Ocena ryzyka, a bezpieczeństwo informacji

SZBI wg ISO 27001W poprzednich artykułach często odwoływałem się do pojęcia oceny ryzyka. Dzisiaj przedstawię co to jest i dlaczego jest ona taka ważna podczas projektowania systemu opartego o wymagania normy ISO/IEC 27001. Samo pojęcie oceny ryzyka jest na pewno dla większości znane i nie jest niczym nowym. Najczęściej z oceną ryzyka możemy się spotkać przy okazji zatrudniania się w nowej pracy i szkoleń związanych z bezpieczeństwem i higieną pracy u danego pracodawcy. Jest to skojarzenie jak najbardziej prawidłowe, ponieważ jest to jedna z najważniejszych rzeczy, o której musi wiedzieć każdy z pracodawców. Dla każdego stanowiska powinna zostać przeprowadzona ocena ryzyka, a następnie każdy z pracowników pracujący na danym stanowisku powinien zostać zapoznany z taką oceną i potwierdzić ten fakt własnoręcznym podpisem. Ale nie jest to myślą przewodnią dzisiejszego wpisu, więc wróćmy do bezpieczeństwa informacji i normy ISO/IEC 27001.

Zobacz podobne  Narzędzia pomocne audytorom w przeprowadzeniu audytów wewnętrznych

W normie ISO/IEC 27001 bardzo często pojawia się pojęcie ryzyka oraz szacowania ryzyka. Pierwsze miejsce gdzie możemy się z tym wyraźnie spotkać i co należy odpowiednio udokumentować w systemie jest punkt 4.2 podpunkt b) gdzie jest mowa o określeniu kryteriów według, których ma być oceniane ryzyko. Kolejny podpunkt jeszcze mocniej podkreśla znaczenie ryzyka w systemie zarządzania bezpieczeństwem informacji. Mianowicie chodzi tutaj o przyjęcie określonej metodyki szacowania ryzyka oraz opracowanie kryteriów akceptacji ryzyka. Brzmi to bardzo tajemniczo i może powodować nie lada zmartwienie dla osób podejmujących się trudu wdrożenia SZBI. Z pomocą jednak w tej sytuacji przychodzi nam sama norma ISO/IEC 27001, która wskazuje inną normę ISO/TR 13335-3 odnoszącą się właśnie do znanych metodyk szacowania ryzyka oraz będąca swoistym przewodnikiem przez czynności związane z szacowaniem ryzyka. Ze swojej strony mogę powiedzieć, iż najbardziej popularnymi (stosowanymi również przez Nasz Instytut) metodykami szacowania ryzyka są: RISC SCORE, FMEA, odpowiednio zmodyfikowane do potrzeb oraz rzadziej metodyka 5S. Na rynku funkcjonuje również wiele softwaru wspomagającego proces szacowania ryzyka, które bazują właśnie na przywołanych wcześniej metodykach.

Zobacz podobne  UWAŻAJ na tani certyfikat ISO!

W kolejnym artykule przedstawię w jaki sposób przebrnąć przez szacowanie ryzyka w odniesieniu do bezpieczeństwa informacji.

Cdn.

 

Zobacz też:

Audyt bezpieczeństwa, a wymagania normy ISO/IEC 27001

Business Continuity Plan (BCP)

ISO/IEC 27001 nazewnictwo i numeracja

 

Autor: Marcin Pietrucha

Scroll to Top