Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

Podobne dokumenty
Zarządzanie ryzykiem w bezpieczeostwie IT

Reforma ochrony danych osobowych RODO/GDPR

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

RODO zmiana podejścia do ochrony danych osobowych

osobowe pracowników laboratorium SecLab EMAG w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów oraz inne osoby i instytucje mające dostęp

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Maciej Byczkowski ENSI 2017 ENSI 2017

I. O P I S S Z K O L E N I A

Zdrowe podejście do informacji

risk AB ZARZĄDZANIE RYZYKIEM OPERACYJNYM Dodatkowe możliwości programu: RYZYKO BRAKU ZGODNOŚCI PRALNIA

Studium przypadku Bank uniwersalny

Imed El Fray Włodzimierz Chocianowicz

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Promotor: dr inż. Krzysztof Różanowski

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Kompleksowe Przygotowanie do Egzaminu CISMP

Adonis w Banku Spółdzielczym w Trzebnicy

Bezpieczeństwo dziś i jutro Security InsideOut

SZCZEGÓŁOWY HARMONOGRAM KURSU

ISO bezpieczeństwo informacji w organizacji

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Zarządzanie ryzykiem w bezpieczeństwie informacji

2Business Consulting Group. Bezpieczeństwo informacji. Systemy/Procedury

Opis systemu kontroli wewnętrznej funkcjonującego w Banku Pocztowym S.A.

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Plan szkolenia. Praktyczne aspekty wdrożenia ogólnego rozporządzenia o ochronie danych osobowych.

Ochrona danych osobowych i informacji prawnie chronionych. OCHRONA INFORMACJI PRAWNIE CHRONIONYCH. Korzyści i obowiązki

Centrum zarządzania bezpieczeństwem i ciągłością działania organizacji

Krzysztof Świtała WPiA UKSW

Certified IT Manager Training (CITM ) Dni: 3. Opis:

Monitorowanie systemów IT

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Grzegorz Pieniążek Hubert Szczepaniuk

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Prelegent : Krzysztof Struk Stanowisko: Analityk

APTEKO, PRZYGOTUJ SIĘ NA ZMIANY! RODO W PIGUŁCE

Analiza ryzyka nawierzchni szynowej Iwona Karasiewicz

Załącznik do zarządzenia nr 3/2011 Procedura zarządzania ryzykiem PROCEDURA ZARZĄDZANIA RYZYKIEM

Informacja dotycząca adekwatności kapitałowej HSBC Bank Polska SA na 31 grudnia 2009 r. Warszawa, 31 sierpnia 2010 r.

Spis treści WSTĘP STRATEGIE... 15

OGÓLNE ZASADY POSTĘPOWANIA OFERTOWEGO 1. W szczególnie uzasadnionych przypadkach Zamawiający może w każdym czasie, przed upływem terminu składania

Elementy wymagań ISO/IEC i zalecenia ISO/IEC osobowe. 8 - Bezpieczeństwo zasobów ludzkich. 8.1 Przed zatrudnieniem (1)

Pełnomocnik Rektora PŁ ds. Bezpieczeństwa Systemów Teleinformatycznych. Szkolenie redaktorów i administratorów serwisów WWW Politechniki Łódzkiej

POLITYKA BEZPIECZEŃSTWA INFORMACJI W BANKU SPÓŁDZIELCZYM W KSIĘŻPOLU. (Zawarta w planie ekonomiczno-finansowym

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

Zarządzanie bezpieczeństwem informacji w świetle zmian w prawie po 2014 roku

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Interoperacyjność i bezpieczeństwo danych w związku z analizą danych medycznych

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Opis systemu kontroli wewnętrznej w SGB-Banku S.A.

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

(Akty o charakterze nieustawodawczym) ROZPORZĄDZENIA

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

INFORMACJE DOTYCZĄCE ADEKWATNOŚCI KAPITAŁOWEJ ORAZ POLITYKI ZMIENNYCH SKŁADNIKÓW WYNAGRODZEŃ W MILLENNIUM DOMU MAKLERSKIM S.A.

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) / z dnia r.

Zarządzanie ryzykiem Klasyfikacja Edukacja. Maciej Iwanicki, Symantec Łukasz Zieliński, CompFort Meridian

Wytyczne. w sprawie rodzajów scenariuszy, które należy uwzględnić w planach naprawy EBA/GL/2014/ lipca 2014 r.

