Analiza ryzyka

Analiza ryzyka – wspólny mianownik RODO, KRI i ISO 27001

Analiza ryzyka

Dla organizacji, które wdrożyły System Zarządzania Bezpieczeństwem Informacji wg ISO 27001 zetknięcie się z pojęciem „analiza ryzyka” nie jest niczym nowym. Zaznajomione są już też z nim częściowo instytucje publiczne, które na mocy Rozporządzenia o Krajowych Ramach Interoperacyjności od maja 2015 roku zobligowane są do utrzymywania wzorowanego na ISO 27001 Systemu Zarządzania Bezpieczeństwem Informacji.

Teraz jednak analiza ryzyka staje się procesem, który za sprawą nowego Rozporządzenia o Ochronie Danych Osobowych (RODO) będzie musiał zaistnieć w ogromniej większości firm i instytucji przetwarzających dane osobowe. Kwestia ta została szerzej opisana w artykule „GDPR/RODO i marketing zastraszany„.

O co chodzi?

Stosując dosyć ogólną definicję analiza ryzyka to ocena ryzyka zaistnienia incydentu naruszającego bezpieczeństwo aktywów (np. danych osobowych) i mogącego spowodować straty biznesowe. Chociaż definicja wydaje się dosyć zrozumiała, to próba poparcia jej jakimiś namacalnymi przykładami może początkowo nastręczyć nieco problemów. Problematyczne są zwłaszcza definicje, które warto tutaj przytoczyć:

Ryzyko: potocznie to wskaźnik stanu lub zdarzenia mogącego prowadzić do straty; związany z pewną obawą, niepewnością. Ryzyko to nie tylko samo prawdopodobieństwo, jest ono rzutowane na
subiektywne poczucie wartości i straty.

Strata: np. strata wizerunku lub zaufania, strata przewagi konkurencyjnej, strata spodziewanych przychodów lub klientów, strata przywilejów lub zgodności z prawem, strata aktywów – również niematerialnych.

Aktywa: wszystko co stanowi jakąś wartość dla organizacji i pomaga w osiąganiu jej celów, np.:

  • Wiedza, know-how
  • Pracownicy
  • Lokalizacja
  • Dostawcy, kontrakty
  • Dane
  • Licencje
  • Infrastruktura

Incydent: pojedyncze zdarzenie lub seria niepożądanych lub niespodziewanych zdarzeń, które stwarzają znaczne prawdopodobieństwo zakłócenia działań biznesowych i zagrażają bezpieczeństwu informacji.

Bezpieczeństwo: określane jako jednoczesne spełnienie minimum trzech kryteriów: poufności, integralności i dostępności (niekiedy również rozliczalności).

Zagrożenie: czynnik odpowiedzialny za powstanie incydentu. Zagrożenia możemy pogrupować wg źródeł ich pochodzenia, co trochę ułatwi nam ich identyfikację:

  • Naturalne (zjawiska przyrodnicze, ale też np. wyczerpanie zasobów)
  • Losowe (awarie, wypadki, błędy ludzkie)
  • Zamierzone (kradzieże, ataki cyberprzestępców, akty wandalizmu, terroryści, hacktywiści)
  • Administracyjne (zmiana prawa)

Podatność: cecha sprzyjająca urzeczywistnieniu się potencjalnego zagrożenia. Przykładowo: wadliwa instalacja elektryczna jest podatnością wpływającą na zwiększone zagrożenie pożarowe.

O ile same definicje wydają się być zrozumiałe, o tyle problematyczne jest dopasowanie jakichś policzalnych wartości do zaznaczonych powyżej na czerwono określeń takich jak: „pewne”, „subiektywne”, „jakieś”, „znaczne”, „potencjalne”. Jak zatem określić poziom ryzyka, skoro wszystkie potrzebne do tego dane wejściowe są tak trudne do sprecyzowania?

Metodyki

z pomocą przychodzą nam metodyki szacowania ryzyka, które podzielić możemy na dwie podstawowe grupy: ilościowe i jakościowe. I właśnie te drugie stanowią ułatwienie w sytuacji, gdy trudno jest nam określić konkretną wartość aktywów, poziom strat czy prawdopodobieństwo zagrożenia. Posłużę się tutaj zatem przykładem dosyć prostej i łatwej do implementacji, a co za tym idzie popularnej metodyki o nazwie 5S. Nazwa wzięła się od 5. stopniowej skali, za pomocą której mierzymy poziom prawdopodobieństwa zaistnienia incydentu oraz poziom skutków jego wystąpienia (wpływu na procesy przebiegające w organizacji). Samo ryzyko (R) jest natomiast definiowane jako iloczyn prawdopodobieństwa (P) i skutków (S):

R = P x S

Ryzyko zobrazować możemy zatem jako prostą funkcję prawdopodobieństwa i skutków:

funkcja prawdopodobieństwa i wpływu

 

Przyporządkowanie prawdopodobieństwa i skutków do jednego z 5-ciu poziomów odbywa się natomiast na podstawie poniższych tabel:

Szacowanie prawdopodobieństwa
Szacowanie prawdopodobieństwa
Szacowanie skutków
Szacowanie skutków

Po podstawieniu wartości i ich przemnożeniu otrzymujemy wynikowy poziom ryzyka (R) jako liczbę z przedziału 1-25. Interpretację wyników ułatwia nam poniższa tabela:

Wynik analizy ryzyka
Wynik analizy ryzyka

Ostatnim krokiem, który nam pozostał w procesie analizy ryzyka jest podjęcie odpowiednich działań stosownie do wyliczonego poziomu ryzyka:

Plan działania
Plan działania

Działania korygujące poziom ryzyka

Jeżeli oszacowany poziom ryzyka związanego z danym zagrożeniem okazał się niemożliwy do zaakceptowania konieczne jest podjęcie kroków mających na celu poprawę zastanej sytuacji. Do wyboru mamy cztery możliwe warianty postępowania z ryzykiem:

  • AKCEPTACJA: godzimy się z możliwością wystąpienia incydentu, jego skutki są ekonomicznie akceptowalne a koszt wdrożenia zabezpieczeń przewyższa wartość ewentualnych strat
  • MININALIZACJA: wdrożenie rozwiązań zmniejszających poziom ryzyka (techniczne lub operacyjne środki zaradcze)
  • UNIKANIE: unikanie i eliminacja działań powodujących występowanie ryzyka
  • PRZENIESIENIE: przekazanie ryzyka innemu podmiotowi (np. ubezpieczyciel, zewnętrzny dostawca, podwykonawca)

Podsumowanie

Przedstawiona powyżej metoda stanowi jedną z prostszych i co za tym idzie popularniejszych form analizy ryzyka. Więcej na ten temat można przeczytać m.in. w artykule poświęconym Systemowi Zarządzania Bezpieczeństwem Informacji wg ISO 27001. Osobom, które chciałby zgłębić zagadnienia związane z szacowaniem ryzyka bardziej szczegółowo polecam zapoznanie się z rodziną norm ISO 31000.

 

Leave a Reply

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

This site uses Akismet to reduce spam. Learn how your comment data is processed.