понеделник, 10 февруари 2025   RSS
    Барометър | Региони | Компании | Лица | Назначения


    8851 прочитания

    Как да направим Оценка на риска, отговаряща на GDPR?

    В книгата „Защита на данните. Принципи и практики“ екип от утвърдени специалисти споделя практически насоки
    07 май 2019, 09:07 a+ a- a

    Поредицата от сериозни научни публикации на тема: „Защита на информацията“ се продължава от книгата „Защита на данните. Принципи и практики“, отпечатана от издателство За буквите - О писменихь. Изданието изследва практическото приложение и интерпретацията на изискванията на Регламент (ЕС) 2016/697, известен още като Общ регламент за защита на личните данни, GDPR. То може да служи за настолно ръководство на всяко едно Длъжностно лице по защита на данните, споделят експерти в областта.

    Авторите на книгата са утвърдени специалисти в сферата на сигурността, защитата на информацията и защитата на неприкосновеността на личните данни. Професор д.т.н. Веселин Целков, научен ръководител на поредицата „Защита на информацията“, е един от най-известните специалисти в областта на информационната сигурност и защитата на данни в Република България и преподавател в редица български университети. Деян Петков е директор на Корпоративната сигурност на БТК, дълги години е бил директор на Сигурността на БНБ. Георги Средков е управляващ съдружник на консултантската компания ICO Bulgaria, а Пламен Георгиев е бил началник на отдел „Контролна дейност“ на Комисията за защита на личните данни.

    Изданието може да бъде закупено от ICO Bulgaria, от издателство За буквите - О писменихь“ и от мрежата на Нова звезда“.

    Публикуваме откъс от книгата: 

    Оценката на риска е основна стъпка от управлението на риска. Организациите използват оценката на риска за определяне на обхвата на потенциалните заплахи и риска, асоцииран с ИТ системите през целия им жизнен цикъл.

    Алгоритъм за оценка на риска

    Оценката на риска включва девет стъпки:

    Характеристика на системата;

    Идентификация на заплахите;

    Идентификация на уязвимостите;

    Анализ на контролите;

    Определяне на вероятностите;

    Анализ на въздействието;

    Определяне на риска;

    Препоръки за контроли;

    Документиране на резултатите.

    Уязвимост

    Един пропуск или слабост (недостатък) в процедурите за системна сигурност, проекта, изпълнението или вътрешните контроли, който може да се използва (случайно или умишлено) и да наруши сигурността или да наруши системната политика за сигурност.

    Могат да бъдат използвани: Публикувани списъци на уязвимостите; Резултатите от тестовете за системна сигурност; Разработване на списъци за проверка на изискванията за сигурност.

    Определяне на вероятностите

    Необходимо е да се отчетат следните фактори: Мотивацията и възможностите (способностите) на източника на заплаха; Природата на уязвимостта; Съществуването и ефективността на текущите контроли. Дефинират се три нива на вероятност:

    Високо. Източникът на заплаха е силно мотивиран и е с отлични възможности, а текущите контроли за предотвратяване на използването на уязвимостта са неефективни.

    Средно. Източникът на заплаха е мотивиран и е с възможности, но контролите, които могат да го спрат, са на мястото си.

    Ниско. Източникът на заплаха не е мотивиран и не е с възможности, а контролите, които могат да го спрат, са на мястото си и работят ефективно.

    Възможно е добавянето на още две нива на вероятност: Много високо и Много ниско.

    Анализ на въздействието

    Основни въздействия: Нарушаване на тайната; Нарушаване на цялостността; Нарушаване на наличността. Необходимо е да се отчетат следните основни фактори: Мисията на системата; Критичност на системата и данните; Чувствителност на системата и данните. Допълнителни фактори могат да бъдат: Оценка на честотата на използване на дадена уязвимост от източник на заплаха за определен период; Приблизителни разходи, ако това се случи; тегловен фактор, базиран на субективен анализ на въздействието, ако това се случи.

    Дефиниция на степените на въздействие

    Дефинират се три степени на въздействие, както следва:

    Висока. Настъпва при: Загуба на изключително ценни, основни и конкретни активи и ресурси; Значимо нарушаване, увреждане или затрудняване на мисията, репутацията или интересите на организацията; Човешка смърт или сериозни (значителни) вреди.

    Средна. Настъпва при: Загуба на ценни и конкретни активи и ресурси; Нарушаване, увреждане или затрудняване на мисията, репутацията или интересите на организацията; Човешки вреди.

    Ниска. Настъпва при: Загуба на някои конкретни активи и ресурси; Предупредителен ефект върху мисията, репутацията или интересите на организацията.

    Възможно е и добавяне на още две степени на въздействие: Много висока и Много ниска.

    Определяне на риска

    Определянето на риска може да бъде представено като функция на: Вероятността на даден източник на заплаха да използва дадена уязвимост; Степента на въздействие, ако източникът на заплаха успешно е използвал уязвимостта; Годността на планираните или съществуващите контроли да намалят или отстранят риска.

    В същата глава от книгата „Защита на данните. Принципи и практики“ се изясняват още количественият и качественият подход при оценката на въздействието, както и как се съставя матрица за нивата на риска. 

    Нагоре
    Отпечатай
     
    * Въведеният имейл се използва само за целите на абонамента, имате възможност да прекратите абонамента по всяко време.

    07 февруари 2025, 14:34
    Старозагорска област е 9-та по работещи ИКТ фирми в България
    437 ИКТ компании работят в областта, по данни на CBN
    07 февруари 2025, 11:39
    Офис пазарът у нас през 2025: Умерена активност при търсенето и предлагането
    Делът на гъвкавите офис площи в София продължава да нараства, сочи доклад на Cushman&Wakefield Forton
    07 февруари 2025, 10:21
    ЕК дава близо 29 млн. евро за зарядни станции в България и още 4 страни
    Брюксел ще подкрепи общо 39 проекта за транспортна инфраструктура
    07 февруари 2025, 09:38
    Банката на Англия намали лихвените проценти
    Както и прогнозата за икономически ръст на Великобритания
    07 февруари 2025, 09:05
    Lidl ще открие още поне 8 магазина през 2025
    Веригата ще открие над 200 нови работни места
    07 февруари 2025, 08:49
    САЩ обмислят забрана на DeepSeek
    Подобна забрана бе приета в Австралия