Dejan Kosutic Vidio sam kako mnoge manje tvrtke (do 50 zaposlenih) pokušavaju primijeniti alate za procjenu rizika kao dio projekta implementacije norme ISO 27001. Rezultat je da to obično oduzima previše vremena i novca, a ne proizvodi dovoljne učinke.
Prije svega, što je ustvari procjena rizika i koja joj je svrha? Procjena rizika je postupak pomoću kojeg organizacija treba uočiti rizike vezane za informacijsku sigurnost i odrediti njihovu vjerojatnost i posljedice. Pojednostavljeno rečeno, organizacija bi trebala prepoznati sve potencijalne probleme vezane za informacije, kolika je vjerojatnost da se pojave i koje bi mogle biti posljedice. Svrha procjene rizika je utvrđivanje mjera koje su potrebne da bi se rizik smanjio – odabir mjera naziva se procesom obrade rizika, a u normi ISO 27001 one se odabiru iz Aneksa A u kojem su navedene 133 mjere.
U procjeni rizika moraju se identificirati i ocijeniti resursi, ranjivosti i prijetnje. Resurs je sve ono što ima vrijednost za organizaciju – hardver, softver, ljudi, infrastruktura, podaci (u raznim oblicima i na raznim medijima), dobavljači i partneri, itd. Ranjivost je slabost resursa, procesa, mjere itd. koju bi prijetnja mogla iskoristiti; prijetnja je bilo koji uzrok koji može naštetiti sustavu ili organizaciji. Primjer ranjivosti je nepostojanje antivirusnog softvera; s time povezana prijetnja je računalni virus.
Sad kad sve to znate, a vaša organizacija je mala, zapravo vam nije potreban sofisticiran alat za provedbu procjene rizika. Sve što vam treba je Excel tablica, dobar katalog ranjivosti i prijetnji i dobra metodologija procjene rizika. Pravi posao se zapravo sastoji u tome da ocijenite vjerojatnost i učinke, a to ne može svaki alat – to je nešto o čemu moraju razmišljati vaši vlasnici resursa koristeći svoje znanje o tim resursima.
Dakle, gdje nabaviti katalog i metodologiju? Ako koristite usluge konzultanta, on bi tvam ih trebao dati. U suprotnom, na internetu postoji nekoliko besplatnih kataloga, samo ih morate potražiti pomoću Googlea. Metodologija nije dostupna besplatno, ali možete koristiti normu ISO 27005 (ona detaljno opisuje procjenu i obradu rizika), ili možete koristiti neke druge web stranice koje prodaju metodologiju. Za sve to bi trebalo znatno manje vremena i novca nego za kupnju alata za procjenu rizika i učenje kako se koristi.
Dobra metodologija trebala bi sadržavati metodu za identifikaciju resursa, prijetnji i ranjivosti, tablice za označavanje vjerojatnosti i učinaka, metodu za izračun rizika, te definirati prihvatljivu razinu rizika. U katalozima bi trebalo biti navedeno najmanje 30 ranjivosti i 30 prijetnji; u nekim se katalozima navodi i po nekoliko stotina ranjivosti i prijetnji, ali to je vjerojatno previše za malu tvrtku.
Postupak zaista nije kompliciran – evo osnovnih koraka za procjenu i obradu:
- definirajte i dokumentirajte metodologiju (uključujući kataloge), dostavite je svim vlasnicima resursa u organizaciji
- organizirajte intervjue sa svim vlasnicima resursa u kojima ćete od njih zatražiti da identificiraju svoje resurse i s njima povezane ranjivosti i prijetnje; u drugom koraku ih zamolite da ocijene vjerojatnost i učinak pojave određenog rizika
- objedinite podatke u jednoj Excel tablici, izračunajte rizike i odredite neprihvatljive rizike
- za svaki neprihvatljiv rizik odaberite jednu ili više mjera iz Aneksa A norme ISO 27001 – izračunajte koja bi bila nova razina rizika nakon provedbe tih mjera
Da zaključim: procjena i obrada rizika zaista jesu temelj informacijske sigurnosti / ISO 27001, što ne znači da moraju biti komplicirane. Možete ih provesti na jednostavan način, bitan je samo zdrav razum.
Da saznate više, preuzmite ovaj besplatni Diagram of ISO 27001:2013 Risk Assessment and Treatment process.
