OCENA RYZYKA W ISO 27001 - CZĘŚĆ I
Ryzyko niepowodzenia, strat finansowych, ludzkich czy materialnych występuje w każdej organizacji. Aby zminimalizować to ryzyko kierownictwo organizacji decyduje się na wprowadzenie zarządzania bezpieczeństwem. Elementami składowymi takiego zarządzania są: zarządzanie konfiguracją, zarządzanie zmianami oraz zarządzanie ryzykiem. Etap zarządzania ryzykiem odbywa się poprzez identyfikację zagrożeń w stosunku do każdego aktywu organizacji, następnie oszacowanie ryzyka dla każdego zagrożenia, podjęcie środków minimalizujących ryzyko oraz stały monitoring skuteczności podjętych działań ograniczających ryzyko.
Metody szacowania ryzyka bezpieczeństwa informacji - część I
Szacowanie ryzykiem jest jednym z najważniejszych elementów w tworzeniu dobrego zarządzania ryzykiem w każdej firmie. Aby przeprowadzić szacowanie ryzyka w swojej organizacji należy wybrać odpowiednią metodę. Ogólny podział metod szacowania ryzyka obejmuje:
- metody ilościowe,
- metody jakościowe,
- metody mieszane.
Norma ISO 27001:2005 System zarządzania bezpieczeństwem informacji nie wskazuje konkretnej metody szacowania ryzyka, którą organizacja musi zastosować. Wyboru metodologii szacowania ryzyka dokonać musi zespół powołany w firmie do wdrożenia wymagań normy ISO 27001. Należy jednak pamiętać, że podczas wyboru metody powinno brać się pod uwagę specyfikę działalności organizacji, jak i również wymagania i oczekiwania kierownictwa dotyczące bezpieczeństwa.
Metody ilościowe:
Są to metody badawcze, w których określa się parametry liczbowe (w odpowiednich jednostkach), charakteryzujące badane zjawisko lub obiekt badań.
W tej grupie metod szacowania ryzyka najważniejsze jest, aby określić dwa podstawowe parametry opisujące ryzyko: wartość skutku zagrożenia powodującego ryzyko i prawdopodobieństwo wystąpienia zagrożenia. Określenie skutków odbywa się przez ocenę wyników zdarzeń i wniosków wyciągniętych z sytuacji niebezpiecznych z przeszłości. Konsekwencje wystąpienia zagrożenia można odnieść do różnych kategorii: pieniężnych, technicznych, operacyjnych oraz zasobów ludzkich. Skutek wystąpienia zagrożenia można określić jako:
- Krytyczny - wystąpienie zagrożenia na pewno powoduje wystąpienie niekorzystnego efektu biznesowego, wysoki koszt, utratę wizerunku firmy, brak możliwości realizacji zadań,
- Średni - wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże utrudnienie w pracy,
- Pomijalny - wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny,
- Nie dotyczy - wystąpienie zagrożenia nie ma wpływu na aktywa firmy.
Natomiast prawdopodobieństwo wystąpienia ryzyka określamy jako:
- Wysokie - występuje często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością,
- Średnie - wystąpiło w ostatnim roku lub zdarza się nieregularnie,
- Pomijalne - nie wystąpiło ani razu w ciągu ostatniego roku.
Podstawowa zależność wykorzystywana w tej metodzie to:
R = P × W
gdzie:
R – wartość ryzyka,
P – prawdopodobieństwo lub przewidywana liczba wystąpień incydentu powodującego utratę wartości aktywów w przyjętym okresie,
W – wartość straty – przewidywana średnia utrata wartości aktywów, w wyniku wystąpienia pojedynczego incydentu.
W środowisku informatycznym wykorzystuje się metodologię oceny ryzyka uzupełnioną o parametr podatności systemu informatycznego (lub jego elementu) na zagrożenie.
Przykładami metod ilościowych są:
- metoda Courtneya
- metoda Fishera
- metoda Parkera
Metody jakościowe:
W metodach jakościowych określanie ryzyka zachodzi w oparciu o wiedzę ekspercką oraz doświadczenie wykonujących je osób. Ryzyko przedstawiane jest w sposób opisowy, bez wykorzystania charakterystyki liczbowej. Jednak opis ryzyka może być bardzo szczegółowy, co umożliwia dokładniejsze jego oszacowanie. W metodach jakościowych zwykle wyróżnia się trzy poziomy ryzyka: niskie, średnie i wysokie lub bardziej precyzyjnie: nieistotne, niskie, średnie, wysokie, bardzo wysokie. Metody jakościowe są ogólne, ale dzięki temu bardzo elastyczne i w łatwy sposób można dostosować je do warunków występujących w badanej organizacji. Inną zaletami metod jakościowych jest brak konieczności wyrażania parametrów ryzyka w liczbach co czyni te metody tanimi i przystępnymi dla każdej firmy.
Przykładami metod jakościowych są:
- The Microsoft Corporate Security Group Risk Management Framework
- NIST SP 800-30
- Simple Technique for Illustrating Risk – STIR
- Facilitated Risk Analysis Process – FRAP
Metody mieszane:
Metody mieszane są kombinacją metod jakościowych z ilościowymi. W metodach mieszanych zagrożenia opisywane są podobnie jak w metodach jakościowych, lecz każde ryzyko jest następnie szacowane w sposób właściwy dla metod ilościowych, poprzez określenie kosztów strat poniesionych w wyniku określonych zagrożeń.