Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji



Podobne dokumenty
ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Reforma ochrony danych osobowych RODO/GDPR

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

Maciej Byczkowski ENSI 2017 ENSI 2017

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Kryteria oceny Systemu Kontroli Zarządczej

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Kompleksowe Przygotowanie do Egzaminu CISMP

Wstęp 1. Misja i cele Zespołu Szkół Integracyjnych w Siemianowicach Śląskich 2

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

osobowe pracowników laboratorium SecLab EMAG w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów oraz inne osoby i instytucje mające dostęp

Szkolenie otwarte 2016 r.

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zarządzanie ryzykiem w bezpieczeństwie informacji

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Zarządzenie wewnętrzne Nr 19/2013 Burmistrza Miasta Środa Wielkopolska z dnia 26 września 2013 r.

POLITYKA ZARZĄDZANIA RYZYKIEM

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

POLITYKA ZARZĄDZANIA RYZYKIEM

Ocena dojrzałości jednostki. Kryteria oceny Systemu Kontroli Zarządczej.

Regulamin zarządzania ryzykiem. Założenia ogólne

SZCZEGÓŁOWY HARMONOGRAM KURSU

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Wydanie 1.0. Metodyka zarządzania ryzykiem w ochronie danych osobowych

I. Postanowienia ogólne

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

Minimalne wymogi wdrożenia systemu kontroli zarządczej w jednostkach organizacyjnych miasta Lublin

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

ISO bezpieczeństwo informacji w organizacji

W celu skutecznego zarządzania ryzykiem, wprowadzam zasady zarządzania ryzykiem w PWSZ w Ciechanowie.

Informacje dla Klientów opracowane na podstawie Polityki Ochrony Danych Osobowych w Miejskim Zakładzie Gospodarki Komunalnej Sp. z o.o.

Krzysztof Świtała WPiA UKSW

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

Grzegorz Pieniążek Hubert Szczepaniuk

Wprowadzenie do RODO. Dr Jarosław Greser

Dokumenty, programy i czynności składające się na system kontroli zarządczej w Urzędzie Gminy w Wierzbicy. A. Środowisko wewnętrzne.

Zarządzanie ryzykiem w bezpieczeostwie IT

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Rola audytu w zapewnieniu bezpieczeństwa informacji w jednostce. Marcin Dublaszewski

STRATEGICZNE MYŚLENIE - WYKORZYSTANIU NARZĘDZI IT KONTROLA ZARZĄDCZA PRZY. Szczyrk, 2-3 czerwiec 2016

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Inspektor ochrony danych

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

Prelegent : Krzysztof Struk Stanowisko: Analityk

Bezpieczeństwo informacji. jak i co chronimy

OFERTA Usług audytowych i doradczych w zakresie ochrony danych osobowych dla jednostek administracji publicznej

ZARZĄDZANIE RYZYKIEM

Warszawa, dnia 15 stycznia 2014 r. Poz. 3

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Sąsiedzi: bezpieczeństwo IT w wybranych standardach niemieckich i francuskich. Maciej Kaniewski

Zarządzanie ryzykiem w rozwiązaniach prawnych. by Antoni Jeżowski, 2014

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

Ale ile to kosztuje?

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

Polityka Bezpieczeństwa Danych Osobowych. w sklepie internetowym kozakominek.pl prowadzonym przez firmę Worldflame Sp. z o. o.

Imed El Fray Włodzimierz Chocianowicz

Szczegółowy opis przedmiotu zamówienia:

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Realizacja rozporządzenia w sprawie Krajowych Ram Interoperacyjności wnioski i dobre praktyki na podstawie przeprowadzonych kontroli w JST

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Normalizacja dla bezpieczeństwa informacyjnego

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Rozdział 4 Procedura DPIA (Data Protection Impact Assessment)

Rektora Państwowej Wyższej Szkoły Zawodowej w Tarnowie z dnia 30 grudnia 2013 roku

Księga Zintegrowanego Systemu Zarządzania ODPOWIEDZIALNOŚĆ KIEROWNICTWA

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Załącznik nr 5 do Regulaminu kontroli zarządczej. Tytuł procedury: ZARZĄDZANIE RYZYKIEM SPIS TREŚCI

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Warszawa, dnia 21 czerwca 2013 r. Poz. 15 OBWIESZCZENIE KOMISJI NADZORU FINANSOWEGO. z dnia 21 czerwca 2013 r.

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Procedura zarządzania ryzykiem w Państwowej WyŜszej Szkole Zawodowej w Elblągu

Audyt zgodności z RODO, analiza ryzyka i DPIA dwudniowe warsztaty

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

HARMONOGRAM SZKOLENIA

Polityka bezpieczeństwa przeznaczona dla administratora danych, który nie powołał administratora bezpieczeństwa informacji

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

PROGRAM TRZYDNIOWEGO KURSU DLA IOD - JAK DOSTOSOWAĆ ORGANIZACJĘ DO WYMOGÓW OGÓLNEGO ROZPORZĄDZENIA O OCHRONIE DANYCH (RODO/GDPR)

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Instrukcja zarządzania ryzykiem

Zarządzenie Nr 18/2011 Rektora Państwowej Wyższej Szkoły Zawodowej w Koninie z dnia 29 marca 2011 r.

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r.

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

Transkrypt:

2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Niniejszy przewodnik dostarcza praktycznych informacji związanych z wdrożeniem metodyki zarządzania ryzykiem w obszarze bezpieczeństwa informacji. Fundacja Veracity 2012-07-15

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 2 Spis treści Wprowadzenie...3 Główne etapy procesu zarządzania ryzykiem...4 Identyfikacja zasobów informacyjnych...5 Definiowanie zagrożeń...6 Identyfikacja podatności...7 Szacowanie ryzyka...8 Postępowanie z ryzykiem...9 Podsumowanie... 10

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 3 Wprowadzenie Proces zarządzania ryzykiem jest procesem cyklicznym realizowanym w celu zdefiniowania najważniejszych zagrożeń, które wpłynąć mogą negatywnie na informacje przetwarzane w naszej organizacji. Opracowana metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji określa główne etapy procesu zarządzania ryzykiem oraz role i odpowiedzialności w zakresie ich realizacji. Przeprowadzenie procesu zarządzania ryzykiem pozwoli nam wdrożyć rozwiązania organizacyjne lub techniczne przede wszystkim w tych obszarach, które są kluczowe z punktu widzenia naszej organizacji, jak również w ujęciu najbardziej prawdopodobnych zagrożeń jakie mogą wystąpić w naszej organizacji. Administrator Bezpieczeństwa rola/osoba odpowiedzialna za obszar bezpieczeństwa informacji w naszej organizacji

CYKLICZNA REALIZACJA PROCESU ZARZĄDZANIA RYZYKIEM (1/ROK) Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 4 Główne etapy procesu zarządzania ryzykiem IDENTYFIKACJA ZASOBÓW INFORMACYJNYCH Jakie informacje/zasoby mają wartość dla naszej organizacji? Co chcemy chronić / zabezpieczyć? DEFINIOWANIE ZAGROŻEŃ Przed czym chcemy chronić/zabezpieczyć nasze zasoby? IDENTYFIKACJA PODATNOŚCI W jaki sposób zabezpieczyliśmy się przed zagrożeniami? Jakie słabości / błędy mogą spowodować wystąpienie zagrożeń? SZACOWANIE RYZYKA Określenie poziomu ryzyk i ich porównanie Wskazanie ryzyk wysokich POSTĘPOWANIE Z RYZYKIEM Propozycja działań mających na celu obniżenie ryzyk wysokich i tym samym ograniczenie możliwości wystąpienia zagrożeń

