Analiza ryzyka

Analiza ryzyka – wspólny mianownik RODO, KRI i ISO 27001

Analiza ryzyka

Dla organizacji, które wdrożyły System Zarządzania Bezpieczeństwem Informacji wg ISO 27001 zetknięcie się z pojęciem „analiza ryzyka” nie jest niczym nowym. Zaznajomione są już też z nim częściowo instytucje publiczne, które na mocy Rozporządzenia o Krajowych Ramach Interoperacyjności od maja 2015 roku zobligowane są do utrzymywania wzorowanego na ISO 27001 Systemu Zarządzania Bezpieczeństwem Informacji.

W maju 2018 r. analiza ryzyka stała się jednak procesem, który za sprawą nowego Rozporządzenia o Ochronie Danych Osobowych (RODO) będzie musiał zaistnieć w ogromniej większości firm i instytucji przetwarzających dane osobowe. Kwestia ta została szerzej opisana w artykule „GDPR/RODO i marketing zastraszany„.

Update: do wymienionych powyżej przepisów, które wymagają wdrożenia procesu analizy ryzyka z końcem 2018 r. dołączyła również Ustawa o Krajowym Systemie Cyberbezpieczeństwa.

O co chodzi?

Stosując dosyć ogólną definicję analiza ryzyka to ocena ryzyka zaistnienia incydentu naruszającego bezpieczeństwo aktywów (np. danych osobowych) i mogącego spowodować straty biznesowe. Chociaż definicja wydaje się dosyć zrozumiała, to próba poparcia jej jakimiś namacalnymi przykładami może początkowo nastręczyć nieco problemów. Problematyczne są zwłaszcza definicje, które warto tutaj przytoczyć:

Ryzyko: potocznie to wskaźnik stanu lub zdarzenia mogącego prowadzić do straty; związany z pewną obawą, niepewnością. Ryzyko to nie tylko samo prawdopodobieństwo, jest ono rzutowane na
subiektywne poczucie wartości i straty.

Strata: np. strata wizerunku lub zaufania, strata przewagi konkurencyjnej, strata spodziewanych przychodów lub klientów, strata przywilejów lub zgodności z prawem, strata aktywów – również niematerialnych.

Aktywa: wszystko co stanowi jakąś wartość dla organizacji i pomaga w osiąganiu jej celów, np.:

  • Wiedza, know-how
  • Pracownicy
  • Lokalizacja
  • Dostawcy, kontrakty
  • Dane
  • Licencje
  • Infrastruktura

Incydent: pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.

Bezpieczeństwo: określane jako jednoczesne spełnienie minimum trzech kryteriów: poufności, integralności i dostępności (niekiedy również rozliczalności).

Zagrożenie: czynnik odpowiedzialny za powstanie incydentu. Zagrożenia możemy pogrupować wg źródeł ich pochodzenia, co trochę ułatwi nam ich identyfikację:

  • Naturalne (zjawiska przyrodnicze, ale też np. wyczerpanie zasobów)
  • Losowe (awarie, wypadki, błędy ludzkie)
  • Zamierzone (kradzieże, ataki cyberprzestępców, akty wandalizmu, terroryści, hacktywiści)
  • Administracyjne (zmiana prawa)

Podatność: cecha sprzyjająca urzeczywistnieniu się potencjalnego zagrożenia. Przykładowo: wadliwa instalacja elektryczna jest podatnością wpływającą na zwiększone zagrożenie pożarowe.

O ile same definicje wydają się być zrozumiałe, o tyle problematyczne jest dopasowanie jakichś policzalnych wartości do zaznaczonych powyżej na czerwono określeń takich jak: „pewne”, „subiektywne”, „jakieś”, „znaczne”, „potencjalne”. Jak zatem określić poziom ryzyka, skoro wszystkie potrzebne do tego dane wejściowe są tak trudne do sprecyzowania?

Analiza ryzyka – metodyki

z pomocą przychodzą nam metodyki szacowania ryzyka, które podzielić możemy na dwie podstawowe grupy: ilościowe i jakościowe. I właśnie te drugie stanowią ułatwienie w sytuacji, gdy trudno jest nam określić konkretną wartość aktywów, poziom strat czy prawdopodobieństwo zagrożenia. Posłużę się tutaj zatem przykładem dosyć prostej i łatwej do implementacji, a co za tym idzie popularnej metodyki o nazwie 5S. Nazwa wzięła się od 5. stopniowej skali, za pomocą której mierzymy poziom prawdopodobieństwa zaistnienia incydentu oraz poziom skutków jego wystąpienia (wpływu na procesy przebiegające w organizacji). Samo ryzyko (R) jest natomiast definiowane jako iloczyn prawdopodobieństwa (P) i skutków (S):

R = P x S

Ryzyko zobrazować możemy zatem jako prostą funkcję prawdopodobieństwa i skutków:

funkcja prawdopodobieństwa i wpływu

Przyporządkowanie prawdopodobieństwa i skutków do jednego z 5-ciu poziomów odbywa się natomiast na podstawie poniższych tabel:

Szacowanie prawdopodobieństwa
Szacowanie prawdopodobieństwa
Szacowanie skutków
Szacowanie skutków

Po podstawieniu wartości i ich przemnożeniu otrzymujemy wynikowy poziom ryzyka (R) jako liczbę z przedziału 1-25. Interpretację wyników ułatwia nam poniższa tabela:

Wynik analizy ryzyka
Wynik analizy ryzyka

Ostatnim krokiem, który nam pozostał w procesie analizy ryzyka jest podjęcie odpowiednich działań stosownie do wyliczonego poziomu ryzyka:

Plan działania
Plan działania

Działania korygujące poziom ryzyka po analizie

Jeżeli oszacowany poziom ryzyka związanego z danym zagrożeniem okazał się niemożliwy do zaakceptowania konieczne jest podjęcie kroków mających na celu poprawę zastanej sytuacji. Do wyboru mamy cztery możliwe warianty postępowania z ryzykiem:

  • AKCEPTACJA: godzimy się z możliwością wystąpienia incydentu, jego skutki są ekonomicznie akceptowalne a koszt wdrożenia zabezpieczeń przewyższa wartość ewentualnych strat
  • MININALIZACJA: wdrożenie rozwiązań zmniejszających poziom ryzyka (techniczne lub operacyjne środki zaradcze)
  • UNIKANIE: unikanie i eliminacja działań powodujących występowanie ryzyka
  • PRZENIESIENIE: przekazanie ryzyka innemu podmiotowi (np. ubezpieczyciel, zewnętrzny dostawca, podwykonawca)

Co jeszcze warto wiedzieć o analizie ryzyka?

Przedstawiona powyżej metoda stanowi jedną z prostszych i co za tym idzie popularniejszych form analizy ryzyka. Więcej na ten temat można przeczytać m.in. w artykule poświęconym Systemowi Zarządzania Bezpieczeństwem Informacji wg ISO 27001. Osobom, które chciałby zgłębić zagadnienia związane z szacowaniem ryzyka bardziej szczegółowo polecam zapoznanie się z rodziną norm ISO 31000.

Jak wykonać analizę ryzyka?

Analiza ryzyka nie jest procesem skomplikowanym. Do jej wykonania wystarczy pewien zasób pojęć oraz narzędzia w postaci np. arkusza kalkulacyjnego i listy zagrożeń, które należy wciąć pod uwagę. Przydatna może też być lista zabezpieczeń, które możemy wdrożyć lub zaplanować w odpowiedzi na zidentyfikowane zagrożenia. Wszystkie te materiały wraz z wykładem w formie webinaru możecie nabyć w poniższym pakiecie do analizy ryzyka, który dla Was przygotowałem. Zawiera on też dodatkowo omówienie zagadnienia pokrewnego – oceny skutków przetwarzania, która jest wymagana w RODO i często wiązana z analizą ryzyka.


Ten artykuł jest częścią cyklu poświęconego wdrażaniu przepisów RODO w organizacji. Poniżej znajdziesz wszystkie jego części:


Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.

Leave a Reply

Twój adres email nie zostanie opublikowany. Wymagane pola są oznaczone *

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.