Zakładu Rozwoju Technicznej Ochrony Mienia „TECHOM” Sp. z o.o. K U R S WYMAGANIA NORMATYWNO-PRAWNE DLA ZARZĄDZANIA RYZYKIEM BEZPIECZEŃSTWA INFORMACJI NIEJAWNYCH dr inż. Andrzej Wójcik SZKOŁA ELEKTRONICZNYCH SYSTEMÓW ZABEZPIECZEŃ Warszawa, ul. Marszałkowska 60 tel. (0-22) 625-34-00, 625-32-96 fax. 625-26-75

SZACOWANIE RYZYKA W PROCESIE PROJEKTOWANIA I REALIZACJI SYSTEMÓW ALARMOWYCH W ASPEKCIE NOWYCH WYMAGAŃ PRAWNO-NORMATYWNYCH Podstawy prawne i normatywne szacowania ryzyka. Wymagania PN-ISO/IEC 27001:2007 z punktu widzenia szacowania i planu postępowania z ryzykiem. Wymagania normy PN-ISO/IEC 27005:2010 w zarządzaniu ryzykiem bezpieczeństwa informacji. Analiza ryzyka a procesy biznesowe w branży. Przebieg procesu analizy ryzyka. Zakres systemu i polityka bezpieczeństwa informacji w aspekcie zarządzania ryzykiem. Aktywa informacji i ich inwentaryzacja. Plan postępowania z ryzykiem. Modele i wybrane techniki zarządzania ryzykiem.

Podstawy normatywne wprowadzenie

Podstawy normatywne zarządzania ryzykiem PN-ISO/IEC 27001:2007 „ Technika informatyczna - Techniki bezpieczeństwa - Systemy zarządzania bezpieczeństwem informacji - Wymagania” (przeznaczona do certyfikowania systemów zarządzania bezpieczeństwem informacji)

Podstawy normatywne zarządzania ryzykiem PN-ISO/IEC 27005:2010 „Technika informatyczna - Techniki bezpieczeństwa - Zarządzanie ryzykiem w bezpieczeństwie informacji” wspiera SZBI w zakresie zarządzania ryzkiem

ISO 31000: 2009 Risk management – Principles and guidelines (Zarządzanie ryzykiem - zasady i wskazówki) ISO/IEC 31010:2009 Risk management – Risk assessment techniques (Zarządzanie ryzykiem – techniki oceny ryzyka)

ISO 31000 – Risk Management – Guidelines on principles and implementation on risk management. Standard ten ma pozwolić na wdrożenie spójnego podejścia wspomagającego wdrożenia branżowych standardów zarządzania ryzykiem (uszczegółowione m.in. w ISO 14001 – ryzyko środowiskowe, OHSAS 18001 – ryzyko BHP, czy ISO 27001 – bezpieczeństwo informacji).

Szacowanie ryzyka w standardach branżowych

Szacowanie ryzyka w aktach prawnych

Aktualny stan prawny 1/2 USTAWA z dnia 5 sierpnia 2010 roku O OCHRONIE INFORMACJI NIEJAWNYCH Dz.U. 2010 nr 182 poz. 1228 Data wejścia w życie: 2011-01-02 Data obowiązywania: 2011-01-02

Data wejścia w życie: 2011-01-01 Data obowiązywania: 2011-01-01 Aktualny stan prawny 2/2 ROZPORZĄDZENIE RADY MINISTRÓW z dnia 01 czerwca 2010 r. w sprawie organizacji i funkcjonowania kancelarii tajnych Dz.U. 2010 nr 114 poz. 765 Data wejścia w życie: 2011-01-01 Data obowiązywania: 2011-01-01

Szacowanie ryzyka w ujęciu ustawy Analiza zapisów

USTAWA z dnia 5 sierpnia 2010r. O OCHRONIE INFORMACJI NIEJAWNYCH Rozdział 1 Przepisy ogólne Art. 2. W rozumieniu ustawy: 15) ryzykiem – jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji; 16) szacowaniem ryzyka – jest całościowy proces analizy i oceny ryzyka; 17) zarządzaniem ryzykiem – są skoordynowane działania w zakresie zarządzania bezpieczeństwem informacji, z uwzględnieniem ryzyka;

USTAWA z dnia 5 sierpnia 2010r. O OCHRONIE INFORMACJI NIEJAWNYCH Rozdział 3 Organizacja ochrony informacji niejawnych Art. 15. 1. Do zadań pełnomocnika ochrony należy: (m.in.) ………………. 3) zarządzanie ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowanie ryzyka; ………………..

USTAWA z dnia 5 sierpnia 2010r. O OCHRONIE INFORMACJI NIEJAWNYCH Rozdział 4 Szkolenie w zakresie ochrony informacji niejawnych Art. 19.  1. Szkolenie w zakresie ochrony informacji niejawnych przeprowadza się w celu zapoznania z: …………………………………….. 2) zasadami ochrony informacji niejawnych w zakresie niezbędnym do wykonywania pracy lub pełnienia służby, z uwzględnieniem zasad zarządzania ryzykiem bezpieczeństwa informacji niejawnych, w szczególności szacowania ryzyka; 3) sposobami ochrony informacji niejawnych oraz postępowania w sytuacjach zagrożenia dla takich informacji lub w przypadku ich ujawnienia.

USTAWA z dnia 5 sierpnia 2010r. O OCHRONIE INFORMACJI NIEJAWNYCH Rozdział 7 Kancelarie tajne. Środki bezpieczeństwa fizycznego Art. 43. 4. Kierownik jednostki organizacyjnej, w której są przetwarzane informacje niejawne o klauzuli „poufne” lub wyższej, zatwierdza opracowaną przez pełnomocnika ochrony dokumentację określającą poziom zagrożeń związanych z nieuprawnionym dostępem do informacji niejawnych lub ich utratą.

Szacowanie ryzyka w bezpieczeństwie informacji

Wprowadzenie 1/2 W normie PN-ISO/IEC 27005:2010 podano wytyczne dotyczące zarządzania ryzykiem w bezpieczeństwie informacji w organizacji, w szczególności wspierając wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z PN-ISO/IEC 27001:2007. W normach nie przedstawiono żadnej określonej metodyki zarządzania ryzykiem w bezpieczeństwie informacji. Organizacja sama określa swoje podejście do zarządzania ryzykiem w zależności, od zakresu SZBI, kontekstu zarządzania ryzykiem lub branży. W ramach struktury opisanych w normach można zastosować różne już istniejące metodyki.

Wprowadzenie 2/2 Norma PN-ISO/IEC 27005:2010 jest kierowana do kierownictwa organizacji oraz personelu zajmującego się w organizacji zarządzaniem ryzykiem w bezpieczeństwie informacji oraz stron zewnętrznych wspierających takie działania. Norma PN-ISO/IEC 27005:2010 stanowi rozwinięcie ogólnych koncepcji określonych w ISO/IEC 27001 i została opracowana w celu wsparcia wdrożenia podejścia do bezpieczeństwa opartego na zarządzaniu ryzykiem. Norma ma zastosowanie do wszystkich typów organizacji (np. przedsiębiorstw, instytucji rządowych, organizacji non-profit).

