2007.04_Analiza ryzyka – Zarządza- nie Bezpieczeństwem Informacji.pdf - Analiza - teresarobert

Obrona

Analiza ryzyka – Zarządza-

nie Bezpieczeństwem

Informacji

Tomasz Polaczek

stopień trudności

Częstym błędem przy wdrażaniu polityki bezpieczeństwa

informacji w rozmaitych organizacjach, jest szybkie i

powierzchowne podejście do problemów. Bardziej oparte na

intuicji, niż wynikające z przemyślanych analiz incydentów, czy

innych zdarzeń mających wpływ na zachwianie bezpieczeństwa

zarówno informacji, jak i IT.

do sytuacji, w której nie będzie można

poradzić sobie z daną katastrofą lub in-

cydentem, ponieważ nie będzie zdeiniowane-

go logicznego i przemyślanego planu postę-

powania z ryzykiem.

Będziemy się wtedy zastanawiać nie tyl-

ko, co zrobić, ale dlaczego dany incydent w

ogóle mógł mieć miejsce. Sami wtedy doj-

dziemy do wniosku, że być może nie zostały

zdeiniowane i zastosowane odpowiednie za-

bezpieczenia, lub same procesy nie zostały

dokładnie przeanalizowane pod kątem bez-

pieczeństwa.

Podstawą każdego wdrożenia Systemu

Zarządzania Bezpieczeństwem Informacji jest

przede wszystkim sprawnie przeprowadzona

i przemyślana analiza ryzyka. Jest ona punk-

tem wyjściowym do dostosowania polityki

bezpieczeństwa do faktycznych potrzeb i real-

nych zagrożeń dla danej organizacji.

Sama norma ISO 27001 wymaga od

przedsiębiorstwa, zdeiniowania i przeanalizo-

wania potencjalnego ryzyka i wybrania na je-

go podstawie odpowiednich metod zabezpie-

czeń. Jednak sama analiza ryzyka to później-

szy etap.

Krok pierwszy – wybór metody

Pierwsze kroki przy rozpoczęciu całego pro-

cesu analizy ryzyka to wybór odpowiedniej

metody jego przeprowadzenia i dobranie od-

powiednio przeszkolonego personelu. Wśród

specjalistów zaangażowanych w prace nad

analizą ryzyka powinni znaleźć się członko-

wie zarządu irmy, dyrektorowie pionów, dzia-

łów, informatycy oraz pracownicy ochrony i-

zycznej. Wspólnie określają oni poziom ak-

ceptowanego ryzyka oraz podatność przed-

siębiorstwa na nie. Przed rozpoczęciem prac

nad analizą ryzyka, powinny zostać sklasyi-

kowane informacje oraz aktywa je przetwa-

rzające, przechowujące i niszczące informa-

cje. Należy również zdeiniować tzw. „obsza-

ry bezpieczne”, w których znajdują się strate-

Z artykułu dowiesz się...

• czym jest analiza ryzyka,

• dlaczego jest tak ważnym procesem przy

wdrażaniu sprawnego Systemu Zarządzanie

Bezpieczeństwem Informacji. Sprawnie prze-

prowadzona, z odpowiednią grupą osób z or-

ganizacji, jest podstawą bezpieczeństwa.

hakin9 Nr 4/2007

www.hakin9.org

T a częsta praktyka może doprowadzić

System Zarządzania Bezpieczeństwem Informacji

giczne dane organizacji, sprzęt in-

formatyczny oraz pracownicy, któ-

rych brak lub odejście z irmy mo-

że spowodować wypłynięcie waż-

nych danych lub zachwianie ciągło-

ści działania. Ważne jest również

określenie właścicieli danych infor-

macji i aktywów.

wią się też obszary, aktywa, infor-

macje, gdzie prawdopodobieństwo

będzie bardzo małe; zabezpiecze-

nia mogą już istnieć, być odpowied-

nie i wystarczające, co w dużym

stopniu zmniejsza ryzyko wystąpie-

nia katastrofy. Jednak nawet mimo

wystąpienia małego prawdopodo-

bieństwa, należy zawsze zachować

czujność i na bieżąco monitorować

obszary, aktywa, informacje, ludzi

wymienionych w analizie ryzyka.

Same ryzyka możemy podzielić

na cztery grupy:

zostaną podjęte działania korygujące

i zapobiegawcze, zależy to od orga-

nizacji pracy oraz kosztów zabezpie-

czeń. Jeżeli nie są wymagane dzia-

łania korygujące lub zapobiegawcze

to stosowane są zabezpieczenia z

załącznika A normy ISO 27001, de-

cyzje są podejmowane do roku.

Ryzyko nieakceptowane - Forum

Zarządzania Bezpieczeństwem In-

formacji podejmuje działania korygu-

jące i zapobiegawcze w czasie do 6

miesięcy.

Ryzyko krytyczne - Forum Zarzą-

dzania Bezpieczeństwem Informacji

podejmuje działania korygujące i za-

pobiegawcze w czasie do 3 miesię-

cy, przeprowadza audit wewnętrz-

ny ISO 27001 we wszystkich obsza-

rach Urzędu, po 3 miesiącach prze-

prowadzana jest jeszcze raz anali-

za ryzyka.

Jednak, aby bardziej unaocznić

tą problematykę, przedstawimy sce-

nariusz realnej analizy ryzyka oraz

całego procesu, jaki się w związku

z nią odbywa.

Krok drugi –

identyikacja zagrożeń

Następnie przychodzi czas na do-

kładną identyikację zagrożeń i po-

datności na nie dla każdego ze skla-

syikowanych aktywów, informacji,

obszarów oraz ludzi. Istotne jest,

aby identyikacja dotyczyła real-

nych, prawdopodobnych zagrożeń,

na jakie może zostać narażona or-

ganizacja. Po tak dokładnej identy-

ikacji, określa się skutki potencjal-

nych katastrof.

Określając skutki wystąpienia

katastrofy możemy w prosty sposób

przejść do wyboru odpowiednich za-

bezpieczeń w postaci sprzętu, opro-

gramowania, procesów, procedur

oraz polityk. Wybór zabezpieczeń

na podstawie przeprowadzonej ana-

lizy znacznie wpływa na zminimali-

zowanie kosztów wdrożenia tych za-

bezpieczeń oraz na jego czas. Jeśli

w analizie zostaną określone ryzyka

krytyczne, to bardzo ważne dla da-

nej organizacji jest jak najszybsze je-

go zmniejszenie do poziomu akcep-

towalnego.

Po oszacowaniu skutków wystą-

pienia ryzyka, należy też oszacować

hipoteczną wielkość szkód, jakie mo-

że spowodować dana katastrofa.

• Ryzyko akceptowalne

• Ryzyko akceptowalne czasowo

• Ryzyko nieakceptowane

• Ryzyko krytyczne

Dla każdego z nich możemy zało-

żyć odpowiednie ramy czasowe, w

których musimy dane ryzyko zmniej-

szyć lub tylko monitorować - w przy-

padku ryzyka akceptowalnego. Moż-

na założyć sobie następujący sce-

nariusz.

Ryzyko akceptowalne – nie są

podejmowane żadne działania, jest

ono monitorowane podczas przeglą-

du SZBI.

Ryzyko akceptowalne warunko-

wo – Forum Zarządzania Bezpie-

czeństwem Informacji decyduje, czy

Przykładowy scenariusz

Organizacja chcąca wdrożyć w

swych strukturach System Zarzą-

dzania Bezpieczeństwem Infor-

macji postanowiła rozpocząć pra-

cę od dokładnego oszacowania

Krok trzeci -

prawdopodobieństwo

W następnym etapie, gdy mamy

już oszacowane ewentualne skut-

ki i szkody spowodowane wystą-

pieniem katastrofy, należy określić

prawdopodobieństwo ich wystąpie-

nia. Dla niektórych obszarów, akty-

wów, procesów, prawdopodobień-

stwo to może być wysokie z uwagi

na niezastosowanie w tych obsza-

rach żadnych zabezpieczeń, lub za-

stosowanie słabych, niewystarcza-

jących i nie adekwatnych do waż-

ności samego zagadnienia. Poja-

Rysunek 1. Spotkanie z kierownictwem organizacji

www.hakin9.org

hakin9 Nr 4/2007

Obrona

ryzyka, istniejących podatności, praw-

dopodobieństwa występowania zagro-

żeń oraz analizy ryzyka. Na początku

wdrożenia powołano, zgodnie z wyma-

ganiem normy, forum bezpieczeństwa

odpowiedzialne za nadzór nad proce-

sem wdrożenia. Do prac nad analizą

ryzyka zaproszono zarząd, wszyst-

kich dyrektorów pionów, informatyków,

służby ochrony. Wraz z konsultantami

z zakresu bezpieczeństwa informa-

cji oraz bezpieczeństwa IT, zaczeli się

oni zastanawiać, czy i jakie wystąpiły

w przeszłości w organizacji incydenty

dotyczące naruszenia informacji, awa-

rii systemów informatycznych, zakłó-

ceń związanych z bezpieczeństwem

izycznym i środowiskowym w obsza-

rach organizacji. Po określeniu takich

incydentów, przeanalizowano raz jesz-

cze, jakie czynniki miały wpływ na ich

wystąpienie i jakie działania korygują-

ce i zapobiegawcze zastosowano, aby

nie dopuścić w przyszłości do ponow-

nego wystąpienia podobnych zdarzeń.

Analizując te dane wraz z powołanymi

specjalistami z zakresu bezpieczeń-

stwa informacji i bezpieczeństwa IT,

zaczęto się zastanawiać, czy obecnie

zastosowane zabezpieczenia są ade-

kwatne do wagi posiadanych przez

przedsiębiorstwo informacji, aktywów,

procesów, obszarów i ludzi.

Wcześniej jednak konsultanci

przekazali wszystkim dyrektorom pio-

nów, formularz dotyczący klasyika-

cji informacji i aktywów, jakie znajdu-

ją się w organizacji, a jakie mają dla

nich znaczenie (prawne, rynkowe,

strategiczne). Informacje zwrotne zo-

stały dodane do szablonu szacowa-

nia ryzyka. Wspólnie z całą powołaną

kadrą określono realne, istniejące po-

datności-tzw. „słabe punkty” w orga-

nizacji, mogące mieć wpływ na naru-

szenie bezpieczeństwa dla wymienio-

nych informacji, aktywów, obszarów

czy procesów. W tym momencie kon-

sultanci mieli przygotowany dokład-

ny szablon analizy ryzyka i mogli po-

dejść do jego szacowania. Na pierw-

szej pozycji pojawił się budynek za-

rządu, jako ważny obszar, w którym

przetwarzane i przechowywane są

najważniejsze informacje. Określono

dla niego kilka realnych podatności.

Były nimi:

Rysunek 2. Analiza ryzyka, czyli burza mózgów przeprowadzona z

kierownictwem organizacji

• Włamanie izyczne do budynk

• Pożar

• Zalanie

• Włamanie izyczne do pomiesz-

czenia zastępcy Dyrektora inan-

sowego

• Kradzież laptopów

• Sabotaż wewnętrzny ze strony

pracowników ochrony

ją. Dlatego też ustalono, że zostanie

stworzona oddzielna, dość restrykcyj-

na procedura dotycząca wynoszenia

sprzętu komputerowego poza obszar

irmy, tak, aby zminimalizować ryzyko

jego utraty. Ponadto ustalono, że zo-

stanie zakupiony odpowiedni sprzęt do

wzmocnienia ochrony tych urządzeń

oraz lepsze, bezpieczniejsze nośniki,

niesugerujące pochodzenia.

Jedynym problemem do rozwią-

zania pozostał ewentualny sabotaż

wewnętrzny w irmie. Jest on niezwy-

kle trudny do udowodnienia, a jeszcze

trudniej znaleźć winnego tych działań.

Zarząd zlecił stworzenie odpowied-

nich procedur związanych z zatrud-

nieniem pracowników, ich rekrutacją

i weryikacją posiadanych przez nich

kwaliikacji. Ponadto obecnym pra-

cownikom nakazano podpisanie sto-

sownych oświadczeń bezpieczeń-

stwa, mówiących o ewentualnych

sankcjach w przypadku udostępnie-

nia informacji, jej kradzieży, zniszcze-

nia lub zmodyikowania bez zgody i

wiedzy przełożonego.

Co prawda żadna organizacja

Następnie określone zostały prawdo-

podobieństwa wystąpienia realnych

zagrożeń dla tych obszarów. Uzna-

no, że należy wzmocnić ochronę i-

zyczną budynku poprzez zainstalowa-

nie lepszego monitoringu zarówno we-

wnątrz, jak i na zewnątrz budynku, po-

prosić przedstawiciela straży pożarnej

o jeszcze jedną analizę systemu prze-

ciwpożarowego i ewentualne wzmoc-

nienie budynku w tym obszarze.

W przypadku pomieszczeń członków

zarządu, ustalono, że zostanie okre-

ślony oddzielny obszar bezpieczny,

w którym znajdować się będą biura

członków zarządu. Obszar ten będzie

oddzielony za pomocą szklanej ścia-

ny z drzwiami na zamek magnetycz-

ny otwierany przez wprowadzenie sze-

ściocyfrowego kodu PIN. Dodatkowo

przed obszarem, zostanie umieszczo-

ny sekretariat, który będzie wpuszczał

wyłącznie umówionych interesantów.

Kradzież laptopów z ważnymi da-

nymi jest dla każdej organizacji uciąż-

liwa, nie wiadomo gdzie dane te traia-

O autorze

Autor jest Product Managerem ds.

zarządzania bezpieczeństwem informa-

cji w Computer Service Support S.A.

Kontakt z autorem: tomasz.polacze-

k@css.pl

hakin9 Nr 4/2007

www.hakin9.org

System Zarządzania Bezpieczeństwem Informacji

UWAGI

Należy pamietać że dobra analiza ry-

zyka powinna być przeprowadzana

indywidualnie dla danej organizacji,

uwzględniając w niej realne zagrożenie

oraz faktycznie istniejące podatności,

które mogą mieć realny wpływ na na-

ruszenie bezpieczeństwa zasobów in-

fomracyjnych organizacji.

Analiza ryzyka powinna być prze-

prowadzana z najwyższym kierownic-

twem organizacji, kierownikami po-

szególnych działów,wydziałów,depar-

tamentów, pownieważ tylko wtedy bę-

dziemy mieć realny wgląd w istniejące

zabezpieczenia, podatności i zagroże-

nia, a nikt nie zna tak dobrze organiza-

cji jak ludzie w niej pracujący.

Na podstawie wyników z analizy ry-

zyka, możemy stworzyć sprawny plan

ciągłości działania biznesowego orga-

nizacji oraz odpowiednika dla informa-

tyki, disaster recovery

nigdy nie osiągnie 100% bezpie-

czeństwa, ale może je realnie zmi-

nimalizować.

Znając już dokładne sposoby, ja-

kie można wykorzystać do zminimali-

zowania zagrożenia, określamy praw-

dopodobieństwo jego wystąpienia na

podstawie incydentów, jakie wystąpi-

ły w przeszłości. Należy przy tym pa-

miętać, że logiczny jest wybór zabez-

pieczeń, których koszt nie przekro-

czy wartości aktywu, informacji, któ-

re chcemy zabezpieczyć.

Po określeniu tych wszystkich

czynników, zarząd miał pełen obraz

realnych zagrożeń, określił przedział

czasu, w jakim dane zabezpieczenia

dla określonych obszarów, aktywów

i informacji zostaną wdrożone i mógł

przystąpić do wdrożenie całego Syste-

mu Zarządzania Bezpieczeństwem In-

formacji ISO 27001 w całej organizacji.

Poza zastosowaniem odpowiednich

zabezpieczeń, możemy również za-

stosować inne metody. Jest to na przy-

kład unikanie ryzyka, czyli zastanowie-

nie się, w jaki sposób możemy uniknąć

ryzyka lub, przeniesienie samego ry-

zyka na inne obszary,czy procesy w

organizacji.

Podsumowanie

Opisana metoda, hipotetyczny scena-

riusz szacowania oraz analizy ryzyka

są jednymi z wielu możliwości. Na ryn-

ku istnieje wiele programów wspoma-

gających szacowanie ryzyka. Dlate-

go też ważne jest, aby podchodząc do

analizy ryzyka, wybrać najskuteczniej-

szą i najlepszą metodę, która dokład-

nie wpasuje się w organizację oraz jej

potrzeby. Należy również pamiętać, że

dane, jakie uzyskamy z analizy ryzyka,

posłużą nam później do formułowania

planu ciągłości działania organizacji w

przypadku katastrof i incydentów mo-

gących realnie w niej wystąpić. l

R E K L A M A

2007.04_Analiza ryzyka – Zarządza- nie Bezpieczeństwem Informacji.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: