Zarządzanie ryzykiem bezpieczeństwa informacji ISO 27005

Piotr Błaszczeć

środa, 27 sierpnia 2008 14:54

W połowie czerwca 2008 roku pojawił się długo oczekiwany międzynarodowy standard traktujący o zarządzaniu ryzykiem bezpieczeństwa informacji ISO/IEC 27005:2008. Standard ten na blisko 60 stronach dostarcza wytyczne w zakresie zarządzania ryzykiem na potrzeby systemów bezpieczeństwa informacji zgodnych z coraz bardziej popularnym w naszym kraju standardem ISO/IEC 27001:2005 (na dzień 22.08.2008 w Rejestrze certyfikatów ISO/IEC 27001 www.iso27000.pl figurują 64 certyfikaty). Polski Komitet Normalizacyjny nie przetłumaczył jeszcze (z wiadomych względów) tego standardu na język polski.

Wbrew oczekiwaniom ISO/IEC 27005 nie wprowadza żadnej określonej metodologii zarządzania ryzykiem bezpieczeństwa informacji. Jednak standard ten ustanawia i uszczegóławia ramy dla procesu zarządzania ryzykiem w systemach bezpieczeństwa informacji zgodnych z ISO/IEC 27001:2005. Krótko mówiąc można zarządzać ryzykiem bezpieczeństwa informacji wykorzystując jedną z wielu istniejących metodologii w tym zakresie, pod warunkiem, że będzie ona spełniać opisane w standardzie wytyczne. Niewątpliwie standard przyda się organizacjom, które chcą określić swoje podejście do zarządzania ryzykiem w zakresie zdefiniowanych w nich systemów bezpieczeństwa informacji.

Do czego przyczynia się proces zarządzania ryzykiem bezpieczeństwa informacji?

Jakie korzyści daje organizacji wdrożenie usystematyzowanego procesu zarządzania ryzykiem bezpieczeństwa informacji? Otóż proces ten przyczynia się przede wszystkim do zidentyfikowania wszelkich możliwych ryzyk w zakresie utraty bezpieczeństwa informacji w kontekście prowadzonej działalności. Zidentyfikowane ryzyka zostają ocenione pod kątem konsekwencji biznesowych oraz określone zostaje prawdopodobieństwo ich wystąpienia. W ramach procesu zarządzania ryzykiem zdefiniowane zostają zasady w zakresie postępowania z ryzykiem, określone zostają priorytety podejmowanych działań, celem których jest ograniczanie ryzyk oraz monitorowana jest ich efektywności. Dzięki informowaniu o ryzykach oraz dzięki szkoleniom dotyczącym zasad ograniczania ryzyka, informacje należące do organizacji stają się bezpieczniejsze, na czym zyskuje sama firma.

Co zawiera standard?

Wytyczne dla procesu zarządzania ryzykiem bezpieczeństwa informacji zostały opisane w siedmiu rozdziałach standardu ISO/IEC 27005:

• Rozdział 6 (Overview of the information security risk management proces) zawiera wytyczne w zakresie procesu zarządzania ryzykiem bezpieczeństwa informacji. W rozdziale przedstawiono kolejność podejmowania i w sposób ogólny opisano poszczególne elementy powtarzającego się procesu zarządzania ryzykiem (tzn. szacowanie, postępowanie i akceptacja ryzyka)

• Rozdział 7 (Context establishment) zawiera wytyczne dotyczące określenia i ustanowienia warunków dla procesu zarządzania ryzykiem tzn.:
a) podstawowych kryteriów, do których zalicza się:
o kryteria oceny ryzyka (uwzględniające m.in. cele strategicznych, wymogi prawa, negatywne konsekwencje na wizerunek i reputację)
o kryteria określania wpływu (uwzględniające ważność informacji, utratę atrybutów bezpieczeństwa, straty finansowe, utratę wizerunku, niedotrzymanie terminów umownych, utratę biznesu),
o kryteria akceptacji ryzyka,
o określenie zasobów koniecznych do funkcjonowania procesu zarządzania (np. zasady przeprowadzania szacowania ryzyka oraz tworzenia planu postępowania z ryzykiem, środki kontroli oraz monitorowanie i koordynacja procesu zarządzania ryzkiem)
b) zakresu i granic procesu zarządzania ryzykiem
c) struktury organizacyjnej ze zdefiniowanymi rolami oraz zakresami obowiązków w zakresie utrzymania i rozwijania procesu zarządzania ryzykiem

• Rozdział 8 (Information security risk assessment) opisuje wytyczne w zakresie szacowania ryzyka bezpieczeństwa informacji w tym:
o analizę ryzyka (identyfikację aktywów, zagrożeń, zabezpieczeń, podatności, konsekwencji),
o ocenę ryzyka.

• Rozdział 9 (Information security risk treatment) dostarcza wytycznych w zakresie postępowania z ryzykiem (redakcja, unikanie, transfer ryzyka, akceptacja).

• Rozdział 10 (information security risk acceptance) opisuje wytyczne w zakresie akceptacji ryzyk.

• Rozdział 11 (Information security risk communication) określa wytyczne dotyczące informowania zainteresowanych stron na temat ryzyk.

