Analiza Ryzyka - wytyczne ISO/IEC TR 13335

Podobne dokumenty
Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Maciej Byczkowski ENSI 2017 ENSI 2017

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Zarządzanie ryzykiem w bezpieczeostwie IT

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

SZCZEGÓŁOWY HARMONOGRAM KURSU

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Zarządzanie ryzykiem w bezpieczeństwie informacji

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

Normalizacja dla bezpieczeństwa informacyjnego

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym

ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

ISO bezpieczeństwo informacji w organizacji

POLITYKA ZARZĄDZANIA RYZYKIEM

Imed El Fray Włodzimierz Chocianowicz

ZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Bezpieczeństwo informacji. jak i co chronimy

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

Reforma ochrony danych osobowych RODO/GDPR

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

Bezpieczeństwo dziś i jutro Security InsideOut

Benchmarking narzędzie efektywnej kontroli zarządczej w urzędach miast na prawach powiatu, urzędach gmin i starostwach powiatowych

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

ANALIZA RYZYKA W ŚRODOWISKU INFORMATYCZNYM

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Kompleksowe Przygotowanie do Egzaminu CISMP

WYTYCZNE W ZAKRESIE CZYNNOŚCI KONTROLNYCH W ZAKŁADACH STWARZAJĄCYCH RYZYKO WYSTĄPIENIA POWAŻNEJ AWARII PRZEMYSŁOWEJ 1

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

OPIS SYSTEMU ZARZĄDZANIA RYZYKIEM

REGULAMIN REGULUJĄCY SPOSÓB ZARZĄDZANIA RYZYKIEM

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

POLITYKA ZARZĄDZANIA RYZYKIEM

ZARZĄDZENIE NR 41/2016 STAROSTY NOWODWORSKIEGO. z dnia 26 października 2016 r.

Z a r z ą d z e n i e Nr 126 /2015 W ó j t a G m i n y K o b y l n i c a z dnia 17 czerwca 2015 roku

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

Zarządzanie projektami a zarządzanie ryzykiem

Zarządzanie projektami. Zarządzanie ryzykiem projektu

Regulamin zarządzania ryzykiem. Założenia ogólne

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Promotor: dr inż. Krzysztof Różanowski

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

LWKZ Zarządzenie nr 4/2017

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

ZARZĄDZENIE NR B-0151/224/10 BURMISTRZA MIASTA BIERUNIA z dnia r.

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

Wytyczne do systemu zarządzania ryzykiem w Urzędzie Miejskim w Złotowie i jednostkach organizacyjnych Gminy Miasto Złotów

Zarządzanie bezpieczeństwem Laboratorium 3. Analiza ryzyka zawodowego z wykorzystaniem metody pięciu kroków, grafu ryzyka, PHA

PROCEDURA ALARMOWA GMINNEJ BIBLIOTEKI PUBLICZNEJ W ZAKRZÓWKU ORAZ FILII W STUDZIANKACH, SULOWIE I RUDNIKU DRUGIM

ZARZĄDZENIE NR Or BURMISTRZA MIASTA SANDOMIERZA. w sprawie zarządzania ryzykiem w Urzędzie Miejskim w Sandomierzu.

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

ZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW. z dnia 7 czerwca 2013 r. w sprawie zarządzanie ryzykiem

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

Zarządzanie bezpieczeństwem Laboratorium 2. Analiza ryzyka zawodowego z wykorzystaniem metody trzypunktowej

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

REGULAMIN FUNKCJONOWANIA KONTROLI ZARZADCZEJ W POWIATOWYM URZĘDZIE PRACY W GIśYCKU. Postanowienia ogólne

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

ISO w Banku Spółdzielczym - od decyzji do realizacji

APTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO

ZARZĄDZENIE Nr 32/2012 Wójta Gminy w Chojnicach. z dnia 16 marca 2012 roku

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

Ryzyko i zarządzanie ryzykiem w projektach

Projektowanie systemów informatycznych. Roman Simiński siminskionline.pl. Studium wykonalności

PROCEDURA Zarządzania ryzykiem w Miejskim Zespole Gospodarki Lokalowej i Administracji w Knurowie

Ochrona danych osobowych i informacji prawnie chronionych. OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki

Krzysztof Świtała WPiA UKSW

Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia roku

Zarządzenie nr 8/2015 Dyrektora Przedszkola nr 4 w Rybniku z dnia 31 grudnia 2015 roku

Ocena ryzyka zawodowegoto proste! Copyright by Zdzisław Wiszniewski

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Zarządzenie nr 4/2016 Dyrektora Zespołu Szkolno-Przedszkolnego nr 4 w Rybniku z dnia 2 września 2016 roku

Projektowanie systemów informatycznych

Załącznik nr 5 do Regulaminu kontroli zarządczej. Tytuł procedury: ZARZĄDZANIE RYZYKIEM SPIS TREŚCI

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Bezpieczeństwo danych w sieciach elektroenergetycznych

Transkrypt:

Analiza Ryzyka - wytyczne ISO/IEC TR 13335 Andrzej Zoła 21 listopada 2003 Spis treści 1 Czym jest ISO/IEC TR 13335 2 2 Zarzadzanie bezpieczeństwem systemów informatycznych 2 3 Zarządzanie ryzykiem 3 4 Strategie analizy ryzyka 4 4.1 Podejście podstawowego poziomu................ 5 4.2 Podejście nieformalne...................... 5 4.3 Szczegółowa analiza ryzyka................... 6 4.4 Podejście mieszane........................ 6 5 Podejście mieszane 7 5.1 Ogólna analiza ryzyka...................... 7 5.2 Podejście podstawowego poziomu zabezpieczeń........ 7 5.3 Szczegółowa analiza ryzyka................... 8 5.3.1 Ustalenie zakresu przegladu............... 9 5.3.2 Identyfikacja zasobów.................. 9 5.3.3 Wycena zasobów i ustalenie zależności pomiędzy nimi 9 5.3.4 Oszacowanie zagrożeń.................. 10 5.3.5 Oszacowanie podatności................. 11 5.3.6 Identyfikacja istniejących i planowanych zabezpieczeń 11 5.3.7 Oszacowanie ryzyka................... 11 1

1 Czym jest ISO/IEC TR 13335 ISO, czyli Międzynarodowa Organizacja Normalizacyjna (International Standard Organization) oraz IEC, czyli Międzynarodowa Komisja Elektrotechniczna (International Electrotechnical Commission). Tworzą wyspecjalizowany system normalizacji. Jednakże oprócz norm w niektórych przypadkach wydaj tzw. raporty techniczne. Dzije sie tak np. wówczas, gdy dana dziedzina jest w fazie rozwoju i wytyczne jej dotyczące mogą się często zmieniać. Raport taki może być po pewnym czasie przekształcony na normę. Takim właśnie raportem jest ISO/IEC TR 13335 - Technika informacyjna - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych ( Information technology - Guidelines for the management if IT security ) 1. 2 Zarzadzanie bezpieczeństwem systemów informatycznych Każdy system informatyczny zawiera zasoby, które muszą być chronione przed zagrożeniami (pochodzącymi z wewnątrz i z zewnątrz). Schematycznie przedstawia to rysunek 2. Rysunek 1: Zasoby i zagrozenia Wszystkie zasoby posiadają pewne podatności, czyli słabosci, które mogą 1 W polsce raport ten posiada status normy. Jest to norma PN-I-13335. 2

byc wykorzystane przez zagrożenie. Prawdopodobieństwo takiego niepożądanego wykorzystania podatności nazywamy ryzykiem. Aby zmniejszyć ryzyko stosuje się zabezpieczenia, czyli praktyki, procedury lub mechanizmy redukujące ryzyko. Jednak żadne zabezpieczenie nie jest całkowicie skuteczne, dlatego nawet po wprowadzeniu zabezpieczeń zawsze pozostaje ryzyko szczątkowe. Niektóre podatności nie mają znanych zagrożeń, które by je wykorzystywały i nie muszą (choć oczywiście mogą) być chronione zabezpieczeniami. Także nie wszystkie podatności, które są zagrożone muszą być chronione. Całościowy i ciągły proces prowadzący do stworzenia i utrzymania bezpieczeństwa w instytucji jest nazywany zarządzaniem bezpieczenstwem. Składa się on z wielu podprocesów, wśród których jest zarządzanie ryzykiem. Kluczowym elementem tego ostatniego jest natomiast analiza ryzyka. Podział ten obrazyje rysunek 2. Rysunek 2: Zarządzanie bezpieczeństwem 3 Zarządzanie ryzykiem Zarządzanie ryzykiem (risk management) to całkowity proces identyfikacji, kontrolowania i eliminacji lub minimalizowania prawdopodobieństwa zaistnienia niepewnych zdarzeń, które mogą mieć wpływ na zasoby systemu informatycznego. Natomiast analiza ryzyka (risk analysis) to proces identyfikacji 3

ryzyka, określania jego wielkości i identyfikowania obszarów wymagających zabezpieczeń. Związki zachodzace w zarządzaniu ryzykiem obrazuje rysunek 3. Rysunek 3: Związki w zarządzaniu ryzykiem 4 Strategie analizy ryzyka Zanim w instytucji przeprowadzi się analizę ryzyka należy obrać właściwą strategie tej analizy. Istnieją cztery warianty takich strategii. Wybierając jeden z nich należy kierowac się z jednej strony wielkością nastepstw potencjalnych incydentów bezpieczenstwa w poszczególnych systemach, z drugiej strony natomiast należy wziać pod uwagę koszty i czas niezbędny dla przeprowadzenia analizy według poszczególnych wariantów. Poza możliwością niepodejmowania żadnych działań w celu zapewnienia bezpieczeństwa istnieją następujace podejścia do analizy ryzyka: 1., 2. Podejście nieformalne, 3. Szczegółowa analiza ryzyka, 4. Podejście mieszane. Omówimy teraz po kolei te warianty, ich zalety i wady oraz wskażemy wariamt preferowany (według ISO/IEC TR 13335). 4

4.1 Podejście podstawowego poziomu Polega ono na zastosowaniu standardowych zabezpieczeń we wszystkich systemach informatycznych bez względu na zagrożenia i na znaczenie poszczególnych systemów dla instytucji. Takie podejście ma następujące zalety: do analizy ryzyka i wdrożenia zabezpieczeń wymagane sa tylko minimalne zasoby, przez co podejście to pochłania mniej czasu i wysiłku, standardowe zabezpieczenia mozna przenosić z innych, podobnych systemów co wydatnie zmniejsza koszty zabezpieczeń. Natomiast wady tego wariantu to: ustalenie standardowego poziomu zbyt wysoko prowadzi do nadmiaru zabezpieczeń, który wiąże się z utrudniniami i wysokimi kosztami, jeśli poziom ten bedzie zbyt niski, wówczas niektóre newralgiczne systemy mogą być zbyt słabo zabezpieczone, moga wystąpic trudności w zarządzaiu zmianami związanymi z bezpieczeństwem. Strategia ta może być wybrana w instytucji, gdzie wszystkie systemy mają podobny poziom wymagań bezpieczeństwa. Jednak jeśli istnieją systemy o różnym znaczeniu wielkości i stopniu skomplikowania nie jest ona zalecana. 4.2 Podejście nieformalne Wariant ten nie opiera się na metodach strukturalnych, ale wykorzystuje wiedzę i doświadczenie ekspertów. Jego zaletą jest to, że: zwykle nie wymaga angażowania wielu zasobów ani czasu, analizę te wykonuje się szybciej niż szczegółową analize ryzyka, Ma on jednak szereg wad: bez formalnego podejścia istnieje prawdopodobieństwo pominiecia istotnych szczegółów, trudno uzasadnic wdrożenie konkretnych zabezpieczeń i związane z nimi wydatki, osoby z niewielkim doświadczeniem mogą nie podołac temu zadaniu, taka analiza jest subiektywna, moga na nia wpłynąc pewne szczególne uprzedzenia osoby ją przeprowadzającej, 5

