Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw



Podobne dokumenty
Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Zarządzanie ryzykiem w bezpieczeństwie informacji

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Reforma ochrony danych osobowych RODO/GDPR

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Maciej Byczkowski ENSI 2017 ENSI 2017

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

ISO bezpieczeństwo informacji w organizacji

Zarządzanie bezpieczeństwem Laboratorium 3. Analiza ryzyka zawodowego z wykorzystaniem metody pięciu kroków, grafu ryzyka, PHA

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.

I. O P I S S Z K O L E N I A

Kompleksowe Przygotowanie do Egzaminu CISMP

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Analiza Ryzyka - wytyczne ISO/IEC TR 13335

Zarządzanie ryzykiem w bezpieczeostwie IT

Promotor: dr inż. Krzysztof Różanowski

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

POLITYKA ZARZĄDZANIA RYZYKIEM

Instrukcja. ocena aspektów środowiskowych PE-EF-P01-I01

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Cel i zakres. Podstawowe pojęcia

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

Bezpieczeństwo dziś i jutro Security InsideOut

Regulamin zarządzania ryzykiem. Założenia ogólne

SZCZEGÓŁOWY HARMONOGRAM KURSU

Bezpieczeństwo informacji. jak i co chronimy

1/5 INSTRUKCJA OCENY RYZYKA W OPOLSKIM URZĘDZIE WOJEWÓDZKIM W OPOLU I. CEL WYDANIA PROCEDURY

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Polityka zarządzania ryzykiem na Uniwersytecie Ekonomicznym w Poznaniu. Definicje

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Zarządzanie projektami a zarządzanie ryzykiem

BAKER TILLY POLAND CONSULTING

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

ZARZĄDZANIE RYZYKIEM

PROCEDURY ZARZĄDZANIARYZYKIEM

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

ISO/IEC ISO/IEC 27001:2005. opublikowana ISO/IEC 27001:2005. Plan prezentacji

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Imed El Fray Włodzimierz Chocianowicz

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r.

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

ZARZĄDZENIE Nr 90/09 WÓJTA GMINY MROZY z dnia 16 grudnia 2009 roku

mgr inż. Iwona Matysiak mgr inż. Roksana Banachowicz dr inż. Dorota Brzezińska

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

ZARZĄDZENIE NR 44/2013 BURMISTRZA MIASTA-GMINY STRYKÓW. z dnia 7 czerwca 2013 r. w sprawie zarządzanie ryzykiem

Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia roku

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Krzysztof Świtała WPiA UKSW

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Normalizacja dla bezpieczeństwa informacyjnego

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

Procedura identyfikacja i ocena aspektów środowiskowych Operatora Gazociągów Przesyłowych GAZ-SYSTEM S.A. Instrukcja

Zdrowe podejście do informacji

Zasady analizy ryzyka w Urzędzie Miasta Leszna

Załącznik nr 5 do Regulaminu kontroli zarządczej. Tytuł procedury: ZARZĄDZANIE RYZYKIEM SPIS TREŚCI

Ocena Ryzyka Zawodowego AKTUALIZACJA OCENY RYZYKA ZAWODOWEGO NA STANOWISKACH PRACY W ZESPOLE SZKÓŁ SAMORZĄDOWYCH W PARADYŻU

Zasady funkcjonowania systemu kontroli zarządczej w Urzędzie Miasta Lublin i jednostkach organizacyjnych miasta Lublin akceptowalny poziom ryzyka

ISO w Banku Spółdzielczym - od decyzji do realizacji

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Prelegent : Krzysztof Struk Stanowisko: Analityk

POLITYKA ZARZĄDZANIA RYZYKIEM

Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Zarządzenie Nr 90/2008 Burmistrza Miasta Czeladź. z dnia

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

System Zachowania Ciągłości Funkcjonowania Grupy KDPW

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Kwestionariusz samooceny kontroli zarządczej

ZARZĄDZENIE NR 41/2016 STAROSTY NOWODWORSKIEGO. z dnia 26 października 2016 r.

Transkrypt:

Strona 1 z 11 Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw Szacowanie ryzyka 1/11

Strona 2 z 11 Szacowanie ryzyka Praktyczny przewodnik Podstawowe pojęcia Szacowanie ryzyka całościowy proces analizy i oceny ryzyka Ryzyko prawdopodobieństwo wystąpienia zagrożenia, które, wykorzystując podatność(ci) aktywu, może doprowadzić do jego uszkodzenia lub zniszczenia. Aktyw wszystko to, co ma wartość dla organizacji Elementy szacowania ryzyka Poniżej zaprezentowane są elementy składowe ryzyk, które są brane pod uwagę w procesie szacowania ryzyka. Są nimi aktywa, ich wartość, potencjalne zagrożenia, prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywu na zagrożenie, wpływ zagrożenia na bezpieczeństwa łańcucha dostaw oraz stosowane zabezpieczenia. Wzajemne relacje pomiędzy poszczególnymi elementami obrazuje poniższy schemat: Rysunek 1. Struktura analizy ryzyka (opracowanie własne) Szacowanie ryzyka 2/11

