Vidio sam kako mnoge manje tvrtke (do 50 zaposlenih) pokušavaju primijeniti alate za procjenu rizika kao dio projekta implementacije norme ISO 27001. Rezultat je da to obično oduzima previše vremena i novca, a ne proizvodi dovoljne učinke.
Prije svega, što je ustvari procjena rizika i koja joj je svrha? Procjena rizika je postupak pomoću kojeg organizacija treba uočiti rizike vezane za informacijsku sigurnost i odrediti njihovu vjerojatnost i posljedice. Pojednostavljeno rečeno, organizacija bi trebala prepoznati sve potencijalne probleme vezane za informacije, kolika je vjerojatnost da se pojave i koje bi mogle biti posljedice. Svrha procjene rizika je utvrđivanje mjera koje su potrebne da bi se rizik smanjio – odabir mjera naziva se procesom obrade rizika, a u normi ISO 27001 one se odabiru iz Aneksa A u kojem su navedene 133 mjere.
U procjeni rizika moraju se identificirati i ocijeniti resursi, ranjivosti i prijetnje. Resurs je sve ono što ima vrijednost za organizaciju – hardver, softver, ljudi, infrastruktura, podaci (u raznim oblicima i na raznim medijima), dobavljači i partneri, itd. Ranjivost je slabost resursa, procesa, mjere itd. koju bi prijetnja mogla iskoristiti; prijetnja je bilo koji uzrok koji može naštetiti sustavu ili organizaciji. Primjer ranjivosti je nepostojanje antivirusnog softvera; s time povezana prijetnja je računalni virus.
Sad kad sve to znate, a vaša organizacija je mala, zapravo vam nije potreban sofisticiran alat za provedbu procjene rizika. Sve što vam treba je Excel tablica, dobar katalog ranjivosti i prijetnji i dobra metodologija procjene rizika. Pravi posao se zapravo sastoji u tome da ocijenite vjerojatnost i učinke, a to ne može svaki alat – to je nešto o čemu moraju razmišljati vaši vlasnici resursa koristeći svoje znanje o tim resursima.
Dakle, gdje nabaviti katalog i metodologiju? Ako koristite usluge konzultanta, on bi tvam ih trebao dati. U suprotnom, na internetu postoji nekoliko besplatnih kataloga, samo ih morate potražiti pomoću Googlea. Metodologija nije dostupna besplatno, ali možete koristiti normu ISO 27005 (ona detaljno opisuje procjenu i obradu rizika), ili možete koristiti neke druge web stranice koje prodaju metodologiju. Za sve to bi trebalo znatno manje vremena i novca nego za kupnju alata za procjenu rizika i učenje kako se koristi.
Dobra metodologija trebala bi sadržavati metodu za identifikaciju resursa, prijetnji i ranjivosti, tablice za označavanje vjerojatnosti i učinaka, metodu za izračun rizika, te definirati prihvatljivu razinu rizika. U katalozima bi trebalo biti navedeno najmanje 30 ranjivosti i 30 prijetnji; u nekim se katalozima navodi i po nekoliko stotina ranjivosti i prijetnji, ali to je vjerojatno previše za malu tvrtku.
Postupak zaista nije kompliciran – evo osnovnih koraka za procjenu i obradu:
- definirajte i dokumentirajte metodologiju (uključujući kataloge), dostavite je svim vlasnicima resursa u organizaciji
- organizirajte intervjue sa svim vlasnicima resursa u kojima ćete od njih zatražiti da identificiraju svoje resurse i s njima povezane ranjivosti i prijetnje; u drugom koraku ih zamolite da ocijene vjerojatnost i učinak pojave određenog rizika
- objedinite podatke u jednoj Excel tablici, izračunajte rizike i odredite neprihvatljive rizike
- za svaki neprihvatljiv rizik odaberite jednu ili više mjera iz Aneksa A norme ISO 27001 – izračunajte koja bi bila nova razina rizika nakon provedbe tih mjera
Da zaključim: procjena i obrada rizika zaista jesu temelj informacijske sigurnosti / ISO 27001, što ne znači da moraju biti komplicirane. Možete ih provesti na jednostavan način, bitan je samo zdrav razum.
Da saznate više, preuzmite ovaj besplatni Diagram of ISO 27001:2013 Risk Assessment and Treatment process.