API tools faq
paste
Advertisement
Guest User

Untitled

a guest
Jan 23rd, 2018
105
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 5.36 KB | None | 0 0
raw download clone embed print report
  1. Metodyka analizy ryzyka bezpieczeństwa informacji
  2. Głównym celem analizy ryzyka bezpieczeństwa informacji jest wyznaczenie właściwych kierunków działania kierownictwa oraz określenie priorytetów dla zarządzania ryzykami i zabezpieczeniami. Wyniki analizy ryzyka prowadzą do opracowania planu postępowania z ryzykiem obejmującego wprowadzenie rozwiązań umożliwiających odpowiednio: unikanie tych ryzyk, ograniczanie ich do akceptowanego poziomu, przeniesienie lub świadomą ich akceptację.
  3. Niniejsza metoda analizy ryzyka oparta jest na zmodyfikowanym podejściu procesowym, gdzie punktem wyjścia są działy funkcjonujące w organizacji oraz prowadzone przez nie działalności (oraz zadania prowadzone przez poszczególnych pracowników). Podczas identyfikacji zadań identyfikowane są także przetwarzane informacje.
  4. Analizę ryzyka wg niniejszej metodyki należy przeprowadzić w oparciu o załączony formularz analizy ryzyka (arkusz MS Office).
  5. Pierwszy etap analizy polegający na identyfikacji zasobów i informacji pozwala na przeprowadzenie klasyfikacji informacji oraz ustalenie ich wagi dla organizacji. Należy na tym etapie wypełnić zakładki Cross, Zasoby oraz Informacje. Na tym etapie niezbędne jest także przypisanie zasobom informacji, jakie one przetwarzają lub do jakich mają dostęp (zakładka Cross). Dla zidentyfikowanych zasobów należy następnie rozważyć zagrożenia dla poufności, integralności i dostępności przetwarzanej przez nie informacji, co należy uwzględnić w zakładce Zagrożenia oraz Zasoby. Na tym etapie analizy należy zidentyfikować typy zagrożeń, których występowanie należy rozważyć dla wszystkich analizowanych zasobów - zarówno w kontekście przetwarzanej w procesach informacji, jaki i w aspekcie poufności, integralności i dostępności. W czasie analizy ryzyka zalecane jest zidentyfikowanie także podatności zagrożeń mogących wpływać na ryzyka analizowanych zasobów (zakładka Zagrożenia). W każdym przypadku należy określić także w odpowiedniej skali wpływ wystąpienia zakłócenia na funkcjonowanie zasobu, prawdopodobieństwo wystąpienia zakłócenia oraz zabezpieczenie zasobu przed wystąpieniem danego zakłócenia (lub możliwość wykrycia zakłócenia), rozumianego jako zmaterializowanie się zagrożenia. Dzięki określeniu relacji pomiędzy informacją a zasobem i zagrożeniem możliwe jest wyliczenie zagregowanej wartości informacji, zasobu oraz związanego z nimi ryzyka (zakładka Cross). Wyniki te są się podstawą do oszacowania ryzyka zasobu przetwarzającego informacje oraz opracowania planu postępowania z ryzykiem. Powyższa metodyka przedstawiona została na schemacie 1.
  6.  
  7. Schemat 1: Metodyka analizy ryzyka
  9.  
  10. Zasoby przetwarzające informacje w poszczególnych procesach identyfikowane podczas analizy ryzyka to zarówno aktywa materialne, strony zewnętrzne jak i pracownicy firmy, posiadający wiedzę z jakiegoś aspektu działania firmy i uczestniczący w realizacji zidentyfikowanych procesów. W każdym z analizowanych przypadków podawana jest również liczebność danego zasobu. Ma to na celu wykrycie sytuacji, w której ma on małe ryzyko jednostkowe, ale z uwagi na znaczną liczbę jednostek danego aktywu funkcjonujących w organizacji ryzyko ulega agregacji. Zakres wpływu liczebności zasobu został przypisany poprzez uwzględnienie wag liczebności ze względu na poufność, integralność i dostępność zasobu (zakładka Cross).
  11. W celu oceny stopnia ważności informacji dla organizacji zastosowano skalę wag istotności informacji dla placówki (zakładka Informacje).
  12. Analiza ryzyka stanowi skomplikowany proces mający na celu zapewnienie optymalnego poziomu kosztów systemu bezpieczeństwa i stosowanych zabezpieczeń w stosunku do przewidywanego ryzyka.
  13. Domyślnie przyjętym progiem opracowania wstępnych planów postępowania z ryzykiem jest próg 400 pkt. dla zasobu. Niniejsza metoda poprzez wyznaczenie priorytetu ryzyka pozwala na zaplanowanie wdrożenia zabezpieczeń w obszarach o największym poziomie ryzyka zasobów. Stosowanie zabezpieczeń dla zasobów prowadzi w efekcie do zabezpieczenia informacji przetwarzanej na lub przez dane zasoby.
  14. Decyzję o akceptowalnym poziomie ryzyka jak i dopuszczalnego ryzyka szczątkowego podejmuje kierownictwo placówki korzystając z wyników przeprowadzonej analizy ryzyka i uwzględniając monitorowanie incydentów i potencjalne zagrożenia oraz proponowane nowe sposoby zabezpieczeń.
  15. Zalecane jest rozważenie następujących wariantów postępowania z ryzykiem podczas opracowywania planu postępowania z ryzykiem:
  16. ⦁ unikanie ryzyka poprzez zmianę lub przekonfigurowanie procesów biznesowych, systemów w sposób uniemożliwiający materializację danego ryzyka,
  17. ⦁ przeniesienie ryzyka na stronę trzecią,
  18. ⦁ wprowadzenie dodatkowych zabezpieczeń, ograniczających ryzyko,
  19. ⦁ świadoma akceptacja ryzyka, czyli nie podejmowanie żadnych działań mających na celu jego ograniczenie.
  20. Kierownictwo placówki podejmuje decyzję o wyznaczeniu akceptowanego poziomu ryzyka bazując na:
  21. ⦁ realiach biznesowych i rynkowych organizacji,
  22. ⦁ ważności związanych z ryzykami zasobów i informacji,
  23. ⦁ wynikach poprzednich analiz ryzyka,
  24. ⦁ wiedzy o możliwościach technicznych i ekonomicznych organizacji,
  25. ⦁ doświadczeniu.
  26. Dowodem przeprowadzenia analizy ryzyka jest sporządzenie raportu z analizy ryzyka.
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!