Analiza ryzyka w ramach normy ISO 27001: czym jest i jak do niej podejść

Analiza ryzyka nie jest w normie ISO 27001 tylko opcjonalnym dodatkiem – to fundament, na którym opiera się cała norma. Bez uporządkowanego zrozumienia tego, co może pójść nie tak, jak prawdopodobne jest to zdarzenie i jakie mogą być jego skutki, każde działanie zabezpieczające podejmowane przez Twoją organizację opiera się raczej na domysłach niż na faktach. W tym artykule wyjaśniamy, na czym polega analiza ryzyka w ramach normy ISO 27001, jak do niej podejść krok po kroku oraz jak wygląda to w praktyce.

Czym jest analiza ryzyka zgodna z normą ISO 27001?

Analiza ryzyka zgodna z normą ISO 27001 to ustrukturyzowany proces, w ramach którego organizacja identyfikuje zagrożenia dla bezpieczeństwa informacji, ocenia prawdopodobieństwo ich wystąpienia oraz potencjalne skutki, a także podejmuje decyzje dotyczące sposobu postępowania z nimi. Efektem tego procesu jest rejestr ryzyka – udokumentowany przegląd wszystkich zidentyfikowanych zagrożeń oraz decyzji podjętych w odniesieniu do każdego z nich.

Norma ISO 27001 nie narzuca jednej konkretnej metody przeprowadzania analizy ryzyka. Wymaga ona jedynie, aby metoda była spójna, powtarzalna i dawała porównywalne wyniki. W praktyce większość organizacji korzysta z macierzy prawdopodobieństwa i skutków, jakościowego systemu punktacji albo połączenia obu tych metod.

Analiza ryzyka to nie jest jednorazowe zadanie. Norma ISO 27001 wymaga, żeby była regularnie weryfikowana – w zaplanowanych odstępach czasu oraz zawsze, gdy w organizacji lub jej otoczeniu pojawią się istotne zmiany. Dzięki temu jest to dokument, który ewoluuje, a nie tylko archiwalny raport.

Dlaczego analiza ryzyka ma kluczowe znaczenie dla normy ISO 27001

Norma ISO 27001 opiera się na podejściu opartym na ryzyku. Oznacza to, że środki kontroli wdrażane przez organizację powinny wynikać z ryzyka, a nie z przyzwyczajeń czy tego, co robią konkurenci. Punkt 6.1.2 normy ISO 27001 wyraźnie wymaga od organizacji, aby zdefiniowały proces oceny ryzyka, stosowały go konsekwentnie oraz przechowywały udokumentowane informacje jako dowody.

To podejście oparte na ryzyku ma praktyczne konsekwencje: dwie organizacje z tej samej branży mogą stosować zupełnie inne systemy kontroli, bo mają różne profile ryzyka. Podmiot świadczący usługi medyczne, który zajmuje się wrażliwymi danymi pacjentów, narażony jest na inne zagrożenia i ma inną ekspozycję na ryzyko niż firma logistyczna. To właśnie analiza ryzyka sprawia, że system zarządzania bezpieczeństwem informacji (ISMS) jest dostosowany do organizacji, a nie na odwrót.

Norma ISO 27001 nie wskazuje, które zagrożenia należy traktować priorytetowo. Nakazuje jedynie wdrożenie procesu na tyle rygorystycznego, by samodzielnie je zidentyfikować – oraz udokumentować, że to zrobiłeś.

Cztery etapy analizy ryzyka zgodnie z normą ISO 27001

Chociaż norma ISO 27001 pozwala na elastyczność w doborze metodologii, skuteczne analizy ryzyka zawsze przebiegają zgodnie z czterema podstawowymi etapami:

1. Zidentyfikuj zasoby i zagrożenia. Zacznij od sporządzenia wykazu zasobów informacyjnych, które mają znaczenie dla Twojej organizacji: dane, systemy, procesy, ludzie. Dla każdego zasobu określ zagrożenia, na jakie jest narażony – nieuprawniony dostęp, utrata danych, awaria systemu, błąd ludzki – oraz słabe punkty, które umożliwiają wykorzystanie tych zagrożeń.
2. Oceń prawdopodobieństwo i skutki. Dla każdego zidentyfikowanego ryzyka oceń, jak prawdopodobne jest jego wystąpienie i jakie skutki miałoby to w przypadku jego wystąpienia. W większości organizacji sprawdza się prosta skala od 1 do 3 lub od 1 do 5. Połączenie tych dwóch ocen daje poziom ryzyka.
3. Określ sposób postępowania z ryzykiem. Dla każdego ryzyka wybierz jedną z następujących opcji: ogranicz (wprowadź środek kontroli, aby zmniejszyć ryzyko), zaakceptuj (udokumentuj, że poziom ryzyka jest do przyjęcia), przenieś (np. poprzez ubezpieczenie lub outsourcing) lub unikaj (zmień działanie, które powoduje ryzyko).
4. Dokumentuj i weryfikuj. Zapisz wszystkie ustalenia, decyzje dotyczące działań naprawczych oraz ryzyko rezydualne w rejestrze ryzyka. Powiązaj każdą decyzję z odpowiednimi środkami kontroli z załącznika A do normy ISO 27001. Wyznacz termin przeglądu.

Przykład analizy ryzyka: jak to wygląda w praktyce

Poniżej znajdziesz uproszczony przykład analizy ryzyka dla organizacji z niewielkim zespołem IT, zatrudniającej zarówno pracowników biurowych, jak i zdalnych. Oceny są w skali od 1 do 3 (1 = niskie, 3 = wysokie).

Ten przykład analizy ryzyka pokazuje, jak zachowania ludzkie – a zwłaszcza podatność na phishing – nieustannie pojawiają się jako ryzyko o wysokim priorytecie. Jest to również jedno z tych zagrożeń, którym najłatwiej zaradzić poprzez zorganizowane szkolenia z zakresu świadomości bezpieczeństwa.

Szkolenie z zakresu świadomości bezpieczeństwa jako środek ograniczający ryzyko

W niemal każdej analizie ryzyka zgodnej z normą ISO 27001 ryzyko związane z czynnikiem ludzkim trafia do kategorii o wysokim priorytecie. Phishing, socjotechnika, słabe hasła i przypadkowe ujawnienie danych to przewidywalne, powtarzające się zagrożenia — a ich źródłem są ludzie, a nie systemy.

Punkt 6.3 załącznika A do normy ISO 27001 wyraźnie wymaga od organizacji zapewnienia wszystkim pracownikom działań uświadamiających, edukacyjnych i szkoleniowych w zakresie bezpieczeństwa informacji. Nie chodzi tu tylko o zaliczenie modułu raz w roku. Wymóg ten zakłada ciągłe podnoszenie świadomości, które nadąża za zmieniającym się krajobrazem zagrożeń.

Szkolenie Guardey z zakresu świadomości bezpieczeństwa zgodne z normą ISO 27001 opiera się właśnie na tym: krótkich, cyklicznych sesjach szkoleniowych połączonych z symulacjami phishingu, które zapewniają organizacjom zarówno niezbędny zakres wiedzy, jak i dokumentację wymaganą przez audytorów. Wpis w rejestrze ryzyka dotyczący błędów ludzkich zmienia się z „wysokie ryzyko, częściowo ograniczone” na „wysokie ryzyko, aktywnie zarządzane” — a to rozróżnienie ma znaczenie podczas audytu.