четвъртък, 21 ноември 2019   RSS
    Барометър | Региони | Компании | Лица | Назначения


    3243 прочитания

    Как да направим Оценка на риска, отговаряща на GDPR?

    В книгата „Защита на данните. Принципи и практики“ екип от утвърдени специалисти споделя практически насоки
    07 май 2019, 09:07 a+ a- a

    Поредицата от сериозни научни публикации на тема: „Защита на информацията“ се продължава от книгата „Защита на данните. Принципи и практики“, отпечатана от издателство За буквите - О писменихь. Изданието изследва практическото приложение и интерпретацията на изискванията на Регламент (ЕС) 2016/697, известен още като Общ регламент за защита на личните данни, GDPR. То може да служи за настолно ръководство на всяко едно Длъжностно лице по защита на данните, споделят експерти в областта.

    Авторите на книгата са утвърдени специалисти в сферата на сигурността, защитата на информацията и защитата на неприкосновеността на личните данни. Професор д.т.н. Веселин Целков, научен ръководител на поредицата „Защита на информацията“, е един от най-известните специалисти в областта на информационната сигурност и защитата на данни в Република България и преподавател в редица български университети. Деян Петков е директор на Корпоративната сигурност на БТК, дълги години е бил директор на Сигурността на БНБ. Георги Средков е управляващ съдружник на консултантската компания ICO Bulgaria, а Пламен Георгиев е бил началник на отдел „Контролна дейност“ на Комисията за защита на личните данни.

    Изданието може да бъде закупено от ICO Bulgaria, от издателство За буквите - О писменихь“ и от мрежата на Нова звезда“.

    Публикуваме откъс от книгата: 

    Оценката на риска е основна стъпка от управлението на риска. Организациите използват оценката на риска за определяне на обхвата на потенциалните заплахи и риска, асоцииран с ИТ системите през целия им жизнен цикъл.

    Алгоритъм за оценка на риска

    Оценката на риска включва девет стъпки:

    Характеристика на системата;

    Идентификация на заплахите;

    Идентификация на уязвимостите;

    Анализ на контролите;

    Определяне на вероятностите;

    Анализ на въздействието;

    Определяне на риска;

    Препоръки за контроли;

    Документиране на резултатите.

    Уязвимост

    Един пропуск или слабост (недостатък) в процедурите за системна сигурност, проекта, изпълнението или вътрешните контроли, който може да се използва (случайно или умишлено) и да наруши сигурността или да наруши системната политика за сигурност.

    Могат да бъдат използвани: Публикувани списъци на уязвимостите; Резултатите от тестовете за системна сигурност; Разработване на списъци за проверка на изискванията за сигурност.

    Определяне на вероятностите

    Необходимо е да се отчетат следните фактори: Мотивацията и възможностите (способностите) на източника на заплаха; Природата на уязвимостта; Съществуването и ефективността на текущите контроли. Дефинират се три нива на вероятност:

    Високо. Източникът на заплаха е силно мотивиран и е с отлични възможности, а текущите контроли за предотвратяване на използването на уязвимостта са неефективни.

    Средно. Източникът на заплаха е мотивиран и е с възможности, но контролите, които могат да го спрат, са на мястото си.

    Ниско. Източникът на заплаха не е мотивиран и не е с възможности, а контролите, които могат да го спрат, са на мястото си и работят ефективно.

    Възможно е добавянето на още две нива на вероятност: Много високо и Много ниско.

    Анализ на въздействието

    Основни въздействия: Нарушаване на тайната; Нарушаване на цялостността; Нарушаване на наличността. Необходимо е да се отчетат следните основни фактори: Мисията на системата; Критичност на системата и данните; Чувствителност на системата и данните. Допълнителни фактори могат да бъдат: Оценка на честотата на използване на дадена уязвимост от източник на заплаха за определен период; Приблизителни разходи, ако това се случи; тегловен фактор, базиран на субективен анализ на въздействието, ако това се случи.

    Дефиниция на степените на въздействие

    Дефинират се три степени на въздействие, както следва:

    Висока. Настъпва при: Загуба на изключително ценни, основни и конкретни активи и ресурси; Значимо нарушаване, увреждане или затрудняване на мисията, репутацията или интересите на организацията; Човешка смърт или сериозни (значителни) вреди.

    Средна. Настъпва при: Загуба на ценни и конкретни активи и ресурси; Нарушаване, увреждане или затрудняване на мисията, репутацията или интересите на организацията; Човешки вреди.

    Ниска. Настъпва при: Загуба на някои конкретни активи и ресурси; Предупредителен ефект върху мисията, репутацията или интересите на организацията.

    Възможно е и добавяне на още две степени на въздействие: Много висока и Много ниска.

    Определяне на риска

    Определянето на риска може да бъде представено като функция на: Вероятността на даден източник на заплаха да използва дадена уязвимост; Степента на въздействие, ако източникът на заплаха успешно е използвал уязвимостта; Годността на планираните или съществуващите контроли да намалят или отстранят риска.

    В същата глава от книгата „Защита на данните. Принципи и практики“ се изясняват още количественият и качественият подход при оценката на въздействието, както и как се съставя матрица за нивата на риска. 

    Нагоре
    Отпечатай
     
    * Въведеният имейл се използва само за целите на абонамента, имате възможност да прекратите абонамента по всяко време.

    преди 7 часа
    България планира да предостави 5G честоти до средата на 2020
    29,2 млрд. долара принос към БВП се очаква от разгръщането на 5G мрежите
    преди 9 часа
    10% от шефовете на 300 от най-големите компании у нас са жени
    Финансовият сектор е сферата с най-силно дамско присъствие във висшия мениджмънт, показва ново проучване
    преди 12 часа
    Fitch: Клубът на страните с ААА рейтинг може да се увеличи
    Това ще се случи за първи път от 10 години насам
    преди 15 часа
    България представлява интерес за индийския бизнес
    Вицепремиерът Марияна Николова е на официално посещение в Индия
    преди 16 часа
    САЩ удължи лиценза на Huawei с още 90 дни
    Това ще позволи на отдалечени местности в страната, използващи технологиите на компанията, да останат свързани