jeśli osoba przeprowadzająca analize odejdzie z instytucji moga powstać problemy z utrzymaniem bezpieczeństwa. Podejście to może byc skuteczne tylko w małych instytucjach. 4.3 Szczegółowa analiza ryzyka Strategia ta wymaga dogłębnej identyfikacji i wyceny zasobów, oszacowania zagrożeń i podatności. Wyniki tych działań stanowią podstawę do oszacowania ryzyka i wyboru zabezpieczeń. Ten wariant ma następujące zalety: jest prawdopodobne, że dla wszystkich systemów wybrane zostaną właściwe zabezpieczenia, wyniki tej analizy ułatwią późniejsze zarządzanie zmianami. Głównąwadą tej opcji jest fakt, że wymaga ona dużo czasu, wysiłków i środków oraz wiedzy eksperckiej. Zastosowanie tej techniki we wszystkich systemach nie jest więc zalecane. 4.4 Podejście mieszane Polega ono na przeprowadzeniu wstępnej analizy ryzyka wysokiego poziomu w celu stwierdzenia, które systemy wymagają dalszej szczegółowej analizy ryzyka, a w których wystarczy podejście podstawowego poziomu. Jest to więc kombinacja podejścia 1 i 3. Główną zaletą tego podejścia jest zapewnienie równowagoi pomiędzy nakładami finansowymi i czasem poświęconym na analizę a zapewnieniem, że wszystkie systemy będą właściwie chronione. Pozostałe zalety to: wprowadzenie szybkiego podejścia na poczatku może ułatwić uzyskanie akceptacji dla programu analizy ryzyka, wariant ten będzie pomocny przy planowaniu, dzieki możliwości szybkiego uzyskania całoścowego obrazu, zasoby i srodki pieniężne moga być przeznaczone tam, gzie przyniosą największe korzyści, systemy, które najbardziej potrzebują ochrony otrzymają ją w pierwszej kolejnosci, czynności związane z utrzymaniem bezpieczenstwa będą mogły być przeprowadzone w optymalny sposób. Potencjalna wadą tej metody jest fakt, że: 6

ponieważ wstępna analiza mało dokładna niektóre systemy wymagające szczegółowej analizy ryzyka mogą nie zostać od razu zidentyfikowane. Jednakże zostaną one i tak objęte podstawowymi zabezpieczeniami. Jest to sposób podejścia zalecany przez autorów raportu. 5 Podejście mieszane 5.1 Ogólna analiza ryzyka Przeprowadzając ogólną analizę ryzyka wysokiego poziomu należy wziąć pod uwagę następujące aspekty: cele biznesowe, które mają być osiągnięte przez uzywanie systemu informatycznego, stopień zależności instytucji od tego systemu, tj. czy funkcje, które insty tucja uważa za krytyczne wymagaja prawidłowego działania tego systemu, poziom inwesrycji w ten system w kategoriach jego rozwoju, utrzymania lub wymiany, zasoby systemu, którym instytucja przypisuje wartość. Po rozważeniu tych zagadnień podjęcie decyzji co do sposobu dalszej analizy w wiekszości przypadków będzie sprawa prostą. Ogólna zasada jest taka: jeśli brak danego systemu lub jego nieprawidłowe działanie może spowodować poważną szkodę dla instytucji wówczas system ten wymaga szczegółowej analizy ryzyka; w pozostałych przypadkach wystarczy podejście podstawowego poziomu zabezpieczeń. 5.2 Podejście podstawowego poziomu zabezpieczeń Odpowiednią ochronę na podstawowym poziomie zabezpieczeń można uzyskać używając katalogów zabezpieczeń. Nie jest konieczne szacowanie podatności, zagrożeń i ryzyka. Należy jedynie wybrać z katalogu zabezpieczen te części, które dotyczą danego typu systemu i zainstalowac te zabezpieczenia, których jeszcze w systemie nie ma, a moga być zainstalowane. Katalogi zabezpieczeń podstawowego poziomu można otrzymać: od międzinarodowych i krajowych instytucji normalizacyjnych, z norm i zaleceń branżowych, z innych firm, najlepiej o opdobnych celach biznesowych i wielkości. 7

Oczywiście instytucja może też stworzyć swój własny katalog zabezpieczeń podstawowego poziomu, odpowiedni dla jej srodowiska i celów biznesowych. 5.3 Szczegółowa analiza ryzyka Szczegółowa analiza ryzyka dla systemu obejmuje zidentyfikowanie związanych z nim rodzajów ryzyka i ozacowanie ich rozmiaru. Wymaga ona dokonania szczegółowej analizy na kazdym z etapów przedstawionych na rysunku 4. Rysunek 4: Szczegółowa analiza ryzyka Kolejne etapy szczegółowej analizy ryzyka przedstawione są w kolejnych podrozdziałach. 8

5.3.1 Ustalenie zakresu przegladu Zakres przeglądu powinien definiować, które elementy mają być wzięte pod uwagę przy analizie ryzyka. Do takich elementów moga się elementy z następujących grup: zasoby informatyczne, osoby, środowiska (budynki, instalacje), działania (czynnosci). 5.3.2 Identyfikacja zasobów Na tym etapie należy zidentyfikowac wszystkie zasoby w ustalonym zakresie. Należy przy tym pamiętać, że zasoby to nie tylko sprzęt i oprogramowanie. Można do nich zaliczyć także na przykład: informacje, oprogramowanie układowe (pamięci RM, EEPROM, FLASH etc.) dokumenty, środki pienieżne, wyprodukowane towary, usługi, wyposażenie środowiska, personel, wizerunek instytucji. 5.3.3 Wycena zasobów i ustalenie zależności pomiędzy nimi Dla wszystkich zidentyfikowanych zasobów należy ocenić wysokość ewentualnych strat, jakie instytucja mogłaby ponieść w przypadku zniszczenia, modyfikacji, niedostępności lub ujawnienia zasobów. Wycena ta nie zawsze musi (i nie zawsze może) wyrażać się w jednostkach finansowych. Często odpowiedniejsze będzie zastosowanie pewnej skali, np. niskie - średnie - wysokie, lub bardziej szczegółowej. Należy wziąć pod uwagę zależności pomiędzy zasobami, tzn. to jak brak (uszkodzenie) jednych zasobów może wpłynąć na inne. Należy też rozpatrzyć potencjalne straty spowodowaneprzez: 9

naruszenie przepisów, pogorszenie wyników biznesowych, utratę reputacji, naruszenie poufności danych osobowych, narażenie bezpieczeństwa osobistego, negatywny wpływ na egzekwowanie prawa, naruszenie tajemnicy handlowej, naruszenie porządku publicznego, straty finansowe, zakłócenie działalności biznesowej, narażenie bezpieczeństwa środowiska. 5.3.4 Oszacowanie zagrożeń Do najczęstszych zagrożeń należą: błędy i pominięcia, oszustwo i kradzież, sabotaż ze strony pracownika, utrata wsparcia technicznego, złośliwe hakerstwo, złośliwe oprogramowanie (wirusy), szpiegostwo przemysłowe. Jednak analizując zagrożenia należy skorzystać ze znacznie obszerniejszych list i katalogów. Należy również wziąć pod uwagę rozwój zagrożeń i ich zmienność w czasie. Na tym etapie należy również ocenić prawdopodobieństwo wystąpienia poszczególnych zagrożeń. Należy przy tym wziać pod uwagę między innymi: częstotliwość występownia zagrożenia, motywację w przypadku zagrożeń umyślnych, czynniki geograficzne w przypadku zagrożeń przypadkowych. 10

5.3.5 Oszacowanie podatności Oszacowanie to ma na celu rozpoznanie słabości w systemie. Należy zwrócić uwagę, czy danej podatności odpowiada realne zagrożenie. Jeśli nie, zabezpieczenie jej nie jest konieczne, jednak należy stosować monitorowanie w celu upewnienia się, czy takie zagrożenie nie powstanie. Ważne jest by oszacować, jak łatwo jest wykorzystać daną podatność. Wynikiem końcowym tego etapu powinna być lista podatności wraz z oceną łatwości ich wykorzystania. 5.3.6 Identyfikacja istniejących i planowanych zabezpieczeń Należy rozpoznać i przeanalizować wszystkie istniejące i planowane zabezpieczenia w szczególności pod kątem ich współpracy z nowymi, zaproponowanymi w wyniku analizy ryzyka. 5.3.7 Oszacowanie ryzyka Ryzyko jest zależne od wartości zagrożonych ryzykiem zasobów, prawdopodobieństwa wystąpienia zagrożeń, łatwości wykorzystania podatniości oraz istniejących i planowanych zabezpieczeń mogących to ryzyko zredukowac. 11

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres