowania firmy prowadzące do zaniechania lub zawieszenia biznesu Wrażliwe - konsekwencje lub straty materialne lub niematerialne utrudniające w sposób znaczący funkcjonowanie lub powodujące czasowy przestój procesów biznesowych firmy Normalne - konsekwencje lub straty materialne lub niematerialne nie mające znaczenia dla funkcjonowania procesów biznesowych firmy Bez znaczenia – nie mające istotnego znaczenia dla biznesu

52 Identyfikacja aktywów (przykład) AktywaWłaściciel/lokalizacja Zapisy programu księgowego 'Onion'Serwer System emerytur ExcelFinanse Druki dostępu do zamówienia - Dostawcy,Serwer kontrahenci Zamówienia zakupu, formularze Access -Serwer Kontrahenci Zamówienia sprzedaży regionalnejSerwer Informacje BACSFinanse Zapisy inwentaryzacji stanu magazynowegoSerwer Zamówienia sprzedaży - baza danychSerwer Access Lista dostawców - baza danych AccessSerwer Lista przedstawicieli handlowychMarketing & Sprzedaż Poczta elektronicznaSerwer Materiały szkolenioweMarketing & Sprzedaż

53 Przykład ankiety inwentaryzacji aktywów Lp.Wyszczególnienie zasobu Ocena znaczenia dla funkcjonowania firmy (wg określenia i wagi) Uwagi/wysokości strat bez znaczenia niskaśredniawysokakrytyczna Ocena 0Ocena 1Ocena 2Ocena 3Ocena Budynki, budowle 2Pomieszczenia specjalne 3Sprzęt i urządzenia 4Oprogramowanie

54 ANALIZA ZAGROŻEŃ Wprowadzenie – klasyfikacja zagrożeń

55 Zagrożenia zagrożenie wiąże się z możliwością wywołania niepożądanego zdarzenia, które może prowadzić do szkód w systemie lub szkód dla organizacji i jej zasobów zasoby są narażone na wiele różnych zagrożeń, mogących wykorzystać słabe punkty

56 Zagrożenia – podejście ogólne Zamierzone – przestępcze działania z premedytacją np. z chęci zysku, włamanie, wandalizm, szpiegostwo gospodarcze i przemysłowe, sabotażowe, terrorystyczne, inne Losowe wewnętrzne – niezamierzone: błędy ludzkie, zaniedbania użytkowników, defekty sprzętu i oprogramowania, zniekształcenia informacji i danych, inne Losowe zewnętrzne – wynikające najczęściej z działania siły wyższej np. temperatura, wilgotność, zanieczyszczenie powietrza, zakłócenia pracy źródła zasilania, wyładowania atmosferyczne, klęski żywiołowe, niepokoje społeczne, inne Związane ze stratami finansowymi – bezpośrednie straty dla firmy, koszty odtworzenia zasobów, koszty sądowe, zerwanie umów itd. Związane ze stratami niefinasowymi – utrata prestiżu, wiarygodności, pozycji na rynku, klientów, dezorganizacja, ucieczka wykwalifikowanej kadry itd.

57 Analiza zagrożeń (podejście opisowe) Kradzież informacji i danych Podpalenie (zarówno celowe i losowe) Szantaż (operatorów, kierownictwa itd..) Terror kryminalny Sabotaż zewnętrzny, wewnętrzny Uszkodzenia urządzeń (zarówno celowe i losowe) Podłożenie urządzenia wybuchowego Zagrożenia teleinformatyczne np. wirusy, włamanie itd.. Blokada łączy teletransmisyjnych (szczególnie dialerowe, spam itd..) Uszkodzenia środków transmisji zarówno sprzętowych i programowych Utrata danych np. brak systemu archiwizacji Zalanie wodą, powodzie, tąpnięcia, wyładowania atmosferyczne inne

58 Analiza zagrożeń w ujęciu zasięgu oraz skutków Region Kompleks budynków Budynek Systemy Awaria energetyczna Trzęsienie ziemi Tajfun Powódź Burza, burza śnieżna Pożar Zagrożenia infrastruktury budowlanej Terroryzm/Sabotaż Atak hackera/wirusa Błąd operatora Awaria hardwareu Oprogramowanie

59 Podstawowe zagrożenia – przykład spisu 1 Analiza natężenia ruchu Atak bombowy Awaria dostawy wody Awaria elementów sieci Awaria klimatyzacji Awaria oprogramowania Awaria sprzętu Awaria usług komunikacyjnych Awaria zasilania elektrycznego Błąd personelu wsparcia operacyjnego Błąd użytkownika Błąd w utrzymywaniu Błędne kierowanie lub przekierowywanie wiadomości Błędy transmisji

60 Podstawowe zagrożenia – przykład spisu 2 Błyskawice Braki kadrowe Dostęp do sieci dla poprzez osoby nieupoważnione Ekstremalne temperatury i wilgotność Huragan Infiltracja łączności Korzystanie z oprogramowania przez osoby nieupoważnione Kradzież Lotne cząstki/pył Nieautoryzowane korzystanie z infrastruktury sieciowej Nieautoryzowane korzystanie z nośników Nieautoryzowane korzystanie z oprogramowania Nieautoryzowany import/eksport oprogramowania

61 Podstawowe zagrożenia – przykład spisu 3 Niewłaściwe wykorzystanie środków Podsłuch Podszywanie się pod tożsamość użytkownika Powódź Pożar Przeładowanie natężenia ruchu Odrzucenie (np. usług, transakcji, wiadomości o wysyłce/odebraniu) Rozmyślne uszkodzenie Skażenie środowiska (i inne formy katastrof naturalnych i wywołanych przez człowieka) Spadek jakości nośników Strajki Trzęsienie ziemi Uszkodzenie linii/kabli komunikacyjnych Wahania zasilania Złośliwe oprogramowanie (np. wirusy, robaki, konie trojańskie)

62 Podatność podatności, same w sobie, nie wywołują szkód - należy je postrzegać jako warunek lub zestaw warunków pozwalających zagrożeniom na zaatakowanie zasobów

63 Przykłady podatności i zagrożeń 1. Środowisko i infrastruktura: 1. Środowisko i infrastruktura: brak fizycznej ochrony budynku – zagrożenie: napad na budynek; 2. Sprzęt: 2. Sprzęt: brak odpowiedniego zarządzania konfiguracją – zagrożenie: podmiana części składowych stacji roboczej; 3. Oprogramowanie 3. Oprogramowanie: brak kopii zapasowych – zagrożenie: brak ciągłości działania w sytuacji kryzysowej; 4. Dokumenty 4. Dokumenty: brak nadzoru nad niszczeniem dokumentów – zagrożenie: przekazywanie informacji wrażliwej osobom nieuprawnionym; 5. Personel 5. Personel: niewłaściwe procedury zatrudniania – zagrożenie: ulokowanie szpiega.

64 Czynniki kształtujące ryzyko POTENCJALNY WPŁYW NA ORGANIZACJĘ ZAGROŻENIA PODATNOŚCI WYMAGANIA DOT. BEZPIECZEŃSTWA WARTOŚCI AKTYWÓW ZABEZPIECZENIA RYZYKOAKTYWA OKREŚLAZWIĘKSZAMAJĄ ZASPOKAJANE PRZEZ ZWIĘKSZAJĄ NARAŻAJĄ CHRONIĄ PRZED WYKORZYSTUJĄ zmiejszają

65 Proces analizy ryzyka ZasóbWartośćUtrata (co chronimy)ZagrożeniePodatnośćPrawdopodobieństwoOcena ryzyka = 2x5x6 Aktywo 1Wartość 1 Poufność Zagrożenie 1Podatność 1Prawdopod 1Ocena 1 Zagrożenie nPodatność nPrawdopod nOcena n Integralność Zagrożenie 1Podatność 1Prawdopod 1Ocena 1 Zagrożenie nPodatność nPrawdopod nOcena n Dostępność Zagrożenie 1Podatność 1Prawdopod 1Ocena 1 Zagrożenie nPodatność nPrawdopod nOcena n Aktywo 2Wartość 2 Poufność Zagrożenie 1Podatność 1Prawdopod 1Ocena 1 Zagrożenie nPodatność nPrawdopod nOcena n Integralność Zagrożenie 1Podatność 1Prawdopod 1Ocena 1 Zagrożenie nPodatność nPrawdopod nOcena n itd…. Prawidłowo wykonana analiza ryzyka jest skomplikowana, bo powinna uwzględnić wiele czynników

66 Ogólne ustalenia dla określenia poziomu ryzyka W większości organizacji ustalenia dotyczące poziomu ryzyka klasyfikuje się w następujący sposób: Niskie prawdopodobieństwo oraz niezbyt dotkliwe skutki oznaczają niskie ryzyko. Wysokie prawdopodobieństwo oraz bardzo dotkliwe skutki oznaczają wysokie ryzyko. Wysokie prawdopodobieństwo oraz niezbyt dotkliwe skutki oznaczają niskie ryzyko.

67 Szacowanie ryzyka aktywów - przykład Wartość wg przyjętej skali ryzyka AktywaKradzieżWirusyPożarWłamanieBłąd obsługi Zagubienie danych 1.Umowa z klientem Budynki siedziby Szafy na korytarzu Ludzie Pamięci przenośne Komputery212213

68 Proces oceny ryzyka - podsumowanie ISO 27001:2005 wymaga przeprowadzenia oceny ryzyka dla określenia zagrożeń zasobów Komunikuj się i konsultuj Monitoruj i dokonaj przeglądów Nadzoruj ryzyko Oceń ryzyko Analizuj ryzyko Identyfikuj ryzyko Ustal kontekst Szacuj ryzyko

69 Wykres oceny ryzyka - wariant 1 Skutki/wartość Przenieś Unikaj RedukujAkceptuj Prawdopodobieństwo * Ryzyko 4 * Ryzyko 3 * Ryzyko 2 * Ryzyko 1 * Ryzyko 5

70 Proces analizy ryzyka ZasóbWartośćUtrata (co chronimy)ZagrożeniePodatnośćPrawdopodobieństwoOcena ryzyka = 2x5x6 Zasób1Wartość 1 Poufność Zagrożenie 1Podatność 1Prawdopod 1Ocena 1 Zagrożenie nPodatność nPrawdopod nOcena n Integralność Zagrożenie 1Podatność 1Prawdopod 1Ocena 1 Zagrożenie nPodatność nPrawdopod nOcena n Dostępność Zagrożenie 1Podatność 1Prawdopod 1Ocena 1 Zagrożenie nPodatność nPrawdopod nOcena n Zasób 2Wartość 2 Poufność Zagrożenie 1Podatność 1Prawdopod 1Ocena 1 Zagrożenie nPodatność nPrawdopod nOcena n Integralność Zagrożenie 1Podatność 1Prawdopod 1Ocena 1 Zagrożenie nPodatność nPrawdopod nOcena n itd….

71 Wykres oceny ryzyka - wariant 2 Unikaj Ocena ryzyka Transfer Zabezpieczenie Akceptacja Szacowanie dla wybranego aktywa informacyjnego

72 Przykładowa inwentaryzacja aktywów połączona z analizą ryzyka 1. ABCDEGHIJPQ RS T 2. Lp. Zasób grupa Zasób nazwa WłascicielNośnikLokalizacjaZagrożenie rodzajZagrożenie opisPodatność opis Prawdopo dobieństwo Podatność Skutki (wartość zasobów) Ocena końcowaDecyzja 3. Ludz kradzie Włam z kradzNiezabezpieczMM 22 Akceptacja 4. Ludz nieprze Brak MM 22 Akceptacja 5. Ludz podsłuch Brak MM 22 Akceptacja 6. Ludz spam Zatkanie skrzynNiezabezpieczŚŚ 24 Zabezpieczenie 7. Ludz usuwa Dane wyniesionNie są zabezpiŚW 25 Zabezpieczenie 8. Ludz wandal Ktoś celoeo niszPomieszcz serMM 22 Akceptacja 9. Ludz włamanLudz włam/kradz Ktoś może próbMM 22 Akceptacja 10. Ludz zgubien Brak MM 22 Akceptacja 11. Przyp awarie Utrata danychStare elem komŚŚ 24 Zabezpieczenie 12. Przyp brak p Utrata danychBrak zabezpieczŚŚ 24 Zabezpieczenie 13. Przyp działaUtrata danychNormalna, jak wMM 22 Akceptacja 14. Przyp przecie Brak MM 22 Akceptacja 15. Ludz kradzie Włam z kradzNiezabezpieczŚM 24 Zabezpieczenie 16. Ludz nieprze Niewłaściwa obsłNieprzeszkolonyŚM 34 Zabezpieczenie 17. Ludz podsłuch Ktoś chce zdobyć Podejrzenie danychjŚM 34 Zabezpieczenie 18. Ludz spam Zatkanie skrzynNiezabezpieczŚŚ 35 Zabezpieczenie 19. Ludz usuwa Dane wyniesionNie są zabezpiŚW 36 Transfer

73 Postępowanie z ryzykiem (risk treatment) Proces polegający na wyborze i wdrożeniu środków modyfikujących ryzyko.

74 Przykładowy plan postępowania z ryzykiem Zał. NrZabezpieczenie nazwa Stosowane zabezpieczenie Wyjaśnienie Planowane działania OdpowiedzialnyZasoby Data planowana Data wykonania A.3Polityka bezpieczeństwa A.3.1Polityka bezpieczeństwa informacji A.3.1.1Dokument polityki bezpieczeństwa informacji A.3.1.2Przegląd i ocena A.4Organizacja bezpieczeństwa A.4.1Infrastruktura bezpieczeństwa informacji A.4.1.1Forum zarządzania bezpieczeństwem informacji A.4.1.2Koordynacja bezpieczeństwa informacji A Podział odpowiedzialnściw zakresie bezpieczeństwa informacji A Proces autoryzacji urządzeń służących do przetwarzania informacji A Specjalistyczne doradztwo w dziedzinie bezpieczeństwa informacji A.4.1.6Współpraca między organizacjami A.4.1.7Przeglądy bezpieczeństwa informacji

75 Akceptacja ryzyk szczątkowych ISO 27001: h) h) Uzyskać akceptację kierownictwa co do zaproponowanych ryzyk szczątkowych. Organizacja powinna: W niektórych sytuacjach kierownictwo może podjąć decyzję o akceptacji ryzyk szczątkowych wykraczających poza poziom akceptowalny. Decyzja taka powinna zostać formalnie udokumentowana!!!

76 Wybór zabezpieczeń Wybór zabezpieczenia wpływa na prawdopodobieństwo wystąpienia ryzyka (manipuluje podatnością) …. Oceń realistyczne prawdopodobieństwo wystąpienia naruszeń bezpieczeństwa informacji w świetle przeważających zagrożeń i podatności, skutków związanych z tymi zasobami oraz obecnie stosowanych zabezpieczeń."

77 Załącznik do normy ISO 27001:2005 Cele stosowania zabezpieczeń i zabezpieczenia

78 Załącznik A. (normatywny) Cele stosowania zabezpieczeń i zabezpieczenia -1 A.5 Polityka bezpieczeństwa A.6 Organizacja bezpieczeństwa informacji A.7 Zarządzanie aktywami A.8 Bezpieczeństwo zasobów ludzkich A.9 Bezpieczeństwo fizyczne i środowiskowe (to jest obszar zainteresowania branży zabezpieczenia technicznego) A.10 Zarządzanie systemami i sieciami A.11 Kontrola dostępu (do systemów informacyjnych i IT, zarządzanie przywilejami itd.)

79 Załącznik A. (normatywny) Cele stosowania zabezpieczeń i zabezpieczenia – cd. 2 A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.14 Zarządzanie ciągłością działania A.15 Zgodność (przepisami prawa, politykami bezpieczeństwa i standardami)

80 A.9.1 Obszary bezpieczne - Cel: Zapewnienie ochrony przed nieautoryzowanym dostępem fizycznym, uszkodzeniami lub zakłóceniami w siedzibie organizacji oraz w odniesieniu do informacji. A Fizyczna granica obszaru bezpiecznego A Fizyczne zabezpieczenie wejścia A Zabezpieczenie biur, pomieszczeń i urządzeń A Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi A Praca w obszarach bezpiecznych A Obszary publicznie dostępne, dostaw i załadunku A.9.2 Bezpieczeństwo sprzętu - Cel: Zapobieganie utracie, uszkodzeniu, kradzieży lub naruszenia aktywów oraz przerwaniu działalności organizacji. A Lokalizacja i ochrona sprzętu A Systemy wspomagające A Bezpieczeństwo okablowania A Konserwacja sprzętu A Bezpieczeństwo sprzętu poza siedzibą A Bezpieczne zbywanie lub przekazywanie do ponownego użycia A Wynoszenie mienia Zakres A.9 Bezpieczeństwo fizyczne i środowiskowe

