Analiza_ryzyka_dla_potrzeb_bezpiecze_stwa.pdf

(223 KB) Pobierz
Algorytm do generowania testu dla uk³adów kombinacyjnych zaimplementowanych w strukturach PLD
BIULETYN INSTYTUTU AUTOMATYKI I ROBOTYKI
NR 16, 2001
Analiza ryzyka dla potrzeb bezpieczeństwa
teleinformatycznego
Krzysztof LIDERMAN
Zakład Systemów Komputerowych, Instytut Automatyki i Robotyki WAT, ul. Kaliskiego 2,
00-908 Warszawa
STRESZCZENIE: Artykuł omawia problematykę analizy ryzyka ukierunkowanej na
bezpieczeństwo teleinformatyczne. Została w nim przedstawiona propozycja definicji analizy
ryzyka i sposobu realizacji procesu analizy ryzyka w kontekście bezpieczeństwa
teleinformatycznego.
1. Wprowadzenie
Od początku lat 90-tych XX wieku, w związku z rozwojem
irozpowszechnieniem techniki komputerowej oraz łączeniem systemów
komputerowych w sieci, znaczenia nabrała inżynieria ochrony danych 1 ,
wcześniej stosowana głównie w systemach specjalnych (wojskowych,
rządowych, sterowania). Wzrost tego znaczenia przejawia się również
w swoistej „modzie” na bezpieczeństwo teleinformatyczne – większość uczelni
wyższych, nawet luźno związanych z informatyką, proponuje w ramach zbioru
wykładanych przedmiotów, przedmiot nazywany zwykle „Bezpieczeństwo sieci
komputerowych”, „Bezpieczeństwo komputerowe” lub podobnie.
Niniejszy artykuł koncentruje się na tzw. „bezpieczeństwie do
wewnątrz”, nie rozważając w zasadzie zagrożeń powodowanych przez systemy
komputerowe sterujące różnego typu instalacje, obejmowane zakresem normy
1 Pod tym terminem kryje się metodyka i narzędzia stosowane podczas projektowania i wdrażania
mechanizmów ochrony danych.
3
 
K. Liderman
IEC 61508 (tzw. „bezpieczeństwo na zewnątrz”) [2], dlatego proponowana
definicja terminu „bezpieczeństwo teleinformatyczne” jest następująca:
B ezpieczeństwo teleinformatyczne oznacza ochronę
informacji przetwarzanej, przechowywanej i przesyłanej za
pomocą systemów teleinformatycznych przed niepożądanym
(przypadkowym lub świadomym) ujawnieniem, modyfikacją,
zniszczeniem lub uniemożliwieniem jej przetwarzania.
Podstawowe atrybuty informacji związane z jej bezpieczeństwem to:
tajność (ang. confidentiality ) - termin ten oznacza, że dostęp do określonych
danych i informacji posiadają wyłącznie uprawnione osoby;
integralność (ang. integrity ) - termin ten oznacza, że dane i informacje są
poprawne, nienaruszone i nie zostały poddane manipulacji;
dostępność (ang. availability ) - termin ten charakteryzuje system
informatyczny i oznacza dostępność danych, procesów i aplikacji zgodnie
z wymaganiami użytkownika.
Dla poprawnego określenia wymaganych przedsięwzięć ochrony
informacji przetwarzanej, przesyłanej i przechowywanej w systemach
teleinformatycznych potrzebna jest analiza ryzyka (ang. risk analysis ) 2 . Termin
ten w literaturze przedmiotu jest często używany (żeby nie powiedzieć -
nadużywany), przy czym różni autorzy podają różny zakres przedsięwzięć
składających się na proces analizy ryzyka. Również sam termin „ryzyko” jest
różnie (choć podobnie) definiowany, np. „Słownik języka polskiego” (PWN,
Warszawa, 1983) określa ryzyko jako:
„możliwość, prawdopodobieństwo, że coś się nie uda,
przedsięwzięcie, którego wynik jest nieznany, niepewny,
problematyczny ”.
Czterotomowa „Encyklopedia Powszechna” (PWN, Warszawa, 1987)
określa ryzyko na gruncie prawa:
„w prawie cywilnym niebezpieczeństwo powst an ia szkody
obciążające osobę bezpośrednio poszkodowaną, chyba że
umowa lub przepis prawny zobowiązuje inną osobę do
wyrównania szkody... ; szczególnie na zasadzie ryzyka opiera
się odpowiedzialność za szkody wyrządzone w związku
z użyciem sił przyrody... W prawie karnym działanie
2 W literaturze można spotkać jeszcze inne określenie - ocena ryzyka.
4 Biuletyn Instytutu Automatyki i Robotyki, 16/2001
115258305.004.png
Analiza ryzyka dla potrzeb bezpieczeństwa teleinformatycznego
w granicach dopuszczalnego ryzyka może stanowić ustawową
lub
ustawową
okoliczność
wyłączającą
odpowiedzialność karną sprawcy ”.
Według normy IEC 61508 wiążącej pojęcie ryzyka z pojęciem hazardu
(ang. hazard; definiowany jako sytuacja mogącą spowodować śmierć lub
obrażenia ludzi):
„... ryzyko jest miarą stopnia zagrożenia, wyrażającą zarówno
stopień szkodliwości hazardu, jak i prawdopodobieństwo jego
wystąpienia”.
Według normy PN-I-2000 natomiast, ryzyko to:
„... prawdopodobieństwo, że określone zagrożenie
wykorzysta
określoną
podatność
systemu
przetwarzania danych”;
a według normy PN-I-13335-1:1999:
„ ... ryzyko jest prawdopodobieństwem określającym
możliwość wykorzystania określonej podatności przez
dane zagrożenie w celu spowodowania straty lub
zniszczenia zasobu lub grupy zasobów, a przez to
negatywnego bezpośredniego lub pośredniego
wpłynięcia na instytucję”
Słowo „ryzyko” posiada zatem wiele odcieni znaczeniowych. W każdym
z nich jednak jest związane z pojęciem „straty”, co jest zgodne również
zintuicyjnym rozumieniem tego terminu. Wydaje się, że dla potrzeb
bezpieczeństwa informacji w systemach teleinformatycznych można
przystosować następująco definicję podaną w normie IEC 61508:
R yzyko oznacza miarę stopnia zagrożenia dla tajności,
integralności i dostępności informacji wyrażoną jako
iloczyn prawdopodobieństwa wystąpienia sytuacji
stwarzającej takie zagrożenie i stopnia szkodliwości jej
skutków.”
W ogólnym (systemowym) ujęciu Findeisen [1] określa analizę ryzyka 3
jako proces składający się z następujących etapów:
3 Analiza ryzyka jest pojęciem stosowanym w analizie systemowej w odniesieniu do różnych
systemów. W tym opracowaniu termin ten jest używany w odniesieniu do systemu
komputerowego i jego środowiska.
Biuletyn Instytutu Automatyki i Robotyki, 16/2001 5
poza
115258305.005.png
 
K. Liderman
szacowania ryzyka 4 :
identyfikacji zagrożeń;
określeniu elementów systemu podatnych na zagrożenia;
określeniu prawdopodobieństwa wystąpienia skutków zagrożeń (np.
kradzieży pieniędzy z konta bankowego) w przypadku zajścia takich
zagrożeń (np. złamania hasła).
oceny akceptowalności ryzyka:
określeniu stopnia szkodliwości skutków zagrożenia (polega zwykle na
oszacowaniu kosztów poniesionych w przypadku realizacji zagrożenia
w rozpatrywanym systemie w odniesieniu do ustalonego okresu czasu,
np. roku);
oszacowaniu kosztów zabezpieczeń (j.w.);
wyk on aniu analizy strat (liczonych w określonej walucie) w przypadku
realizacji zagrożenia i braku zabezpieczeń oraz zysków, gdy takie
zabezpieczenia zostaną zainstalowane (i przeszkodzą w realizacji
zagrożenia).
Generalnie analiza ryzyka polega na ocenie wszystkich negatywnych
skutków badanego przedsięwzięcia i odpowiadających im prawdopodobieństw
(częstości występowania). Ocena akceptowalności ryzyka [1] z kolei, jest często
procesem o charakterze „politycznym” 5 , który może być jednak wspomagany
metodami formalnymi.
Przy ocenie ryzyka należy pamiętać że:
Ryzyko można oszacować i zredukować, ale nie da się go wyeliminować.
Ryzyko należy weryfikować - procedura analizy ryzyka musi być
powtarzana co pewien czas ze względu na możliwości zaistnienia z biegiem
czasu nowych przyczyn mających wpływ na wartość ryzyka.
Pierwszy z tych punktów jest poglądowo przedstawiony na rys.1, gdzie
wraz ze wzrostem nakładów na bezpieczeństwo (teleinformatyczne),
wyidealizowana krzywa obrazująca wzrost poziomu tego bezpieczeństwa zbliża
się asymptotyczne do poziomu maksymalnego 100%. W praktyce oznacza to, że
nie istnieje system który gwarantowałby stuprocentowe bezpieczeństwo
informacji , bez względu na ilo ść pieniędzy wydanych na różne zabezpieczenia.
4 [3] określa oszacowanie ryzyka (ang. risk assessment ) jako proces oceny znanych
i postulowanych zagrożeń oraz podatności, który jest przeprowadzany w celu określenia
spodziewanych strat i ustalenia stopnia akceptowalności działania systemu
5 W tym sensie, że często kierujemy się w nim przesłankami pozamerytorycznymi, np. etycznymi,
społecznymi itp.
6 Biuletyn Instytutu Automatyki i Robotyki, 16/2001
115258305.001.png
Analiza ryzyka dla potrzeb bezpieczeństwa teleinformatycznego
Odstęp pomiędzy poziomem 100% a krzywą obrazuje wielkość ryzyka
szczątkowego , o którym będzie mowa w dalszej części artykułu.
Poziom be zpie cze ństwa
100%
maksymalny
wysoki
średni
niski
umiarkowane
wysokie
b.wy so k ie
Rys.1 Zależność pomiędzy nakładami na bezpieczeństwo a osiąganym poziomem
bezpieczeństwa teleinformatycznego.
Nakłady
2. Analiza ryzyka dla potrzeb bezpieczeństwa teleinformatycznego
Analiza ryzyka prezentowana w niniejszym artykule jest wariantem
ogólnej analizy ryzyka, której zasadnicze elementy zostały scharakteryzowane
na końcu poprzedniego rozdziału. Najbardziej ogólna definicja analizy ryzyka
dla potrzeb bezpieczeństwa teleinformatycznego, może zostać sformułowana
następująco:
Analiza ryzyka (dla potrzeb bezpieczeństwa
teleinformatycznego) jest procesem identyfikacji (jakościowej
i ilościowej) ryzyka utraty bezpieczeństwa teleinformatycznego.
Analiza ryzyka powinna być wykonywana systematycznie w celu
utrzymania bieżącego stanu bezpieczeństwa teleinformatycznego, na który mają
wpływ zmiany zagrożeń oraz zmiany organizacyjne w firmie i sprzętowo-
programowe w nadzorowanych systemach teleinformatycznych.
Proces analizy ryzyka dla potrzeb bezpieczeństwa teleinformatycznego
składa się z następujących czynności:
Biuletyn Instytutu Automatyki i Robotyki, 16/2001 7
115258305.002.png 115258305.003.png
Zgłoś jeśli naruszono regulamin