Procedura Zarządzania Ryzykiem Cyberbezpieczeństwa

Metodologia identyfikacji, analizy, oceny i postępowania z ryzykiem

Numer dokumentu: DOC-002
Wersja: ▸ 1.0
Status: PROJEKT
Data wydania: ▸ DD.MM.RRRR
Następny przegląd: ▸ DD.MM.RRRR
Właściciel: ▸ CISO / Osoba odpowiedzialna za cyberbezpieczeństwo
Zatwierdził: ▸ Zarząd / CEO
Podstawa prawna: Art. 8 ust. 2 KSC; Art. 21(2)(a) NIS2; ISO/IEC 27005:2022
Nadrzędny dokument: DOC-001

1. Cel i Zakres

Niniejsza procedura opisuje metodologię zarządzania ryzykiem cyberbezpieczeństwa stosowaną przez organizację. Zapewnia systematyczne podejście do identyfikacji, analizy, oceny i postępowania z ryzykami, które mogą wpłynąć na poufność, integralność lub dostępność informacji i usług.

Procedura ma zastosowanie do:

Wszystkich systemów informacyjnych obsługujących usługi kluczowe/ważne,
Infrastruktury IT/OT organizacji,
Procesów i usług realizowanych przez dostawców (łańcuch dostaw).

ℹ️

Wyniki oceny ryzyka są rejestrowane w DOC-003 Rejestr Ryzyk. Procedura jest stosowana co najmniej raz w roku oraz po istotnych zmianach w środowisku IT.

2. Metodologia Oceny Ryzyka

2.1 Wybór metodologii

▸ Organizacja wypełnia – wybór metodologii

Organizacja stosuje następującą metodologię oceny ryzyka:

▸ [Wybrać jedną lub opisać własną]: OCTAVE Allegro / FAIR / ISO 27005 / NIST SP 800-30 / metodologia własna oparta na macierzy prawdopodobieństwo × wpływ

2.2 Skala oceny

Organizacja stosuje skalę ▸ [3/4/5]-stopniową min. 3-stop. dla oceny prawdopodobieństwa i wpływu:

Tabela 1 – Skala prawdopodobieństwa

Wartość	Poziom	Opis	Częstotliwość orientacyjna
1	Bardzo niskie	Zdarzenie wysoce nieprawdopodobne	▸ [np. raz na 10 lat]
2	Niskie	Zdarzenie mało prawdopodobne	▸ [np. raz na 3-5 lat]
3	Średnie	Zdarzenie możliwe do wystąpienia	▸ [np. raz na 1-3 lata]
4	Wysokie	Zdarzenie prawdopodobne	▸ [np. raz w roku]
5	Bardzo wysokie	Zdarzenie bardzo prawdopodobne lub regularne	▸ [np. kilka razy w roku]

Tabela 2 – Skala wpływu

Wartość	Poziom	Wpływ finansowy (orientacyjny)	Wpływ operacyjny	Wpływ reputacyjny
1	Minimalny	▸ poniżej [X PLN]	Brak zakłóceń lub minimalne	Brak zauważalnych skutków
2	Mały	▸ [X] – [Y PLN]	Krótkotrwałe zakłócenia wewnętrzne	Lokalne / wewnętrzne
3	Średni	▸ [Y] – [Z PLN]	Zakłócenia widoczne dla klientów	Uwaga mediów lokalnych
4	Poważny	▸ [Z] – [W PLN]	Istotne zakłócenia usług kluczowych	Uwaga mediów krajowych
5	Krytyczny	▸ powyżej [W PLN]	Utrata zdolności do działania	Uwaga mediów ogólnoświatowych, kara KSC

2.3 Obliczanie poziomu ryzyka

Ryzyko (R) = Prawdopodobieństwo (P) × Wpływ (W)

Wynik: 1–25 (przy skali 5-stopniowej) lub odpowiednio przy skali 3-stopniowej: 1–9

Tabela 3 – Matryca ryzyka (przykład 5×5)

P \ W	1 Minimalny	2 Mały	3 Średni	4 Poważny	5 Krytyczny
5 – B. wys.	5	10	15	20	25
4 – Wys.	4	8	12	16	20
3 – Śred.	3	6	9	12	15
2 – Niskie	2	4	6	8	10
1 – B. niskie	1	2	3	4	5

Zielony 1–6: Akceptowalne Żółty 7–12: Monitorowane Pomarańczowy 13–16: Wymagające leczenia Czerwony 17–25: Pilne działanie

3. Proces Zarządzania Ryzykiem – Etapy

Etap 1: Ustalenie kontekstu

Przed przystąpieniem do oceny ryzyka należy zdefiniować:

Zakres oceny (system, proces, usługa, cała organizacja),
Cele biznesowe i wymagania regulacyjne,
Kryteria akceptacji ryzyka (patrz pkt 4),
Zasoby zaangażowane w ocenę.

▸ Organizacja uzupełnia – kontekst zewnętrzny

Kontekst zewnętrzny: ▸ [opis otoczenia regulacyjnego, branżowego, geograficznego organizacji]

Kontekst wewnętrzny: ▸ [opis struktury, procesów, systemów IT/OT organizacji]

Etap 2: Identyfikacja aktywów

Inwentaryzacja aktywów informacyjnych przeprowadzana jest zgodnie z DOC-020 Rejestr Aktywów. Kategorie aktywów:

Kategoria	Przykłady
Dane	Dane klientów, dane operacyjne, dane osobowe, dane finansowe, dokumentacja techniczna
Oprogramowanie	Systemy operacyjne, aplikacje biznesowe, oprogramowanie SCADA/ICS, oprogramowanie custom
Sprzęt	Serwery, urządzenia sieciowe, stacje robocze, urządzenia OT/IoT
Usługi	Usługi w chmurze, połączenia sieciowe, usługi zewnętrznych dostawców
Personel	Pracownicy z uprawnieniami administracyjnymi, personel kluczowy
Lokalizacje	Serwerownie, biura, obiekty przemysłowe

Etap 3: Identyfikacja zagrożeń i podatności

Dla każdego aktywu identyfikowane są zagrożenia i powiązane podatności:

Kategoria zagrożeń	Przykładowe zagrożenia
Złośliwe oprogramowanie	Ransomware, wirusy, trojany, spyware, rootkit
Ataki sieciowe	DDoS, man-in-the-middle, SQL injection, XSS
Błędy ludzkie	Nieumyślne usunięcie danych, błędna konfiguracja, phishing
Zagrożenia wewnętrzne	Kradzież danych przez pracownika, sabotaż, nieuprawniony dostęp
Awarie techniczne	Awaria sprzętu, błędy oprogramowania, utrata zasilania
Ataki APT	Zaawansowane ataki ukierunkowane, kampanie szpiegowskie
Zagrożenia fizyczne	Kradzież sprzętu, pożar, powódź, sabotaż fizyczny
Łańcuch dostaw	Kompromitacja oprogramowania dostawcy, backdoor w sprzęcie

Etap 4: Analiza i ocena ryzyka

Dla każdego zidentyfikowanego zagrożenia:

Oszacuj prawdopodobieństwo (P) wystąpienia wg skali z Tabeli 1,
Oszacuj wpływ (W) na CIA (poufność, integralność, dostępność) wg Tabeli 2,
Oblicz poziom ryzyka R = P × W,
Uwzględnij istniejące zabezpieczenia (ryzyko rezydualne),
Porównaj ryzyko rezydualne z kryterium akceptacji z pkt 4.

Etap 5: Postępowanie z ryzykiem

Na podstawie oceny wybierz jedną ze strategii postępowania:

Strategia	Opis	Kiedy stosować
Modyfikacja (leczenie)	Wdrożenie dodatkowych zabezpieczeń obniżających ryzyko	Ryzyko > próg akceptacji; opłacalność działania jest wysoka
Akceptacja	Świadome przyjęcie ryzyka bez dodatkowych działań	Ryzyko ≤ próg akceptacji lub koszty leczenia nieproporcjonalnie wysokie
Unikanie	Zaprzestanie działalności lub eliminacja przyczyny ryzyka	Ryzyko krytyczne; brak opłacalnych środków zaradczych
Transfer	Ubezpieczenie cyber, umowy SLA z dostawcami	Ryzyko finansowe możliwe do przetransferowania

▸ Organizacja uzupełnia – plany postępowania z ryzykiem

Dla każdego ryzyka powyżej progu akceptacji tworzy się Plan Postępowania z Ryzykiem (PPR) zawierający: środek zaradczy, osobę odpowiedzialną, termin wdrożenia i miernik skuteczności. PPR dokumentowane w DOC-003.

Etap 6: Komunikacja ryzyka

Wyniki oceny ryzyka są:

Raportowane do zarządu co najmniej raz na ▸ [6 miesięcy]max. 12 mies.,
Uwzględniane przy podejmowaniu decyzji inwestycyjnych,
Komunikowane właścicielom systemów i CISO.

Etap 7: Monitorowanie i przegląd

Rejestr ryzyk (DOC-003) jest aktualizowany:

Regularnie co ▸ [12 miesięcy]max. 12 mies. – KSC,
Po każdym poważnym incydencie,
Po wdrożeniu nowych systemów lub zmianach infrastruktury,
Po zmianach przepisów prawa.

4. Kryteria Akceptacji Ryzyka

⚠ Krytyczne – zarząd musi zatwierdzić kryteria akceptacji

Zarząd organizacji zatwierdza następujące progi akceptacji ryzyka:

Poziom ryzyka (R)	Kwalifikacja	Wymagane działanie	Akceptuje
1–6	Niskie (Akceptowalne)	Monitoring, brak obligatoryjnych działań	▸ CISO
7–12	Średnie (Monitorowane)	PPR w ciągu ▸ [90 dni], przegląd kwartalny	▸ CISO + właściciel systemu
13–16	Wysokie (Wymagające leczenia)	PPR w ciągu ▸ [30 dni], raport do zarządu	▸ Zarząd
17–25	Krytyczne (Pilne)	Natychmiastowe działanie, raport w ciągu ▸ [72h]	▸ Zarząd (pilne)

Daty zatwierdzeń i podpisy odpowiednich decydentów przechowywane są w rejestrze DOC-003.

5. Dokumentacja i Zapisy

Dokument/Zapis	Forma	Przechowywanie	Retencja
Rejestr Ryzyk	DOC-003 (HTML + eksport)	▸ [lokalizacja – system dokumentacji / sharepoint / plik]	▸ min. 5 latmin. 5 lat – KSC
Plany Postępowania z Ryzykiem	Załącznik do DOC-003	▸	▸ min. 5 lat
Raporty z oceny ryzyka	Dokument PDF/Word	▸	▸ min. 5 lat

6. Historia Zmian

Wersja	Data	Autor	Opis	Zatwierdził
▸ 1.0	▸ DD.MM.RRRR	▸ Imię Nazwisko	▸ Pierwsze wydanie	▸ Zarząd

DOC-002 Procedura Zarządzania Ryzykiem | v1.0 | NIS2/KSC