OCENA RYZYKA W ISO 27001 - CZĘŚĆ I 

 

Bezpieczeństwo informacji

Ryzyko niepowodzenia, strat finansowych, ludzkich czy materialnych występuje w  każdej organizacji. Aby zminimalizować to ryzyko kierownictwo organizacji decyduje się na wprowadzenie zarządzania bezpieczeństwem.  Elementami składowymi takiego zarządzania są: zarządzanie konfiguracją, zarządzanie zmianami oraz zarządzanie ryzykiem. Etap zarządzania ryzykiem odbywa się poprzez identyfikację zagrożeń w stosunku do każdego aktywu organizacji, następnie oszacowanie ryzyka dla każdego zagrożenia, podjęcie środków minimalizujących ryzyko oraz stały monitoring skuteczności podjętych działań ograniczających ryzyko.

 

Metody szacowania ryzyka bezpieczeństwa informacji - część I

Szacowanie ryzykiem jest jednym z najważniejszych elementów w tworzeniu dobrego zarządzania ryzykiem w każdej firmie. Aby przeprowadzić szacowanie ryzyka w swojej organizacji należy wybrać odpowiednią metodę. Ogólny podział metod szacowania ryzyka obejmuje:

  • metody ilościowe,
  • metody jakościowe,
  • metody mieszane.

 

Norma ISO 27001:2005 System zarządzania bezpieczeństwem informacji nie wskazuje konkretnej metody szacowania ryzyka, którą organizacja musi zastosować.  Wyboru metodologii szacowania ryzyka  dokonać musi zespół powołany w firmie do wdrożenia wymagań normy ISO 27001.  Należy jednak pamiętać, że podczas wyboru metody powinno brać się pod uwagę specyfikę działalności organizacji, jak i również wymagania i oczekiwania kierownictwa dotyczące bezpieczeństwa.

 

Metody ilościowe:

Są to metody badawcze, w których określa się parametry liczbowe (w odpowiednich jednostkach), charakteryzujące badane zjawisko lub obiekt badań.
W tej grupie metod szacowania ryzyka najważniejsze jest, aby określić dwa podstawowe parametry opisujące ryzyko: wartość skutku zagrożenia powodującego ryzyko i prawdopodobieństwo wystąpienia zagrożenia.  Określenie skutków odbywa się przez ocenę wyników zdarzeń i wniosków wyciągniętych z sytuacji niebezpiecznych z przeszłości. Konsekwencje wystąpienia zagrożenia można odnieść do różnych kategorii: pieniężnych, technicznych, operacyjnych oraz zasobów ludzkich. Skutek wystąpienia zagrożenia można określić jako:

  • Krytyczny - wystąpienie zagrożenia na pewno powoduje wystąpienie niekorzystnego efektu biznesowego, wysoki koszt, utratę wizerunku firmy, brak możliwości realizacji zadań,
  • Średni - wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże utrudnienie w pracy,
  • Pomijalny - wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny,
  • Nie dotyczy - wystąpienie zagrożenia nie ma wpływu na aktywa firmy.


Natomiast prawdopodobieństwo wystąpienia ryzyka określamy jako:

  • Wysokie - występuje często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością,
  • Średnie - wystąpiło w ostatnim roku lub zdarza się nieregularnie,
  • Pomijalne - nie wystąpiło ani razu w ciągu ostatniego roku.

Podstawowa zależność wykorzystywana w tej metodzie to:

 

R = P × W

gdzie:

R – wartość ryzyka,

P – prawdopodobieństwo lub przewidywana liczba wystąpień incydentu powodującego utratę wartości aktywów w przyjętym okresie,

W – wartość straty – przewidywana średnia utrata wartości aktywów, w wyniku wystąpienia pojedynczego incydentu.

W środowisku informatycznym wykorzystuje się metodologię oceny ryzyka uzupełnioną o parametr podatności systemu informatycznego (lub jego elementu) na zagrożenie.

 

Przykładami metod ilościowych są:

- metoda Courtneya

- metoda Fishera

- metoda Parkera

 

Metody jakościowe:

W metodach jakościowych określanie ryzyka zachodzi w oparciu o wiedzę ekspercką oraz doświadczenie wykonujących je osób. Ryzyko przedstawiane jest w sposób opisowy, bez wykorzystania charakterystyki liczbowej. Jednak opis ryzyka może być bardzo szczegółowy, co umożliwia dokładniejsze jego oszacowanie. W metodach jakościowych zwykle wyróżnia się trzy poziomy ryzyka: niskie, średnie i wysokie lub bardziej precyzyjnie: nieistotne, niskie, średnie, wysokie, bardzo wysokie. Metody jakościowe są ogólne, ale dzięki temu bardzo elastyczne i w łatwy sposób można dostosować je do warunków występujących w badanej organizacji. Inną zaletami metod jakościowych jest brak konieczności wyrażania parametrów ryzyka w liczbach co czyni te metody tanimi i przystępnymi dla każdej firmy.

 

Przykładami metod jakościowych są:

- The Microsoft Corporate Security Group Risk Management Framework

- NIST SP 800-30

- Simple Technique for Illustrating Risk – STIR

- Facilitated Risk Analysis Process – FRAP

 

Metody mieszane:

Metody mieszane są kombinacją metod jakościowych z ilościowymi. W metodach mieszanych zagrożenia opisywane są podobnie jak w metodach jakościowych, lecz każde ryzyko jest następnie szacowane w sposób właściwy dla metod ilościowych, poprzez określenie kosztów strat poniesionych w wyniku określonych zagrożeń.