#2 Program do analizy ryzyka ISO 27001 + DPIA - metoda zaawansowana
Vložit
- čas přidán 30. 04. 2020
- Program do tworzenia analizy ryzyka. Zaawansowana metoda, wykonywania analizy, zgodnej z ISO 27001 + DPIA - podatności. Stwórz własny program do analizy ryzyka :)
Skrót materiału:
00:38 Początek
01:33 Dodanie nowej czynności
02:26 Jak utworzyć grupę aktywów?
02:58 Określenie zagrożeń oraz zabezpieczeń
04:45 Skala prawdopodobieństwa
05:40 Skala wpływu
06:00 Szacowanie ryzyka
11:27 Wykres sporządzonej analizy ryzyka
13:51 Podsumowanie
Załóż bezpłatne konto: trial.kryptos7...
Zapisz się na darmową prezentację o programie: calendly.com/k...
Dowiedz się więcej: kryptos72.com/
Zadzwoń do Nas: +48 22 60 22 340
Film w postaci tekstowej :)
W poprzednim nagraniu pokazałem Ci opisową analizę ryzyka, zaś w tym poznasz zaawansowaną metodę, opartą na normach ISO - w tym między innymi zgodną z ISO27001. Finalny efekt, to konkretne dane dla administratora danych, o tym jaki poziom ryzyka mamy obecnie, jaki był oraz co się zmieni, gdy np. wdrożymy nową grupę zabezpieczeń.
Do rzeczy! Przechodzimy do modułu analizy ryzyka tak jak poprzednio i wybieramy z menu element o tej samej nazwie. Otwieramy formularz dodawania. Analogicznie jak wcześniej, określamy również autorów analizy i datę wykonania.
Cel, czyli zbadanie i oszacowanie ryzyka występującego w związku z przekazywaniem danych do podmiotów zewnętrznych.
Ilość osób których dane przetwarzamy lub zamierzamy przetwarzać 3000, a danych wrażliwych nie ma. Wysokość zeszłorocznego przychodu. Te dane nie są konieczne w analizie ryzyka natomiast może nam to pomóc ocenić skutki. Zapisz i przejdź dalej.
Pora na zdefiniowanie dla jakich zasobów lub dla jakich aktywów wykonujemy analizy ryzyka. Najlepiej zobaczysz różnice jeśli wybierzemy ten sam przykład, czyli aktywem będzie czynność o nazwie przekazywanie danych do podmiotów zewnętrznych pracowni. Gdy szukamy naszej czynności, okazuje się, że nie ma jej na liście. Dlatego przechodzimy w lewym menu do analiza ryzyka, zagrożone aktywa i dodajemy aktywo.
Pamiętaj by otworzyć formularz dodawania w nowym oknie np. klikając na element, przy jednoczesnym trzymaniu klawisza CTRL. Dodajemy naszą czynność, a po zapisaniu elementu wracamy do widoku analizy ryzyka. Teraz już możemy wybrać nasz element.
Przechodzimy do kolejnego kroku, gdzie definiujemy podatności i przyporządkowujemy je do konkretnego aktywa. Czyli nie tak jak wcześniej ogólnie dla wszystkich, ale dla każdego aktywa oddzielnie. Na przykład brak weryfikacji przetwarzanych danych i brak polityki dostosowania kryptografii. W tym przykładzie wymienimy tylko dwie podatności. Klikamy Zapisz i przejdź dalej.
Jeszcze uwaga. Gdybyśmy chcieli przeprowadzić analizę grupy aktywów, czyli w ramach jednej analizy dokonać szacowania dla wielu elementów to również możemy to zrobić. Gdybyśmy na przykład zaznaczyli jeszcze jeden czyli baza marketingowa, to wtedy pojawia się nam kolejna możliwość przydzielenia podatności.
Skupmy się na jednym aktywie. Klikamy zapisz i przejdź dalej. Sprawdzamy jeszcze podstawowe informacje czy wszystko się zgadza.
Pora na właściwe szacowanie. Zobacz. mamy nazwę naszego aktywa niżej zagrożenia dla podatności brak polityki stosowania kryptografii oraz zabezpieczenia dla tej samej podatności. Czyli pary zagrożenia i zabezpieczenia, określamy dla każdej podatności, w kontekście aktywa.
Możemy również skonfigurować tak system by dodawać zabezpieczenia kolejnego poziomu, ale to w innym filmie. Także skupmy się na identyfikacji zagrożeń, bo to pierwszy krok. Czyli zastanówmy się co może powodować podatność brak polityki stosowania kryptografii - jakie zagrożenia.
Na przykład wyciek informacji jak również utrata dobrego wizerunku. Wybierzmy takie dwa zagrożenia. Wskażmy również od razu zabezpieczenia jakie mogą uchronić nas przed podatnością czyli przed słabością naszego aktywa o nazwie brak polityki stosowania kryptografii.
W międzyczasie możemy zauważyć że już pojawiły się nam możliwe szacowania, gdzie możemy wskazać prawdopodobieństwo i skutek. Podobnie jak w poprzedniej analizie, to my decydujemy, czy chcemy wyliczyć ryzyko pierwotne, czy to jakie mamy na dzień dzisiejszy lub oczywiście ryzyko szacowane, w przypadku podjęcia nowej inwestycji.
Wybierzmy od razu zabezpieczenia czyli podstawowym zabezpieczeniem w tym przykładzie będzie fakt stosowania kryptografii.
Uwaga. O ile zagrożenia będziemy oceniać pojedynczo o tyle zabezpieczenia określamy zbiorczo. Czyli np. dla zagrożenia typu wyciek informacji gdy zastosujemy te wszystkie zabezpieczenia, które się tyczą tego aktywa to osiągniemy konkretny efekt.
Gdy już mamy określone dane wejściowe, to warto byśmy zdefiniowali lub przypomnieli sobie w ogóle skalę prawdopodobieństwa oraz skalę wpływu. Zacznijmy od skali prawdopodobieństwa…
Chcesz pełny tekst? - Wejdź na www.kryptos72.com i napisz do nas na Livechat lub opisz nam Twój problem na info@kryptos72.com
#programdoanalizyryzyka #analizaryzyka #ISO27001 #kryptos72 #programdoRODO