Strona 3 z 11 Kroki szacowania ryzyka Krok 1 Identyfikacja aktywów Kluczowym elementem procesu szacowania ryzyka są aktywa. Oznacza to, że należy przeprowadzić inwentaryzację aktywów organizacji i określić ich wartość dla organizacji. Podczas określania wartości aktywu należy rozważyć, jaki wpływ na funkcjonowanie organizacji będzie miała jego utrata, naruszenie, awaria lub inne problemy z nim związane. Im większy wpływ tym większa wartość aktywu. Wartość najlepiej oceniać z punktu widzenia znaczenia dla zapewnienia ciągłości biznesu i jego bezpieczeństwa. Wyniki najlepiej wyrażać w konkretnych wartościach finansowych, ale ponieważ w przypadku takich aktywów jak wizerunek firmy czy też wiedza pracowników trudno jest określić ich wartość kwotowo, możemy przyjąć inny sposób oceny wartości względną ocenę istotności aktywu w stosunku do pozostałych aktywów. Stosując skalę np. czterostopniową, ważne jest określenie znaczenia poszczególnych wystąpień. Tabela 1. Bardzo duża Znacząca Średnia Pomijalna Istotność aktywu utrata lub naruszenie bezpieczeństwa aktywu powoduje przerwanie ciągłości procesów biznesowych utrata lub naruszenie bezpieczeństwa aktywu może mieć wpływ na realizację procesów biznesowych utrata lub naruszenie bezpieczeństwa aktywu powoduje utrudnienia w normalnym funkcjonowaniu procesu biznesowego utrata lub naruszenie bezpieczeństwa aktywu nie ma wpływu na funkcjonowanie procesu biznesowego gdzie pozycja Bardzo duża oznacza najwyższą istotność, a Pomijalna najniższą istotność. Krok 2 Identyfikacja zagroŝeń Chcąc zabezpieczyć nasze aktywa, należy wiedzieć, przed czym chcemy je zabezpieczać, czyli jakie zagrożenia mogą wystąpić w przypadku konkretnego aktywu. Dobrą praktyką jest wskazywanie Szacowanie ryzyka 3/11

Strona 4 z 11 przede wszystkim rzeczywistych zagrożeń tzn. takich, które mogą wystąpić i występują w organizacji (konkretne awarie, braki zasilania, kradzieże, napady, uszkodzenia, braki wymaganych dokumentów, ludzie i ich kompetencje, wiedza, umiejętności, błędy itp), a nie tylko takich, które łatwo wymienić (zamach terrorystyczny, zrzut paliwa przez lądujące awaryjnie samoloty - tam gdzie nie ma lotniska) itp. Z punktu widzenia kompletności szacowania ryzyka powinna być brana pod uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych), ale należy pamiętać, że istotnym elementem procesu analizy ryzyka jest możliwość uzyskania aktualnych i miarodajnych wyników. Zbyt rozbudowana analiza o mniej istotne elementy może spowodować, że w momencie jej zakończenia już będzie nieaktualna. Krok 3 Określenie prawdopodobieństwa Nie wszystkie zagrożenia występują tak samo często, stąd wprowadzone zostało pojęcie prawdopodobieństwa wystąpienia zagrożenia. Awarie urządzeń, czy brak zasilania są na pewno częstsze niż pożary czy zrzuty paliwa przez lądujące awaryjnie samoloty. Jakie przyjąć stopniowanie określania prawdopodobieństwa, to oczywiście zależy od struktury organizacji, jej branży i wielkości. Dobrą praktyką, która sprawdziła się w czasie szacowania ryzyka w prowadzonych wdrożeniach w firmach rynku MSP (małe i średnie przedsiębiorstwa), jest stosowanie skali nie większej niż 3-stopniowa, np: Wysokie, Średnie, Pomijalne, gdzie: Tabela 2. Wysokie Średnie Pomijalne Prawdopodobieństwo wystąpienia zagrożenia występuje często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością lub jest bardzo prawdopodobne wystąpiło w ostatnim roku lub zdarza się nieregularnie lub jest prawdopodobne nie wystąpiło ani razu w ciągu ostatniego roku lub jest nieprawdopodobne gdzie prawdopodobieństwo Wysokie oznacza najwyższe prawdopodobieństwo, a Pomijalne najniższe. Szacowanie ryzyka 4/11

Strona 5 z 11 Krok 4 Określenie podatności Jeśli wiemy już, co chronimy (aktywa), dlaczego (istotność), przed czym (zagrożenia), to należy jeszcze określić słabe strony naszych aktywów tzn. cechy i/lub właściwości aktywu, które mogą zostać wykorzystane przez zagrożenie. Papier chronimy przez spaleniem, ponieważ nie jest odporny na ogień wprost przeciwnie - jest podatny na spalenie. Konkretne urządzenie jest zagrożone wystąpieniem awarii, ponieważ pracuje 24 h na dobę (podatność ciągła praca) lub w trudnych warunkach (podatność trudne warunki pracy: zapylenie, inne). Po co określać podatności? Jeśli z analizy ryzyka uzyskamy wynik, że ryzykownym aktywem jest np. budynek, a zagrożeniem ulewna burza to przy wskazanej podatności niedrożna kanalizacja deszczowa otrzymujemy wyraźną sugestię, że należy wdrożyć zabezpieczenia związane z możliwością podtopienia budynku z powodu niedrożnej kanalizacji, np. okresowe udrażnianie/przegląd owej kanalizacji. Krok 5 Określenie wpływu zagroŝenia a poziom zabezpieczeń Ostatnimi elementami domykającymi analizę są kwestie związane z oceną wpływu zagrożenia na aktyw oraz określenie poziomu wdrożonych zabezpieczeń. Tabela 3. Krytyczny Średni Pomijalny Nie dotyczy Wpływ/skutek wystąpienia zagrożenia wystąpienie zagrożenia powoduje wystąpienia efektu biznesowego, wysoki koszt, utrata wizerunku firmy, brak możliwości realizacji zadań wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże utrudnienie w pracy wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny Wystąpienie zagrożenia nie ma wpływu na aktywo gdzie wpływ Krytyczny oznacza najwyższą wartość (największy wpływ), a Nie dotyczy najniższą wartość (najmniejszy wpływ); Szacowanie ryzyka 5/11

Strona 6 z 11 Tabela 4. Wysoki Średni Niski Nie dotyczy Poziom zabezpieczeń występujące zabezpieczenie chroni skutecznie przed wskazanymi zagrożeniami występują częściowe zabezpieczenia, które chronią tylko wybrane obszary lub nie są w pełni skuteczne. praktycznie brak jest jakichkolwiek zabezpieczeń lub są one nieskuteczne Wystąpienie zagrożenia nie ma wpływu na aktywo gdzie poziom Wysoki oznacza najwyższą wartość (najwyższy poziom zabezpieczeń), a Nie dotyczy najniższą wartość (najniższy poziom zabezpieczeń); Krok 6 Określenie ryzyka szczątkowego Ryzyko aktywu wskazuje nam na ile obawiamy się realnej utraty bezpieczeństwa tego aktywu na tle pozostałych aktywów w sytuacji, kiedy nie stosujemy jeszcze żadnych zabezpieczeń. Lista aktywów, posortowana wg ich ryzyk, stanowi podstawę do określenia, jakie zabezpieczenia powinny być wybrane w celu ochrony najbardziej ryzykownych aktywów. W celu uzyskania porównywalnych ze sobą ryzyk aktywów, należy ustalić sposób ich obliczania. Żeby móc obliczyć ich wartość należy podstawić do poniższego wzoru wartości liczbowe przypisane do poszczególnych pozycji. Wielkości nie są istotne, ważna jest ich powtarzalność. Ryzyko aktywu jest obliczane wg następującego wzoru: gdzie: R a = Σ(W a x Pw z ) R a ryzyko aktywu W a wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności), rozumiany jako; W a =Σ p (W *W pd ) gdzie: Szacowanie ryzyka 6/11

Strona 7 z 11 Σ p suma wg podatności W - wpływ zagrożenia na biznes Pw z prawdopodobieństwo wystąpienia zagrożenia Po wyborze i wdrożeniu zabezpieczeń należy ponownie przeprowadzić szacowanie ryzyka, ale już z uwzględnieniem poziomów zabezpieczeń, jakie wg nas zostały zapewnione dzięki wdrożonym zabezpieczeniom są to ryzyka szczątkowe. Ryzyko szczątkowe natomiast obliczane jest wg następującego wzoru: R sa = W sa x Pw z gdzie: R sa ryzyko szczątkowe W sa wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności oraz zastosowanych zabezpieczeń); W a =Σ p (W/Z *W pd ); gdzie: Z poziom zabezpieczeń przed wpływem zagrożenia W efekcie uzyskujemy ryzyka szczątkowe aktywów, dla których kierownictwo organizacji określa i akceptuje poziom ryzyka akceptowalnego jako ustaloną wartość ryzyka, poniżej którego ryzyka aktywów zostają uznane za akceptowalne. Szacowanie ryzyka 7/11