Cykl Deminga określany też jako cykl PDCA z ang.. Plan-Do-Check-Act lub cykl P-D-S-A z ang. Plan-Do-Study-Act lub koło Deminga) to schemat ilustrujący podstawową zasadę ciągłego ulepszania (ciągłego doskonalenia) William Edwards Deming (14 października 1900 – 20 grudnia 1993) – amerykański statystyk. W 1928 obronił doktorat z zakresu matematyki i fizyki matematycznej. Był pierwszym amerykańskim specjalistą, który w sposób metodyczny przekazywał japońskim inżynierom i menedżerom wiedzę na temat statystycznego sterowania procesem. Dopiero w 1980 roku, po wywiadzie dla NBC poświęconym sukcesowi gospodarczemu Japończyków, stał się wielkim odkryciem menedżerów amerykańskich.

Model PDCA stosowany w procesach SZBI Planuj Ustanowienie SZBI Wykonuj Cykl opracowania, utrzymania i doskonalenia Wdrażanie i eksploatacja SZBI Utrzymanie i doskonalenie SZBI Zainteresowane strony Zainteresowane strony Działaj Wymagania i oczekiwania dotyczące bezpieczeństwa informacji Monitorowanie i przegląd SZBI Zarządzanie bezpieczeństwem informacji Sprawdzaj

Model PDCA stosowany w procesach SZBI Planuj (ustanowienie SZBI) Ustanowienie polityk bezpieczeństwa, zadań, celów, procesów i procedur odpowiednich dla zarządzania ryzykiem i doskonalenia bezpieczeństwa informacji w celu spełnienia postanowień polityki i celów organizacji. Wykonuj (wdrożenie i eksploatacja SZBI) Wdrożenie i zastosowanie polityk bezpieczeństwa zabezpieczeń, procesów, procedur, instrukcji. Sprawdzaj (monitorowanie i przegląd SZBI) Ocena i gdzie to możliwe pomiar wykonania procesów w odniesieniu do polityk bezpieczeństwa, celów i praktycznych doświadczeń oraz przekazywanie kierownictwu wyników do przeglądu. Działaj (utrzymanie i doskonalenie SZBI) Podejmowanie działań korygujących i zapobiegawczych na podstawie wyników przeglądu realizowanego przez kierownictwo tak, aby osiągnąć ciągłe doskonalenie SZBI.

Podstawowe terminy i definicje Szacowanie ryzyka w bezpieczeństwie informacji wg ISO 27001 PN-ISO/IEC 27001:2007

Zagrożenie zagrożenie (threat) - potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub instytucji (organizacji) [ISO/IEC Guide 73:2002]

Szacowania ryzyka ryzyko (risk) - prawdopodobieństwo, że określone zagrożenie wykorzysta podatność zasobu lub grupy zasobów, aby spowodować straty lub zniszczenie zasobów lub ryzyko - funkcja prawdopodobieństwa zdarzenia i jego konsekwencji [ISO/IEC Guide 73:2002] Całościowy (kompletny) proces analizy ryzyka i oceny ryzyka ryzyko szczątkowe - ryzyko pozostające po procesie postępowania z ryzykiem [ISO/IEC Guide 73:2002]

Podatność Podatność to słabość aktywów lub grupy aktywów, która może być wykorzystana przez zagrożenie Podatność sama w sobie nie powoduje szkód, jest raczej okolicznością lub zestawem okoliczności (warunków) umożliwiającą zagrożeniom oddziaływanie na aktywa Podatność pozostawiona bez nadzoru pozwoli zmaterializować się zagrożeniom

Podstawowe pojęcia związane z ryzykiem 1 analiza ryzyka - systematyczne używanie informacji w celu zidentyfikowania źródeł i estywacji ryzyka [ISO/IEC Guide 73:2002] identyfikowanie ryzyka - proces znajdowania zestawiania i charakteryzowania elementów ryzyka estymowanie ryzyka - proces przypisywania wartości do prawdopodobieństwa i konsekwencji ryzyka [ISO/IEC Guide 73:2002] ocena ryzyka - proces porównywania ryzyka estymowanego z wyznaczonymi kryteriami, w celu określenia wagi ryzyka [ISO/IEC Guide 73:2002]

Podstawowe pojęcia związane z ryzykiem 2 akceptowanie ryzyka - decyzja, aby zaakceptować ryzyko [ISO/IEC Guide 73:2002] zarządzanie ryzykiem (risk management) - proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dla bezpieczeństwa, które może dotyczyć systemów informacyjnych, przy zachowaniu akceptowalnego poziomu kosztów lub zarządzanie ryzykiem - skoordynowane działania kierowania i zarządzania organizacją z uwzględnieniem ryzyka [ISO/IEC Guide 73:2002] postępowanie z ryzykiem (risk treatment) - proces wyboru i wdrażania środków modyfikujących ryzyko [ISO/IEC Guide 73:2002]

Podstawowe pojęcia związane z ryzykiem 3 zdarzenie - wystąpienie określonego zbioru okoliczności [ISO/IEC Guide 73:2002] zagrożenie (threat) - potencjalna przyczyna niepożądanego incydentu, którego skutkiem może być szkoda dla systemu lub instytucji (organizacji) [ISO/IEC Guide 73:2002] podatność - słabość zasobu lub grupy zasobów, która może być wykorzystana przez zagrożenie [ISO/IEC Guide 73:2002] aktywa (assets)/zasoby - wszystko, co ma wartość dla organizacji [ISO/IEC 13335-1:2004]

Szacowanie ryzyka Wzór Turnera: R = W * P (*PP) gdzie: R – ryzyko; W – wpływ ( skutek); P – prawdopodobieństwo wystąpienia; PP – publiczna percepcja: - w literaturze przedmiotu sugeruje, iż jest to proces poznawania innych ludzi, składający się z trzech komponentów: atrybucji, czyli przypisywania doraźnych i trwałych właściwości; przypisywania oczekiwań; wywoływania emocji.

RYZYKO = prawdopodobieństwo zagrożenia x skutki Pomiar ryzyka Ryzyko możemy określić jako funkcję prawdopodobieństwa wystąpienia określonych zagrożeń – realizacji zdarzeń i wynikających stąd konsekwencji. Ryzyko można określić w sposób ilościowy poprzez następująco:   RYZYKO = prawdopodobieństwo zagrożenia x skutki Przykład oceny jakościowej prawdopodobieństwa wystąpienia zagrożenia: 1 – niskie – niewielki poziom zagrożenia i wpływ na funkcjonowanie organizacji 2 – średnie – powodują straty, ale nie zakłócają funkcjonowania organizacji 3 – wysokie – powodują wysokie i bardzo wysokie straty, mogą zakłócić działanie lub wręcz sparaliżować działanie organizacji Skutki liczone jako koszty bezpośrednie strat i odtworzenia zasobów oraz pośrednie, niefinansowe np. utrata pozycji na rynku i zaufania klientów, odpływ fachowych kadr, utrata potencjalnych kontraktów itd..

Szacowanie ryzyka wg wymagań normy ISO 27001 – krótkie wprowadzenie 4.2.1 Ustanowienie SZBI 3) ustanawia w organizacji kontekst strategiczny zarządzania ryzykiem dający obszar ustanowienia i utrzymania SZBI; 4) określa kryteria, według których ma być oceniane ryzyko; oraz 5) została zaakceptowana przez kierownictwo.

