Analiza ryzyka
Dla organizacji, które wdrożyły System Zarządzania Bezpieczeństwem Informacji wg ISO 27001 zetknięcie się z pojęciem „analiza ryzyka” nie jest niczym nowym. Zaznajomione są już też z nim częściowo instytucje publiczne, które na mocy Rozporządzenia o Krajowych Ramach Interoperacyjności od maja 2015 roku zobligowane są do utrzymywania wzorowanego na ISO 27001 Systemu Zarządzania Bezpieczeństwem Informacji.
W maju 2018 r. analiza ryzyka stała się jednak procesem, który za sprawą nowego Rozporządzenia o Ochronie Danych Osobowych (RODO) będzie musiał zaistnieć w ogromniej większości firm i instytucji przetwarzających dane osobowe. Kwestia ta została szerzej opisana w artykule „GDPR/RODO i marketing zastraszany„.
Update: do wymienionych powyżej przepisów, które wymagają wdrożenia procesu analizy ryzyka z końcem 2018 r. dołączyła również Ustawa o Krajowym Systemie Cyberbezpieczeństwa.
O co chodzi?
Stosując dosyć ogólną definicję analiza ryzyka to ocena ryzyka zaistnienia incydentu naruszającego bezpieczeństwo aktywów (np. danych osobowych) i mogącego spowodować straty biznesowe. Chociaż definicja wydaje się dosyć zrozumiała, to próba poparcia jej jakimiś namacalnymi przykładami może początkowo nastręczyć nieco problemów. Problematyczne są zwłaszcza definicje, które warto tutaj przytoczyć:
Ryzyko: potocznie to wskaźnik stanu lub zdarzenia mogącego prowadzić do straty; związany z pewną obawą, niepewnością. Ryzyko to nie tylko samo prawdopodobieństwo, jest ono rzutowane na
subiektywne poczucie wartości i straty.
Strata: np. strata wizerunku lub zaufania, strata przewagi konkurencyjnej, strata spodziewanych przychodów lub klientów, strata przywilejów lub zgodności z prawem, strata aktywów – również niematerialnych.
Aktywa: wszystko co stanowi jakąś wartość dla organizacji i pomaga w osiąganiu jej celów, np.:
- Wiedza, know-how
- Pracownicy
- Lokalizacja
- Dostawcy, kontrakty
- Dane
- Licencje
- Infrastruktura
Incydent: pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.
Bezpieczeństwo: określane jako jednoczesne spełnienie minimum trzech kryteriów: poufności, integralności i dostępności (niekiedy również rozliczalności).
Zagrożenie: czynnik odpowiedzialny za powstanie incydentu. Zagrożenia możemy pogrupować wg źródeł ich pochodzenia, co trochę ułatwi nam ich identyfikację:
- Naturalne (zjawiska przyrodnicze, ale też np. wyczerpanie zasobów)
- Losowe (awarie, wypadki, błędy ludzkie)
- Zamierzone (kradzieże, ataki cyberprzestępców, akty wandalizmu, terroryści, hacktywiści)
- Administracyjne (zmiana prawa)
Podatność: cecha sprzyjająca urzeczywistnieniu się potencjalnego zagrożenia. Przykładowo: wadliwa instalacja elektryczna jest podatnością wpływającą na zwiększone zagrożenie pożarowe.
O ile same definicje wydają się być zrozumiałe, o tyle problematyczne jest dopasowanie jakichś policzalnych wartości do zaznaczonych powyżej na czerwono określeń takich jak: „pewne”, „subiektywne”, „jakieś”, „znaczne”, „potencjalne”. Jak zatem określić poziom ryzyka, skoro wszystkie potrzebne do tego dane wejściowe są tak trudne do sprecyzowania?
Analiza ryzyka – metodyki
z pomocą przychodzą nam metodyki szacowania ryzyka, które podzielić możemy na dwie podstawowe grupy: ilościowe i jakościowe. I właśnie te drugie stanowią ułatwienie w sytuacji, gdy trudno jest nam określić konkretną wartość aktywów, poziom strat czy prawdopodobieństwo zagrożenia. Posłużę się tutaj zatem przykładem dosyć prostej i łatwej do implementacji, a co za tym idzie popularnej metodyki o nazwie 5S. Nazwa wzięła się od 5. stopniowej skali, za pomocą której mierzymy poziom prawdopodobieństwa zaistnienia incydentu oraz poziom skutków jego wystąpienia (wpływu na procesy przebiegające w organizacji). Samo ryzyko (R) jest natomiast definiowane jako iloczyn prawdopodobieństwa (P) i skutków (S):
R = P x S
Ryzyko zobrazować możemy zatem jako prostą funkcję prawdopodobieństwa i skutków:
Przyporządkowanie prawdopodobieństwa i skutków do jednego z 5-ciu poziomów odbywa się natomiast na podstawie poniższych tabel:
Po podstawieniu wartości i ich przemnożeniu otrzymujemy wynikowy poziom ryzyka (R) jako liczbę z przedziału 1-25. Interpretację wyników ułatwia nam poniższa tabela:
Ostatnim krokiem, który nam pozostał w procesie analizy ryzyka jest podjęcie odpowiednich działań stosownie do wyliczonego poziomu ryzyka:
Działania korygujące poziom ryzyka po analizie
Jeżeli oszacowany poziom ryzyka związanego z danym zagrożeniem okazał się niemożliwy do zaakceptowania konieczne jest podjęcie kroków mających na celu poprawę zastanej sytuacji. Do wyboru mamy cztery możliwe warianty postępowania z ryzykiem:
- AKCEPTACJA: godzimy się z możliwością wystąpienia incydentu, jego skutki są ekonomicznie akceptowalne a koszt wdrożenia zabezpieczeń przewyższa wartość ewentualnych strat
- MININALIZACJA: wdrożenie rozwiązań zmniejszających poziom ryzyka (techniczne lub operacyjne środki zaradcze)
- UNIKANIE: unikanie i eliminacja działań powodujących występowanie ryzyka
- PRZENIESIENIE: przekazanie ryzyka innemu podmiotowi (np. ubezpieczyciel, zewnętrzny dostawca, podwykonawca)
Co jeszcze warto wiedzieć o analizie ryzyka?
Przedstawiona powyżej metoda stanowi jedną z prostszych i co za tym idzie popularniejszych form analizy ryzyka. Więcej na ten temat można przeczytać m.in. w artykule poświęconym Systemowi Zarządzania Bezpieczeństwem Informacji wg ISO 27001. Osobom, które chciałby zgłębić zagadnienia związane z szacowaniem ryzyka bardziej szczegółowo polecam zapoznanie się z rodziną norm ISO 31000.
Jak wykonać analizę ryzyka?
Analiza ryzyka nie jest procesem skomplikowanym. Do jej wykonania wystarczy pewien zasób pojęć oraz narzędzia w postaci np. arkusza kalkulacyjnego i listy zagrożeń, które należy wciąć pod uwagę. Przydatna może też być lista zabezpieczeń, które możemy wdrożyć lub zaplanować w odpowiedzi na zidentyfikowane zagrożenia. Wszystkie te materiały wraz z wykładem w formie webinaru możecie nabyć w poniższym pakiecie do analizy ryzyka, który dla Was przygotowałem. Zawiera on też dodatkowo omówienie zagadnienia pokrewnego – oceny skutków przetwarzania, która jest wymagana w RODO i często wiązana z analizą ryzyka.
Ten artykuł jest częścią cyklu poświęconego wdrażaniu przepisów RODO w organizacji. Poniżej znajdziesz wszystkie jego części:
- RODO – oswajamy potwora
- Darmowe szkolenie RODO dla pracowników
- Inwentaryzacja zbiorów i rejestr czynności przetwarzania
- Wymogi dla systemów informatycznych w RODO
- Analiza ryzyka – wspólny mianownik RODO, KRI i ISO 27001
Zostaw e-mail aby otrzymać powiadomienia o nowościach oraz dostęp do wszystkich bonusowych materiałów przygotowanych wyłącznie dla subskrybentów.