W normie ISO/IEC 27001 bardzo często pojawia się pojęcie ryzyka oraz szacowania ryzyka. Pierwsze miejsce gdzie możemy się z tym wyraźnie spotkać i co należy odpowiednio udokumentować w systemie jest punkt 4.2 podpunkt b) gdzie jest mowa o określeniu kryteriów według, których ma być oceniane ryzyko. Kolejny podpunkt jeszcze mocniej podkreśla znaczenie ryzyka w systemie zarządzania bezpieczeństwem informacji. Mianowicie chodzi tutaj o przyjęcie określonej metodyki szacowania ryzyka oraz opracowanie kryteriów akceptacji ryzyka. Brzmi to bardzo tajemniczo i może powodować nie lada zmartwienie dla osób podejmujących się trudu wdrożenia SZBI. Z pomocą jednak w tej sytuacji przychodzi nam sama norma ISO/IEC 27001, która wskazuje inną normę ISO/TR 13335-3 odnoszącą się właśnie do znanych metodyk szacowania ryzyka oraz będąca swoistym przewodnikiem przez czynności związane z szacowaniem ryzyka. Ze swojej strony mogę powiedzieć, iż najbardziej popularnymi (stosowanymi również przez Nasz Instytut) metodykami szacowania ryzyka są: RISC SCORE, FMEA, odpowiednio zmodyfikowane do potrzeb oraz rzadziej metodyka 5S. Na rynku funkcjonuje również wiele softwaru wspomagającego proces szacowania ryzyka, które bazują właśnie na przywołanych wcześniej metodykach.
W kolejnym artykule przedstawię w jaki sposób przebrnąć przez szacowanie ryzyka w odniesieniu do bezpieczeństwa informacji.
Cdn.
Zobacz też:
Audyt bezpieczeństwa, a wymagania normy ISO/IEC 27001
Business Continuity Plan (BCP)
ISO/IEC 27001 nazewnictwo i numeracja
Autor: Marcin Pietrucha