Szacowanie ryzyka wg wymagań normy ISO 27001 4.2.1 Ustanowienie SZBI c) Zdefiniować podejście do szacowania ryzyka w organizacji. 1) Wskazać metodykę szacowania ryzyka, odpowiednią dla SZBI, określić bezpieczeństwo informacji; w kontekście prowadzonej działalności, wymagania prawne i wymagania nadzoru. 2) Opracować kryteria akceptacji ryzyka i określić akceptowalne poziomy ryzyk. Wybrana metodyka szacowania ryzyka powinna zapewnić, że szacowanie to daje porównywalne i powtarzalne rezultaty.

Szacowanie ryzyka wg wymagań normy ISO 27001 d) Określić ryzyka; 1) Określić aktywa znajdujące się w zakresie SZBI oraz właścicieli tych aktywów. 2) Określić zagrożenia dla tych aktywów. 3) Określić podatności, które mogą być wykorzystane przez zagrożenia. 4) Określić skutki utraty poufności, integralności i dostępności w odniesieniu do aktywów.

Szacowanie ryzyka wg wymagań normy ISO 27001 e) Analizować i oceniać ryzyka; 1) Oszacować szkody i straty biznesowe w organizacji, które mogą wyniknąć z naruszenia bezpieczeństwa, biorąc pod uwagę potencjalne konsekwencje utraty poufności, integralności i dostępności aktywów.

Szacowanie ryzyka wg wymagań normy ISO 27001 2) Oszacować realne prawdopodobieństwo zdarzenia się takiego naruszenia bezpieczeństwa w świetle istotnych zagrożeń i podatności oraz konsekwencji związanych z tymi aktywami oraz aktualnie wdrożonymi zabezpieczeniami. 3) Wyznaczyć poziomy ryzyk. 4) Stosując kryteria określone stwierdzić, czy ryzyko jest akceptowalne, czy też wymaga postępowania z ryzykiem.

Szacowanie ryzyka wg wymagań normy ISO 27001 f) Zidentyfikować i ocenić warianty postępowania z ryzykiem. Możliwe działania obejmują: 1) zastosowanie odpowiednich zabezpieczeń; 2) poznanie i zaakceptowanie ryzyk, w sposób świadomy i obiektywny, przy założeniu, że jasno spełniają warunki wyznaczone w polityce organizacji oraz kryteria akceptowania ryzyk; 3) unikanie ryzyk; 4) przeniesienie związanych ryzyk biznesowych na innych uczestników, np. ubezpieczycieli, dostawców.

Szacowanie ryzyka wg Wymagań normy ISO 27001 g) Wybrać cele stosowania zabezpieczeń i zabezpieczenia jako środki postępowania z ryzykiem. Cele stosowania zabezpieczeń i zabezpieczenia należy wybrać i wdrożyć w taki sposób, aby spełniały wymagania zidentyfikowane w procesach szacowania ryzyka i postępowania z ryzykiem. Wybierając należy brać pod uwagę kryteria akceptacji ryzyka, jak również wymagania prawne, wymagania nadzoru oraz zobowiązania wynikające z umów.

Postępowanie z ryzykiem Definicja Proces polegający na wyborze i wdrożeniu środków modyfikujących ryzyko

INWENTARYZACJA AKTYWÓW PLAN POSTĘPOWANIA Z RYZYKIEM Kolejność postępowania INWENTARYZACJA AKTYWÓW Co mamy chronić? ANALIZA RYZYKA Przed czym mamy chronić? PLAN POSTĘPOWANIA Z RYZYKIEM Jak mamy chronić? UWAGA: Jednakże, warto się posiłkować spisem zabezpieczeń, aby wyobrazić sobie wszelkie możliwe zagrożenia.

Strategie radzenia sobie z ryzykiem Unikanie ryzyka – wszelkie działania mające na celu przeniesienie aktywów z obszaru wysokiego ryzyka; rezygnacja z pewnych działań np. zablokowanie zdalnego dostępu do wrażliwych aplikacji; zakaz przenoszenia dokumentów o określonej klauzuli/wrażliwości poza firmę. Przeniesienie (transfer) ryzyka – najlepsza strategia w sytuacji, kiedy nie można uniknąć ryzyka, lub trudno kosztownie jest je zredukować np. na ubezpieczyciela, dostawcę. Akceptacja ryzyk – zawsze zostaje ryzyko szczątkowe, może być ono na poziomie akceptowalnym lub nie. Może wystąpić świadoma akceptacja ryzyka w sytuacji, w której działania redukcji, przeniesienia mogą być zbyt kosztowne. Redukcja ryzyka – proces wyboru zabezpieczeń mających na celu zmniejszenie ryzyka.

Szacowanie ryzyka Definicja systematycznego podejścia do szacowania ryzyka Identyfikacja metodyki szacowania ryzyka Określenie kryteria akceptacji ryzyka Identyfikacja akceptowanych poziomów ryzyk Określenie ryzyka Identyfikacja aktywów objętych zakresem SZBI Identyfikacja zagrożeń dla tych aktywów Identyfikacja podatności, które mogą być wykorzystane przez zagrożenia Identyfikacja skutków, jakie mogą wystąpić w stosunku do aktywów w przypadku utraty: poufności, integralności i dostępności

Procedura szacowania ryzyka Krok 1. Określ zasoby informacji biznesowej (INWETARYZACJA) Krok 2. Oceń aktywa Krok 3. Oceń potencjalne zagrożenia/podatności Krok4. Oceń ryzyka Krok 5. Przypisz wynik ryzykom PROCEDURA POSTĘPOWANIA Z RYZYKIEM

Praktyka postępowania Przykłady dokumentacji

To wszystko co ma wartość dla organizacji AKTYWA (assets) - zasób AKTYWA To wszystko co ma wartość dla organizacji

Przykładowe aktywa związane z systemami informacji Zasoby informacji - bazy danych, pliki z nadymi, system dokumentacji, instrukcje dla użytkowników, materiały szkoleniowe, procedury operacyjne i pomocnicze, plany ciągłości, ustalenia na wypadek sytuacji awaryjnej, kartoteki, podręczniki ; Dokumenty papierowe - umowy, wytyczne, dokumentacja przedsiębiorstwa, dokumenty zawierające istotne wyniki związane z działalnością przedsiębiorstwa; Oprogramowanie - a szczególnie aplikacje komputerowe, oprogramowanie systemowe, programy narzędziowe i użytkowe; Zasoby fizyczne - sprzęt komputerowy i komunikacji, nośniki magnetyczne (taśmy i dyski), inny sprzęt techniczny (agregat prądotwórczy, agregat klimatyzacyjny), umeblowanie, pomieszczenia; Ludzie - personel, klienci, abonenci; Prestiż i marka firmy; Usługi - usługi informatyczne i komunikacyjne, inne media techniczne (ogrzewanie, oświetlenie, zasilanie energią elektryczną, klimatyzacja); Infrastruktura techniczna i technologiczna itd..

Określenie Właściciela aktywów Odpowiedzialny za określenie właściwej klasyfikacji zasobów i praw dostępu do nich Utrzymuje zabezpieczenia związane z jego zasobami Okresowo przegląda prawa dostępu i klasyfikację bezpieczeństwa Odpowiedzialny za włączenie nowych/zmienionych aktywów do szacowania ryzyka

Wartość aktywów Wartość będzie mierzona w kategoriach wpływu na organizację, jej dostawców, partnerów, klientów i inne zainteresowane strony w przypadku naruszenia bezpieczeństwa, mającego wpływ na poufność, integralność lub dostępność informacji Wartość aktywów winna być ustalana w odniesieniu do uwarunkowań, w jakich zasoby są wykorzystywane Realistyczną ocenę wartości aktywów mogą przeprowadzić jedynie właściciele procesów lub ich klienci. Stad istotne jest dokonanie oceny oddzielnie dla każdego kontekstu w jakim pojawia się lub jest wykorzystywana informacja Czasami wartość pozytywnego postrzegania organizacji przez klientów jest większa niż jakikolwiek inny składnik majątku firmy Należy zastosować odpowiednią skalę do oceny wartości aktywów Wartość aktywów można powiązać z klasyfikacją tych aktywów

Wartość aktywów a 3 (4) cechy bezpiecznej informacji Wartość danego aktywa powinna zostać wyceniona osobno dla utraty poufności, integralności i dostępności*, ponieważ właściwości te są niezależne i mogą się różnić dla danego aktywa. poufność: zapewnienie dostępu do informacji tylko osobom upoważnionym, czyli ochronę przed kradzieżą informacji; integralność: zapewnienie dokładności i kompletności informacji oraz metod jej przetwarzania, czyli ochronę przed celową lub przypadkową jej modyfikacją; dostępność: zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią aktywów wtedy gdy jest to potrzebne, czyli ochronę przed utratą chwilową lub trwałą; *rozliczalność - właściwość zapewniająca, że działania podmiotu mogą być przypisane w sposób jednoznaczny tylko temu podmiotowi (ISO 7498-2:1989).

Przykład jakościowego określenia wartości aktywów Aktywa Poufność Integralność Dostępność 1. Umowa z klientem D ???? PLN Ś M 2. Budynki siedziby 3. Szafy na korytarzu 4. Ludzie 5. Pamięci przenośne 6. Komputery M - mało istotne, poradzimy sobie bez problemu Ś - dość ważne, będzie kłopot, firma zatrzyma się na 1 lub 2 dni D - katastrofa, nie damy rady bez tych danych, przywrócenie działania może być groźne dla firmy

Klasyfikacja zasobów pod względem wrażliwości (przykład) Krytyczne - konsekwencje lub straty materialne lub niematerialne katastrofalne dla funkcjonowania firmy prowadzące do zaniechania lub zawieszenia biznesu Wrażliwe - konsekwencje lub straty materialne lub niematerialne utrudniające w sposób znaczący funkcjonowanie lub powodujące czasowy przestój procesów biznesowych firmy Normalne - konsekwencje lub straty materialne lub niematerialne nie mające znaczenia dla funkcjonowania procesów biznesowych firmy Bez znaczenia – nie mające istotnego znaczenia dla biznesu

Właściciel/lokalizacja Identyfikacja aktywów (przykład) Aktywa Właściciel/lokalizacja Zapisy programu księgowego 'Onion' Serwer System emerytur Excel Finanse Druki dostępu do zamówienia - Dostawcy, kontrahenci Zamówienia zakupu, formularze Access - Kontrahenci Zamówienia sprzedaży regionalnej Informacje BACS Zapisy inwentaryzacji stanu magazynowego Zamówienia sprzedaży - baza danych Access Lista dostawców - baza danych Access Lista przedstawicieli handlowych Marketing & Sprzedaż Poczta elektroniczna Materiały szkoleniowe

Przykład ankiety inwentaryzacji aktywów Lp. Wyszczególnienie zasobu Ocena znaczenia dla funkcjonowania firmy (wg określenia i wagi) Uwagi/wysokości strat bez znaczenia niska średnia wysoka krytyczna Ocena 0 Ocena 1 Ocena 2 Ocena 3 Ocena 4 1 2 3 4 5 6 7 8 Budynki, budowle Pomieszczenia specjalne Sprzęt i urządzenia Oprogramowanie

Wprowadzenie – klasyfikacja zagrożeń ANALIZA ZAGROŻEŃ Wprowadzenie – klasyfikacja zagrożeń

Zagrożenia zagrożenie wiąże się z możliwością wywołania niepożądanego zdarzenia, które może prowadzić do szkód w systemie lub szkód dla organizacji i jej zasobów zasoby są narażone na wiele różnych zagrożeń, mogących wykorzystać słabe punkty

Zagrożenia – podejście ogólne Zamierzone – przestępcze działania z premedytacją np. z chęci zysku, włamanie, wandalizm, szpiegostwo gospodarcze i przemysłowe, sabotażowe, terrorystyczne, inne Losowe wewnętrzne – niezamierzone: błędy ludzkie, zaniedbania użytkowników, defekty sprzętu i oprogramowania, zniekształcenia informacji i danych, inne Losowe zewnętrzne – wynikające najczęściej z działania siły wyższej np. temperatura, wilgotność, zanieczyszczenie powietrza, zakłócenia pracy źródła zasilania, wyładowania atmosferyczne, klęski żywiołowe, niepokoje społeczne, inne Związane ze stratami finansowymi – bezpośrednie straty dla firmy, koszty odtworzenia zasobów, koszty sądowe, zerwanie umów itd. Związane ze stratami niefinasowymi – utrata prestiżu, wiarygodności, pozycji na rynku, klientów, dezorganizacja, ucieczka wykwalifikowanej kadry itd.

Analiza zagrożeń (podejście opisowe) Kradzież informacji i danych Podpalenie (zarówno celowe i losowe) Szantaż (operatorów, kierownictwa itd..) Terror kryminalny Sabotaż zewnętrzny, wewnętrzny Uszkodzenia urządzeń (zarówno celowe i losowe) Podłożenie urządzenia wybuchowego Zagrożenia teleinformatyczne np. wirusy, włamanie itd.. Blokada łączy teletransmisyjnych (szczególnie dialerowe, spam itd..) Uszkodzenia środków transmisji zarówno sprzętowych i programowych Utrata danych np. brak systemu archiwizacji Zalanie wodą, powodzie, tąpnięcia, wyładowania atmosferyczne inne

Analiza zagrożeń w ujęciu zasięgu oraz skutków Region Kompleks budynków Budynek Systemy Awaria energetyczna Trzęsienie ziemi Tajfun Powódź Burza, burza śnieżna Pożar Zagrożenia infrastruktury budowlanej Terroryzm/Sabotaż Atak hackera/wirusa Błąd operatora Awaria hardware’u Oprogramowanie

Podstawowe zagrożenia – przykład spisu 1 Analiza natężenia ruchu Atak bombowy Awaria dostawy wody Awaria elementów sieci Awaria klimatyzacji Awaria oprogramowania Awaria sprzętu Awaria usług komunikacyjnych Awaria zasilania elektrycznego Błąd personelu wsparcia operacyjnego Błąd użytkownika Błąd w utrzymywaniu Błędne kierowanie lub przekierowywanie wiadomości Błędy transmisji

Podstawowe zagrożenia – przykład spisu 2 Błyskawice Braki kadrowe Dostęp do sieci dla poprzez osoby nieupoważnione Ekstremalne temperatury i wilgotność Huragan Infiltracja łączności Korzystanie z oprogramowania przez osoby nieupoważnione Kradzież Lotne cząstki/pył Nieautoryzowane korzystanie z infrastruktury sieciowej Nieautoryzowane korzystanie z nośników Nieautoryzowane korzystanie z oprogramowania Nieautoryzowany import/eksport oprogramowania

Podstawowe zagrożenia – przykład spisu 3 Niewłaściwe wykorzystanie środków Podsłuch Podszywanie się pod tożsamość użytkownika Powódź Pożar Przeładowanie natężenia ruchu Odrzucenie (np. usług, transakcji, wiadomości o wysyłce/odebraniu) Rozmyślne uszkodzenie Skażenie środowiska (i inne formy katastrof naturalnych i wywołanych przez człowieka) Spadek jakości nośników Strajki Trzęsienie ziemi Uszkodzenie linii/kabli komunikacyjnych Wahania zasilania Złośliwe oprogramowanie (np. wirusy, robaki, konie trojańskie)

Podatność podatności, same w sobie, nie wywołują szkód - należy je postrzegać jako warunek lub zestaw warunków pozwalających zagrożeniom na zaatakowanie zasobów

Przykłady podatności i zagrożeń Środowisko i infrastruktura: brak fizycznej ochrony budynku – zagrożenie: napad na budynek; Sprzęt: brak odpowiedniego zarządzania konfiguracją – zagrożenie: podmiana części składowych stacji roboczej; Oprogramowanie: brak kopii zapasowych – zagrożenie: brak ciągłości działania w sytuacji kryzysowej; Dokumenty: brak nadzoru nad niszczeniem dokumentów – zagrożenie: przekazywanie informacji wrażliwej osobom nieuprawnionym; Personel: niewłaściwe procedury zatrudniania – zagrożenie: ulokowanie „szpiega”.

Czynniki kształtujące ryzyko POTENCJALNY WPŁYW NA ORGANIZACJĘ ZAGROŻENIA PODATNOŚCI WYMAGANIA DOT. BEZPIECZEŃSTWA WARTOŚCI AKTYWÓW ZABEZPIECZENIA RYZYKO AKTYWA OKREŚLA ZWIĘKSZA MAJĄ ZASPOKAJANE PRZEZ ZWIĘKSZAJĄ NARAŻAJĄ CHRONIĄ PRZED WYKORZYSTUJĄ zmiejszają

Proces analizy ryzyka Prawidłowo wykonana analiza ryzyka jest skomplikowana, bo powinna uwzględnić wiele czynników 1 2 3 4 5 6 7 Zasób Wartość Utrata (co chronimy) Zagrożenie Podatność Prawdopodobieństwo Ocena ryzyka = 2x5x6 Aktywo 1 Wartość 1 Poufność Zagrożenie 1 Podatność 1 Prawdopod 1 Ocena 1 Zagrożenie n Podatność n Prawdopod n Ocena n Integralność Dostępność Aktywo 2 Wartość 2 itd….

Ogólne ustalenia dla określenia poziomu ryzyka W większości organizacji ustalenia dotyczące poziomu ryzyka klasyfikuje się w następujący sposób: Niskie prawdopodobieństwo oraz niezbyt dotkliwe skutki oznaczają niskie ryzyko. Wysokie prawdopodobieństwo oraz bardzo dotkliwe skutki oznaczają wysokie ryzyko. Wysokie prawdopodobieństwo oraz niezbyt dotkliwe skutki oznaczają niskie ryzyko.

Wartość wg przyjętej skali ryzyka Szacowanie ryzyka aktywów - przykład Wartość wg przyjętej skali ryzyka   Aktywa Kradzież Wirusy Pożar Włamanie Błąd obsługi Zagubienie danych 1. Umowa z klientem 2 4 3 5 2. Budynki siedziby 6 3. Szafy na korytarzu 4. Ludzie 5. Pamięci przenośne 1 6. Komputery

Komunikuj się i konsultuj Monitoruj i dokonaj przeglądów Proces oceny ryzyka - podsumowanie ISO 27001:2005 wymaga przeprowadzenia oceny ryzyka dla określenia zagrożeń zasobów Komunikuj się i konsultuj Monitoruj i dokonaj przeglądów Nadzoruj ryzyko Oceń Analizuj Identyfikuj Ustal kontekst Szacuj ryzyko

Wykres oceny ryzyka - wariant 1 Skutki/wartość Przenieś Unikaj * Ryzyko 2 * Ryzyko 4 * Ryzyko 1 * Ryzyko 3 * Ryzyko 5 Akceptuj Redukuj Prawdopodobieństwo

Proces analizy ryzyka 1 2 3 4 5 6 7 Zasób Wartość Utrata (co chronimy) Zagrożenie Podatność Prawdopodobieństwo Ocena ryzyka = 2x5x6 Zasób1 Wartość 1 Poufność Zagrożenie 1 Podatność 1 Prawdopod 1 Ocena 1 Zagrożenie n Podatność n Prawdopod n Ocena n Integralność Dostępność Zasób 2 Wartość 2 itd….

Szacowanie dla wybranego aktywa informacyjnego Wykres oceny ryzyka - wariant 2 Szacowanie dla wybranego aktywa informacyjnego Ocena ryzyka Unikaj Transfer Zabezpieczenie Akceptacja

Skutki (wartość zasobów) Przykładowa inwentaryzacja aktywów połączona z analizą ryzyka 1. A B C D E G H I J P Q R S T 2. Lp. Zasób grupa Zasób nazwa Własciciel Nośnik Lokalizacja Zagrożenie rodzaj Zagrożenie opis Podatność opis Prawdopo dobieństwo Podatność Skutki (wartość zasobów) Ocena końcowa Decyzja 3.   Ludz kradzie Włam z kradz Niezabezpiecz M 2 Akceptacja 4. Ludz nieprze Brak 5. Ludz podsłuch 6. Ludz spam Zatkanie skrzyn Ś 4 Zabezpieczenie 7. Ludz usuwa Dane wyniesion Nie są zabezpi W 5 8. Ludz wandal Ktoś celoeo nisz Pomieszcz ser 9. Ludz właman Ludz włam/kradz Ktoś może prób 10. Ludz zgubien 11. Przyp awarie Utrata danych Stare elem kom 12. Przyp brak p Brak zabezpiecz 13. Przyp działa Normalna, jak w 14. Przyp przecie 15. 16. Niewłaściwa obsł Nieprzeszkolony 3 17. Ktoś chce zdobyć Podejrzenie danychj 18. 19. 6 Transfer

Postępowanie z ryzykiem (risk treatment) Proces polegający na wyborze i wdrożeniu środków modyfikujących ryzyko.

Stosowane zabezpieczenie Przykładowy plan postępowania z ryzykiem Zał. Nr Zabezpieczenie nazwa Stosowane zabezpieczenie Wyjaśnienie Planowane działania Odpowiedzialny Zasoby Data planowana Data wykonania A.3 Polityka bezpieczeństwa   A.3.1 Polityka bezpieczeństwa informacji A.3.1.1 Dokument polityki bezpieczeństwa informacji A.3.1.2 Przegląd i ocena A.4 Organizacja bezpieczeństwa A.4.1 Infrastruktura bezpieczeństwa informacji A.4.1.1 Forum zarządzania bezpieczeństwem informacji A.4.1.2 Koordynacja bezpieczeństwa informacji A.4.1.3 Podział odpowiedzialnściw zakresie bezpieczeństwa informacji A.4.1.4 Proces autoryzacji urządzeń służących do przetwarzania informacji A.4.1.5 Specjalistyczne doradztwo w dziedzinie bezpieczeństwa informacji A.4.1.6 Współpraca między organizacjami A.4.1.7 Przeglądy bezpieczeństwa informacji

Akceptacja ryzyk szczątkowych ISO 27001:2005 - 4.2.1 h) „Organizacja” powinna: h) Uzyskać akceptację kierownictwa co do zaproponowanych ryzyk szczątkowych. W niektórych sytuacjach kierownictwo może podjąć decyzję o akceptacji ryzyk szczątkowych wykraczających poza poziom akceptowalny. Decyzja taka powinna zostać formalnie udokumentowana!!!

Wybór zabezpieczeń Wybór zabezpieczenia wpływa na prawdopodobieństwo wystąpienia ryzyka (manipuluje podatnością) „ …. Oceń realistyczne prawdopodobieństwo wystąpienia naruszeń bezpieczeństwa informacji w świetle przeważających zagrożeń i podatności, skutków związanych z tymi zasobami oraz obecnie stosowanych zabezpieczeń."

Załącznik do normy ISO 27001:2005 Cele stosowania zabezpieczeń i zabezpieczenia

Załącznik A. (normatywny) Cele stosowania zabezpieczeń i zabezpieczenia -1 A.5 Polityka bezpieczeństwa A.6 Organizacja bezpieczeństwa informacji A.7 Zarządzanie aktywami A.8 Bezpieczeństwo zasobów ludzkich A.9 Bezpieczeństwo fizyczne i środowiskowe (to jest obszar zainteresowania branży zabezpieczenia technicznego) A.10 Zarządzanie systemami i sieciami A.11 Kontrola dostępu (do systemów informacyjnych i IT, zarządzanie przywilejami itd.)

Załącznik A. (normatywny) Cele stosowania zabezpieczeń i zabezpieczenia – cd. 2 A.12 Pozyskiwanie, rozwój i utrzymanie systemów informacyjnych A.13 Zarządzanie incydentami związanymi z bezpieczeństwem informacji A.14 Zarządzanie ciągłością działania A.15 Zgodność (przepisami prawa, politykami bezpieczeństwa i standardami)

Zakres A.9 Bezpieczeństwo fizyczne i środowiskowe A.9.1 Obszary bezpieczne - Cel: Zapewnienie ochrony przed nieautoryzowanym dostępem fizycznym, uszkodzeniami lub zakłóceniami w siedzibie organizacji oraz w odniesieniu do informacji. A.9.1.1 Fizyczna granica obszaru bezpiecznego A.9.1.2 Fizyczne zabezpieczenie wejścia A.9.1.3 Zabezpieczenie biur, pomieszczeń i urządzeń A.9.1.4 Ochrona przed zagrożeniami zewnętrznymi i środowiskowymi A.9.1.5 Praca w obszarach bezpiecznych A.9.1.6 Obszary publicznie dostępne, dostaw i załadunku A.9.2 Bezpieczeństwo sprzętu - Cel: Zapobieganie utracie, uszkodzeniu, kradzieży lub naruszenia aktywów oraz przerwaniu działalności organizacji. A.9.2.1 Lokalizacja i ochrona sprzętu A.9.2.2 Systemy wspomagające A.9.2.3 Bezpieczeństwo okablowania A.9.2.4 Konserwacja sprzętu A.9.2.5 Bezpieczeństwo sprzętu poza siedzibą A.9.2.6 Bezpieczne zbywanie lub przekazywanie do ponownego użycia A.9.2.7 Wynoszenie mienia

Rozwinięcie szacowania ryzyka w bezpieczeństwie informacji wg PN-ISO/IEC 27005:2010

Relacja między procesem SZBI a procesem zarządzania ryzykiem w bezpieczeństwie informacji wg PN-ISO/IEC 27005:2010

Proces zarządzania ryzykiem w bezpieczeństwie informacji wg PN-ISO/IEC 27005:2010

Kryteria akceptowania ryzyka Kryteria akceptowania ryzyka mogą różnić się w zależności od oczekiwanego okresu istnienia ryzyka, np. ryzyko może być związane z tymczasową lub krótkookresową działalnością. Zaleca się określenie kryteriów akceptowania ryzyka, uwzględniając: Kryteria biznesowe Aspekty prawne i wynikające z regulacji wewnętrznych Eksploatację Technologię Finanse Czynniki społeczne i ludzkie

Składowe procesu analizy ryzyka Identyfikacja ryzyka Identyfikacja aktywów Identyfikacja zagrożeń Identyfikacja istniejących zabezpieczeń Identyfikacja podatności Identyfikacja następstw Estymacja ryzyka (proces przypisywania wartości prawdopodobieństwu i następstwom ryzyka) Metodyki estymacji Estymacja jakościowa Estymacja ilościowa Szacowanie następstw Szacowanie prawdopodobieństwa incydentu Poziom estymacji ryzyka

Zidentyfikowanie aktywów w ustanowionym zakresie WEJŚCIE Zakres i granice szacowania ryzyka, które ma zostać przeprowadzone, lista elementów wraz z właścicielami, lokalizacją, funkcją itp. WYJŚCIE Lista aktywów zarządzanych z punktu widzenia ryzyka oraz lista procesów biznesowych odnoszących się do aktywów i ich powiązania PROCES Zidentyfikowanie aktywów w ustanowionym zakresie

Rodzaje aktywów 1/4 Aktywa podstawowe: Procesy i działania biznesowe Informacje Aktywa wspierające (na których opierają się podstawowe elementy z zakresu) wszystkich rodzajów: Sprzęt Oprogramowanie Sieć Personel Siedziba Struktura organizacyjna

Rodzaje aktywów 2/4 Procesy (lub podprocesy) i działania biznesowe, przykładowo: Procesy, których utrata lub pogorszenie uniemożliwia wypełnianie misji organizacji, Procesy zawierające procesy poufne lub wykorzystujące technologię objętą własnością intelektualną, Procesy, które jeśli zostaną zmodyfikowane, mogą w zasadniczy sposób wpłynąć na realizację misji organizacji, Procesy, które są niezbędne w organizacji dla osiągnięcia zgodności z wymaganiami wynikającymi z umów, przepisów prawa lub regulacji.

