Przepis na bezpieczeństwo

. Schemat wdrożenia, eksploatacji, monitorowania i doskonalenia SZBI

1.     Określ jakie masz zasoby

2.     Oszacuj wartość tych zasobów

3.     Określ jakie zagrożenia czyhają na te zasoby

4.     Sprawdź czy twój system jest podatny na te zagrożenia

5.     Określ jakie jest ryzyko wykorzystania podatności

6.     Zdecyduj co chcesz zrobić z tym ryzykiem: zmniejszyć przez wdrożenie zabezpieczeń, przenieść na kogoś innego, zaakceptować, uniknąć

Proces powtarzaj regularnie, aby utrzymać pożądany stan bezpieczeństwa. Zadaniem procesu szacowania ryzyka jest wskazanie aktywów najbardziej zagrożonych w firmie (miejsc o relatywnie wysokim prawdopodobieństwie zmaterializowania się zagrożenia), dzięki czemu wiemy, którymi aktywami należy się zająć w pierwszej kolejności i wdrożyć dla nich zabezpieczenia (fizyczne, techniczne lub organizacyjne).

Standard ISO/IEC 27001:2005 nie zawiera szczegółowych wymagań, określających jak powinien wyglądać proces szacowania ryzyka. W normie zostały umieszczone zalecenia - elementy, które należy wziąć pod uwagę. Są nimi aktywa, ich wartość, potencjalne zagrożenia, prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywu na zagrożenie, wpływ zagrożenia na bezpieczeństwo aktywu oraz stosowane zabezpieczenia.

Rys. 3. Zasadnicze zależności budowy koncepcji ochrony

Szacowanie ryzyka w systemie zarządzania bezpieczeństwem informacji wg ISO/IEC 27001:2005

Jaka jest rzeczywista rola i znaczenie procesu szacowania ryzyka podczas tworzenia i utrzymywania systemu bezpieczeństwa informacji w organizacji? Czy należy go przeprowadzić tylko dlatego, że jest on wymagany przez standard ISO/IEC 27001:2005?

Praktyczny przewodnik

Organizacja, która decyduje się na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) oraz na jego certyfikację przez akredytowane jednostki certyfikujące, musi zapewnić zgodność tego systemu z wymaganiami normy, którą w chwili obecnej jest ISO/IEC 27001:2005 lub jej polski odpowiednik PN ISO/IEC 27001:2007. Jednym z kluczowych jej wymagań jest przeprowadzenie procesu szacowania ryzyka. W dalszej części opracowania znajduje się opis metodyki szacowania ryzyka, która jest wykorzystywana w funkcjonujących i certyfikowanych systemach zarządzania bezpieczeństwem informacji, zgodnych z ISO/IEC 27001:2005 i została pozytywnie oceniona przez audytorów jednostek certyfikujących.

Podstawowe pojęcia

ü           Bezpieczeństwo informacji - zachowanie poufności, integralności i dostępności informacji, czyli informacja nie jest ujawniana osobom nieupoważnionym, jest ona dokładna i kompletna oraz dostępna i użyteczna na żądanie upoważnionego personelu

ü           Szacowanie ryzyka - całościowy proces analizy i oceny ryzyka

ü           Ryzyko - prawdopodobieństwo wystąpienia zagrożenia , które, wykorzystując podatność(ci) aktywu, może doprowadzić do jego uszkodzenia lub zniszczenia

ü           Aktyw - wszystko to, co ma wartość dla organizacji

Elementy szacowania ryzyka

Standard ISO/IEC 27001:2005 nie zawiera szczegółowych wymagań, określających jak powinien wyglądać proces szacowania ryzyka. W normie zostały umieszczone zalecenia - elementy, które należy wziąć pod uwagę. Są nimi aktywa, ich wartość , potencjalne zagrożenia , prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywu na zagrożenie, wpływ zagrożenia na bezpieczeństwo aktywu oraz stosowane zabezpieczenia.

 

ZASÓB

Elementem, który nie jest wymagany wprost przez normę, ale sprawdził się w praktyce, jest wprowadzenie pojęcia zasób (inaczej: miejsce przetwarzania). W organizacji wykorzystywane są różne systemy informatyczne , ale zainstalowane są one na jednym serwerze. Owe systemy informatyczne wraz z danymi możemy potraktować jako aktywa, natomiast serwer będzie zasobem. Z tak zaprojektowanej analizy możemy uzyskać informację, że o ile każdy z w/w aktywów ma swoją wartość, to wartość zasobu, na którym znajdują się te aktywa jest dużo wyższa, ponieważ jest sumą wartości aktywów znajdujących się na nim. W związku z tym nie musimy zabezpieczać każdego z tych systemów oddzielnie, tylko np. skupić swoją uwagę na zabezpieczeniach serwera.
Wzajemne relacje pomiędzy poszczególnymi elementami obrazuje poniższy schemat:

Struktura analizy ryzyka (opracowanie własne)

Kroki szacowania ryzyka

Krok 1 – Identyfikacja aktywów
 

Kluczowym elementem procesu szacowania ryzyka są aktywa. Oznacza to, że należy przeprowadzić inwentaryzację aktywów organizacji i określić ich wartość dla organizacji. Podczas określania wartości aktywu należy rozważyć, jaki wpływ na funkcjonowanie organizacji będzie miała jego utrata, awaria lub inne problemy z nim związane. Im większy wpływ tym większa wartość aktywu. Wartość najlepiej oceniać z punktu widzenia znaczenia dla biznesu i wyrażać w pieniądzu, ale ponieważ w przypadku takich aktywów jak wizerunek firmy czy też wiedza pracowników trudno jest określić ich wartość kwotowo, możemy przyjąć inny sposób oceny wartości – względną ocenę istotności aktywu w stosunku do pozostałych aktywów. Stosując skalę np. czterostopniową, ważne jest określenie znaczenia poszczególnych wystąpień.

Istotność aktywu:

ü           Bardzo duża - utrata lub naruszenie bezpieczeństwa aktywu powoduje przerwanie procesów biznesowych

ü           Znacząca - utrata lub naruszenie bezpieczeństwa aktywu może mieć wpływ na realizację procesów biznesowych</LI.

ü           Średnia - utrata lub naruszenie bezpieczeństwa aktywu powoduje utrudnienia w normalnym funkcjonowaniu procesu biznesowego

ü           Pomijalna - utrata lub naruszenie bezpieczeństwa aktywu nie ma wpływu na funkcjonowanie procesu biznesowego

gdzie pozycja „Bardzo duża” oznacza najwyższą istotność, a „Pomijalna” – najniższą istotność
 

Rys. 1. Schemat oddziaływań na zasoby w firmie

Liczebność zasobów/ilość miejsc przetwarzania informacji może mieć wpływ na bezpieczeństwo aktywu. Jeśli chronimy aktyw przed utratą poufności, to w im większej ilości zasobów/miejsc przetwarzania ten aktyw się znajduje, tym wyższe jest ryzyko ujawnienia informacji. W przypadku aktywów, które powinny być dostępne, zwiększenie ilości miejsc, gdzie one się znajdują wpływa na zwiększenie ich dostępności. Omawiana metodyka wymaga określenia ilości zasobów/miejsc przetwarzania, na których analizowany aktyw się znajduje oraz określenie wpływu tej ilości na podatność aktywu – czy zwiększenie ilości zwiększa podatność aktywu, czy zmniejsza, czy też nie ma wpływu.

Krok 2 – Identyfikacja zagrożeń
 

Chcąc zabezpieczyć nasze aktywa lub zasoby , należy wiedzieć, przed czym, czyli jakie zagrożenia mogą wystąpić w przypadku konkretnego aktywu. Dobrą praktyką jest wskazywanie przede wszystkim rzeczywistych zagrożeń – tzn. takich, które mogą wystąpić i występują w organizacji (konkretne awarie, braki zasilania, „wypaplanie” informacji, kradzież), a nie tylko takich, które łatwo wymienić (zamach terrorystyczny, zrzut paliwa przez lądujące awaryjnie samoloty - tam gdzie nie ma lotniska) itp. Z punktu widzenia kompletności szacowania ryzyka powinna być brana pod uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych) – ale należy pamiętać, że istotnym elementem procesu analizy ryzyka jest możliwość uzyskania aktualnych i miarodajnych wyników. Zbyt rozbudowana analiza – o mniej istotne elementy – może spowodować, że w momencie jej zakończenia już będzie nieaktualna. (Listy przykładowych zagrożeń lub grup zagrożeń znajdują się w pozycjach od 3 do 5 Literatury).

Krok 3 – Określenie prawdopodobieństwa
 

Nie wszystkie zagrożenia występują tak samo często, stąd wprowadzone zostało pojęcie prawdopodobieństwa wystąpienia zagrożenia. Awarie urządzeń, czy brak zasilania są na pewno częstsze niż pożary czy zrzuty paliwa przez lądujące awaryjnie samoloty. Jakie przyjąć stopniowanie określania prawdopodobieństwa, to oczywiście zależy od struktury organizacji, jej branży i wielkości. Dobrą praktyką, która sprawdziła się w czasie szacowania ryzyka w prowadzonych przeze mnie wdrożeniach SZBI w firmach rynku MSP (małe i średnie przedsiębiorstwa – do 500 zatrudnionych), jest stosowanie skali nie większej niż 3-stopniowa, np: Wysokie, Średnie, Pomijalne, gdzie: prawdopodobieństwo wystąpienia zagrożenia:

ü           Wysokie - występuje się często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością

ü           Średnie - wystąpiło w ostatnim roku lub zdarza się nieregularnie

ü           Pomijalne - nie wystąpiło ani razu w ciągu ostatniego roku

gdzie prawdopodobieństwo „Wysokie” oznacza najwyższe prawdopodobieństwo, a „Pomijalne” – najniższe.

 

Krok 4 – Określenie podatności

 

Jeśli wiemy już, co chronimy (aktywa), dlaczego (istotność), przed czym (zagrożenia), to należy jeszcze określić słabe strony naszych aktywów tzn. cechy i/lub właściwości aktywu, które mogą zostać wykorzystane przez zagrożenie. Papier chronimy przez spaleniem, ponieważ nie jest odporny na ogień – wprost przeciwnie - jest podatny na spalenie. Po co określać podatności? Jeśli z analizy ryzyka uzyskamy wynik, że ryzykownym aktywem jest np. budynek, a zagrożeniem ulewna burza – to przy wskazanej podatności „niedrożna kanalizacja deszczowa” otrzymujemy wyraźną sugestię, że należy wdrożyć zabezpieczenia związane z możliwością podtopienia budynku z powodu niedrożnej kanalizacji, np. okresowe udrażnianie/przegląd owej kanalizacji.

Listy przykładowych podatności znajdują się w pozycjach od 3 do 5 Literatury.

Krok 5 –Określenie wpływu zagrożenia a poziom zabezpieczeń
 

Ostatnimi elementami domykającymi analizę są kwestie związane z oceną wpływu zagrożenia na poufność, integralność i dostępność (cechy bezpieczeństwa informacji, wymagane przez normę) oraz określenie poziomu wdrożonych zabezpieczeń.

Wpływ/skutek wystąpienia zagrożenia: (na Poufność, Integralność, Dostępność)

ü           Krytyczny - wystąpienie zagrożenia powoduje wystąpienia efektu biznesowego, wysoki koszt , utrata wizerunku firmy, brak możliwości realizacji zadań

ü           Średni - wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże utrudnienie w pracy

ü           Pomijalny - wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny

ü           Nie dotyczy - Wystąpienie zagrożenia nie ma wpływu na aktyw

gdzie wpływ „Krytyczny” oznacza najwyższą wartość (największy wpływ), a „Pomijalny” – najniższą wartość (najmniejszy wpływ);

 

Zabezpieczenia

Rys. 4. Przykładowy cykl życia systemu zabezpieczeń

Poziom zabezpieczeń:

ü           Wysoki - występujące zabezpieczenie chroni skutecznie przed znanymi zagrożeniami

ü           Średni - występują częściowe zabezpieczenia, które chronią tylko wybrane obszary lub nie są w pełni skuteczne

ü           Niski - praktycznie brak jest jakichkolwiek zabezpieczeń lub są one nieskuteczne

ü           Nie dotyczy - Wystąpienie zagrożenia nie ma wpływu na aktyw

gdzie poziom „Wysoki” oznacza najwyższą wartość (najwyższy poziom zabezpieczeń), a „Pomijalny” – najniższą wartość (najniższy poziom zabezpieczeń);

Krok 6 – Określenie ryzyka szczątkowe

 

Ryzyko aktywu wskazuje nam na ile obawiamy się realnej utraty bezpieczeństwa tego aktywu na tle pozostałych aktywów w sytuacji, kiedy nie stosujemy jeszcze żadnych zabezpieczeń. Lista aktywów, posortowana wg ich ryzyk, stanowi podstawę do określenia, jakie zabezpieczenia powinny być wybrane w celu ochrony najbardziej ryzykownych aktywów.

W celu uzyskania porównywalnych ze sobą ryzyk aktywów, należy ustalić sposób ich obliczania. Żeby móc obliczyć ich wartość należy podstawić do poniższego wzoru wartości liczbowe przypisane do poszczególnych pozycji. Wielkości nie są istotne, ważna jest ich powtarzalność.

Ryzyko aktywu jest obliczane wg następującego wzoru:

Ra = E(Wa x Pwz)

gdzie:
Ra – ryzyko aktywu
Wa – wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności), rozumiany jako;

Wa =Sp((Wp + Wi +Wd)*LZ*Wpd)

gdzie:
Sp – suma wg podatności
Wp - wpływ ...