Ocena tveganj informacijske varnosti v civilnem letalstvu

➤ Uvod v analizo tveganj

V uvodnem delu se udeleženci seznanijo z osnovami koncepta tveganja v kontekstu informacijske varnosti, z vlogo upravljanja tveganj v okviru sistema ISMS ter z relevantnimi regulativnimi zahtevami in standardi. Pojasnjen je pomen zahteve IS.I.OR.205 kot temeljne zahteve v sistemu Part-IS, hkrati pa je predstavljena povezava s standardi ISO 31000, ISO 27001 in ISO 27005. Uvod zagotavlja razumevanje namena analize tveganj ter njenega položaja znotraj sistema upravljanja informacijske varnosti v letalski organizaciji.

➤ Obseg, kontekst in kriterij

Udeleženci se seznanijo s koraki določanja obsega analize tveganj ter vzpostavitvijo konteksta v skladu s smernicami ISO. Obravnava se notranji in zunanji kontekst, vključno z identifikacijo deležnikov, ter določanje kriterijev za oceno tveganj – kot so ravni verjetnosti in posledic ter opredelitev meja sprejemljivosti. Organizacija mora najprej jasno razumeti svoj kontekst, vključno s sredstvi, procesi in odnosi z zunanjimi organizacijami, in na tej podlagi določiti kriterije, ki omogočajo strukturiran in dosleden pristop k analizi tveganj informacijske varnosti.

➤ Identifikacija tveganj

V tej temi je obravnavan postopek identifikacije informacijskih sredstev, groženj, ranljivosti in morebitnih incidentov, ki lahko vplivajo na varnost letalskih operacij. Udeleženci se seznanijo z metodami zbiranja informacij na podlagi razpoložljive dokumentacije, pogovorov s ključnimi osebami, delavnic ter kontrolnih seznamov. Poseben poudarek je na razumevanju medsebojnih povezav sredstev in zunanjih odnosov, ki lahko povečajo izpostavljenost tveganjem. Predstavljen je tudi koncept scenarijev tveganj, ki pomaga pri vizualizaciji možnih posledic dogodkov v dejanskih operativnih okoliščinah. Vsebina je usklajena z zahtevami za identifikacijo iz Part-IS.I.OR in z načeli mednarodnih standardov, ki določajo sistematičen pristop k prepoznavanju tveganj v okviru informacijskega sistema organizacije.

➤ Analiza tveganj

Udeleženci vadijo metode za oceno ravni identificiranih tveganj z analizo njihove verjetnosti in možnih posledic. Seznanijo se z uporabo kvalitativnih in kvantitativnih pristopov, vključno z uporabo matric tveganj kot orodja za vizualno in številčno interpretacijo rezultatov. Dodatno so obravnavani pojmi, kot sta prirojeno tveganje, ki obstaja pred uvedbo kontrol, in preostalo tveganje, ki ostane po izvajanju ukrepov obravnave. Cilj je omogočiti razumevanje, kako objektivno oceniti pomen tveganj na podlagi zbranih podatkov in določenih kriterijev. Ta del procesa je ključen za sprejemanje utemeljenih odločitev o nadaljnjih ukrepih in je skladen z zahtevami za analizo iz regulativnih in standardnih virov.
 

➤ Evalvacija tveganj
Predavanje je osredotočeno na razumevanje postopka evalvacije tveganj kot zaključnega koraka ocenjevanja pred sprejemanjem odločitev o nadaljnjih ukrepih. Udeleženci se seznanijo z načinom primerjave rezultatov analize tveganj s predhodno določenimi kriteriji sprejemljivosti ter z učenjem, kako prepoznati tveganja, ki jih je treba obravnavati, ter tista, ki jih je mogoče sprejeti ali prenesti. Obravnava se določanje prioritet glede na raven tveganja in njihov vpliv na poslovanje in varnost. Poudarek je na logični povezavi vseh predhodnih korakov analize in pripravi podlage za učinkovito načrtovanje obravnave tveganj v skladu z regulativnimi in standardizacijskimi zahtevami.

➤ Obravnava tveganj
Predavanje zajema pregled možnosti obravnave tveganj z namenom zmanjšanja njihovega vpliva na informacijsko varnost v letalstvu. Udeleženci se seznanijo s štirimi osnovnimi strategijami: izogibanje, zmanjševanje, prenos in sprejemanje tveganj. Poudarek je na razumevanju, kdaj in zakaj uporabiti posamezno strategijo ter kako izbrati ustrezne kontrole glede na vrsto in raven tveganja. Obravnavana je priprava načrta obravnave tveganj kot dokumentiranega orodja za izvajanje ukrepov, vključno s povezovanjem s cilji organizacije in zahtevami deležnikov. Vsebina je usklajena z regulativnimi zahtevami in mednarodnimi standardi, ki določajo učinkovit pristop k obvladovanju identificiranih in ovrednotenih tveganj.
 

➤ Zaključni izpit

Formalno preverjanje znanja zajema razumevanje ključnih pojmov, metod in pristopov, obravnavanih med tečajem. Vprašanja pokrivajo vse faze analize tveganj informacijske varnosti v letalskem okolju ter vključujejo tako teoretične naloge kot tudi naloge, ki temeljijo na scenarijih, z namenom preverjanja sposobnosti praktične uporabe znanja. Cilj izpita je oceniti raven pridobljenega znanja in sposobnost povezovanja faz analize tveganj v skladu z zahtevami Part-IS.

Literatura

• EASA PART-IS.I.OR – Information Security and Oversight Requirements
• ISO/IEC 27001:2022 – Information Security, Cybersecurity and Privacy Protection – Information Security Management Systems – Requirements
• ISO/IEC 27005:2022 – Information Security, Cybersecurity and Privacy Protection – Guidance on Managing Information Security Risks
• ISO 31000:2018 – Risk Management – Guidelines
   

• 15 % popust ob prijavi dveh ali več udeležencev iz iste organizacije
• Več o dodatnih ugodnostih si lahko preberete na povezavi.