Students and Academics of All Countries, Unite! :-)

W jaki sposób szacować ryzyko?

Rozdział czwarty „Szacowanie i postępowanie z ryzykiem” normy PN-ISO/IEC 17799:2007, podejmuje bardzo obszerne zagadnienie jakim jest „Szacowanie ryzyka bezpieczeństwa” (punkt 4.1 ww. normy). Założyłem ten temat gdyż uważam, iż zapewnienie bezpieczeństwa informacji wymaga szerszego aniżeli w normie podejścia do tematu jakim jest szacowanie ryzyka.

W normie możemy przeczytać „Zaleca się, aby szacowanie ryzyka zidentyfikowało ryzyka, nadało im wartość i priorytet w stosunku do kryteriów akceptowania ryzyka i celów właściwych dla organizacji”. Jednak bezcelowe było by szukanie w normie zaleceń jak to zrobić, gdyż norma nie zawiera szczegółowych wymagań, określających jak powinien wyglądać proces szacowania ryzyka. Chciałbym Was zapytać jak waszym zdaniem oszacować ryzyko tak, by wyniki naszych działań były jak najbardziej zbliżone do rzeczywistości? Jakimi metodami się posługiwać: indukcyjnymi czy dedukcyjnymi? Skąd wziąć odpowiednią ilość danych, by móc się posłużyć metodami ilościowymi? A jeżeli nie mamy takiej możliwości, czy jest sens szacować ryzyko związane z bezpieczeństwem informacji metodami jakościowymi?

Metody, które już poznaliśmy zaczynają proces szacowanie ryzyka, od identyfikacji zagrożeń, a co powiecie na metodę przedstawioną przez Waldemara Gełzakowskiego pod tym linkiem:

http://technologie.nf.pl/Artykul/7685/Szacowanie-ryzyka-w-systemie-...

Czy wydaje się wam, tak jak i mnie, że korzystniej będzie zacząć proces szacowania ryzyka, w sposób, który jest przedstawiony w artykule?

Na koniec, chciałbym zapytać, jaka była by wasza odpowiedz, na pytania, którymi ten artykuł się zaczyna?

0 members like this

Replies to This Discussion

Permalink Reply by Paweł Grygier on May 19, 2010 at 2:56am

Chciałbym zaznaczyć, że norma odwołuje się do innej normy: "Przykładu metodyk szacowania ryzyka są omawiane w ISO/IEC TR 13335-3"
Uważam, że nielogicznym byłoby przepisanie przykładowej normy określającej jak wdrożyć szacowanie ryzyka. Jest bardzo dużo norm i podanie przykładu mijałoby się z celem. Wybór metodyki jest przecież zależny od zakresu usług i systemu na jakim działamy.
Norma za to dokładnie określa jak mamy postępować z wyznaczonym ryzykiem.

Uważam, że dobre oszacowanie ryzyka polega na jego prawidłowej ocenie by je wyeliminować lub ograniczyć. Uważam, że lepszą i dokładniejszą metodą oceny ryzyka jest metoda indukcyjna. Nie jesteśmy w stanie określić dokładnie wszystkich szczegółów, a jedynie ogół faktów dotyczących ogólnych zjawisk. Dopasowując nasze ogólne fakty do konkretnego przykładu jesteśmy wstanie lepiej wniknąć w istotę rzeczy niż w drugą stronę.

Dane potrzebne do zrealizowanie metody ilościowej możemy spróbować pozyskać z doświadczenia innych lub przeglądając naszą historię, jeśli takową posiadamy.

Proces szacowania ryzyka określony przez Waldemara Gełzakowskiego jest bardzo interesujący. Określenie "aktywów" najbardziej narażonych na zagrożenie jest kluczowym elementem do zabezpieczenia informacji.

Uważam, że określenie ryzyka jest niezwykle ważne, nie tylko dlatego, że jest to zawarte w normie, ale przede wszystkim dlatego by nasze informacje oraz najbardziej zagrożone jednostki zostały odpowiednio zabezpieczone.

Permalink Reply by Szymon Sell on May 27, 2010 at 6:18pm

Uważam, że norma nie służy temu, by wymagać konkretnych działań w danym przypadku. Moim zdaniem, powinna ona stawiać wymagania, a co najwyżej proponować jakieś rozwiązania. Natomiast decyzje dotyczące podjęcia konkretnych działań i stosownego wyboru metody zależą tylko i wyłącznie od człowieka.

Do tematu szacowania ryzyka odnosi się także norma PN ISO/IEC 27001:2005. Nie zawiera szczegółowych wymagań, określa natomiast sposób przedstawienia danego procesu.

Szacowanie ryzyka tak jak już wspomniała Dorota jest bardzo trudne, ale jakże ważne. Metod jest wiele, ale nie wszystko od nich zależy. Bardzo ważnym aspektem w tej dziedzinie jest człowiek i jego doświadczenie. To właśnie on podejmuje wszystkie decyzje i jest za nie odpowiedzialny.

Poniższy link ukazuje różne podejścia szacowania ryzyka. Opisuje podejście jakościowe, ilościowe a także mieszane. Przedstawione są plusy i minusy każdej z metod. Po przeczytaniu tekstu stwierdzam, że najbardziej odpowiednie są metody mieszane, gdyż zebrane są w nich najlepsze cechy i połączone w jedną metodę. Może to prowadzić do stworzenia naprawdę miarodajnych metod szacowania ryzyka.
http://www.securitystandard.pl/artykuly/52173/Zarzadzanie.ryzykiem....

Podsumowując moją wypowiedź i odpowiadając na pytanie Krzysztofa uważam, że należy robić to w bardzo ostrożny sposób, niezależnie od wyboru metody ! 

Permalink Reply by Anita Krotofil on November 18, 2010 at 5:16pm

Ryzyko towarzyszy nam każdego dnia. Uważam więc, że dobry temat został tutaj przez kolegę Krzysztofa poruszony. No właśnie...Co zrobić, by ryzyka uniknąć?Co zrobić, by przewidzieć ryzyko? Co zrobić, by czuć się jak najbardziej bezpieczny? Mi również nasuwają się takie pytania. Przecież bez ryzyka świat byłby o wiele prostszy, bepieczniejszy...Wg podanej normy należy, na przykład, zastosować odpowiednie zabezpieczenia redukujące ryzyko, unikać działań, które mogłyby wywołać ów ryzyko czy przekazywać ryzyko na inne podmioty (innych ludzi). Ale czy my w ten sposób całkowicie unikniemy ryzyka?Moja odpowiedz brzmi: NIE! Nie jesteśmy w stanie do końca uniknąć ryzyka, będzie nam ono towarzyszyło na każdym kroku.

Jakoże studiuję kierunek przygotowujący do bycia menagerem, znalazlam fajną stronę poświęconą szacowania ryzyka w praktyce menadżerskiej (http://www.rudnicki.com.pl/pub/RM_11.pdf). Bardzo spodobało mi sie określenie, iż "ryzyko to kombinacja skutku i prawdopodobieństwa". Stąd moje pytanie- Czy tak właśnie można w krótki sposób określić pojęcie ryzyka? Czy lepiej poslużyć się pojęciem z wikipedii: http://pl.wikipedia.org/wiki/Ryzyko ?

A jeśli chodzi o metodę przedstawioną przez Pana Gełzakowskiego (http://technologie.nf.pl/Artykul/7685/Szacowanie-ryzyka-w-systemie-...), to uważam tak, jak kolega Krzysztof, że sposób szacowania ryzyka jest tutaj bardzo trafnie określony. Może na pierwszy rzut oka jest skomplikowany, ale jakby tak dokladnie krok po kroku poczytać, to jest on tutaj bardzo dokładnie opisany.
Taką również metodę pozwolę sobie podać jako, moim zdaniem, najbardziej efektywną i zbliżającą wyniki naszych działań do rzeczywistości.

Oczywiście nadal utrzymuję swoją tezę, iż nie jesteśmy w stanie całkowicie uniknąć ryzyka.

Permalink Reply by Mateusz Kowalski on March 28, 2011 at 5:48pm

Chciałbym nawiązać do stwierdzenia "ryzyko to kombinacja skutku i prawdopodobieństwa". Uważam że jest to bardzo dobre i dosłowne streszczenie definicji słowa ryzyko. Ponieważ ryzyko składa się w wiekszości ze skutku (wg. SJN http://sjp.pwn.pl/slownik jest to następstwo jakiegoś działania) oraz prawdopodobieństwa(http://sjp.pwn.pl/slownik/2507927/prawdopodobieństwo czyli możliwość, szansa wydarzenia się czegoś), Bo RYZYKO to nic innego jak pytanie:

Jaka jest możliwośc wydarzenia się czego i jakie są tego następstwa?

Permalink Reply by Julianna Kaczmarek on March 28, 2011 at 5:58pm

Zgadzam się Mateuszu. Nawet w jednej z metod ryzyka (http://pl.wikipedia.org/wiki/Risk_score), mianowicie metodzie Risk Score występuję następująca definicja ryzyka:

R=S*E*P

R-ryzyko

S-możliwe skutki oraz ich ciężkość

E-czas ekspozycji na czynnik niebezpieczny

P-prawdopodobieństwo zaistnienia zdarzenia wypadkowego. :)

Permalink Reply by Milan Reder on June 12, 2011 at 1:13am

W swojej książce Andrzej Białas (A. Białas, Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Warszawa 2007) opisuje jedną z metod szacowania ryzyka opracowaną przez kanadyjską organizacje rządową. Metoda ta nazywa się Threat and Risk Assessment (TSA). Składa się z trzech podstawowych części: przygotowania, analizy oraz zaleceń dotyczących ryzyka.

Zadania stawiane przez TSA to:

identyfikacja zasobów wrażliwych,
pokazanie, w jaki sposób może dojść do ich naruszenia przez siły sprawcze zagrożeń,
ocena związanego z tym ryzyka
przedstawienie wytycznych jak należy obchodzić się z ryzykiem w cyklu życia.

Ryzyko w tej metodzie jest szacowane wartością prawdopodobieństwa wystąpienia zdarzeń niepożądanych oraz ich konsekwencjami.

Permalink Reply by Milena Idzi on March 27, 2012 at 1:07pm

Szacowanie ryzyka jest bardzo ważnym elementem w wielu obszarach występowania zagrożeń. Ważne jest, aby rezultaty Naszych działań nie odbiegały od rzeczywistości, ale jak to osiągnąć? Moim zdaniem bardzo dobrym rozwiązaniem może być m.in. wymiana informacji, nawiązywanie dialogów pomiędzy pracodawcami a pracownikami na tematy dotyczące ich opinii na temat bezpieczeństwa. Udział zwłaszcza pracowników w przeprowadzeniu oceny ryzyka zawodowego może zwiększyć ich zaangażowanie w rozwiązywanie problemów związanych z bezpiecznymi warunkami pracy i wpłynąć na lepszą realizację działań korygujących i zapobiegawczych. Warto przeprowadzać takie spotkania z pracownikami, gdyż przeciętna osoba pracująca za bezpieczeństwo informacji uważa tajemnice związane z przedsiębiorstwem, czy też włamaniami do zasobów informatycznych firmy, podczas, gdy bezpieczeństwo informacji odnosi się również do informacji o ofertach, projektach, klientach. Wprowadzenie systemu bezpieczeństwa informacji wg wcześniej wspomnianej już normy, a mianowicie ISO 27001, wiąże się z wieloma korzyściami. Bardzo zgrabnie zostało to opisane w poniższym linku:

http://www.pmgroup.pl/pmgroup/zarzadzanie-bezpieczenstwem-informacj...

Bardzo przydatne przy ocenie ryzyka jest korzystanie z listy zagrożeń oraz to, by Nasze podejście było proste do problemu obejmujące dwa poziomy wymagań dotyczących bezpieczeństwa (np. wysokie i niskie) oraz wycenę aktywów za pomocą z góry określonej skali. W wyniku tego otrzymamy rozeznanie, które ułatwi Nam stwierdzić, które ryzyka wymagają podjęcia działań w pierwszej kolejności. Takie podejście posiada zarówno wady , jak i zalety w zależności od poziomu bezpieczeństwa. Znalazłam ciekawą stronę, na której jest bardziej rozwinięte jak podchodzić do szacowania ryzyka w systemie zarządzania bezpieczeństwem informacji zgodnym z ISO 27001:

http://www.humanms.eu/index.php?option=com_content&view=article...

Natomiast jeżeli ktoś posiada doświadczenie i pełną informację przy ocenie ryzyka to warto stosować metody wieloparametrowe i wielopoziomowe, gdyż otrzymany wynik oceny ryzyka jest bardziej obiektywny, zbliżony do rzeczywistego.

Permalink Reply by Katarzyna Konieczna on April 3, 2012 at 5:52pm

Chciałabym zwrócić uwagę na istotę prawidłowego szacowania ryzyka:

W polskim prawie ustawa z dnia 5 sierpnia 2010 roku (Dz.U.2010.182.1228) porusza problematykę z zakresu szacowania i zarządzania ryzykiem.

http://www.abc.com.pl/du-akt/-/akt/dz-u-2010-182-1228

W art. 2 pkt 15-17 zostały sprecyzowane w bardzo ogólny sposób definicje:

„15) ryzykiem – jest kombinacja prawdopodobieństwa wystąpienia zdarzenia niepożądanego i jego konsekwencji;
16) szacowaniem ryzyka – jest całościowy proces analizy i oceny ryzyka;
17) zarządzaniem ryzykiem – są skoordynowane działania w zakresie zarządzania bezpieczeństwem informacji, z uwzględnieniem ryzyka.”

Aby w odpowiedni sposób zabezpieczyć informacje należy przeprowadzić klasyfikacje informacji przetwarzanych przez organizacje oraz oszacować ryzyko utraty tych informacji.

Dobrze opracowana klasyfikacja informacji może być solidną podstawą do analizy ryzyka utraty informacji.

Głównym celem szacowania ryzyka jest określenie takich zagrożeń dla informacji przetwarzanych przez przedsiębiorstwo, które są najbardziej prawdopodobne i mogą spowodować największe straty.

Taka ocena jest jednym z najważniejszych elementów wdrażania i utrzymania systemu zarządzania bezpieczeństwem informacji. Na jej podstawie ustala się jakie środki kontroli bezpieczeństwa zostaną wdrożone lub jakie procedury należałoby opracować.

Jeśli chodzi o sposoby szacowania ryzyka, przydatne są macierze opracowane w raporcie GMITS (Guidelines for the Management of IT Security) ISO/IEC TR 13335 (http://pl.wikipedia.org/wiki/ISO/IEC_TR_13335)