NIS2 i ryzyko na podstawie ISO 27005, bo mnie dalej męczy ta “dynamiczna analiza ryzyka (DAZ)”.
Jutro będzie o obsłudze incydentów.
Grafika pochodzi z ISO 27005:2022, która wreszcie umieszcza iteracyjność na grafice. Tej, która przedstawia proces szacowania i oceny ryzyka. Są to dwa punkty:
➡️ Punkt decyzyjny nr 1 – dotyczy samego przebiegu analizy.
➡️ Punkt decyzyjny nr 2 – czy ryzyko jest akceptowalne. Ale nie takie samo z siebie, tylko czy ono jest akceptowalne po wdrożeniu środków (risk treatment). I co ciekawe, daje dwa warianty odesłania:
✋ Do startu całości
✋ Do ponownego doboru zabezpieczeń.
Pierwsze dziś pominę, drugi tylko przypomnę. Zabezpieczenia (środki kontroli, leczenia, jakkolwiek sobie to nazwiemy) mogą oddziaływać na:
🪫 Podatność – zarówno potoczne określenie zwiększenia “odporności” jak i wpływanie na czas ekspozycji (w informacjach rzadziej wykorzystywane, ale bywa).
💪 Siłę zagrożenia – wiąże się z podatnością, czasem ciężko odróżnić od podatności. Ale zwykłe zabezpieczenia przeciwko DDoS to właśnie takie zabezpieczenie.
📅 Prawdopodobieństwo wystąpienia zagrożenia – czyli możliwości zaistnienia. NIS 2 wymaga bezpieczeństwa fizycznego dla ICT podpadającego pod wymogi prawne, więc np. usunięcie źródeł pożaru w serwerowniach już będzie ograniczeniem prawdopodobieństwa.
To były źródła ryzyka, ale jeszcze mamy ryzyko i tutaj też mamy dwa cele:
⚠️Ograniczenie powagi skutku (segmentacja sieci. Łobuz wbija, ale hula tylko po jej wycinku)
📅Ograniczenie prawdopodobieństwa (możliwości) wystąpienia danego skutku (oklepane już szyfrowanie nośników)
🤔I co dalej z tą iteracyjnością? Otóż w momencie, gdy okazuje się, że ryzyko rezydualne (te po zastosowaniu zabezpieczeń) jest nieakceptowalne, wracamy do doboru zabezpieczeń. I tak nimi kombinujemy (wszystkimi), aby sprowadzić do poziomu akceptowalnego.
I to jest 2-gi punkt decyzyjny z węzłem do RISK TREATMENT.
Po akceptacji określane są cele zabezpieczeń, które trafiają już do specjalistów dziedzinowych, którzy dobiorą takie zabezpieczenia, aby je (cele) spełnić. Bo to gra zespołowa.
Fajnie, że w końcu w wydaniu z 2022 to się pojawiło tak wyraźnie na grafice, bo wiele osób myliło iteracyjność z przeglądami ryzyka, tymi okresowymi. Grafika oczywiście jest nadal niedoskonała, ponieważ nie przewiduje pominięcia RISK TREATMENT, w sytuacji akceptacji ryzyka. No ale nie czepiajmy się, już jest naprawdę fajnie.
——-
Post pisany z głowy, bez użycia sztucznej czyli AI, sama naturalna, na podstawie 26 letniego doświadczenia z bezpieczeństwem informacji, gdzy w obrocie był dziadek/babcia ISO 27005 – czyli TR13335. Czas pisania 45 minut.