сряда, 04 декември 2024   RSS
    Барометър | Региони | Компании | Лица | Назначения


    8652 прочитания

    Как да направим Оценка на риска, отговаряща на GDPR?

    В книгата „Защита на данните. Принципи и практики“ екип от утвърдени специалисти споделя практически насоки
    07 май 2019, 09:07 a+ a- a

    Поредицата от сериозни научни публикации на тема: „Защита на информацията“ се продължава от книгата „Защита на данните. Принципи и практики“, отпечатана от издателство За буквите - О писменихь. Изданието изследва практическото приложение и интерпретацията на изискванията на Регламент (ЕС) 2016/697, известен още като Общ регламент за защита на личните данни, GDPR. То може да служи за настолно ръководство на всяко едно Длъжностно лице по защита на данните, споделят експерти в областта.

    Авторите на книгата са утвърдени специалисти в сферата на сигурността, защитата на информацията и защитата на неприкосновеността на личните данни. Професор д.т.н. Веселин Целков, научен ръководител на поредицата „Защита на информацията“, е един от най-известните специалисти в областта на информационната сигурност и защитата на данни в Република България и преподавател в редица български университети. Деян Петков е директор на Корпоративната сигурност на БТК, дълги години е бил директор на Сигурността на БНБ. Георги Средков е управляващ съдружник на консултантската компания ICO Bulgaria, а Пламен Георгиев е бил началник на отдел „Контролна дейност“ на Комисията за защита на личните данни.

    Изданието може да бъде закупено от ICO Bulgaria, от издателство За буквите - О писменихь“ и от мрежата на Нова звезда“.

    Публикуваме откъс от книгата: 

    Оценката на риска е основна стъпка от управлението на риска. Организациите използват оценката на риска за определяне на обхвата на потенциалните заплахи и риска, асоцииран с ИТ системите през целия им жизнен цикъл.

    Алгоритъм за оценка на риска

    Оценката на риска включва девет стъпки:

    Характеристика на системата;

    Идентификация на заплахите;

    Идентификация на уязвимостите;

    Анализ на контролите;

    Определяне на вероятностите;

    Анализ на въздействието;

    Определяне на риска;

    Препоръки за контроли;

    Документиране на резултатите.

    Уязвимост

    Един пропуск или слабост (недостатък) в процедурите за системна сигурност, проекта, изпълнението или вътрешните контроли, който може да се използва (случайно или умишлено) и да наруши сигурността или да наруши системната политика за сигурност.

    Могат да бъдат използвани: Публикувани списъци на уязвимостите; Резултатите от тестовете за системна сигурност; Разработване на списъци за проверка на изискванията за сигурност.

    Определяне на вероятностите

    Необходимо е да се отчетат следните фактори: Мотивацията и възможностите (способностите) на източника на заплаха; Природата на уязвимостта; Съществуването и ефективността на текущите контроли. Дефинират се три нива на вероятност:

    Високо. Източникът на заплаха е силно мотивиран и е с отлични възможности, а текущите контроли за предотвратяване на използването на уязвимостта са неефективни.

    Средно. Източникът на заплаха е мотивиран и е с възможности, но контролите, които могат да го спрат, са на мястото си.

    Ниско. Източникът на заплаха не е мотивиран и не е с възможности, а контролите, които могат да го спрат, са на мястото си и работят ефективно.

    Възможно е добавянето на още две нива на вероятност: Много високо и Много ниско.

    Анализ на въздействието

    Основни въздействия: Нарушаване на тайната; Нарушаване на цялостността; Нарушаване на наличността. Необходимо е да се отчетат следните основни фактори: Мисията на системата; Критичност на системата и данните; Чувствителност на системата и данните. Допълнителни фактори могат да бъдат: Оценка на честотата на използване на дадена уязвимост от източник на заплаха за определен период; Приблизителни разходи, ако това се случи; тегловен фактор, базиран на субективен анализ на въздействието, ако това се случи.

    Дефиниция на степените на въздействие

    Дефинират се три степени на въздействие, както следва:

    Висока. Настъпва при: Загуба на изключително ценни, основни и конкретни активи и ресурси; Значимо нарушаване, увреждане или затрудняване на мисията, репутацията или интересите на организацията; Човешка смърт или сериозни (значителни) вреди.

    Средна. Настъпва при: Загуба на ценни и конкретни активи и ресурси; Нарушаване, увреждане или затрудняване на мисията, репутацията или интересите на организацията; Човешки вреди.

    Ниска. Настъпва при: Загуба на някои конкретни активи и ресурси; Предупредителен ефект върху мисията, репутацията или интересите на организацията.

    Възможно е и добавяне на още две степени на въздействие: Много висока и Много ниска.

    Определяне на риска

    Определянето на риска може да бъде представено като функция на: Вероятността на даден източник на заплаха да използва дадена уязвимост; Степента на въздействие, ако източникът на заплаха успешно е използвал уязвимостта; Годността на планираните или съществуващите контроли да намалят или отстранят риска.

    В същата глава от книгата „Защита на данните. Принципи и практики“ се изясняват още количественият и качественият подход при оценката на въздействието, както и как се съставя матрица за нивата на риска. 

    Нагоре
    Отпечатай
     
    * Въведеният имейл се използва само за целите на абонамента, имате възможност да прекратите абонамента по всяко време.

    преди 14 часа
    Стойността на глобалният пазар на Cloud ERP ще достигне $57,17 млрд. през 2024
    Сегментът на малките и средни предприятия се очаква да регистрира най-високият средногодишен темп на растеж, според Fortune Business Insights
    преди 15 часа
    Най-големият ритейл парк в Пловдив отвори врати
    Първите магазини в новия търговски комплекс „Парк Макс Ритейл Парк“ вече са отворени
    преди 15 часа
    Черният петък мина онлайн
    Потребителите в САЩ са похарчили $10,8 млрд. за онлайн покупки, което е над 10% ръст спрямо миналата година
    преди 17 часа
    3,7 млрд. лв. е дупката в бюджета в края на ноември
    Приходите за месеца превишават разходите с близо 300 млн. лв.
    преди 18 часа
    САЩ с нов кръг ограничения, свързани с производството на чипове в Китай
    Това е третият кръг мерки в рамките на 3 години
    преди 1 ден
    Канада обвини Google в създаване на рекламен монопол
    Делото прилича на заведеното в САЩ и цели разделяне на бизнесите на технологичния гигант