Rodzaje aktywów 3/4 Informacje podstawowe obejmują zwykle: Najważniejsze informacje potrzebne do realizacji misji lub działalności biznesowej organizacji, Dane osobowe, w specyficznym znaczeniu krajowych przepisów prawa w zakresie prywatności, Informacje strategiczne, wymagane do osiągnięcia celów określonych przez strategiczne kierunki, Informacje o dużej wartości, których gromadzenie, przechowywanie przetwarzanie i transmitowanie wymaga długiego czasu i/lub ponoszenia wysokich nakładów w celu pozyskania.

Aktywa wspierające 4/4 Sprzęt Oprogramowanie Oprogramowanie usługowe, utrzymania lub administracyjne Pakiety oprogramowania lub oprogramowanie standardowe Aplikacje biznesowe Sieć (wszystkie urządzenia telekomunikacyjne) Personel Siedziba Organizacja (struktury ludzkie przypisane zadaniu oraz procedury sterujące tymi strukturami)

Identyfikowanie zagrożeń WEJŚCIE Informacje o zagrożeniach uzyskane z przeglądu incydentów, od właścicieli aktywów, użytkowników lub z innych źródeł, w tym z zewnętrznych katalogów zagrożeń WYJŚCIE Lista zagrożeń wraz z identyfikacją ich typów i źródeł PROCES Zidentyfikowanie zagrożeń i ich źródeł

Przykłady typowych zagrożeń wg załącznika C PN-ISO/IEC 27005:2010 1/2

Przykłady typowych zagrożeń wg załącznika C PN-ISO/IEC 27005:2010 2/2

Identyfikowanie istniejących zabezpieczeń WEJŚCIE Dokumentacja zabezpieczeń, plany wdrożenia postępowania z ryzykiem WYJŚCIE Lista wszystkich istniejących i planowanych zabezpieczeń, ich status wdrożenia i użytkowania PROCES Zidentyfikowanie istniejących lub planowanych zabezpieczeń

Lista znanych zagrożeń, lista aktywów i istniejących zabezpieczeń Identyfikacja podatności WYJŚCIE Lista podatności w odniesieniu do aktywów, zagrożeń i zabezpieczeń; lista podatności, które nie odnoszą się do żadnego zidentyfikowanego zagrożenia, dla celów przeglądu WEJŚCIE Lista znanych zagrożeń, lista aktywów i istniejących zabezpieczeń PROCES Zidentyfikowanie podatności, które mogą spowodować szkodę dla aktywów lub organizacji

Przykłady typowych podatności wg załącznika D PN-ISO/IEC 27005:2010 1/2

Przykłady typowych podatności wg załącznika D PN-ISO/IEC 27005:2010 2/2

Identyfikowanie następstw WEJŚCIE Lista aktywów, lista procesów biznesowych, lista zagrożeń i podatności WYJŚCIE Lista scenariuszy incydentów z ich następstwami PROCES Zidentyfikowanie następstw, jakie może spowodować dla aktywów utrata poufności, integralności i dostępności

Lista ryzyk z priorytetami zgodnymi z kryteriami oceny ryzyka Ocena ryzyka WEJŚCIE Lista ryzyk z przypisanymi poziomami wartości oraz kryteria oceny ryzyka WYJŚCIE Lista ryzyk z priorytetami zgodnymi z kryteriami oceny ryzyka PROCES Porównanie poziomów ryzyka z kryteriami oceny ryzyka oraz kryteriami akceptowania ryzyka

Lista ryzyk z priorytetami zgodnymi z kryteriami oceny ryzyka Postępowanie z ryzykiem WEJŚCIE Lista ryzyk z priorytetami zgodnymi z kryteriami oceny ryzyka WYJŚCIE Plan postępowania z ryzykiem i ryzyka szczątkowe będące przedmiotem decyzji kierownictwa PROCES Wybór zabezpieczeń w celu zredukowania, zachowania, uniknięcia lub transferu ryzyk i określenia planu postępowania z ryzykiem

Działanie postępowania z ryzykiem wg PN-ISO/IEC 27005:2010

Postępowanie z ryzykiem Redukowanie ryzyka Działanie: Zaleca się zredukowanie poziomu ryzyka przez taki wybór zabezpieczeń, aby ryzyko szczątkowe można było ponownie oszacować jak ryzyko akceptowalne Zachowanie ryzyka Działanie: Zaleca się podjęcie decyzji o zachowaniu ryzyka bez podejmowania dalszych działań, na podstawie oceny ryzyka Unikanie ryzyka Działanie: Zaleca się unikanie działań lub warunków, które powodują powstanie określonych ryzyk Transfer ryzyka Działanie: Na podstawie oceny ryzyka zaleca się transfer ryzyka do innej strony, która może skutecznie zarządzać ryzykiem

Akceptowanie ryzyka PROCES WEJŚCIE Plan postępowania z ryzykiem i oszacowanie ryzyka szczątkowego WYJŚCIE Lista zaakceptowanych ryzyk wraz z uzasadnieniem PROCES Zaleca się podjęcie i formalne udokumentowanie decyzji o zaakceptowaniu ryzyka oraz odpowiedzialności za decyzję

Informowanie o ryzyku w bezpieczeństwie informacji WEJŚCIE Informacje o ryzyku WYJŚCIE Zrozumienie w organizacji dla procesu zarządzania ryzykiem PROCES Wymiana lub dystrybucja informacji o ryzyku

Monitorowanie i przegląd ryzyk i ich czynników Monitorowanie i przegląd ryzyka w bezpieczeństwie informacji - czynników ryzyka WEJŚCIE Informacje o ryzyku WYJŚCIE Dostosowywanie zarządzania ryzykiem do celów biznesowych organizacji i kryteriów akceptowania ryzyka PROCES Monitorowanie i przegląd ryzyk i ich czynników

Wszystkie informacje o ryzyku Monitorowanie i przegląd ryzyka w bezpieczeństwie informacji – doskonalenia zarządzania ryzykiem WEJŚCIE Wszystkie informacje o ryzyku WYJŚCIE Ciągłe dostosowanie procesu zarządzania ryzykiem do celów biznesowych organizacji lub uaktualnienie procesu PROCES Zarządzania ryzykiem powinien być w sposób ciągły monitorowany, przeglądany i doskonalony, stosownie do potrzeb

Monitorowanie i przegląd ryzyka w bezpieczeństwie informacji Zaleca się, aby działania monitoringu i przeglądu odnosiły się (lecz nie były ograniczone) do: Kontekstu prawnego i środowiskowego Kontekstu związanego z konkurencją Podejścia do szacowania ryzyka Wartości i kategorii aktywów Kryteriów skutków Kryteriów oceny ryzyka Kryteriów akceptowania ryzyka Całkowitego kosztu utrzymania Koniecznych zasobów inne.

Monitorowanie i przegląd ryzyka w bezpieczeństwie informacji Monitorowanie ryzyka może skutkować modyfikacją lub uzupełnieniem podejścia, metodyki lub używanych narzędzi, w zależności od: Zidentyfikowanych zmian Iteracji szacowania ryzyka Celu procesu zarządzania ryzykiem w bezpieczeństwie informacji (np. ciągłość działania, odporność na incydenty, zgodność) Przedmiotu procesu zarządzania ryzykiem (np. organizacja, jednostka organizacyjna, proces informacyjny, jego techniczne wdrożenie, aplikacja, połączenie z internetem)

Podsumowanie Normy PN-ISO/IEC 27005:2010 i PN-ISO/IEC 27001:2007 mają zastosowanie do wszystkich typów organizacji (np. przedsiębiorstw, instytucji rządowych, organizacji non-profit), które zamierzają zarządzać ryzykami mogącymi spowodować naruszenie bezpieczeństwa informacji w tych organizacjach. Szacowanie ryzyka i plan postępowania z ryzkiem stanowią fundament Systemu Zarządzania Bezpieczeństwem Informacji SZBI. Proces szacowania ryzyka powinien być ciągły i powtarzalny, aby korygować i doskonalić SZBI w jednostce organizacyjnej. Zarządzanie ryzykiem w bezpieczeństwie informacji zgodnie z normą PN-ISO/IEC 27005:2010 wspiera wymagania dla systemu zarządzania bezpieczeństwem informacji (SZBI) zgodnego z PN-ISO/IEC 27001:2007 . Zarządzaniu ryzykiem mogą być zastosowane różne już istniejące metodyki szacowania ryzyka. Każda zmiana w zakresie organizacyjnym, technicznym, ludzkim i prawnym może mieć wpływ na poziom ryzyka realizowanego procesu biznesowego.

Dokumentacja systemu zarządzania ryzykiem Dodatek A Dokumentacja systemu zarządzania ryzykiem wg ISO 31000

Dokumentowanie procesu zarządzania ryzykiem (wybór) Udokumentowanie procesu zarządzania ryzykiem nie tylko ułatwia jego raportowanie, ale również pomaga w doskonaleniu metod oraz narzędzi zarządzania ryzykiem. W ramach dokumentacji wspierającej proces zarządzania ryzykiem można wskazać takie elementy jak: Politykę zarządzania ryzykiem - ma wyjaśniać cele i zobowiązania organizacji względem zarządzania ryzykiem. Procedura oceny ryzyka – powinna zawierać opis wdrożonej metodyki oceny ryzyka w ramach całej działalności organizacji, uwzględniającej sposoby przeprowadzenia oceny, przepływ informacji, odpowiedzialności i zapisy będące dowodem przeprowadzenia oceny. Kartę ryzyka - to dokument zawierający szczegółowe informacje o zidentyfikowanym ryzyku. Kartę postępowania z ryzykiem - zawiera opis działań, jakie należy podjąć w przypadku zrealizowania się ryzyka, do którego jest on przypisany. Rejestr ryzyk - jest dokumentem zawierającym zbiór wszystkich zidentyfikowanych w organizacji ryzyk Zakres dokumentacji systemu powinien być dostosowany do potrzeb organizacji.

Przykładowe metodyki szacowania ryzyka Dodatek B Przykładowe metodyki szacowania ryzyka

Techniki szacowania ryzyka - wybór Macierz ryzyka (metoda jakościowa) Analiza FMEA – Analiza efektów form niepowodzenia (metoda jakościowo - ilościowa) Analiza wrażliwości i scenariusze (metodyka ilościowa) Ankiety eksperckie - technika ankiet eksperckich jest względnie prosta. Ogólnie rzecz biorąc, wymaga zidentyfikowania właściwego eksperta, a następnie przekazania mu odpowiednio sformułowanych pytań dotyczących tych obszarów ryzyka projektu, które mieszczą się w dziedzinie będącej domeną danego eksperta

Macierz ryzyka– procedura - przykład 1. Identyfikację czynników ryzyka 2. Kwantyfikacja czynników ryzyka ze względu na prawdopodobieństwo ich wystąpienia oraz wielkość wpływu na projekt

Wykreślenie macierzy ryzyka 4. Przygotowanie planu redukcji ryzyka dla czynników znajdujących się w obszarze ryzyka „dużego i średniego” 5. Monitoring dla czynników znajdujących się w obszarze ryzyka „małego”

Przykłady szacowania ryzyka Dodatek C Przykłady szacowania ryzyka osobne opracowanie

Szacowanie ryzyka Dodatek A. Prezentacja oprogramowania narzędziowego

Wsparcie programowe (wybór) Certus Risk Analyzer Podstawowym zastosowaniem aplikacji jest konieczność okresowego przeprowadzania analizy ryzyka na potrzeby systemu zarządzania bezpieczeństwem informacji wg standardu ISO 27001:2005. Drugim obszarem w którym analizowanie ryzyka jest bardzo pomocne jest ryzyko związane z procesem i zagrożeniami dla osiągnięcia jego celu(ów). http://www.centrum-doskonalenia.pl/analiza-ryzyka

Program Smart Risk Smart Risk jest w pełni zintegrowanym rozwiązaniem, kładącym szczególny nacisk na możliwość budowania i wdrażania własnych metodyk również poprzez powiązania danych wynikających z zarządzania procesami. Zarządzanie ryzykiem jest procesem, który służy identyfikacji, analizie i monitorowaniu ryzyka w prowadzonej działalności. Podstawą jest określenie metody oceny i postępowania z ryzykiem z uwzględnieniem realizowanych procesów i struktur organizacyjnych. Zastosowanie budowa korporacyjnej mapy ryzyka z wykorzystaniem np. metodyki COSO II wsparcie przy przeprowadzeniu analizy ryzyka przy wdrożeniach międzynarodowych standardów (np. ISO 27001, ISO 14001). budowanie powiązań zidentyfikowanych ryzyk z funkcjonującymi procesami w organizacji przy jednoczesnym zastosowaniu z modułem Smart Architect. wizualizacja Mapy Ryzyk i Obszarów Ryzyka dla użytkowników przy jednoczesnym zastosowaniu z modułem Smart Portal. budowanie rozproszonej analizy ryzyka z możliwością wprowadzania dowolnie zdefiniowanych danych przez "właścicieli ryzyk" przy jednoczesnym zastosowaniu z modułem Smart Portal. http://oprogramowanie-smart.pl/index.php?option=com_content&task=view&id=10&Itemid=42

Szacowanie ryzyka Dodatek B. Literatura przedmiotu

Literatura przedmiotu (wybór)

Przykładowa literatura

Literatura - wybór Materiały z wykładu, konferencji i szkoleń A. Wójcik Materiały szkoleniowe BSI Polska i PBSG „ISO 31000 Certified Risk Manager” Carl L. Pritchard „Zarządzanie ryzykiem w projektach. Teoria i praktyka”, WIC – PRESS 2002, Krzysztof Liderman „ Analiza ryzyka i ochrona informacji w systemach komputerowych”, Wydawnictwo Naukowe PWN SA, 2008, Robin Kendall „Zarządzanie ryzykiem dla menedżerów”, Wydawnictwo K.E. Liber s.c. 2000, Marian Molski, Małgorzata Łacheta „Przewodnik audytora systemów informatycznych”, Wydawnictwo HELION 2007, Tomasz Polaczek „Audyt bezpieczeństwa informacji w praktyce” , Wydawnictwo HELION 2006, Tadeusz T. Kaczmarek, Grzegorz Ćwiek „Ryzyko kryzysu a ciągłość działania. Business Continuity Management”, Difin 2009, Dr Jarzy Karczewski „Monitorowanie ryzyka”, artykuł w Promotor 6/04

Dziękuję za uwagę Andrzej Wójcik