Szacowanie ryzyka w SZBI – analiza zagrożeń i zabezpieczeń

Po co analiza ryzyka

Analiza ryzyka w Systemie Zarządzania Bezpieczeństwem Informacji (SZBI) nie jest „papierem do szuflady”. To sposób na uporządkowanie tego, co naprawdę trzeba chronić (dane, systemy, usługi), oraz na podjęcie decyzji, które zabezpieczenia są potrzebne i w jakiej kolejności. W praktyce: mniej przypadkowych zakupów, mniej chaosu w procedurach i czytelny plan działań do audytu KRI i wymagań bezpieczeństwa.

Jak robimy szacowanie ryzyka

1. Ustalamy zakres – jakie procesy/usługi i które systemy wchodzą do analizy.
2. Identyfikujemy aktywa – informacje, aplikacje, serwery, urządzenia, usługi zewnętrzne, kluczowe role.
3. Określamy zagrożenia i podatności – realne scenariusze (np. phishing, błąd konfiguracji, awaria zasilania, ransomware).
4. Szacujemy skutki i prawdopodobieństwo – na wspólnej skali (np. 1–5), jasno opisanej w metodyce.
5. Wyliczamy poziom ryzyka i akceptację – co akceptujesz, co redukujesz, co przenosisz (np. umowa/outsourcing), a co eliminujesz.
6. Dobieramy działania i zabezpieczenia – techniczne i organizacyjne, z terminami i odpowiedzialnościami.

W analizie ryzyka nie chodzi o „perfekcyjną matematykę”. Chodzi o spójność metodyki i o to, żeby decyzje były obronione: co jest ważne, co grozi i dlaczego wybrano takie zabezpieczenia.

Co dostajesz na koniec

• metodykę szacowania ryzyka (opis skali, kryteriów i zasad oceny)
• rejestr ryzyk (aktywo → scenariusz → skutki → prawdopodobieństwo → poziom ryzyka)
• plan postępowania z ryzykiem (działania, terminy, właściciele zadań)
• listę priorytetów – co zrobić najpierw, żeby realnie zmniejszyć ryzyko

Typowe ryzyka w jednostkach publicznych

• brak kontroli dostępu i nadawanie uprawnień „na stałe”, bez przeglądów
• brak testów odtwarzania kopii zapasowych lub kopie bez izolacji (ransomware)
• zależność od jednego dostawcy/usługi bez planu awaryjnego
• brak rejestracji i analizy zdarzeń (logi), przez co incydenty wychodzą „po fakcie”
• podatności wynikające z konfiguracji, a nie braku sprzętu (stare protokoły, otwarte usługi, brak segmentacji)

Białystok i woj. podlaskie

Analizę ryzyka SZBI realizujemy na terenie Białegostoku oraz całego województwa podlaskiego. Zakres dopasowujemy do wielkości jednostki, liczby systemów i tego, co faktycznie jest krytyczne dla działania.

→ Audyt KRI – Białystok i Podlaskie

Kontakt

E-mail: kri@audytor.bialystok.pl