Trwa Wysyłanie ...
Audyt informatyczny
Analiza ryzyka informacyjnego jest rozbudowanym procesem mającym na celu wyznaczenie (skwantyfikowanie) poziomów ryzyk związanych z wybranymi do analizy scenariuszami zagrożeń dla badanego systemu informacyjnego. Analiza ryzyka informacyjnego jest kluczowym elementem procesów zarządzania bezpieczeństwem informacji. Należy cały czas pamiętać, że przez system informacyjny rozumie się system polityk, procedur, zasobów (technicznych, ludzkich, budynków, pomieszczeń itp.) oraz informacji (przechowywanych i przetwarzanych w postaci elektronicznej i papierowej) działający w określonym otoczeniu prawnym i biznesowym oraz w określonej lokalizacji (lub lokalizacjach).
Metodologia analizy ryzyka informacyjnego MEHARI [(Methode Harmonisee d'Analyse de Risquesā -
Zharmonizowana Metodologia Analizy Ryzyka) została opracowana przez Francuskie Stowarzyszenie Bezpieczeństwa Systemów Informacyjnych] obejmuje wszystkie obszary przetwarzania i wszystkie postaci informacji.
MEHARI pochodzi z metod Melissa i Marion. Ta ostatnia była rekomendowana przez Związek Banków Polskich do przeprowadzania audytów teleinformatycznych w instytucjach finansowych. MEHARI nie ogranicza się jedynie do informacji w postaci elektronicznej, obejmuje również informacje w postaci papierowej. Bada wszystkie zasoby związane z przetwarzaniem informacji, a więc zasoby fizyczne (budynki, pomieszczenia), zasoby techniczne i teleinformatyczne oraz zasoby ludzkie.
MEHARI pochodzi z metod Melissa i Marion. Ta ostatnia była rekomendowana przez Związek Banków Polskich do przeprowadzania audytów teleinformatycznych w instytucjach finansowych. MEHARI nie ogranicza się jedynie do informacji w postaci elektronicznej, obejmuje również informacje w postaci papierowej. Bada wszystkie zasoby związane z przetwarzaniem informacji, a więc zasoby fizyczne (budynki, pomieszczenia), zasoby techniczne i teleinformatyczne oraz zasoby ludzkie.
Ogólne metodologia Mehari składa się z analizy bezpieczeństwa i wstępnej klasyfikacji aktywów informacji uszeregowanych według trzech podstawowych kryteriów bezpieczeństwa (poufności, integralności, dostępności). Analiza ryzyka informacyjnego umożliwia wyznaczenie ryzyk szczątkowych dla wskazanych do analizy scenariuszy zagrożeń . Należy dokonać wyboru scenariuszy zagrożeń, których zajście uważa się za prawdopodobne dla analizowanego systemu informacyjnego. Należy pominąć te scenariusze, których zajście uważa się za całkowicie nieprawdopodobne dla analizowanego systemu informacyjnego. Wybór scenariuszy zagrożeń do analizy jest bardzo ważnym etapem analizy ryzyka. Decyzja o wyborze scenariuszy powinna być podejmowana świadomie i zatwierdzona przez komitet ds. zarządzania ryzykiem informacyjnym lub inne ciało (np. komitet ds. bezpieczeństwa informacji), w którego gestii jest zarządzanie ryzykiem informacyjnym.
W ramach analizy ryzyka technologii informatycznych przeprowadzonych za pomocą metodologii Mehari wykonuje się analizy ryzyk towarzyszących następującym scenariuszom:
-
Przejściowa niedostępność zasobów fizycznych,
-
Zniszczenie sprzętu w wyniku katastrof,
-
Zmniejszenie wydajności zasobów,
-
Zniszczenie oprogramowania,
-
Zmiana oprogramowania,
-
Zmiana danych,
-
Manipulacja danymi,
-
Rozgłaszanie/Wyciek danych,
-
Nieuprawnione wykorzystanie danych,
-
Strata danych,
-
Całkowite zniszczenie zasobów niematerialnych,
-
Wykroczenia prawne.
Scenariusze analizowane są pod kątem przyczyny i źródła wystąpienia zagrożenia. Dla każdego scenariusza uwzględniane są poziomy efektywności dla działań biorące pod uwagę:
-
STRU - działania organizacyjne (strukturalne),
-
DISS - działania odstraszające,
-
PREV - działania zapobiegające (prewencyjne),
-
PROT - działania ograniczające,
-
PALL - działania łagodzące,
-
RECO - działania odtwarzające.
Na tej postawie wyliczane są współczynniki:
-
IR (Impact reduction) - redukcja skutku, wyliczana z PROT, PALL, RECO,
-
P (Probablity) - prawdopodobieństwo szczątkowe zajścia zdarzenia opisywanego przez scenariusz ryzyka. Zależy od narażenia naturalnego i efektywności działań,
-
I (Impact) - skutek szczątkowy zajścia zdarzenia (bezpośrednie i pośrednie). Zależy od konsekwencji,
-
maksymalnych i redukcji tych konsekwencji,
-
S - ryzyko szczątkowe.
