Risk Assessment 101 — metodyki oceny ryzyka IT – Kursy i szkolenia Bezpieczne.it

NIST RMF · ISO 27005 · Macierz ryzyka

Kurs obejmuje dwie główne metodyki oceny ryzyka informatycznego stosowane w organizacjach: NIST Risk Management Framework (SP 800-37 rev.2) oraz ISO/IEC 27005:2022. Materiał prowadzi od podstaw pojęciowych i budowy macierzy ryzyka, przez szczegółowe omówienie obu frameworków, po praktyczne narzędzia i dokumentację wymaganą w środowisku produkcyjnym.

Zakres merytoryczny

Kurs realizuje następujące obszary tematyczne:

Podstawy oceny ryzyka — terminologia (asset, threat, vulnerability, likelihood, impact), klasyfikacja rodzajów ryzyka (inherentne vs. rezydualne), przegląd dostępnych metodyk (NIST RMF, ISO 27005, OCTAVE, FAIR) i kryteria wyboru między nimi.

Macierz ryzyka — identyfikacja i inwentaryzacja aktywów, threat catalogues, CVE i MITRE ATT&CK jako źródła danych o zagrożeniach, konstruowanie macierzy 5×5, definiowanie progów akceptacji, prowadzenie rejestru ryzyk (risk register).

NIST RMF — pełny cykl 7 kroków zgodnie z NIST SP 800-37 rev.2: Prepare, Categorize (FIPS 199), Select (SP 800-53 baseline controls, tailoring), Implement, Assess (Security Assessment Report), Authorize (ATO), Monitor (POA&M, continuous monitoring).

ISO/IEC 27005:2022 — struktura procesu oceny ryzyka w kontekście ISMS (ISO 27001/27002), etapy: identification, analysis, evaluation; cztery opcje postępowania z ryzykiem, Statement of Applicability jako dokument audytowy.

Porównanie metodyk — różnice filozoficzne między NIST RMF a ISO 27005, tabela mapowania kontroli, kryteria decyzji w środowisku regulowanym vs. nieregulowanym.

Narzędzia i raportowanie — platformy GRC, narzędzia open-source (SimpleRisk, Eramba), struktura risk dashboard, raportowanie dla audytorów i komitetu sterującego.

Struktura kursu

6 modułów · 24 lekcje · ~8 godzin materiału · poziom podstawowy

Każdy moduł zawiera lekcje ekspozycyjne, ćwiczenia praktyczne lub laboratoria oraz quiz weryfikujący wiedzę. Kurs kończy się egzaminem 30-pytaniowym (próg zdania: 70%).

Wymagania wstępne

Ogólna znajomość środowisk IT (sieci, systemy operacyjne, infrastruktura). Znajomość zagadnień bezpieczeństwa ani wcześniejsze doświadczenie z metodykami ryzyka nie są wymagane.

Po ukończeniu kursu

Uczestnik będzie w stanie samodzielnie przeprowadzić ocenę ryzyka IT z zastosowaniem NIST RMF lub ISO 27005, udokumentować jej wyniki zgodnie z wymaganiami audytowymi oraz dobrać właściwą metodykę do kontekstu organizacyjnego. Kurs stanowi również przygotowanie do certyfikacji CRISC (ISACA) i ścieżki audytora ISO/IEC 27001 Lead Auditor.