Analiza zagrożeń a indeks bezpieczeństwa

0
50

W związku ze zbliżającym się szkoleniem z zakresu analizy i oceny ryzyka, postanowiłem nieco podzielić się pewnymi narzędziami. Powstała kategoria „Narzędzia”, w której znajdzie się kilka narzędzi, jakie zostały opracowane na rzecz Klientów – jeszcze przed Instytutem Bezpieczeństwa i Informacji. Większość narzędzi jest już nie używanych, bo jak każdy obszar, tak i bezpieczeństwo się rozwija. Niemniej uważam, że warto się podzielić swoimi wcześniejszymi pomysłami – może się przydadzą.

Jako pierwsze narzędzie – ocena zagrożenia. Pochodzi mniej więcej z 2007-2008 roku, gdy głównym obszarem jaki oceniałem w ramach audytów było bezpieczeństwo fizyczne obiektów, urządzeń i obszarów. W tym również podlegających obowiązkowej ochronie. tego samego narzędzia używałem do oceny bezpieczeństwa fizycznego i środowiskowego w zakresie bezpieczeństwa informacji – zgodnie z rozdziałem A.9, załącznika A normy ISO/IEC 27001. Różnica tylko w zakresie miejsca występowania – zmieniałem na „zidentyfikowane aktywa informacyjne”. Zapraszam do pobierania:

Szablon oceny zagrożenia (kliknij żeby pobrać)

Oraz Instrukcja wypełniania arkusza zagrożenia (kliknij żeby pobrać) – nieco krótka, wiele bym w niej zmienił, ale przyjąłem założenie, że wrzucam pliki w oryginale. Ta wersja to grudzień 2008 roku.

Niniejsze arkusze są omawiane w trakcie szkoleń szacowanie i ocena ryzyka w organizacji oraz w całej ścieżce Audyt Bezpieczeństwa, Security manager i Administrator Bezpieczeństwa Informacji (CISO). W ramach szkolenia – Szacowanie i Ocena Ryzyka głównym celem jest uzupełnienie danych wejściowych w obszarze ryzyka, a więc:

Wpływu na organizację zagrożenia. W kolejnym arkuszu jest to już rozwinięte o dodatkowo – prawdopodobieństwo. Różnica wynika z podstaw na których budowany był szablon (pierwsza wersja oparta głównie o Metodykę Komendy Głównej Policji w sprawie uzgadniania planów ochrony obiektów, obszarów i urządzeń podlegających obowiązkowej ochronie).

Kolejny plik, to już strukturalizowana analiza oceny zagrożeń, zbudowana w pełni w oparciu o Metodykę KGP. Struktura zagrożeń pochodzi wprost z metodyki.

Analiza zagrożeń i aktualnego stanu bezpieczeństwa jednostki (kliknij żeby pobrać)

Kilka zdań podsumowania jak sobie poradzić. W każdym badanym okresie (analizy powinny być okresowe) pracujmy na odrębnych arkuszach. Przy czym pierwszy przegląd warto nazwać progowym – jako swoisty raport otwarcia. Następne pokażą nam jak zmienia się struktura zagrożeń ( i ryzyka) dla organizacji. Jednocześnie sam indeks bezpieczeństwa, w tych arkuszach wyrażony procentowo jest po prostu miernikiem realizacji strategii bezpieczeństwa, czy tez planów rozwoju, zapisanych w Planach Ochrony czy politykach bezpieczeństwa.

Jest to jedna z metod oceny, nie jedyna. O czym warto pamiętać.

Miłej zabawy…