• Rozdział 12 (Information security risk monitoring and review) opisuje wytyczne w zakresie monitorowania i przeglądania ryzyk i ich czynników (wartości aktywów, wpływu ryzyk, zagrożeń, podatności, prawdopodobieństwa wystąpienia)

Oprócz siedmiu wyżej wymienionych rozdziałów standard zawiera sześć dodatkowych załączników, które w sposób praktyczny przedstawiają zawarte w normie wytyczne. I tak:

• Załącznik A (Defining the scope and boundaries of information security risk management process) przybliża sposób definiowania zakresu oraz granic dla procesu zarządzania ryzykiem bezpieczeństwa informacji. Załącznik ten zawiera wykaz charakterystycznych elementów opisujących organizację w celu przeprowadzenia efektywnej analizy organizacji (A.1), zawiera przykładową listę ograniczeń oddziałujących na organizację (A.2), listę regulacji (zewnętrznych oraz wewnętrznych) mających wpływ na działalność organizacji (A.3) oraz listę ograniczeń oddziałujących na zakres ustanowionego procesu (A.4).

• Załącznik B (Identification and valuation of assets and impast assessment) przedstawia sposób identyfikacji aktywów (B.1), wyceny aktywów (B.2), szacowanie wpływu utraty aktywów i występujących incydentów oraz szacowania wpływu (B.3).

• Załącznik C (Examples of typical threats) zawiera listę przykładowych zagrożeń.

• Załącznik D (Vulnerabilities and methods for vulnerability assessment) zawiera zestaw przykładowych podatności oraz metod szacowania podatności.

• Załącznik E (Information security risk assessment approaches) zawiera wytyczne w zakresie szacowania ryzyka takie jak ogólne i szczegółowe zasady szacowania ryzyka (np. macierz szacowania ryzyka czy ranking zagrożeń w kontekście wartości ryzyk).

• Załącznik F (Constraints for risk reduction) zawiera informacje dotyczące ograniczeń w zakresie redukcji ryzyka w organizacjach.

Proces zarządzania ryzykiem a SZBI

W odniesieniu do procesów systemu zarządzania bezpieczeństwem informacji (pętla ciągłego doskonalenia PDCA) elementy zarządzania ryzykiem wpisują się w nie tak jak to przedstawiono na rysunku nr 1.

Rys. 1. Proces zarządzania ryzykiem a procesy SZBI.

Podsumowanie
Choć większość specjalistów oczekiwała konkretnej metodologii szacowania ryzyka, a nie kolejnej porcji wytycznych, otrzymaliśmy ramy, na bazie których organizacje mogą opracować i wdrożyć proces zarządzania ryzykiem.
Niewątpliwie każdy specjalista zajmujący się systemami zarządzania bezpieczeństwem informacji doceni obecność załączników, które wzbogacają i jednocześnie uzupełniają normę ISO/IEC 27001 o praktyczne elementy umożliwiające zbudowanie systemów zarządzania bezpieczeństwem informacji.

Z całą pewnością należy stwierdzić, że ze standardem należy zapoznać się jeszcze przed wydaniem oficjalnego tłumaczenia przez Polski Komitet Normalizacyjny.

Marek Abramczyk
Departament Bezpieczeństwa PBSG

następna »

Dodaj komentarz

Użytkownicy portalu LOCOS.pl publikują swoje komentarze i opinie wyłącznie na własną odpowiedzialność. Komentarze internautów są ich prywatnymi opiniami i nie odzwierciedlają poglądów wydawcy oraz redakcji portalu. LOCOS.PL nie ponosi tym samym odpowiedzialności za treści zamieszczanych komentarzy i opinii.
Użytkownikom portalu LOCOS.pl zabrania się publikowania treści sprzecznych z prawem, wzywających do nienawiści rasowej, wyznaniowej, etnicznej, czy też propagujących przemoc.
Treści składające się na komentarz lub opinię użytkownika nie mogą zawierać wulgaryzmów ani słów powszechnie uznanych za obelżywe. Nie mogą zawierać również odnośników do innych stron www, a także danych osobowych, teleadresowych lub adresów e-mail.

Imię (obowiązkowe)

E-Mail (obowiązkowe)

Zawiadom mnie o nowych komentarzach

Kod antysapmowy
Odśwież

Wyślij

JComments

Please update your Flash Player to view content.
QUBER - get it free

Video

Aktualności

Luki, błędy, podatności

Najpopularniejsze narzędzia dostępne w sieci

Baza wiedzy

Bezpieczeństwo fizyczne

Porady inne

Organizacje

Reklama

RSS
LOCOS RSS

Popularne tagi
Atak Audyt Chiny Cisa Computerworld Cyberprzestępca Dane EXPLORER Google Ie Kaspersky Luka Malware Mcafee Microsoft Oszustwo Phishing Piractwo Policja Prasa Prawo Raport Spam Sąd Update

REKLAMA

Redaktor naczelny
Piotr Błaszczeć - specjalista ds. bezpieczeństwa IT, audytor systemów IT, ISO 27001, biegły sądowy, administrator sieci - na co dzień Główny Specjalista Bezpieczeństwa IT w jednej z agencji rządowych, członek ISACA International a także Sekcji Bezpieczeństwa Informacji oraz Sekcji Informatyki Sądowej Polskiego Towarzystwa Informatycznego, członek Instytutu Informatyki Śledczej e-mail: pb@locos.pl www.blaszczec.pl

Redaktor naczelny

Piotr Błaszczeć - specjalista ds. bezpieczeństwa IT, audytor systemów IT, ISO 27001, biegły sądowy, administrator sieci - na co dzień Główny Specjalista Bezpieczeństwa IT w jednej z agencji rządowych, członek ISACA International a także Sekcji Bezpieczeństwa Informacji oraz Sekcji Informatyki Sądowej Polskiego Towarzystwa Informatycznego, członek Instytutu Informatyki Śledczej
e-mail: pb@locos.pl
www.blaszczec.pl

Oficjalni partnerzy firmy LOCOS i portalu LOCOS.PL: