mehari - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / mehari - risk...
DESCRIPTION
Wprowadzenie do MEHARI - zgodnej z ISO/IEC 27001 oraz 27005 metodyki analizy ryzyka w bezpieczeństwie informacji / Introduction to MEHARI - ISO/IEC 27001- and 27005-compatible risk analysis method in information security (MEHARI = MEthod for Harmonized Analysis of Risk in Information processing)TRANSCRIPT
![Page 1: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/1.jpg)
© Gi4 Sp. z o.o.© Gi4 Sp. z o.o.
Metodyka analizy ryzykaw przetwarzaniu informacji
i jej zgodność z ISO/IEC 27005
![Page 2: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/2.jpg)
© Gi4 Sp. z o.o.
ISO/IEC 27005
• ISO/IEC 27005 wspomaga wdrażanie ISO/IEC 27001• ISO/IEC 27005 – proces zarządzania ryzykiem:
• ISO/IEC 27005 nie definiuje metodyki analizy ryzyka
• Wydanie ISO/IEC 27005: 2011 zostało zharmonizowane z serią 31000 (zarządzanie ryzykiem w przedsiębiorstwie i instytucji)
Cykliczne: monitorowanie i przegląd ryzyk
Komunikacja dotycząca ryzyk
Minimalizacja/transfer/akceptacja ryzyk
Oszacowanie ryzyk
Określenie kontekstu
![Page 3: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/3.jpg)
© Gi4 Sp. z o.o.
Czego wymaga ISO/IEC 27005?
Kolejność zależna od metodyki (8.2.1.1)
Identyfikacja zasobów (8.2.1.2)
Określenie zagrożeń (8.2.1.3)
Określenie istniejących sposobów ochrony (8.2.1.4)
Określenie podatności (8.2.1.5)
Określenie skutków (8.2.1.6)
![Page 4: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/4.jpg)
© Gi4 Sp. z o.o.
MEHARI - założenia do modelu obliczeniowego
Naturalnenarażenie
Analiza skutkówAnaliza przyczyn
Ryzyko szczątkowe
Skutekwłaściwy
Czynniki strukturalne
Czynniki redukująceprawdopodobieństwo:
• Odstraszające• Zapobiegające
Czynniki redukująceskutek:
• Ograniczające• Łagodzące• Odtwarzające
Środki redukcji
Prawdopodobieństwo szczątkowe Skutek szczątkowy
![Page 5: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/5.jpg)
© Gi4 Sp. z o.o.
MEHARI – klasyfikacja zasobów
![Page 6: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/6.jpg)
© Gi4 Sp. z o.o.
MEHARI – macierz narażenia naturalnego
![Page 7: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/7.jpg)
© Gi4 Sp. z o.o.
MEHARI – baza scenariuszy zagrożeń
![Page 8: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/8.jpg)
© Gi4 Sp. z o.o.
MEHARI – audyt zabezpieczeń
![Page 9: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/9.jpg)
© Gi4 Sp. z o.o.
MEHARI - obszary (domeny) audytu
![Page 10: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/10.jpg)
© Gi4 Sp. z o.o.
MEHARI – macierze obliczeniowe
![Page 11: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/11.jpg)
© Gi4 Sp. z o.o.
MEHARI – wyniki analizy i redukcja ryzyka
![Page 12: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/12.jpg)
© Gi4 Sp. z o.o.
MEHARI – podsumowanie – zalety
• Metodyka MEHARI to praktyczna, gotowa do użycia implementacja zaleceń z ISO/IEC 27005
• Jawne obliczenia• Pełna parametryzacja• Skala 1-4• Tak/Nie• Szczegółowa dokumentacja• Licencja Open Source
• MEHARI: © CLUSIF – francuskie stowarzyszenie bezpieczeństwa informacji
• http://rm-inv.enisa.europa.eu/methods/m_mehari.html
![Page 13: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/13.jpg)
© Gi4 Sp. z o.o.
MEHARI – podsumowanie – wady
• Po angielsku/francusku• Konieczność szczegółowego przeszkolenia przed rozpoczęciem
korzystania z arkuszy– Bardzo rozbudowane i skomplikowane arkusze
• Konieczność samodzielnego generowania raportów/wykresów• Kwestionariusze tylko lokalne• „Ręczna” konsolidacja kwestionariuszy
![Page 14: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/14.jpg)
© Gi4 Sp. z o.o.
Nasi klienci się cieszą!
![Page 15: MEHARI - metodyka analizy ryzyka w bezpieczeństwie informacji - wprowadzenie / MEHARI - risk analysis method in information security - introduction](https://reader036.vdocuments.site/reader036/viewer/2022081413/549043d0b47959d4058b4606/html5/thumbnails/15.jpg)
© Gi4 Sp. z o.o.
© 2007-2013 Gi4 Sp. z o.o.
Żadna część niniejszej prezentacji nie może być rozpowszechniana w żadnej formie ani używana do
prowadzenia jakichkolwiek szkoleń, wykładów czy prezentacji bez pisemnej zgody Gi4 Sp. z o.o.
Niniejsza prezentacja zawiera informacje stanowiące tajemnicę przedsiębiorstwa Gi4 Sp. z o.o. Informacje te są przeznaczone wyłącznie dla osób/podmiotu, dla których/którego prezentacja była przeprowadzona i/lub którym to osobom/podmiotowi została przekazana w formie elektronicznej i/lub drukowanej. Ani informacje te, ani treść niniejszej prezentacji (w całości lub w części, w dowolnej formie: papierowej, elektronicznej, nagrania lub dowolnych innych środków gromadzenia i przesyłania informacji) nie mogą być przekazywane innym podmiotom ani osobom bez pisemnej zgody Gi4 Sp. z o.o.
Gi4 Sp. z o.o.ul. Rzymowskiego 53, 02-697 Warszawa
tel. 22 5480140, faks 22 [email protected]