#1 Analiza ryzyka - Jak dodać? Prosta metoda opisowa
Vložit
- čas přidán 28. 04. 2020
- Jeden z tematów, który wzbudza największe emocje, czyli metodologia oraz przygotowanie analizy ryzyka. Zobacz, jak można skonfigurować i przygotować pierwszą analizę ryzyka w Kryptos72, metodą tzw. opisową.
Skrót materiału:
00:30 Dodanie nowej analizy ryzyka
02:00 Dodanie podatności
02:40 Dodanie zagrożeń
02:57 Dodanie zabezpieczeń
03:32 Pozostałe zabezpieczenia
03:37 Szacowanie ryzyka oraz ocena skutków
05:40 Podsumowanie
06:15 Raport PDF
Załóż bezpłatne konto: trial.kryptos7...
Zapisz się na darmową prezentację o programie: calendly.com/k...
Dowiedz się więcej: kryptos72.com/
Zadzwoń do Nas: +48 22 60 22 340
Film w postaci tekstowej :)
Witaj dzisiaj zajmiemy się tematem analizy ryzyka. Pokażę Ci dwie niezależne od siebie metody analizy ryzyka oraz oceny skutków przetwarzania, natomiast pamiętaj o tym że Kryptos72 umożliwia Ci zdefiniowanie własnej metody analizy ryzyka, która może być zupełnie odmienna od tych które Ci pokażę, w tym kursie.
Zaczynamy od pierwszej, bardzo podstawowej metody, która należy do grupy opisowych i kończy się tekstowym raportem, a same wyniki możemy wyeksportować do Excela by samodzielnie wygenerować diagramy na jakich nam zależy.
Klikamy dodaj ocenę skutków z analizą ryzyka. Powiedzmy że chcielibyśmy wykonać szacowanie ryzyka dla takiej czynności jak przekazywanie danych do podmiotów zewnętrznych. To przykład z jednej z przychodni stomatologicznych, która przekazuje zdjęcia z danymi osobowymi do podwykonawcy, który wykonuje np. implanty.
Dalej, wybieramy autorów analizy czyli np. pracowników członków grupy która będzie brała udział w analizie. Potem data wykonania, cel i powód analizy.
Załóżmy że wcześniej wykonaliśmy wstępną ogólną ocenę, po której dostrzeżono potrzebę głębszej. Koleno, czy przetwarzanie które analizujemy już się odbywa: tak. Ilość osób których dane przetwarzamy lub zamierzamy przetwarzać. Powiedzmy że jest to około 3000 osób. Określamy również procent danych wrażliwych.
Po wybraniu konkretnego aktywa do analizy, czyli w naszym przypadku samej czynności przetwarzania, wybieramy podatności, czyli słabości. Obrazowo, podatnością laptopa jest wrażliwość na wodę oraz ogień. Dalej określamy kluczowe zagrożenia. Myślę że kluczowym zagrożenie w naszym przypadku będzie zatrzymanie procesu usługowego oraz wyciek informacji jak również ujawnienie informacji chronionych i utrata dobrego wizerunku. Załóżmy że będą to straty finansowe, że będzie to niezamierzona zmiana danych w systemie informatycznym a nawet może dojść do kradzieży czy ogólnie do naruszeń prawa.
Idąc dalej analogicznie zaznaczamy zabezpieczenia chyba że zależy nam na wyliczeniu takiego typowego ryzyka pierwotnego. Natomiast najczęściej zaznaczamy również zabezpieczenia. Kwestia czy analizę wykonujemy na dzień dzisiejszy czy wykonujemy analizę ryzyka by wyliczyć jak zmieniały się te wartości lub zmienią w przyszłości.
Zaznaczmy, że stosuje się zabezpieczenia kryptograficzne, zamknięte metalowe szafy, monitoring wewnętrzny, zewnętrzny, monitoring itd. gdy skończymy klikamy zatwierdź.
Możemy również wskazać pozostałe zabezpieczenia. Tutaj tylko wymienię powiedzmy 2. Możemy przejść do szacowanie ryzyka, jak również do oceny skutków. Dla jednego z Klientów wykonywaliśmy symulator kar RODO. Możemy wskazać sami szacunkową maksymalną kwotę kar.
Przyjmijmy że przetwarzamy dane 3000 pacjentów i załóżmy że 150 zł to szacunkowa kara administracyjna za wyciek jednego rekordu. Licząc szybko to będzie 450 000 zł i również szacunkowa kwota maksymalnych skutków z pozwów cywilnych. Przyjmijmy że 5% z trzech tysięcy i pomnóżmy jeszcze koszt zastępstwa procesowego. Powiedzmy na poziomie 3 i pół tysiąca to wyjdzie nam kwota rzędu 525000 zł.
Wcześniej określiłem, że używamy skali pięciostopniowej, czyli: marginalne małe średnie duże maksymalne skutki oraz atrybuty jak poufność dostępność integralności rozliczalność i tak samo szacowanie prawdopodobieństwo wystąpienia skutków zewnętrznych analogiczna skala dodatkowo moglibyśmy wpisać szacunkową kwotę maksymalnych innych kosztów w związku ze skutkami które wystąpią. tak Załóżmy że będzie to 50 000 zł.
Dla przykładu, wybieramy losowo w tabeli skutki zewnętrzne czyli np. naruszenie prawa, niepełne wykonanie zadań i negatywne skutki zewnętrzne. Na koniec podsumowanie z wnioskami. Gdy już wykonamy wszystkie wykresy i realnie ocenimy ryzyko zapisujemy. Gdyby ryzyka wyszły nieakceptowalne, to musimy wskazać dodatkowe środki bezpieczeństwa lub doprowadzić do warunków, gdy można je zaakceptować.
Wyliczenie skuteczności procedur i zabezpieczeń, na podstawie raportu z ilości zgłoszonych incydentów. Uwag brak. Zaplanowana data ponownej analizy powiedzmy 29 października 2020 i klikamy zatwierdź.
Dziękuję za uwagę. W kolejnej części pokażę Ci jak wykonać analizę ryzyka, zgodną z metodologią np. ISO 27001.
#analizaryzyka #programdoanalizyryzyka #analizaryzykaopisowa #jakdodać #programdorodo #kryptos72
