W poprzednich artykułach często odwoływałem się do pojęcia oceny ryzyka. Dzisiaj przedstawię co to jest i dlaczego jest ona taka ważna podczas projektowania systemu opartego o wymagania normy ISO/IEC 27001. Samo pojęcie oceny ryzyka jest na pewno dla większości znane i nie jest niczym nowym. Najczęściej z oceną ryzyka możemy się spotkać przy okazji zatrudniania się w nowej pracy i szkoleń związanych z bezpieczeństwem i higieną pracy u danego pracodawcy. Jest to skojarzenie jak najbardziej prawidłowe, ponieważ jest to jedna z najważniejszych rzeczy, o której musi wiedzieć każdy z pracodawców. Dla każdego stanowiska powinna zostać przeprowadzona ocena ryzyka, a następnie każdy z pracowników pracujący na danym stanowisku powinien zostać zapoznany z taką oceną i potwierdzić ten fakt własnoręcznym podpisem. Ale nie jest to myślą przewodnią dzisiejszego wpisu, więc wróćmy do bezpieczeństwa informacji i normy ISO/IEC 27001.
W normie ISO/IEC 27001 bardzo często pojawia się pojęcie ryzyka oraz szacowania ryzyka. Pierwsze miejsce gdzie możemy się z tym wyraźnie spotkać i co należy odpowiednio udokumentować w systemie jest punkt 4.2 podpunkt b) gdzie jest mowa o określeniu kryteriów według, których ma być oceniane ryzyko. Kolejny podpunkt jeszcze mocniej podkreśla znaczenie ryzyka w systemie zarządzania bezpieczeństwem informacji. Mianowicie chodzi tutaj o przyjęcie określonej metodyki szacowania ryzyka oraz opracowanie kryteriów akceptacji ryzyka. Brzmi to bardzo tajemniczo i może powodować nie lada zmartwienie dla osób podejmujących się trudu wdrożenia SZBI. Z pomocą jednak w tej sytuacji przychodzi nam sama norma ISO/IEC 27001, która wskazuje inną normę ISO/TR 13335-3 odnoszącą się właśnie do znanych metodyk szacowania ryzyka oraz będąca swoistym przewodnikiem przez czynności związane z szacowaniem ryzyka. Ze swojej strony mogę powiedzieć, iż najbardziej popularnymi (stosowanymi również przez Nasz Instytut) metodykami szacowania ryzyka są: RISC SCORE, FMEA, odpowiednio zmodyfikowane do potrzeb oraz rzadziej metodyka 5S. Na rynku funkcjonuje również wiele softwaru wspomagającego proces szacowania ryzyka, które bazują właśnie na przywołanych wcześniej metodykach.
W kolejnym artykule przedstawię w jaki sposób przebrnąć przez szacowanie ryzyka w odniesieniu do bezpieczeństwa informacji.
Cdn.
Zobacz też:
Audyt bezpieczeństwa, a wymagania normy ISO/IEC 27001
Business Continuity Plan (BCP)
ISO/IEC 27001 nazewnictwo i numeracja
Autor: Marcin Pietrucha
