Risk Management Process: ISO/IEC 27005 & NIST SP 800-30 rev.1

Abstract

Στον σύγχρονο κόσμο μας και με γνώμονα την τεχνολογία, οι παραβιάσεις δεδομένων και οι επιθέσεις στον κυβερνοχώρο παραμένουν σημαντική απειλή για τους οργανισμούς. Συχνά για αυτό ευθύνεται η έλλειψη

επίγνωσης των κινδύνων. Η προστασία της ασφάλειας των πληροφοριών μιας εταιρείας είτε πρόκειται για εμπο- ρικά ευαίσθητες πληροφορίες, είτε για προσωπικά στοιχεία των πελατών δεν ήταν ποτέ περισσότερο στο επίκε- ντρο.

Η αξιολόγηση των κινδύνων ασφαλείας είναι ένα από τα βασικά στάδια της διαδικασίας διαχείρισης

κινδύνων. Πάνω απ' όλα, αναφέρεται στον εντοπισμό των κινδύνων, την εκτίμηση των επιπτώσεων στους οργα- νισμούς και τον προσδιορισμό των πηγών. Οι οργανισμοί χρησιμοποιούν την αξιολόγηση κινδύνων για να προσ- διορίσουν την έκταση των πιθανών απειλών, των τρωτών σημείων και των κινδύνων που σχετίζονται με ένα

σύστημα τεχνολογίας πληροφοριών. Εξαιτίας αυτού, είναι δυνατός ο σχεδιασμός κατάλληλων μέτρων μετρια- σμού. Σίγουρα, η συνεχής βελτίωση του σχεδίου διαχείρισης κινδύνων αποτελεί επένδυση για την προστασία της

φήμης, των χρημάτων και του χρόνου του οργανισμού.

Στην παρούσα εργασία θα παρουσιαστούν οι αρχές και οι διαδικασίες, βάσει των οποίων μπορεί να υ- λοποιηθεί αποτελεσματικά και αποδοτικά, η διαχείριση επικινδυνότητας ασφάλειας πληροφοριών, όπως αυτές

περιγράφονται στο πρότυπο ISO 27005 καθώς και στην ειδική έκδοση του NIST 800-30 revision 1. Επιπλέον, θα παρουσιαστούν κάποιες μέθοδοι και εργαλεία διαχείρισης κινδύνου.