81 wg PN-ISO/IEC 27005:2010

82 Relacja między procesem SZBI a procesem zarządzania ryzykiem w bezpieczeństwie informacji wg PN-ISO/IEC 27005:2010

83 Proces zarządzania ryzykiem w bezpieczeństwie informacji wg PN-ISO/IEC 27005:2010

84 Kryteria akceptowania ryzyka Kryteria akceptowania ryzyka mogą różnić się w zależności od oczekiwanego okresu istnienia ryzyka, np. ryzyko może być związane z tymczasową lub krótkookresową działalnością. Zaleca się określenie kryteriów akceptowania ryzyka, uwzględniając: Kryteria biznesowe Aspekty prawne i wynikające z regulacji wewnętrznych Eksploatację Technologię Finanse Czynniki społeczne i ludzkie

85 Składowe procesu analizy ryzyka Identyfikacja ryzyka Identyfikacja aktywów Identyfikacja zagrożeń Identyfikacja istniejących zabezpieczeń Identyfikacja podatności Identyfikacja następstw Estymacja ryzyka (proces przypisywania wartości prawdopodobieństwu i następstwom ryzyka) Metodyki estymacji Estymacja jakościowa Estymacja ilościowa Szacowanie następstw Szacowanie prawdopodobieństwa incydentu Poziom estymacji ryzyka

86 Identyfikowanie aktywów PROCES Zidentyfikowanie aktywów w ustanowionym zakresie WEJŚCIE Zakres i granice szacowania ryzyka, które ma zostać przeprowadzone, lista elementów wraz z właścicielami, lokalizacją, funkcją itp. WYJŚCIE Lista aktywów zarządzanych z punktu widzenia ryzyka oraz lista procesów biznesowych odnoszących się do aktywów i ich powiązania

87 Rodzaje aktywów 1/4 Aktywa podstawowe: Procesy i działania biznesowe Informacje Aktywa wspierające (na których opierają się podstawowe elementy z zakresu) wszystkich rodzajów: Sprzęt Oprogramowanie Sieć Personel Siedziba Struktura organizacyjna

88 Rodzaje aktywów 2/4 Procesy (lub podprocesy) i działania biznesowe, przykładowo: Procesy, których utrata lub pogorszenie uniemożliwia wypełnianie misji organizacji, Procesy zawierające procesy poufne lub wykorzystujące technologię objętą własnością intelektualną, Procesy, które jeśli zostaną zmodyfikowane, mogą w zasadniczy sposób wpłynąć na realizację misji organizacji, Procesy, które są niezbędne w organizacji dla osiągnięcia zgodności z wymaganiami wynikającymi z umów, przepisów prawa lub regulacji.

89 Rodzaje aktywów 3/4 Informacje podstawowe obejmują zwykle: Najważniejsze informacje potrzebne do realizacji misji lub działalności biznesowej organizacji, Dane osobowe, w specyficznym znaczeniu krajowych przepisów prawa w zakresie prywatności, Informacje strategiczne, wymagane do osiągnięcia celów określonych przez strategiczne kierunki, Informacje o dużej wartości, których gromadzenie, przechowywanie przetwarzanie i transmitowanie wymaga długiego czasu i/lub ponoszenia wysokich nakładów w celu pozyskania.

90 Aktywa wspierające 4/4 Sprzęt Oprogramowanie Oprogramowanie usługowe, utrzymania lub administracyjne Pakiety oprogramowania lub oprogramowanie standardowe Aplikacje biznesowe Sieć (wszystkie urządzenia telekomunikacyjne) Personel Siedziba Organizacja (struktury ludzkie przypisane zadaniu oraz procedury sterujące tymi strukturami)

91 Identyfikowanie zagrożeń PROCES Zidentyfikowanie zagrożeń i ich źródeł WEJŚCIE Informacje o zagrożeniach uzyskane z przeglądu incydentów, od właścicieli aktywów, użytkowników lub z innych źródeł, w tym z zewnętrznych katalogów zagrożeń WYJŚCIE Lista zagrożeń wraz z identyfikacją ich typów i źródeł

92 Przykłady typowych zagrożeń wg załącznika C PN-ISO/IEC 27005:2010 1/2

93 Przykłady typowych zagrożeń wg załącznika C PN-ISO/IEC 27005:2010 2/2

94 PROCES Zidentyfikowanie istniejących lub planowanych zabezpieczeń WEJŚCIE Dokumentacja zabezpieczeń, plany wdrożenia postępowania z ryzykiem WYJŚCIE Lista wszystkich istniejących i planowanych zabezpieczeń, ich status wdrożenia i użytkowania Identyfikowanie istniejących zabezpieczeń

95 Identyfikacja podatności PROCES Zidentyfikowanie podatności, które mogą spowodować szkodę dla aktywów lub organizacji WEJŚCIE Lista znanych zagrożeń, lista aktywów i istniejących zabezpieczeń WYJŚCIE Lista podatności w odniesieniu do aktywów, zagrożeń i zabezpieczeń; lista podatności, które nie odnoszą się do żadnego zidentyfikowanego zagrożenia, dla celów przeglądu

96 Przykłady typowych podatności wg załącznika D PN-ISO/IEC 27005:2010 1/2

97 Przykłady typowych podatności wg załącznika D PN-ISO/IEC 27005:2010 2/2

98 Identyfikowanie następstw PROCES Zidentyfikowanie następstw, jakie może spowodować dla aktywów utrata poufności, integralności i dostępności WEJŚCIE Lista aktywów, lista procesów biznesowych, lista zagrożeń i podatności WYJŚCIE Lista scenariuszy incydentów z ich następstwami

99 Ocena ryzyka PROCES Porównanie poziomów ryzyka z kryteriami oceny ryzyka oraz kryteriami akceptowania ryzyka WEJŚCIE Lista ryzyk z przypisanymi poziomami wartości oraz kryteria oceny ryzyka WYJŚCIE Lista ryzyk z priorytetami zgodnymi z kryteriami oceny ryzyka

100 Postępowanie z ryzykiem PROCES Wybór zabezpieczeń w celu zredukowania, zachowania, uniknięcia lub transferu ryzyk i określenia planu postępowania z ryzykiem WEJŚCIE Lista ryzyk z priorytetami zgodnymi z kryteriami oceny ryzyka WYJŚCIE Plan postępowania z ryzykiem i ryzyka szczątkowe będące przedmiotem decyzji kierownictwa

101 Działanie postępowania z ryzykiem wg PN-ISO/IEC 27005:2010

102 Postępowanie z ryzykiem Redukowanie ryzyka Działanie: Zaleca się zredukowanie poziomu ryzyka przez taki wybór zabezpieczeń, aby ryzyko szczątkowe można było ponownie oszacować jak ryzyko akceptowalne Zachowanie ryzyka Działanie: Zaleca się podjęcie decyzji o zachowaniu ryzyka bez podejmowania dalszych działań, na podstawie oceny ryzyka Unikanie ryzyka Działanie: Zaleca się unikanie działań lub warunków, które powodują powstanie określonych ryzyk Transfer ryzyka Działanie: Na podstawie oceny ryzyka zaleca się transfer ryzyka do innej strony, która może skutecznie zarządzać ryzykiem

103 Akceptowanie ryzyka PROCES Zaleca się podjęcie i formalne udokumentowanie decyzji o zaakceptowaniu ryzyka oraz odpowiedzialności za decyzję WEJŚCIE Plan postępowania z ryzykiem i oszacowanie ryzyka szczątkowego WYJŚCIE Lista zaakceptowanych ryzyk wraz z uzasadnieniem

104 Informowanie o ryzyku w bezpieczeństwie informacji PROCES Wymiana lub dystrybucja informacji o ryzyku WEJŚCIE Informacje o ryzyku WYJŚCIE Zrozumienie w organizacji dla procesu zarządzania ryzykiem

105 Monitorowanie i przegląd ryzyka w bezpieczeństwie informacji - czynników ryzyka PROCES Monitorowanie i przegląd ryzyk i ich czynników WEJŚCIE Informacje o ryzyku WYJŚCIE Dostosowywanie zarządzania ryzykiem do celów biznesowych organizacji i kryteriów akceptowania ryzyka