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 5 Identyfikacja zasobów informacyjnych W pierwszym kroku procesu zarządzania ryzykiem, musimy określić jakie informacje przetwarzamy w naszej organizacji oraz jakie zasoby/systemy wykorzystujemy do ich przetwarzania. Mówiąc o informacjach najlepiej podzielić je w grupy tematyczne tworząc tzw. grupy informacji. Dla przykładu mogą to być m.in. informacje finansowo-księgowe, dane kadrowe, dane strategiczne, dane Klientów itp. Za inwentaryzacje aktywów na poziomie poszczególnych komórek organizacyjnych odpowiedzialni mogą być ich kierownicy. Osoby na poziomie kierowników powinni być również wyznaczone jako Właściciele zasobów, którzy odpowiadają m.in. za określenie ważności danej grupy informacji i zasad postępowania z tą grupą informacji w naszej organizacji. Mając wyznaczone grupy informacji wraz z właścicielami należy określić ważność tych grup informacji wg przyjętych kryteriów. Ocena ważności grup informacji powinna uwzględniać trzy aspekty bezpieczeństwa informacji a mianowicie poufność, integralność oraz dostępność i może przyjmować wartości liczbowe (np. 1-4) jak i opisowe/jakościowe np. krytyczne, ważne, wewnętrzne, ogólnodostępne. Ważność grupy informacji przekładać się będzie na skutek jej utraty w przypadku wystąpienia konkretnego zagrożenia (skutek utraty ważnych informacji jest proporcjonalnie większy do skutku utraty informacji mniej ważnych). Dla poszczególnych informacji zaleca się również wskazać systemy informatyczne wykorzystywane do przetwarzania tych informacji. Wynikiem etapu I jest lista grup informacji ocenionych pod względem ważności wraz z właścicielami zasobów oraz zasobami/systemami informatycznymi wykorzystywanymi do przetwarzania tych informacji. Zebrane od kierowników dane Administrator Bezpieczeństwa uspójnia i przedstawia najwyższemu kierownictwu do zatwierdzenia.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 6 Definiowanie zagrożeń Realizacja etapu pierwszego pozwala nam zidentyfikować i ocenić zasoby informacyjne w naszej organizacji. Celem etapu drugiego jest zidentyfikowanie zagrożeń, które mogą wpłynąć na utratę poufności, integralności i dostępności tych zasobów. Zagrożenia to nic innego jak odpowiedź na pytanie co złego może stać się z naszymi informacji. Etap ten zrealizowany może być przez Administratora Bezpieczeństwa przy wsparciu Właścicieli zasobów. Zaleca się, aby zidentyfikować zagrożenia, których realizacja jest realna w środowisku w jakim funkcjonuje organizacja. Tym samym często uwzględniane będą zagrożenia typu pożar, kradzież, atak wirusowy, natomiast rzadziej zagrożenia typu erupcja wulkanu, trzęsienie ziemi. W praktyce lista zagrożeń nie powinna być zbyt rozbudowana. Stworzenie katalogu większego niż 20-30 zagrożeń spowoduje duże problemy podczas etapu szacowania ryzyka. Administrator Bezpieczeństwa przedstawia listę zagrożeń do zatwierdzenia najwyższemu kierownictwu.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 7 Identyfikacja podatności Mając wiedzę o tym co chcemy chronić, jak również przed czym chcemy się chronić, przechodzimy do oceny aktualnego stanu naszej organizacji w kontekście tych zagrożeń. Analizujemy zabezpieczenia, które mają nas chronić przed zagrożeniami znajdującymi się na liście zagrożeń oraz ich skuteczność. Identyfikujemy słabości/podatności, które mogą być wykorzystane przez poszczególne zagrożenia. Przykładowo analizując zagrożenie ataku wirusowego sprawdzamy czy nasz system antywirusowy jest zainstalowany na wszystkich stacjach roboczych oraz czy jest prawidłowo zarządzany w tym aktualizowany. Przygotowane w etapie pierwszym zestawienie grup informacji z systemami informatycznymi pozwala teraz ocenić podatność danej grupy w kontekście poszczególnych systemów informatycznych. Zebranie tych danych pozwala nam ocenić poziom podatności, który może być wyrażony liczbowo np. 1-3 lub 1-4 albo też jakościowo/słownie prawdopodobieństwo niskie, średnie, wysokie, bardzo wysokie. Ilość i skuteczność zabezpieczeń powoduje, że prawdopodobieństwo wystąpienia zagrożenia maleje, natomiast liczba zidentyfikowanych słabości/podatności wpływa na wzrost poziomu prawdopodobieństwa. Na wartość prawdopodobieństwa wpływ mogą mieć również informacje o incydentach, które występowały w tym zakresie w przeszłości. Jeżeli zagrożenia w przeciągu ostatnich 2 lat wystąpiło kilka razy i w tym zakresie w naszej organizacji nie zaszły znaczące zmiany, oznacza to, że poziom prawdopodobieństwa powinien oscylować w górnych granicach. W etap identyfikacji podatności zaangażowani są m.in. Administrator Bezpieczeństwa, Właściciele Zasobów, a także specjaliści jak administratorzy IT, którzy posiadają wiedzę pozwalającą ocenić i zweryfikować zabezpieczenia oraz znaleźć słabości/podatności w środowisku informatycznym.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 8 Szacowanie ryzyka Administrator Bezpieczeństwa na podstawie danych zebranych w etapach 1-3 dokonuje szacowania ryzyka. Jednym z najprostszych a jednocześnie skutecznym rozwiązaniem do oceny poziomu ryzyka jest zastosowania prostej macierzy łączącej prawdopodobieństwo wystąpienia zagrożenia z jego skutkiem. Przykładowa macierz ryzyka może wyglądać następująco: Skutek Prawdopodobieństwo 1 2 3 4 1 N N N N 2 N N S S 3 N S S W 4 S S W W Po podstawieniu danych do powyższej tabeli otrzymujemy wartości ryzyka: N ryzyko niskie; S ryzyko średnie; W ryzyko wysokie. Wartość ryzyka obliczamy dla każdej pary grupa informacji zagrożenie. Administrator Bezpieczeństwa przygotowuje raport z procesu analizy ryzyka, który przedstawia najwyższemu kierownictwu do akceptacji. W raporcie tym uwzględnić może również propozycje decyzji w zakresie akceptacji lub braku akceptacji poszczególnych ryzyk. W praktyce często przyjmuje się rozwiązanie, w którym ryzyko na poziomie niskim jest ryzykiem akceptowalnym, ryzyko na poziomie średnim może być zaakceptowane lub nie przez właścicieli zasobów lub administrator bezpieczeństwa, natomiast ryzyko na poziomie wysokim jest ryzykiem nieakceptowanych, chyba że decyzję tą zmieni najwyższe kierownictwo.

