Rejestr ryzyk bezpieczeństwa informacji
- Prawo
dane
- Kategoria
analiza
- Klucze
akceptacja ryzyka, bezpieczeństwo informacji, materializacja zagrożeń, monitorowanie, ocena ryzyka, postępowanie z ryzykiem, ryzyko, zabezpieczenia, zalecenia
Rejestr ryzyk bezpieczeństwa informacji stanowi dokument, który ma na celu gromadzenie informacji dotyczących identyfikacji, analizy oraz zarządzania ryzykiem związanym z bezpieczeństwem informacji w organizacji. Jest to istotne narzędzie, które umożliwia skuteczne planowanie działań mających na celu ochronę danych oraz minimalizację potencjalnych zagrożeń.
Czynność przetwarzania
Zagrożenie
Czynniki mające wpływ na materializację zagrożenia
Zastosowane zabezpieczenia
Dotkliwość skutku (S) Ocenia się dotkliwość dla osoby, której dane dotyczą w skali 1‐
Prawdopod obieństwo wystąpieni a (P) Jaka jest szansa, że skutek się zmaterializ uje, 1‐ małe 2 możliwe 3 ‐
Wartość ryzyka (Pr = P*S) Skala: Pr = 1 lub 2 niskie, Pr = 3 lub 4 średnie, Pr = 6 lub 9 wysokie
Ocena ryzyka Akceptowalne/ni eakceptowalne
Zalecenia
Postępowanie z ryzykiem – decyzja ADO Możliwe działania: zmiana poziomu ryzyka poprzez zastosowanie zabezpieczenia / unikanie ryzyka / przeniesienie ryzyka / akceptacja ryzyka.
Prowadzeniekorespondencji
Przesłanie danych do nieuprawnionego odbiorcy
Pośpiech, przemęczenie pracownika, omyłkowe podpięcie niewłaściwego załącznika, literówka w adresie, błąd w [email protected] podanym przez odbiorcę wielu odbiorców bez ukrycia adresów przez pośpiech lub niewiedzę użytkownika, brak programu do mailingu,
Przeszkolenie użytkowników oraz okresowe przypominanie o starannym weryfikowaniu co do kogo jest wysyłane, weryfikowanie adresu przy zbieraniu (podwójne wprowadzenie, potwierdzenie bezpośrednie, link aktywacyjny, itd..) Zabezpieczanie danych hasłem ustalonym z odbiorcą jednorazowej wiadomości.
2
1
2
akceptowalne
Prowadzeniekorespondencji mailowej
Udostępnienie [email protected] odbiorcom wiadomości grupowej
Brak procedury zastępowania, brak sieciowego zasobu do udostępniania plików innym użytkownikom Ustawianie ogólnych kont typu: „[email protected]”, ustawianie haseł po imionach, np. [email protected],
Przeszkolenie użytkowników, wykupiono program do masowych mailingów
2
3
6
nieakceptowalne
Wprowadzenie zasad zastępowania, w tym konieczności ustawiania autoodpowiedzi oraz przekazywania przed urlopem spraw i plików osobie użytkownikami.
Prowadzeniekorespondencji mailowej
Udostępnienie hasła do poczty innemu użytkownikowi
Przeszkolenie użytkowników w zakresie nieudostępniania haseł
2
3
6
nieakceptowalne
Prowadzeniekorespondencji mailowej
Korzystanie z jednego konta poczty przez kilku użytkowników (brak rozliczalności działania)
Użytkownik ma obowiązek ustawić imienną stopkę, która jest dołączana do każdej jego wiadomości. Umożliwia to stwierdzenie, kto prowadził korespondencję.
2
4
nieakceptowalne
rozliczalność.
Prowadzeniekorespondencji mailowej
Włamanie do poczty [email protected]
Podatność systemowa, na którą administrator nie ma wpływu, słabe hasła użytkowników
Korzystanie z dostawcy dającego wysokie gwarancje bezpieczeństwa poczty. Wprowadzenie dwuskładnikowego logowania. Dane osobowe wysyłane pocztą są zabezpieczane hasłem, pliki poczty po stronie serwera są szyfrowane.
1
1
1
akceptowalne
Ryzyko wymaga monitorowania.
Prowadzeniekorespondencji mailowej
Utrata urządzenia z programem poczty [email protected]
Praca poza biurem, korzystanie ze służbowej poczty na urządzeniu mobilnym
Korzystanie z urządzenia wymaga uwierzytelnienia. Dane na laptopie są szyfrowane
2
1
2
akceptowalne
Strona 1
W podsumowaniu dokumentu „Rejestr ryzyk bezpieczeństwa informacji” należy uwzględnić istotne wnioski płynące z analizy zgromadzonych informacji dotyczących ryzyka bezpieczeństwa informacji. Konieczne jest podkreślenie kluczowych obszarów wymagających szczególnej uwagi oraz określenie planowanych działań mających na celu minimalizację ryzyka i zwiększenie poziomu ochrony danych.