106 Monitorowanie i przegląd ryzyka w bezpieczeństwie informacji – doskonalenia zarządzania ryzykiem PROCES Zarządzania ryzykiem powinien być w sposób ciągły monitorowany, przeglądany i doskonalony, stosownie do potrzeb WEJŚCIE Wszystkie informacje o ryzyku WYJŚCIE Ciągłe dostosowanie procesu zarządzania ryzykiem do celów biznesowych organizacji lub uaktualnienie procesu

107 Monitorowanie i przegląd ryzyka w bezpieczeństwie informacji Zaleca się, aby działania monitoringu i przeglądu odnosiły się (lecz nie były ograniczone) do: Kontekstu prawnego i środowiskowego Kontekstu związanego z konkurencją Podejścia do szacowania ryzyka Wartości i kategorii aktywów Kryteriów skutków Kryteriów oceny ryzyka Kryteriów akceptowania ryzyka Całkowitego kosztu utrzymania Koniecznych zasobów inne.

108 Monitorowanie i przegląd ryzyka w bezpieczeństwie informacji Monitorowanie ryzyka może skutkować modyfikacją lub uzupełnieniem podejścia, metodyki lub używanych narzędzi, w zależności od: Zidentyfikowanych zmian Iteracji szacowania ryzyka Celu procesu zarządzania ryzykiem w bezpieczeństwie informacji (np. ciągłość działania, odporność na incydenty, zgodność) Przedmiotu procesu zarządzania ryzykiem (np. organizacja, jednostka organizacyjna, proces informacyjny, jego techniczne wdrożenie, aplikacja, połączenie z internetem)

109 Podsumowanie Normy PN-ISO/IEC 27005:2010 i PN-ISO/IEC 27001:2007 mają zastosowanie do wszystkich typów organizacji (np. przedsiębiorstw, instytucji rządowych, organizacji non- profit), które zamierzają zarządzać ryzykami mogącymi spowodować naruszenie bezpieczeństwa informacji w tych organizacjach. Szacowanie ryzyka i plan postępowania z ryzkiem stanowią fundament Systemu Zarządzania Bezpieczeństwem Informacji SZBI. Proces szacowania ryzyka powinien być ciągły i powtarzalny, aby korygować i doskonalić SZBI w jednostce organizacyjnej. Zarządzanie ryzykiem w bezpieczeństwie informacji zgodnie z normą PN-ISO/IEC 27005:2010 wspiera wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z PN-ISO/IEC 27001:2007. Zarządzaniu ryzykiem mogą być zastosowane różne już istniejące metodyki szacowania ryzyka. Każda zmiana w zakresie organizacyjnym, technicznym, ludzkim i prawnym może mieć wpływ na poziom ryzyka realizowanego procesu biznesowego.

110

111 Udokumentowanie procesu zarządzania ryzykiem nie tylko ułatwia jego raportowanie, ale również pomaga w doskonaleniu metod oraz narzędzi zarządzania ryzykiem. Dokumentowanie procesu zarządzania ryzykiem (wybór) W ramach dokumentacji wspierającej proces zarządzania ryzykiem można wskazać takie elementy jak: Politykę zarządzania ryzykiem - ma wyjaśniać cele i zobowiązania organizacji względem zarządzania ryzykiem. Procedura oceny ryzyka – powinna zawierać opis wdrożonej metodyki oceny ryzyka w ramach całej działalności organizacji, uwzględniającej sposoby przeprowadzenia oceny, przepływ informacji, odpowiedzialności i zapisy będące dowodem przeprowadzenia oceny. Kartę ryzyka - to dokument zawierający szczegółowe informacje o zidentyfikowanym ryzyku. Kartę postępowania z ryzykiem - zawiera opis działań, jakie należy podjąć w przypadku zrealizowania się ryzyka, do którego jest on przypisany. Rejestr ryzyk - jest dokumentem zawierającym zbiór wszystkich zidentyfikowanych w organizacji ryzyk Zakres dokumentacji systemu powinien być dostosowany do potrzeb organizacji.

112

113 Przykładowe metodyki szacowania ryzyka

114 Techniki szacowania ryzyka - wybór Macierz ryzyka (metoda jakościowa) Analiza FMEA – Analiza efektów form niepowodzenia (metoda jakościowo - ilościowa) Analiza wrażliwości i scenariusze (metodyka ilościowa) Ankiety eksperckie - technika ankiet eksperckich jest względnie prosta. Ogólnie rzecz biorąc, wymaga zidentyfikowania właściwego eksperta, a następnie przekazania mu odpowiednio sformułowanych pytań dotyczących tych obszarów ryzyka projektu, które mieszczą się w dziedzinie będącej domeną danego eksperta

115 Macierz ryzyka– procedura - przykład 1. Identyfikację czynników ryzyka 2. Kwantyfikacja czynników ryzyka ze względu na prawdopodobieństwo ich wystąpienia oraz wielkość wpływu na projekt

116 Wykreślenie macierzy ryzyka 4. Przygotowanie planu redukcji ryzyka dla czynników znajdujących się w obszarze ryzyka dużego i średniego 5. Monitoring dla czynników znajdujących się w obszarze ryzyka małego

117 OSOBNE OPRACOWANIE

118 Dodatek A. Prezentacja oprogramowania narzędziowego

119 Wsparcie programowe (wybór) Certus Risk Analyzer Podstawowym zastosowaniem aplikacji jest konieczność okresowego przeprowadzania analizy ryzyka na potrzeby systemu zarządzania bezpieczeństwem informacji wg standardu ISO 27001:2005. Drugim obszarem w którym analizowanie ryzyka jest bardzo pomocne jest ryzyko związane z procesem i zagrożeniami dla osiągnięcia jego celu(ów).

120 Program Smart Risk Smart Risk jest w pełni zintegrowanym rozwiązaniem, kładącym szczególny nacisk na możliwość budowania i wdrażania własnych metodyk również poprzez powiązania danych wynikających z zarządzania procesami. Zarządzanie ryzykiem jest procesem, który służy identyfikacji, analizie i monitorowaniu ryzyka w prowadzonej działalności. Podstawą jest określenie metody oceny i postępowania z ryzykiem z uwzględnieniem realizowanych procesów i struktur organizacyjnych. Zastosowanie budowa korporacyjnej mapy ryzyka z wykorzystaniem np. metodyki COSO II wsparcie przy przeprowadzeniu analizy ryzyka przy wdrożeniach międzynarodowych standardów (np. ISO 27001, ISO 14001). budowanie powiązań zidentyfikowanych ryzyk z funkcjonującymi procesami w organizacji przy jednoczesnym zastosowaniu z modułem Smart Architect. wizualizacja Mapy Ryzyk i Obszarów Ryzyka dla użytkowników przy jednoczesnym zastosowaniu z modułem Smart Portal. budowanie rozproszonej analizy ryzyka z możliwością wprowadzania dowolnie zdefiniowanych danych przez "właścicieli ryzyk" przy jednoczesnym zastosowaniu z modułem Smart Portal. smart.pl/index.php?option=com_content&task= view&id=10&Itemid=42

121 Dodatek B. Literatura przedmiotu

122 Literatura przedmiotu (wybór)

123 Przykładowa literatura

124 Literatura - wybór Materiały z wykładu, konferencji i szkoleń A. Wójcik Materiały szkoleniowe BSI Polska i PBSG ISO Certified Risk Manager Carl L. Pritchard Zarządzanie ryzykiem w projektach. Teoria i praktyka, WIC – PRESS 2002, Krzysztof Liderman Analiza ryzyka i ochrona informacji w systemach komputerowych, Wydawnictwo Naukowe PWN SA, 2008, Robin Kendall Zarządzanie ryzykiem dla menedżerów, Wydawnictwo K.E. Liber s.c. 2000, Marian Molski, Małgorzata Łacheta Przewodnik audytora systemów informatycznych, Wydawnictwo HELION 2007, Tomasz Polaczek Audyt bezpieczeństwa informacji w praktyce, Wydawnictwo HELION 2006, Tadeusz T. Kaczmarek, Grzegorz Ćwiek Ryzyko kryzysu a ciągłość działania. Business Continuity Management, Difin 2009, Dr Jarzy Karczewski Monitorowanie ryzyka, artykuł w Promotor 6/04

125 Dzi ę kuj ę za uwag ę Andrzej Wójcik


Pobierz ppt "K U R S K U R S WYMAGANIA NORMATYWNO-PRAWNE DLA ZARZĄDZANIA RYZYKIEM BEZPIECZEŃSTWA INFORMACJI NIEJAWNYCH dr inż. Andrzej Wójcik Zakładu Rozwoju Technicznej."

Podobne prezentacje


Reklamy Google