Jak wykonać analizę ryzyka?

Jak wykonać analizę ryzyka?

W jednym z poprzednich artykułów poruszyłem kwestię przeprowadzenia analizy ryzyka, jednej z największych i najdalej idących zmian, które wprowadza RODO. Dziś chciałbym ją rozwinąć.

Analiza jest podstawą podejmowania działań zapobiegawczych i ich priorytetyzacji, a jej posiadanie pozwala szerzej spojrzeć na własną organizację. Aby dobrze podejść do analizy, należy pamiętać o kilku bardzo ważnych aspektach:

  1. Należy zidentyfikować zagrożenia, z którymi może spotkać się nasza organizacja.
  2. Należy zidentyfikować aktywa, które mogą zostać zagrożone.
  3. Należy określić prawdopodobieństwo wystąpienia ryzyka, a także ewentualny wpływ zdarzenia na aktywa.
  4. Na tej podstawie należy podjąć odpowiednie kroki zaradcze.
  5. Należy pamiętać o okresowych przeglądach i zmianach w analizie, w miarę pojawiania się nowych zagrożeń.

Identyfikujemy zdarzenia zarówno zewnętrzne (naturalne, technologiczne), jak i wewnętrzne, te wynikające z błędów (lub zamierzonych działań) ludzkich, jak i te wynikające bezpośrednio z technologii lub przypadku.

Aktywa z kolei jest to każda rzecz, osoba lub jednostka – materialna bądź nie – która należy do organizacji. To mogą być ludzie, budynki, urządzenia, ale też dokumenty, wiedza czy dane w bazach danych.

Prawdopodobieństwo określamy poprzez liczbę zależną od możliwości wystąpienia zdarzenia, ekspozycji na ryzyko i przewidywanego czasu do wystąpienia wydarzenia. Wpływ z kolei można określić jako zagrożenie jednego z trzech aspektów bezpieczeństwa danych – poufności, integralności i ich dostępności.

Taka analiza pozwoli nam na dokładne przyjrzenie się tym zagrożeniom, które dla nas będą najbardziej palące i wymagające natychmiastowego działania. Ryzyka oczywiście zmieniają się w czasie i wymagają nowych działań naprawczych, dlatego regularny przegląd dokumentu jest równie ważny, jak przeprowadzenie analizy.

Przygotowałem dla Państwa przykładową tabelę analizy ryzyka. Zachęcam do korzystania z niej i mam nadzieję, że pomoże w analitycznym spojrzeniu na infrastrukturę IT w Państwa firmach. Służymy również naszą pomocą w przeprowadzeniu takiej analizy.

Wszystkim Czytelnikom chcę złożyć życzenia spokojnych i wesołych Świąt Bożego Narodzenia oraz bezpiecznego… Nowego Roku. 😉

 

Autor: Marcin Baranowski, IT Security Expert w firmie Onwelo.

7 thoughts on “Jak wykonać analizę ryzyka?

  1. Dziękuję Panie Marcinie za tabelkę alalizy. Proszę mi powiedzieć tylko, co oznaczają dwie literki P – kolumna 9-ta
    I – kolumna 10-ta ?
    Pozdrawiam
    Dariusz

  2. Dzień dobry,
    W kolumnie 11, w zależności od uzyskanego wyniku, pojawiają się różne kolory- jakie one mają znaczenie? Nie udało mi się nigdzie znaleźć legendy, która wyjaśniałaby znaczenie poszczególnych kolorów. A może coś pominęłam?

    1. Dzień dobry,
      kolory mają służyć wyłącznie orientacyjnej ocenie ryzyka. Kolory zmieniają się w przedziałach 0-20, 20-50, 50-100, 100-200, 200-500, 500-1000 oraz 1000+. Podane wartości są tylko szacunkowe, pomagają na pierwszy rzut oka zorientować się w skali ryzyka i nie mają wpływu na końcowe wartości.

  3. Panie Marcinie bardzo proszę o wytłumaczenie znaczenia kolumn Ekspozycja, Czas w odniesieniu do Prawdopodobieństwa oraz wpływ na aktywa. Bardzo proszę również o pomoc w ustaleniu przedziałów do oszacowania ryzyka czyli ( prawdopodobieństwo pojawienia np. 1-3p rzykładowo ( wpływ 1-3 ) jakie przyjąć wartości? bardzo proszę o pomoc.

    1. Wyjaśnienia, o które Pani pyta, znajdują się w drugiej zakładce arkusza. Ekspozycja to czas, przez który nasze aktywa narażone są na ryzyka (np. kradzież laptopa będzie miała inną ekspozycję (krótszą) niż pożar (który generalnie jest stałym zagrożeniem)), a czas to przewidywalny możliwy termin wystąpienia zagrożenia.
      Przykładowe wartości dla każdej kolumny przedstawione są w drugiej zakładce.

  4. Dzień dobry,
    zastanawia mnie, czy przy szacowaniu ryzyka należy używać mnożenia, czy raczej dodawania. Chodzi mi o to, że w Pana tabelce jest możliwość wpisania 0, a każda wartość pomnożona przez tą liczbę da 0.
    Przykład, który wskazuje, że mnożenie nie zawsze się sprawdza:
    Mamy jako zagrożenie ‚powódź’ i tak
    Poufność – 0 (dane nie wyciekną na zewnątrz, nie mam wpływu na poufność)
    Integralność – 10 (dane zmodyfikowane w pełni przez zniszczenie)
    Dostępność – 10 (trwałe zniszczenie)
    Czyli: 0*10*10=0
    Mimo wysokich współczynników Integralności i Dostępności wynik i tak zawsze da 0.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *