вторник, 23 юли 2019   RSS
    Барометър | Региони | Компании | Лица | Назначения


    2640 прочитания

    Как да направим Оценка на риска, отговаряща на GDPR?

    В книгата „Защита на данните. Принципи и практики“ екип от утвърдени специалисти споделя практически насоки
    07 май 2019, 09:07 a+ a- a

    Поредицата от сериозни научни публикации на тема: „Защита на информацията“ се продължава от книгата „Защита на данните. Принципи и практики“, отпечатана от издателство За буквите - О писменихь. Изданието изследва практическото приложение и интерпретацията на изискванията на Регламент (ЕС) 2016/697, известен още като Общ регламент за защита на личните данни, GDPR. То може да служи за настолно ръководство на всяко едно Длъжностно лице по защита на данните, споделят експерти в областта.

    Авторите на книгата са утвърдени специалисти в сферата на сигурността, защитата на информацията и защитата на неприкосновеността на личните данни. Професор д.т.н. Веселин Целков, научен ръководител на поредицата „Защита на информацията“, е един от най-известните специалисти в областта на информационната сигурност и защитата на данни в Република България и преподавател в редица български университети. Деян Петков е директор на Корпоративната сигурност на БТК, дълги години е бил директор на Сигурността на БНБ. Георги Средков е управляващ съдружник на консултантската компания ICO Bulgaria, а Пламен Георгиев е бил началник на отдел „Контролна дейност“ на Комисията за защита на личните данни.

    Изданието може да бъде закупено от ICO Bulgaria, от издателство За буквите - О писменихь“ и от мрежата на Нова звезда“.

    Публикуваме откъс от книгата: 

    Оценката на риска е основна стъпка от управлението на риска. Организациите използват оценката на риска за определяне на обхвата на потенциалните заплахи и риска, асоцииран с ИТ системите през целия им жизнен цикъл.

    Алгоритъм за оценка на риска

    Оценката на риска включва девет стъпки:

    Характеристика на системата;

    Идентификация на заплахите;

    Идентификация на уязвимостите;

    Анализ на контролите;

    Определяне на вероятностите;

    Анализ на въздействието;

    Определяне на риска;

    Препоръки за контроли;

    Документиране на резултатите.

    Уязвимост

    Един пропуск или слабост (недостатък) в процедурите за системна сигурност, проекта, изпълнението или вътрешните контроли, който може да се използва (случайно или умишлено) и да наруши сигурността или да наруши системната политика за сигурност.

    Могат да бъдат използвани: Публикувани списъци на уязвимостите; Резултатите от тестовете за системна сигурност; Разработване на списъци за проверка на изискванията за сигурност.

    Определяне на вероятностите

    Необходимо е да се отчетат следните фактори: Мотивацията и възможностите (способностите) на източника на заплаха; Природата на уязвимостта; Съществуването и ефективността на текущите контроли. Дефинират се три нива на вероятност:

    Високо. Източникът на заплаха е силно мотивиран и е с отлични възможности, а текущите контроли за предотвратяване на използването на уязвимостта са неефективни.

    Средно. Източникът на заплаха е мотивиран и е с възможности, но контролите, които могат да го спрат, са на мястото си.

    Ниско. Източникът на заплаха не е мотивиран и не е с възможности, а контролите, които могат да го спрат, са на мястото си и работят ефективно.

    Възможно е добавянето на още две нива на вероятност: Много високо и Много ниско.

    Анализ на въздействието

    Основни въздействия: Нарушаване на тайната; Нарушаване на цялостността; Нарушаване на наличността. Необходимо е да се отчетат следните основни фактори: Мисията на системата; Критичност на системата и данните; Чувствителност на системата и данните. Допълнителни фактори могат да бъдат: Оценка на честотата на използване на дадена уязвимост от източник на заплаха за определен период; Приблизителни разходи, ако това се случи; тегловен фактор, базиран на субективен анализ на въздействието, ако това се случи.

    Дефиниция на степените на въздействие

    Дефинират се три степени на въздействие, както следва:

    Висока. Настъпва при: Загуба на изключително ценни, основни и конкретни активи и ресурси; Значимо нарушаване, увреждане или затрудняване на мисията, репутацията или интересите на организацията; Човешка смърт или сериозни (значителни) вреди.

    Средна. Настъпва при: Загуба на ценни и конкретни активи и ресурси; Нарушаване, увреждане или затрудняване на мисията, репутацията или интересите на организацията; Човешки вреди.

    Ниска. Настъпва при: Загуба на някои конкретни активи и ресурси; Предупредителен ефект върху мисията, репутацията или интересите на организацията.

    Възможно е и добавяне на още две степени на въздействие: Много висока и Много ниска.

    Определяне на риска

    Определянето на риска може да бъде представено като функция на: Вероятността на даден източник на заплаха да използва дадена уязвимост; Степента на въздействие, ако източникът на заплаха успешно е използвал уязвимостта; Годността на планираните или съществуващите контроли да намалят или отстранят риска.

    В същата глава от книгата „Защита на данните. Принципи и практики“ се изясняват още количественият и качественият подход при оценката на въздействието, както и как се съставя матрица за нивата на риска. 

    Нагоре
    Отпечатай
     
    * Въведеният имейл се използва само за целите на абонамента, имате възможност да прекратите абонамента по всяко време.

    преди 15 часа
    Комисията за защита на личните данни започна проверка в НАП
    Комисията трябва да излезе със становище до 16 август
    преди 17 часа
    „Агрополихим” ще инвестира 26 млн. лв. в завод край Девня
    Ще бъдат разкрити нови 12 работни места
    преди 17 часа
    Какви са правата ни, когато сме на път в ЕС?
    Какво трябва да знаем при отменени или закъснели полети, влакове и автобуси?
    преди 18 часа
    Фирма от Русе въведе 4-дневна работна седмица
    Все повече компании по света изпробват тази практика