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 9 Postępowanie z ryzykiem Po zatwierdzeniu raportu z analizy ryzyka i wyznaczeniu ryzyk nieakceptowanych, Administrator Bezpieczeństwa wraz z Właścicielami zasobów przygotowuje propozycję działań, które mają na celu ograniczyć poziom ryzyka. Przygotowując te działania kierować się można trzema sposobami postępowania z ryzykiem nieakceptowanym: Minimalizacja ryzyka - podjęcie działań usuwających problemy mające wpływ na wystąpienie danego poziomu ryzyka dla zagrożenia np. instalacja klimatyzacji w serwerowni w której wysoka temperatura powodowała spadek wydajności serwerów Unikanie ryzyka - konieczność podjęcia działań mających na celu zaprzestanie działań/działalności powodującej powstanie zagrożenia o danym poziomie np. zaprzestanie korzystania z systemów operacyjnych Windows 95 Transfer ryzyka - konieczność podjęcia działań mających na celu przekazanie odpowiedzialności w zakresie działań/działalności na podmioty zewnętrzne np. przekazanie utrzymania systemów IT firmie zewnętrznej i zapewnienie stosownych umów gwarantujących wysoki poziom bezpieczeństwa. Wyznaczając działania należy w sposób czytelny je opisać, wskazać na jakie zagrożenie wpłynie wdrożenie danego działania, kto ma dane działanie zrealizować oraz w jakim terminie. Jeśli organizacja chce być zgodna z wymaganiami normy ISO/IEC 27001 musi również wyliczyć wartości ryzyka szczątkowego, czyli wartość ryzyka jaka pozostanie po wdrożeniu przygotowanych działań. Jeżeli wyniki ryzyka szczątkowego są akceptowalne dla najwyższego kierownictwa, oznacza to, że przygotowane przez nas działania są wystarczające. Plan postępowania z ryzykiem jest akceptowalny przez najwyższe kierownictwo. Administrator Bezpieczeństwa jest odpowiedzialny za nadzorowanie realizacji działań z Planu postępowania z ryzykiem

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji 10 Podsumowanie Proces zarządzania ryzykiem realizowany jest cyklicznie proponujemy przeprowadzać ten proces w cyklach rocznych. W przypadku, przeprowadzania procesu po raz kolejny realizacja poszczególnych etapów, będzie polegała przede wszystkim na aktualizacji danych zebranych przed rokiem z uwzględnieniem zmian jakie zaszły od czasu zakończenia procesu ryzyka w tym zmian w zakresie funkcjonowania organizacji, zmian w środowisku/otoczeniu organizacji, zmian prawa i innych wymagań/standardów/norm, zmian technicznych jak np. wdrożenie nowych systemów informatycznych itp. Zaleca się stosowanie prostej i dostosowanej do organizacji metodyki, która spełni swój cel, czyli pozwoli skupić się najwyższemu kierownictwu na konkretnych problemach, które zagrażają utracie najważniejszych informacji dla organizacji.

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres