HUMAN MANAGEMENT SYSTEMS Sp. z o.o.

Zgodnie z wymaganiami normy ISO 27001 o wyborze odpowiedniego podejścia do szacowania ryzyka decyduje organizacja. Wybór metody powinien być odpowiedni w odniesieniu do prowadzonej przez organizację działalność i jej wymagania dotyczące bezpieczeństwa.

Jeśli  wymagania dotyczące bezpieczeństwa organizacji lub SZBI oraz jej aktywów są niskie lub średnie, wystarczające może okazać się podstawowe szacowanie ryzyka. Jeśli wymagania dotyczące bezpieczeństwa są wyższe, wówczas może być konieczne szczegółowe szacowanie ryzyka. Niezależnie od tego należy upewnić się, czy wybrane podejście spełnia wszystkie kryteria podane w rozdziale 4.2.1 w ISO 27001, mianowicie:

Dla wszystkich zidentyfikowanych składników aktywów należy określić odpowiednie cele zabezpieczeń i zabezpieczenia podane w ISO/IEC 27002 (PN ISO/IEC 17799:2007). W systemie należy upewnić się, czy cele stosowania zabezpieczeń i zabezpieczenia obniżają ryzyko do akceptowalnego poziomu.

Korzystanie z listy zagrożeń i podatności może być pomocne w wytyczeniu i wyznaczeniu kierunku rozważań nad działaniami związanymi z szacowaniem. Możliwe jest podejście proste obejmujące dwa poziomy wymagań dotyczących bezpieczeństwa (np. wysokie i niskie) oraz wycenę aktywów za pomocą z góry określonej skali, np. wartości – bardzo wysokie, średnia wartości i niska wyrażone za pomocą liczb na przykład w skali od 1 do 5. Wynikiem są miary ryzyka, za pomocą których można stwierdzić, które ryzyka wymagają podjęcia działań w pierwszej kolejności i wymagają najwięcej uwagi oraz jakie mogłyby być odpowiednie warianty postępowania z ryzykiem. W przypadku tych ryzyk, dla których wybrano wariant obniżenia ryzyka, należy określić akceptowany poziom ryzyka odpowiedni do wymagań biznesowych, prawnych i wymagań dotyczących bezpieczeństwa w systemie.

Takie proste podejście do szacowania ryzyka w systemie zarządzania bezpieczeństwem informacji ma zalety, które  polegają na tym, że do szacowania ryzyka potrzebne są niewielkie zasoby, zaś wyboru zabezpieczeń można dokonać w krótszym czasie i przy mniejszym wysiłku. Do określania zabezpieczeń nie ma konieczności angażowania dużych zasobów. Ważnym argumentem jest to, że te same lub podobne zabezpieczenia można przyjąć dla kilku aktywów, jeżeli aktywa funkcjonują we wspólnym środowisku a wymagania biznesowe, prawne i dotyczące bezpieczeństwa są porównywalne.

Wady takiego podejścia do szacowania ryzyka polegają na tym, że dla wysokiego poziomu bezpieczeństwa, który zostanie określony w wyniku szacowania, możliwe jest dokonanie wyboru zbyt kosztownych lub nadmiernie restrykcyjnych zabezpieczeń aktywów. Z kolei za niski poziom bezpieczeństwa może skutkować wdrożeniem zabezpieczeń niedostatecznie chroniących aktywa. Jeśli nastąpią zmiany w całej działalności objętej systemem, trudności mogą być w oszacowaniu czy  pierwotne zabezpieczenia są nadal dostateczne (zgodnie z modelem PDCA w normie ISO 27001).

W przypadku, gdy proste podejście do szacowania ryzyka nie spełnia wymagań organizacji należy rozważyć konieczność zastosowania innego podejścia, opartego na szczegółowym określeniu, szacowaniu i wycenie aktywów oraz identyfikacji i szacowanie poziomów wymagań dotyczących bezpieczeństwa. Informacje te służą do szczegółowego oszacowania ryzyka a następnie do identyfikacji i wyboru zabezpieczeń. W takim przypadku wybór zabezpieczeń uzasadniony jest zidentyfikowanym ryzykiem dla aktywów oraz zapewnieniem, że ryzyka zostają obniżone do akceptowalnego poziomu, przy określonym  wariancie postępowania z ryzykiem.

Szczegółowe szacowanie ryzyka może być procesem angażującym duże ilości zasobów, dlatego też wymaga to starannego ustalenia granic środowiska biznesowego, operacji, informacji i aktywów mieszczących się w zakresie SZBI podlegającemu szacowaniu.

Zgodnie z oszacowanymi ryzykami, wyboru zabezpieczeń można dokonać spośród przedstawionych w wytycznych normy ISO 27002 (PN ISO/IEC 17799: 2007) lub w Załączniku normatywnym A normy  ISO 27001 w odniesieniu do tych celów stosowania zabezpieczeń, które powinny być spełnione w systemie. To całościowe podejście różni się od podstawowego szacowanie ryzyka bardziej szczegółową analizą aktywów i wymagań dotyczących bezpieczeństwa.

Działania związane ze szczegółowym szacowaniem ryzyka to identyfikacja i określenie wartości aktywów, gdzie należy zidentyfikować i sporządzić wykaz wszystkich aktywów związanych ze środowiskiem biznesowym, działaniami biznesowymi i informacjami mieszczącymi się w zakresie SZBI, określenie skali wartości i przypisanie wartości z tej skali każdego składnika aktywów z uwzględnieniem poufności, integralności i dostępności. Następnie należy określić wszystkie wymagania dotyczących bezpieczeństwa (zagrożenia i podatności, wymagania prawne i biznesowe) związane z wykazem aktywów w zakresie i granicach systemu zarządzania bezpieczeństwem informacji. Należy ustalić skalę określania wartości wymagań dotyczących bezpieczeństwa i przypisać odpowiednią wartość zidentyfikowanym wymaganiom dotyczącym bezpieczeństwa. Następnym krokiem jest obliczenie ryzyk (na podstawie aktywów i wymagań dotyczących bezpieczeństwa oraz ich wartości wynikających z powyższego szacowania) w odniesieniu do wymagań dotyczących bezpieczeństwa systemu. Dalej należy określić odpowiednie działania związane z postępowaniem dla każdego zidentyfikowanego ryzyka, to znaczy ocenić, czy określony wariant jest realistyczny, odpowiedni i zgodny z wszystkimi wymaganiami biznesowymi, prawnymi  i wymaganiami dotyczącymi bezpieczeństwa. Wyniki szacowania należy udokumentować w planie postępowania z ryzykiem.

Dla wybranej metody szacowania ryzyka należy określić akceptowany poziom ryzyka oraz upewnić się, czy jest odpowiedni do wymagań biznesowych, prawnych i  innych wymagań dotyczących bezpieczeństwa informacji. W przypadku tych ryzyk, dla których wybrano wariant obniżenia ryzyka, należy wybrać odpowiednie cele zabezpieczeń i zabezpieczenia, które obniżą te ryzyka do poziomu akceptowanego.

W przypadku każdego ryzyka, które nie może zostać obniżone do akceptowanego poziomu należy określić dodatkowe działania, które wobec nich należy podjąć (zatwierdzenie przez kierownictwo akceptacji ryzyka ze względów biznesowych lub dalsze jego obniżenie).

Zalety takiego  podejścia do szacowania ryzyka, to uzyskanie dokładnego i szczegółowego obrazu poziomów ryzyk oraz lepsze zarządzanie istotnymi zmianami w celu doskonalenia systemu.

Wady takiego podejścia, są związane z tym, że do uzyskania możliwych do wykorzystania wyników wymagają poświęcenia znacznej ilości czasu, wysiłku oraz wiedzy eksperckiej.

Możliwe jest także zastosowanie  podejścia mieszanego, które polega na określeniu najpierw tych aktywów w zakresie systemu zarządzania bezpieczeństwem informacji, które potencjalnie podlegają wysokiemu ryzyku lub mają krytyczne znaczenie dla działań biznesowych. Na podstawie tych wyników aktywa w zakresie i granicach systemu są dzielone na te, które wymagają szczegółowego szacowania ryzyka w celu osiągnięcia odpowiedniej ochrony i te, dla których podstawowe szacowanie ryzyka jest wystarczające. Podejście takie stanowi połączenie zalet obu metod opisanych powyżej. W rezultacie umożliwia to należyte wyważenie dążenia do ograniczenia czasu i wysiłku poświęconego na określenie zabezpieczeń, przy jednoczesnym zapewnieniu, że wszystkie aktywa organizacji są właściwie oszacowane i chronione. Korzyścią z zastosowania takiego podejścia jest fakt, że środki można skierować tam, gdzie przyniosą najlepsze wyniki i możliwe będzie szybkie uporanie się z kwestiami systemów informacyjnych organizacji, dla których istnieje wysokie ryzyko.

Wada tego podejścia polega na tym, że może doprowadzić do niedokładnych wyników, jeśli identyfikacja systemów informacyjnych o wysokim ryzyku jest nieprawidłowa, tzn. jeśli systemy, dla których wymagane jest szczegółowe szacowanie ryzyka zostały uwzględnione tylko w podstawowym szacowaniu podstawowym.

Które podejście jest odpowiednie dla organizacji uzależnione jest od szeregu czynników, między innymi od:

Czynniki te dotyczą zwykle wszystkich przedsiębiorstw, dlatego przy wyborze odpowiedniego podejścia dla całej organizacji, musi ona rozważyć je wraz ze związanymi z nimi zaletami i wadami. Organizacja ma swobodę wyboru podejścia, ograniczoną jedynie koniecznością spełnienia kryteriów podanych w normie ISO 27001.

Nie ma ogólnej zasady stwierdzającej, które podejście do szacowania ryzyka jest właściwe dla danej organizacji, ponieważ decyzja uzależniona jest od wymagań biznesowych, wymagań prawnych, wymagań klientów, wymagań dotyczących bezpieczeństwa  a niekoniecznie od jej wielkości.