Strona 8 z 11 1. Wynik szacowania ryzyka Ryzyka szczątkowe aktywów Ryzyko szczątkowe Poziom ryzyka akceptowalnego Aktyw 1 Aktyw 2 Aktyw 3 Aktyw 4 Aktyw 5 Aktyw 6 Aktyw 7 Aktyw 8 Aktywa Określenie poziomu ryzyka akceptowalnego w zasadzie kończy etap szacowania ryzyka, kolejnym krokiem jest przygotowanie planów, mających na celu obniżenie ryzyk szczątkowych aktywów, których ryzyko szczątkowe jest większe od ustalonej wartości ryzyka akceptowalnego. Zestawienie aktywów wg ryzyka (bez zabezpieczeń) wyznacza nam listę aktywów najbardziej ryzykownych dla organizacji tzw. stan 0. Na podstawie tej listy powinno się dobierać odpowiednie zabezpieczenia (uwzględniając istniejące), natomiast na podstawie ryzyk szczątkowych przygotować plan postępowania z ryzykiem. Sposób realizacji Żeby wyniki analizy ryzyka były kompletne i obejmowały wszystkie rozpatrywane zagadnienia w organizacji, powinny być przygotowywane przy współudziale osób reprezentujących wszystkie obszary funkcjonowania organizacji, będące w analizowanym zakresie, np: Zarządzanie firmą Spedycja Szacowanie ryzyka 8/11

Strona 9 z 11 Finansowo-Księgowy Zasoby ludzkie IT Ochrona fizyczna Administracja Dział Prawny itp. Osoby reprezentujące poszczególne obszary (właściciele aktywów) są odpowiedzialne za przygotowanie cząstkowym analiz ryzyka, obejmujących aktywa w swoim obszarze i przekazanie ich do wskazanej osoby, która po scaleniu uzyska wyniki analizy dla całej organizacji. Podsumowanie Podsumowując, zadaniem procesu szacowania ryzyk aktywów jest wskazanie aktywów najbardziej zagrożonych w firmie (miejsc o relatywnie wysokim prawdopodobieństwie zmaterializowania się zagrożenia), dzięki czemu wiemy, którymi aktywami należy się zająć w pierwszej kolejności i wdrożyć dla nich zabezpieczenia (fizyczne, techniczne lub organizacyjne). Wdrożenie zabezpieczeń może wiązać się z koniecznością przeznaczenia dodatkowych funduszy na ten cel. Wyniki szacowania są podstawą do uzasadnienia kierownictwu, dlaczego należy wydać pieniądze i dlaczego zabezpieczamy właśnie te, a nie inne aktywa. Poniższy schemat prezentuje całościowy proces zarządzania ryzykiem, gdzie identyfikacja aktywów i zmian, oraz szacowanie ryzyka są jego częścią. Szacowanie ryzyka 9/11

Strona 10 z 11 2. Zarządzanie ryzykiem Po wprowadzeniu zabezpieczeń ponownie szacujemy ryzyko (aktualizacji podlega poziom zabezpieczeń) i ponownie otrzymujemy listę aktywów i ich ryzyk, które kierownictwo akceptuje, lub też nie akceptuje i należy określić kolejne zabezpieczenia. Jak często naleŝy przeprowadzać proces szacowania ryzyka? Dobre praktyki sugerują przeprowadzanie przeglądu zarządzania nie rzadziej niż raz w roku, a ponieważ wejściem na przegląd jest również raport z analizy ryzyka stąd w ten sposób określono niezbędną minimalną częstotliwość aktualizacji ryzyk. Z drugiej jednak strony norma wskazuje konieczność aktualizacji analizy po każdej zmianie, która może mieć wpływ na funkcjonujący system zarządzania. Wsparcie informatyczne Podczas przeprowadzania procesu szacowania ryzyka ułatwieniem jest wykorzystanie oprogramowania wspomagającego szacowanie ze względu na ilość danych, które należy wziąć pod uwagę. Przykładem takiego oprogramowania jest Certus Risk Analyzer firmy Centrum Doskonalenia Zarządzania Meritum, dostępny w wersji demo (tzn. bez możliwości zapisu wyników pracy) pod adresem http://www.centrum-doskonalenia.pl, którego zasady funkcjonowania są oparte o omawianą w tym opracowaniu metodykę. Szacowanie ryzyka 10/11

Strona 11 z 11 Literatura 1. PN ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji, PKN, 2007 2. PN ISO/IEC 17799:2005 Praktyczne zasady zarządzania bezpieczeństwem informacji, PKN, 2007 3. ISO 28000:2007 Specification for security management systems for the supply chain, ISO 2007 4. ISO/IEC TR 13335 część 1 do 4 Wytyczne do zarządzania bezpieczeństwem systemów informatycznych, PKN, 5. The Security Risk Management Guide, Microsoft Corporation, 2006 6. Threat and Risk Assessment Working Guide, Government of Canada, Communications Security Establishment, 1999; Szacowanie ryzyka 11/11

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres