В книгата „Защита на данните. Принципи и практики“ екип от утвърдени специалисти споделя практически насоки
Поредицата от сериозни научни публикации на тема: „Защита на информацията“ се продължава от книгата „Защита на данните. Принципи и практики“, отпечатана от издателство „За буквите - О писменихь“. Изданието изследва практическото приложение и интерпретацията на изискванията на Регламент (ЕС) 2016/697, известен още като Общ регламент за защита на личните данни, GDPR. То може да служи за настолно ръководство на всяко едно Длъжностно лице по защита на данните, споделят експерти в областта.
Авторите на книгата са утвърдени специалисти в сферата на сигурността, защитата на информацията и защитата на неприкосновеността на личните данни. Професор д.т.н. Веселин Целков, научен ръководител на поредицата „Защита на информацията“, е един от най-известните специалисти в областта на информационната сигурност и защитата на данни в Република България и преподавател в редица български университети. Деян Петков е директор на Корпоративната сигурност на БТК, дълги години е бил директор на Сигурността на БНБ. Георги Средков е управляващ съдружник на консултантската компания ICO Bulgaria, а Пламен Георгиев е бил началник на отдел „Контролна дейност“ на Комисията за защита на личните данни.
Изданието може да бъде закупено от ICO Bulgaria, от издателство „За буквите - О писменихь“ и от мрежата на „Нова звезда“.
Публикуваме откъс от книгата:
Оценката на риска е основна стъпка от управлението на риска. Организациите използват оценката на риска за определяне на обхвата на потенциалните заплахи и риска, асоцииран с ИТ системите през целия им жизнен цикъл.
Алгоритъм за оценка на риска
Оценката на риска включва девет стъпки:
Характеристика на системата;
Идентификация на заплахите;
Идентификация на уязвимостите;
Анализ на контролите;
Определяне на вероятностите;
Анализ на въздействието;
Определяне на риска;
Препоръки за контроли;
Документиране на резултатите.
Уязвимост
Един пропуск или слабост (недостатък) в процедурите за системна сигурност, проекта, изпълнението или вътрешните контроли, който може да се използва (случайно или умишлено) и да наруши сигурността или да наруши системната политика за сигурност.
Могат да бъдат използвани: Публикувани списъци на уязвимостите; Резултатите от тестовете за системна сигурност; Разработване на списъци за проверка на изискванията за сигурност.
Определяне на вероятностите
Необходимо е да се отчетат следните фактори: Мотивацията и възможностите (способностите) на източника на заплаха; Природата на уязвимостта; Съществуването и ефективността на текущите контроли. Дефинират се три нива на вероятност:
Високо. Източникът на заплаха е силно мотивиран и е с отлични възможности, а текущите контроли за предотвратяване на използването на уязвимостта са неефективни.
Средно. Източникът на заплаха е мотивиран и е с възможности, но контролите, които могат да го спрат, са на мястото си.
Ниско. Източникът на заплаха не е мотивиран и не е с възможности, а контролите, които могат да го спрат, са на мястото си и работят ефективно.
Възможно е добавянето на още две нива на вероятност: Много високо и Много ниско.
Анализ на въздействието
Основни въздействия: Нарушаване на тайната; Нарушаване на цялостността; Нарушаване на наличността. Необходимо е да се отчетат следните основни фактори: Мисията на системата; Критичност на системата и данните; Чувствителност на системата и данните. Допълнителни фактори могат да бъдат: Оценка на честотата на използване на дадена уязвимост от източник на заплаха за определен период; Приблизителни разходи, ако това се случи; тегловен фактор, базиран на субективен анализ на въздействието, ако това се случи.
Дефиниция на степените на въздействие
Дефинират се три степени на въздействие, както следва:
Висока. Настъпва при: Загуба на изключително ценни, основни и конкретни активи и ресурси; Значимо нарушаване, увреждане или затрудняване на мисията, репутацията или интересите на организацията; Човешка смърт или сериозни (значителни) вреди.
Средна. Настъпва при: Загуба на ценни и конкретни активи и ресурси; Нарушаване, увреждане или затрудняване на мисията, репутацията или интересите на организацията; Човешки вреди.
Ниска. Настъпва при: Загуба на някои конкретни активи и ресурси; Предупредителен ефект върху мисията, репутацията или интересите на организацията.
Възможно е и добавяне на още две степени на въздействие: Много висока и Много ниска.
Определяне на риска
Определянето на риска може да бъде представено като функция на: Вероятността на даден източник на заплаха да използва дадена уязвимост; Степента на въздействие, ако източникът на заплаха успешно е използвал уязвимостта; Годността на планираните или съществуващите контроли да намалят или отстранят риска.
В същата глава от книгата „Защита на данните. Принципи и практики“ се изясняват още количественият и качественият подход при оценката на въздействието, както и как се съставя матрица за нивата на риска.