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

INFORMACJE DOTYCZĄCE ADEKWATNOŚCI KAPITAŁOWEJ GRUPY BANKU MILLENNIUM S.A. (WEDŁUG STANU NA DZIEŃ 31 GRUDNIA 2007 R.)

Zarządzanie Ryzykiem i Utrzymanie Ciągłości Działania w Kontekście Bezpieczeństwa Informacji

tel.: fax: ul. Cynamonowa 19 lok. 548, Warszawa (Poland)

zarządzam, co następuje: Ustala się Kodeks Etyki Pracowników w Ośrodku Pomocy Społecznej Kaszubskiej stanowiącą załącznik nr 1 do zarządzenia.

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Miejsce zarządzania ryzykiem w zarządzaniu bankiem Wykład trzeci

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

ZARZĄDZANIE WYMAGANIAMI ARCHITEKTONICZNYMI

Metody zarządzania ryzykiem finansowym w projektach innowacyjnych przedsięwzięć symulacja Monte Carlo i opcje realne

Polskie Towarzystwo Informatyczne Warszawa, 16 lutego 2011 r. Zarząd Główny

Wdrożenie wymagań RODO w organizacji niezbędne czynności i harmonogram ich realizacji

Zmiany w standardzie ISO dr inż. Ilona Błaszczyk Politechnika Łódzka

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

Zarządzanie ryzykiem w projektach informatycznych. Marcin Krysiński marcin@krysinski.eu

INFORMACJE DOTYCZĄCE ADEKWATNOŚCI KAPITAŁOWEJ W MILLENNIUM DOMU MAKLERSKIM S.A. (stan na dzień 31 grudnia 2012 r.)

FUNDUSZ POŻYCZKOWY DLA KOBIET. Ministerstwo Gospodarki Agencja Rozwoju Przedsiębiorczości. Jelenia Góra, grudzień 2014 r.

AUDYT BEZPIECZEŃSTWA INFORMACJI. Piotr Wojczys CICA Urząd Miejski w Gdańsku - Zespół Audytorów Wewnętrznych

Instrukcja do opracowania Koncepcji technicznej projektu

ZARZĄDZENIE NR Or BURMISTRZA MIASTA SANDOMIERZA. w sprawie zarządzania ryzykiem w Urzędzie Miejskim w Sandomierzu.

Podstawy organizacji systemów zarządzania bezpieczeństwem informacji dokumenty podstawowe

OPIS SYSTEMU ZARZĄDZANIA RYZYKIEM

INFORMACJE DOTYCZĄCE ADEKWATNOŚCI KAPITAŁOWEJ GRUPY BANKU MILLENNIUM S.A. (WEDŁUG STANU NA DZIEŃ 31 GRUDNIA 2008 R.)

ISO w Banku Spółdzielczym - od decyzji do realizacji

Usługa: Testowanie wydajności oprogramowania

PROCEDURA ANALIZY RYZYKA BEZPIECZEŃSTWA INFORMACJI 1. CEL PROCEDURY

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

ISO kroki w przód = ISO ISO Polska - Rzeszów 22 stycznia 2009r. copyright (c) 2007 DGA S.A. All rights reserved.

Transkrypt:

Strona1 Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji Spis treści I Wstęp... 2 II. W jakim celu określa się wartośd aktywów?... 2 III. Wartościowanie aktywów... 3 IV. Powiązanie istotności informacji z zasobami... 4 V. Przykładowy algorytm postępowania w procesie wartościowaniu aktywów wspierających... 5 VI. Podsumowanie... 6 Biografia... 6

Strona2 I Wstęp Organizacje tworzone są przez grupy ludzi, pełniących określone role, z przypisanymi odpowiedzialnościami. Ludzie tworząc wzajemne związki realizują zadania. Zadania te składają się na proces organizacyjny, który aby zachodził potrzebuje aktywów informacji. Ludzie, wykorzystując aktywa wspierające (często wykorzystywanym synonimem jest określenie zasoby ), przetwarzają informacje i realizują zdania w ramach konkretnego procesu. W ten sposób wiele niezależnych oraz zależnych (najczęściej) od siebie procesów generuje wyniki, które składają się na wytwarzany produkt lub dostarczaną przez organizację usługę. Procesy i informacje zalicza się do aktywów głównych. Ludzi, środki przetwarzania informacji oraz inne zasoby istotne z punktu widzenia przetwarzania informacji (np. budynki) zalicza się do aktywów wspierających. Na rysunku nr 1 zobrazowano wzajemne związki pomiędzy poszczególnymi elementami składającymi się na określoną organizację, realizującą wyznaczone cele biznesowe. Rys. 1. Wzajemne relacje pomiędzy elementami składającymi się na organizację II. W jakim celu określa się wartość aktywów? Wartośd aktywów jest jednym z podstawowych parametrów branym pod uwagę w procesie analizy ryzyka. Bez względu na kontekst wykonywania analizy ryzyka (kontekst bezpieczeostw informacji, kontekst ciągłości działania organizacji) szacując ryzyko należy określid wartośd wykorzystywanych w procesach aktywów (zasobów) i zdefiniowad sposób ich wartościowania. Wartośd zidentyfikowanego ryzyka jest proporcjonalna do wartości zasobu, z którym to ryzyko jest związane [1] tzn. im bardziej wartościowy jest dany zasób, tym większe może byd prawdopodobieostwo materializacji danego scenariusza (np. z punktu widzenia potencjalnych korzyści

Strona3 prawdopodobieostwo ataku hakera na bazę danych zawierającą numery kart kredytowych jest większe niż na bazę danych zawierającą informacje o pracownikach danej organizacji) lub/oraz tym większe skutki mogą zaistnied w wyniku materializacji scenariusza (np. utrata poufności numerów kart kredytowych może doprowadzid do wielomilionowych strat dla banku, na które mogą składad się np. kary, odpływ klientów). Określenie wartości aktywów jest więc istotne z punktu widzenia szacowanych skutków materializacji danego ryzyka. III. Wartościowanie aktywów Wartościowanie aktywów nie jest sprawą prostą, szczególnie w obliczu różnorodności aktywów [2], które wchodzą w zakres systemu zarządzania bezpieczeostwem informacji. Wyróżnia się różne grupy aktywów podlegających inwentaryzacji [2]. Do aktywów głównych zalicza się procesy organizacyjne oraz informacje. Do aktywów wspierających można zaliczyd takie grupy aktywów jak: sprzęt, oprogramowanie, sied, personel, siedziba, usługi świadczone na rzecz organizacji, struktury organizacyjne. Określając wartośd aktywów można brad pod uwagę wiele różnych składowych. Najważniejsze z nich to: rodzaj informacji przetwarzanych przez aktywa, znaczenie aktywów w kontekście realizacji procesów, wartośd odtworzenia aktywów (wartośd zakupu), wartośd dostarczenia aktywów zastępczych. Do większości środków przetwarzania informacji można przypisad wartośd finansową - wiadomo ile kosztuje dany zasób lub jakie nakłady należy ponieśd, aby go zastąpid. Jednak nie wszystkie aktywa mogą zostad zwartościowane w tak oczywisty sposób. Dla przykładu sposób nadania wartości aktywom będącym pochodną ustanowienia w organizacji określonych struktur organizacyjnych (np. rola administratora bezpieczeostwa informacji) nie jest już taki oczywisty w każdym przypadku. Wartościując aktywa można posłużyd się metodami ilościowymi oraz jakościowymi. W praktyce wykorzystuje się metody mieszane, w których poszczególne wartości cząstkowe składają się na wypadkową wartośd zasobu. Wartośd aktywów może też byd określana poprzez skutki, które zaistnieją w wyniku materializacji danego scenariusza ryzyka dotyczącego określonego zasobu. W takim przypadku może się okazad, że utrata poufności określonej informacji ( zasób niematerialny ) przewyższy w konsekwencji fizyczną utratę zasobów np. naruszenie poufności kluczowej informacji (opracowana innowacyjna technologia) spowoduje utratę potencjalnych korzyści wyrażoną w setkach milionów złotych, podczas

Strona4 gdy fizyczne zniszczenie Centrum Przetwarzania Danych i czasowa niedostępnośd określonych aplikacji biznesowych (utrata dostępności informacji) przełoży się na mniejszą, kilkunastomilionową stratę, na którą złożą się koszty związane z odtworzeniem infrastruktury sprzętowej oraz straty wynikające z czasowego zatrzymania produkcji bądź nieświadczenia usługi. Na pierwszy rzut oka drugi przypadek wydawałby się o wiele gorszy w skutkach, gdyż tracone są aktualnie posiadane aktywa, a nie potencjalnie utracone korzyści. Mając na uwadze powyższe, z punktu widzenia poszczególnych atrybutów bezpieczeostwa informacji (poufnośd/integralnośd/dostępnośd) nadawanie wartości temu samemu zasobowi może byd odmienne. Inaczej będziemy wartościowad zasób rozważając zagrożenie doprowadzające do utraty poufności informacji na nim przetwarzanych (w tym przypadku znaczenie będzie miała istotnośd informacji, której poufnośd zostaje naruszona), a inaczej zwartościujemy ten sam zasób rozważając zagrożenie doprowadzające do utraty dostępności informacji w wyniku np. zniszczenia serwera i braku dostępu do krytycznej aplikacji biznesowej (w tym przypadku należałoby rozważyd nie tylko istotnośd informacji, ale również wartośd odtworzenia/zastąpienia serwera). Podsumowując - analiza wartości aktywów poprzez szacowanie skutków może odbywad się w obrębie konkretnego scenariusza ryzyka. IV. Powiązanie istotności informacji z zasobami Ponieważ analiza ryzyka w bezpieczeostwie informacji wykonywana jest w obrębie zinwentaryzowanych aktywów, należy zidentyfikowad w których aktywach wspierających przetwarzane są określone informacje (aktywa główne) oraz jaki ostatecznie wpływ ma dany zasób na proces organizacyjny, a tym samym na realizację celów biznesowych organizacji. W celu powiązania istotności informacji oraz zasobów można zastosowad następujące podejście opisane poniżej. Procesy jako aktywa główne do funkcjonowania potrzebują informacji (również aktywa główne) oraz szeregu aktywów wspierających (zasobów). Informacje przetwarzane są przez zasoby (lub inaczej w zasobach ). Zarówno informacje jak i zasoby wspierają realizację procesów. Na rysunku nr 2 zobrazowano kierunek przenikania istotności informacyjnej pomiędzy aktywami. Funkcjonowanie procesów organizacyjnych niezbędnych do wytworzenia produktów lub dostarczania określonych usług dla klientów zależy od zasobów. Pojedyncze zasoby mogą wspierad pojedyncze procesy lub całe grupy procesów. W związku z tym wartośd danego zasobu zależy od liczby procesów, które są przez niego wspierane. Oprócz samej liczby wspieranych przez zasób procesów należy uwzględnid również krytycznośd wspieranych procesów. Dane o krytyczności procesów można uzyskad wykonując analizę wpływu na biznes (ang. Business Impact Analisys). Ostatecznie na wartośd danego zasobu wpływają istotnośd informacji przetwarzanych przez dany zasób oraz liczba i istotnośd poszczególnych procesów przez ten zasób wspieranych.

Strona5 Rys.2. Zobrazowanie przenikania wartości pomiędzy aktywami V. Przykładowy algorytm postępowania w procesie wartościowaniu aktywów wspierających Organizacje, które chcą określid wartośd swoich aktywów mogą zastosowad poniższy algorytm działania (zobrazowany dodatkowo na rysunku nr 3): a) zdefiniowad i opisad procesy organizacyjne (aktywa główne), b) zidentyfikowad i sklasyfikowad informacje (aktywa główne), c) zidentyfikowad i zinwentaryzowad aktywa wspierające (zasoby), d) wskazad, które procesy i w jakim stopniu zależą od zasobu, e) wskazad które informacje są przetwarzane przez zasoby, f) wyliczyd wartośd (znaczenie) zasobu, g) przeprowadzid analizę ryzyka w odniesieniu do zasobów.

Strona6 Rys. 3. Przykładowy algorytm wyliczenia wartości zasobów na potrzeby analizy ryzyka VI. Podsumowanie Wartościując zasoby na potrzeby analizy ryzyka bezpieczeostwa informacji można stosowad różne podejścia. Ważne jest, aby pracownicy poszczególnych organizacji opracowali i stworzyli taką metodę postępowania w tym procesie, która: jest zrozumiała dla przedstawicieli organizacji, jest dostosowana do aktualnego poziomu dojrzałości systemu ochrony informacji funkcjonującego w organizacji, uwzględnia istotnośd informacji oraz znaczenie zasobów w kontekście funkcjonowania procesów, jest możliwa do zastosowania w praktyce tzn. organizacja jest w stanie zebrad i przetworzyd potrzebne dane niezbędne do wyliczenia wartości zasobów. Biografia 1 - Pr PN - I -13335-1 Technika informatyczna. Wytyczne do zarządzania bezpieczeostwem systemów informatycznych. Pojęcia i modele bezpieczeostwa systemów informatycznych 2 ISO/IEC 27005:2008 Technika informatyczna. Techniki bezpieczeostwa. Zarządzanie ryzykiem w bezpieczeostwie informacji Autor: Marek Abramczyk, CISA, CRISC, CISSP, LA ISO27001 23.09.2011 Poznao

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres