Cel i zakres. Podstawowe pojęcia

Transkrypt

1

2 Cel i zakres Celem opracowania metodyki zarządzania ryzykiem w ramach Zintegrowanego Systemu Zarządzania (ZSZ) jest ustanowienie sposobu: - identyfikacji, - oceny - oraz postępowania z ryzykiem w procesach biznesowych Wojskowego Instytutu Medycyny Lotniczej związanych z zawieraniem umów i ich realizacją zgodnie z wymaganiami norm PN-ISO/IEC 27001, PN-EN ISO 9001 oraz AQAP 2120, w tym w komórkach organizacyjnych: Ośrodku Badań Orzecznictwa Lotniczo-Lekarskiego i Medycyny Pracy (OBOLLiMP), Centrum Medycyny Lotniczej WIML (AeMC WIML), Centralnej Sterylizatorni (CS), Zakładzie Diagnostyki Laboratoryjnej (Laboratorium Kliniczne) oraz Zakładzie Badań Symulatorowych, Szkolenia i Treningu Lotniczo-Lekarskiego (ZBSSiTLL). Podstawowe pojęcia Bezpieczeństwo informacji Zarządzanie ryzykiem i szansą - zachowanie poufności, integralności i dostępności informacji, co oznacza Ŝe informacja nie jest ujawniana osobom nieupowaŝnionym, jest ona dokładna i kompletna oraz jest dostępna w uŝytecznej formie na Ŝądanie upowaŝnionego personelu - skoordynowane działania dotyczące kierowania i nadzorowania organizacją w odniesieniu do ryzyka lub szansy Ryzyko - wpływ niepewności na moŝliwość zrealizowania celu niedowartościowane ryzyko moŝe pociągnąć za sobą szkodę w organizacji (pośrednio lub bezpośrednio) Ryzyko bezpieczeństwa informacji - potencjalnie moŝliwa sytuacja, w której określone zagroŝenie wykorzysta podatność aktywa lub grupy aktywów powodując w ten sposób powstanie szkody w komórkach organizacyjnych (w organizacji). Szansa - wpływ niepewności podczas określania celu - niedowartościowana szansa moŝe ograniczyć moŝliwą do uzyskania korzyść. Przewartościowana szansa moŝe skutkować brakiem moŝliwości uzyskania przewidywanej korzyści ze zrealizowanego celu. Niepewność - określa wielkość obszaru (w metrologii - przedziału wartości mierzonej) dla której moŝna uznać, Ŝe prawdopodobieństwo osiągnięcia załoŝonego celu jest na zadowalającym poziomie. Niepewność to stan, równieŝ częściowy, braku informacji związanej ze zrozumieniem lub wiedzą na temat ewentualnego zdarzenia, jego następstw lub prawdopodobieństwa jego wystąpienia. Aktywa - wszystko to, co ma wartość dla komórek organizacyjnych (dla Instytutu) 2/23

3 Proces zarządzania ryzykiem i szansą W procesie planowania systemu zarządzania bezpieczeństwem informacji rozważane są ryzyka i szanse, które są podstawą do podjęcia działań w poszczególnych obszarach mających zapewnić osiągnięcie przyjętego celu. W specyficznej działalności WIML w poszczególnych obszarach działania należy uwzględniać analizę kontekstu organizacji. W jej świetle należy rozważyć czynniki wpływające na ryzyka i szanse, a następnie postępować z nimi zgodnie ze schematem przedstawionym na Rys. 1. Dalsza część dokumentu zawiera: metodę analizy ryzyka (ryzyk cząstkowych) przyjętą w WIML dla obszarów objętych systemem; metodę analizy ryzyka przyjętą do stosowania w Planach Jakości Wyrobu Rys. 1 Schemat postępowania ryzykiem lub szansą. 3/23

4 Elementy ryzyka W metodyce uwzględniono: aktywa, wartość (istotność) aktywów, lokalizację/postać aktywów, potencjalne zagrożenia, prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywów na zagrożenia, wpływ zagrożeń na bezpieczeństwo aktywów, skuteczność zastosowanych zabezpieczeń. Proces lub dział Aktywo/zasób Lokalizacja/postać (istotność, klasa) (liczba) ZagroŜenie Podatność Podatność (prawdopodobieństwo) (wpływ/poziom zabezpieczeń) (...) ZagroŜenie (...) Lokalizacja/postać (...) Aktywo/zasób (...) Rys. 2. Schematyczna struktura elementów ryzyka 4/23

5 Przebieg procesu zarządzania ryzykiem dla obszarów objętych systemem Przeprowadzenie analizy obszarów Instytutu objętych systemem Celem analizy jest określenie zakresu organizacji objętego zarządzaniem ryzykiem poprzez wskazanie procesów realizowanych w organizacji oraz ocena ich wpływu na funkcjonowanie organizacji. Wskazana wartość wpływu określa, na ile zaburzenia funkcjonowania procesu mogą spowodować zaburzenia funkcjonowania organizacji. Zakres analizy: procesy Do oceny wpływu na funkcjonowanie Instytutu (wpływ na biznes) należy przyjąć kryteria zawarte w Tabeli 1. Tabela 1. Wpływ na funkcjonowanie Instytutu (wpływ na biznes) Ocena Wartość Opis Krytyczny 4 utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu powoduje przerwanie ciągłości działalności Instytutu Bardzo duży 3 Duży 2 utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu może mieć negatywny wpływ na ciągłość działalności Instytutu utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu powoduje utrudnienia w normalnym funkcjonowaniu Instytutu Normalny 1 utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu ma ograniczony wpływ na funkcjonowanie Instytutu gdzie pozycja Krytyczny oznacza wpływ największy, a Normalny wpływ najmniejszy. 5/23

6 Identyfikacja aktywów Kluczowym elementem procesu zarządzania ryzykiem są aktywa. Oznacza to, że należy przeprowadzić identyfikację aktywów komórek organizacyjnych objętych systemem i określić ich wartość dla Instytutu. Podczas określania wartości aktywa należy rozważyć, jaki wpływ na funkcjonowanie Instytutu będzie miała jego utrata, awaria lub inne problemy z nim związane. Im większy wpływ tym większa wartość aktywa. Wartość najlepiej oceniać z punktu widzenia znaczenia dla biznesu i wyrażać w pieniądzu, ale ponieważ w przypadku takich aktywów jak wizerunek firmy czy też wiedza pracowników trudno jest określić ich wartość kwotowo, przyjmujemy inny sposób oceny wartości względną ocenę istotności aktywa w stosunku do pozostałych aktywów. Do oceny istotności aktywów należy wykorzystać czterostopniową skalę oceny, zgodnie z Tabelą 2: Tabela 2. Istotność aktywów Istotność Wartość Opis Bardzo duża 7 Znacząca 5 Średnia 2 Pomijalna 1 utrata lub naruszenie bezpieczeństwa aktywa powoduje przerwanie procesów biznesowych utrata lub naruszenie bezpieczeństwa aktywa może mieć wpływ na realizację procesów biznesowych utrata lub naruszenie bezpieczeństwa aktywa powoduje utrudnienia w normalnym funkcjonowaniu procesu biznesowego utrata lub naruszenie bezpieczeństwa aktywa nie ma wpływu na funkcjonowanie procesu biznesowego gdzie pozycja Bardzo duża oznacza istotność najwyższą, a Pomijalna istotność najniższą. Lista przykładowych aktywów znajduje się w Załączniku 1. Identyfikacja zagroŝeń Aby zabezpieczyć aktywa lub zasoby, należy wiedzieć, przed czym, czyli jakie zagrożenia mogą wystąpić w przypadku konkretnego aktywa. Dobrą praktyką jest wskazywanie przede wszystkim rzeczywistych zagrożeń tzn. takich, które mogą wystąpić i występują w organizacji (konkretne awarie, braki zasilania, nieuprawnione przekazanie informacji, kradzież), a nie tylko takich, które łatwo wymienić (zamach terrorystyczny, zrzut paliwa przez lądujące awaryjnie samoloty - tam gdzie nie ma 6/23

7 lotniska) itp. Z punktu widzenia kompletności szacowania ryzyka powinna być brana pod uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych) ale należy pamiętać, że istotnym elementem procesu analizy ryzyka jest możliwość uzyskania aktualnych i miarodajnych wyników. Zbyt rozbudowana analiza o mniej istotne elementy może spowodować, że w momencie jej zakończenia już będzie nieaktualna. Lista przykładowych zagrożeń i podatności znajduje się w Załączniku 2. Określenie prawdopodobieństwa Nie wszystkie zagrożenia występują tak samo często lub są tak samo prawdopodobne, stąd wprowadzone zostało pojęcie prawdopodobieństwa wystąpienia zagrożenia. Awarie urządzeń, czy brak zasilania są na pewno częstsze niż pożary czy zrzuty paliwa przez lądujące awaryjnie samoloty. Do oceny prawdopodobieństwa należy zastosować skalę trzystopniową: Wysokie, Średnie, Pomijalne. Dla każdego poziomu prawdopodobieństwa przypisano wartość współczynnika oceny prawdopodobieństwa. Skala ta opisana jest w Tabeli 3. Tabela 3. Współczynnik prawdopodobieństwa wystąpienia zagrożenia Ocena. Współczynnik Opis Wysoki 5 występuje często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością, lub jest bardzo prawdopodobne; Średni 3 Pomijalny 1 wystąpiło w ostatnim roku lub zdarza się nieregularnie, lub istnieje realne prawdopodobieństwo wystąpienia; nie wystąpiło ani razu w ciągu ostatniego roku lub jest mało prawdopodobne; gdzie wartość współczynnika Wysoki związany jest z prawdopodobieństwem najwyższym, a Pomijalny najniższym. Określenie podatności Kolejnym elementem zarządzania ryzykiem są podatności, czyli słabe strony naszych aktywów - cechy i / lub właściwości aktywa, które mogą zostać wykorzystane przez zagrożenie. Papier chronimy przez spaleniem, ponieważ nie jest odporny na ogień wprost przeciwnie - jest podatny na spalenie. Konkretne urządzenie jest zagrożone wystąpieniem awarii, ponieważ pracuje 24 h na dobę (podatność ciągła praca) lub w trudnych warunkach (podatność trudne warunki pracy: zapylenie, inne). Lista przykładowych zagrożeń i podatności znajduje się w Załączniku 2. 7/23

8 Określenie wpływu zagroŝenia oraz poziomu zabezpieczeń Należy dokonać oceny wpływu zagrożenia na poufność, integralność i dostępność (bezpieczeństwo informacji) oraz należy określić poziom skuteczności wdrożonych zabezpieczeń. Są to elementy domykające prowadzoną analizę. Skala oceny wpływu zagrożeń na poufność, integralność i dostępność określona jest w Tabeli 4. Skala oceny poziomów zabezpieczeń określona jest w Tabeli 5. Tabela 4. Wpływ / skutek wystąpienia zagrożenia (na Poufność, Integralność, Dostępność) Ocena Wartość Opis Krytyczny 5 Średni 3 Pomijalny 1 wystąpienie zagrożenia powoduje wystąpienia efektu biznesowego, wysoki koszt, utratę dobrego wizerunku Instytutu, brak możliwości realizacji zadań lub stanowi istotne naruszenie prawa, wystąpienie zagrożenia może mieć efekt biznesowy, wizerunkowy, stanowi duże utrudnienie w realizacji zadań lub drobne naruszenie prawa, wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny i nie stanowi naruszenia prawa, Nie dotyczy 0 wystąpienie zagrożenia nie ma wpływu na aktywa. gdzie: wpływ Krytyczny oznacza wartość najwyższą (wpływ największy), a Nie dotyczy wartość najniższą (wpływ najmniejszy). Tabela 5. Poziom zabezpieczeń Ocena Wartość Opis Wysoki 11 Średni 5 Niski 1 występujące zabezpieczenie chroni skutecznie przed znanymi zagrożeniami, występują częściowe zabezpieczenia, które chronią tylko wybrane obszary lub nie są w pełni skuteczne, praktycznie brak jest jakichkolwiek zabezpieczeń lub są one nieskuteczne, Nie dotyczy 0 wystąpienie zagrożenia nie ma wpływu na aktywa, gdzie: poziom Wysoki oznacza najwyższą wartość (najwyższy poziom zabezpieczeń) i może osiągnąć wartość. Jednak na początkowym etapie analizy 8/23

9 przyjęto wartość 11. Poziom Nie dotyczy oznacza najniższą wartość (najniższy poziom zabezpieczeń). Określenie ryzyka i ryzyka szczątkowego Ryzyko aktywa stanowi podstawę do oceny realnej utraty bezpieczeństwa tego aktywa na tle pozostałych aktywów w sytuacji, kiedy nie stosujemy jeszcze żadnych zabezpieczeń. Lista aktywów, uporządkowana wg ich ryzyk, stanowi podstawę do określenia, jakie zabezpieczenia powinny być wybrane w celu ochrony najbardziej ryzykownych aktywów. W celu uzyskania porównywalnych ze sobą ryzyk aktywów, przyjmuje się ogólnie następujący sposób ich obliczania. Ażeby obliczyć ich wartość należy podstawić do poniższego wzoru wartości liczbowe przypisane do poszczególnych pozycji. Wielkości nie są istotne, ważna jest ich powtarzalność. Podstawą do wyliczeń ryzyka aktywa jest następujący wzór: Ra = Σp(Wa ٠ Pwz) (1) gdzie: R a ryzyko aktywa W a wpływ (skutek) zmaterializowania się zagroŝenia (uzaleŝniony od istotności aktywa, jego zagroŝeń, podatności), rozumiany jako; W a = B * p(i*(w p + W i +W d)) (2) gdzie: B wpływ na biznes p suma wg podatności I istotność aktywa W p - wpływ zagroŝenia na poufność W i - wpływ zagroŝenia na integralność W d - wpływ zagroŝenia na dostępność P wz prawdopodobieństwo wystąpienia zagroŝenia Po wyborze i wdrożeniu zabezpieczeń należy ponownie przeprowadzić szacowanie ryzyka, ale już z uwzględnieniem poziomów zabezpieczeń, jakie zostały zapewnione dzięki wdrożonym zabezpieczeniom. Dla każdego aktywa, po uwzględnieniu zabezpieczeń, należy obliczyć ryzyko szczątkowe. 9/23

10 Ryzyko szczątkowe, zgodnie z ogólnie przyjętą zasadą obliczane jest wg następującego wzoru (3): Rsa = Wsa ٠ Pwz (3) gdzie: R sa ryzyko szczątkowe W sa wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywa, jego zagrożeń, podatności oraz zastosowanych zabezpieczeń); Wsa = B ٠ p(i٠ (Wp/Zp + Wi/Zi +Wd/Zd); (4) gdzie: Z p poziom zabezpieczeń przed wpływem zagrożenia na poufność Z i - poziom zabezpieczeń przed wpływem zagrożenia na integralność Z d - poziom zabezpieczeń przed wpływem zagrożenia na dostępność Na podstawie uzyskanych ryzyk szczątkowych aktywów kierownictwo określa i akceptuje poziom ryzyka akceptowalnego jako ustaloną wartość ryzyka, poniżej którego ryzyka aktywów zostają uznane za akceptowalne. Kryteria akceptacji ryzyka i poziom ryzyka akceptowalnego Niezbędnym elementem procesu szacowania ryzyka jest określenie kryteriów oceny ryzyka, czyli przyjętego podejścia do podziału ryzyk na ryzyka możliwe do zaakceptowania oraz na ryzyka nieakceptowalne. W niniejszej metodyce przyjęto, jako kryterium akceptacji ryzyka, dążenie do wyrównania poziomów ryzyk dla wszystkich aktywów, zgodnie z zasadą, że o sile systemu bezpieczeństwa świadczy jego najsłabszy (najbardziej ryzykowny) element. Aktywa o ryzykach poniżej wartości wyznaczonej przez odcięcie kominów ryzyka obarczone są ryzykiem na takim poziomie, że kierownictwo Instytutu gotowe jest je obecnie zaakceptować. Poziom ryzyka akceptowalnego jest konkretną wartością ryzyka, linią poziomą przechodzącą przez punkt na osi ryzyka, który zostaje wyznaczony zgodnie z kryteriami akceptacji ryzyka. Poziom ryzyka akceptowalnego ma być określany dla każdej przeprowadzonej analizy ryzyka. 10/23

11 Określenie poziomu ryzyka akceptowalnego (Rys. 3) kończy etap szacowania ryzyka. Rys. 3 Przykładowy wynik szacowania ryzyka Wytyczne szczegółowe do analizy, szacowania i postępowania z ryzykiem Analiza ryzyka powinna obejmować wszystkie obszary funkcjonowania Instytutu mające wpływ na realizowane procesy i być przygotowywana przy współudziale osób reprezentujących: - procesy główne, - Dyrekcję Instytutu, - Pion Głównego Księgowego, - Pion Administracyjny (z wyłączeniem IT) - IT, - Pion Ochrony. Analizę ryzyka należy przeprowadzać okresowo, w terminach wyznaczonych przez Pełnomocnika ds. ZSZ. Właściciele procesów głównych są odpowiedzialni za przygotowanie cząstkowych analiz ryzyka, obejmujących aktywa w swoim obszarze i przekazanie ich do Pełnomocnika ds. Zintegrowanego Systemu Zarządzania, który po scaleniu uzyska łączny wynik analizy dla obszaru Instytutu objętego systemem. Cząstkowa analiza ryzyka powinna być przeprowadzona z wykorzystaniem arkusza kalkulacyjnego udostępnianego, w formie pliku elektronicznego, przez Pełnomocnika ds. ZSZ. 11/23

12 Do procesu analizy ryzyka należy wykorzystać oprogramowanie Cretus Risk Analyzer firmy Centrum Doskonalenia Zarządzania Meritum. WIML jest posiadaczem licencji na ww. oprogramowanie. Jako wynik procesu szacowania należy wykonać wykaz aktywów najbardziej zagrożonych w Instytucie (dla: OBOLLiMP, AeMC WIML, ZBSSiTLL, CS, Laboratorium Klinicznego). Umożliwia on podjęcie decyzji, dla których aktywów należy w pierwszej kolejności wdrożyć zabezpieczenia (fizyczne, techniczne lub organizacyjne). Wyniki analizy mogą być dla Dyrekcji podstawą do określenia poziomu ryzyka akceptowalnego oraz do oceny zasadności przydzielenia środków na zabezpieczenie najważniejszych aktywów, co umożliwia przygotowanie planu, mającego na celu obniżenie ryzyk szczątkowych aktywów, których ryzyko szczątkowe jest większe od ustalonej wartości ryzyka akceptowalnego. Graficzną prezentację poziomu ryzyka akceptowalnego należy wykonać w postaci wykresu dla aktywów najbardziej zagrożonych. Plan postępowania z ryzykiem należy przygotować zgodnie ze wzorem określonym w Załączniku 3. 12/23

13 Przebieg procesu zarządzania ryzykiem zgodnie z wymaganiami AQAP 2120 Przeprowadzenie analizy czynników mających wpływ na realizację umów realizowanych przez Instytut zgodnie z wymaganiami AQAP 2120 Celem analizy jest identyfikacja ryzyk związanych z realizacją umów zawartych z MON, realizowanych w obszarach objętych systemem. Oszacowanie ryzyk związanych z realizacją umów umożliwia stronom umowy zarządzanie ryzykiem. Jakościowa analiza czynników ryzyka W celu określenia poziomu ryzyk realizacji umowy ze względu na dany czynnik ryzyka stosujemy macierz kwantyfikacji ryzyka zwaną także macierzą ryzyk (Rysunek 4), gdzie: Poziom ryzyka = Prawdopodobieństwo * Wpływ na realizację umowy Do oceny prawdopodobieństwa należy zastosować skalę trzystopniową: Wysokie, Średnie, Pomijalne. Dla każdego poziomu prawdopodobieństwa przypisano wartość współczynnika oceny prawdopodobieństwa. Skala ta opisana jest w Tabeli 3. Do oceny wpływu na realizację umowy (skutków urzeczywistnienia się ryzyka) należy przyjąć kryteria zawarte w Tabeli 6. Tabela 6. Wpływ na realizację umowy Ocena Wartość Opis Krytyczny 40 Bardzo duży 30 Duży 20 utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu powoduje przerwanie realizacji umowy utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu może mieć negatywny wpływ na termin realizacji umowy utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu powoduje utrudnienia w normalnym trybie realizacji umowy Normalny 10 utrata lub naruszenie bezpieczeństwa komórki organizacyjnej lub procesu ma ograniczony wpływ na realizację umowy gdzie pozycja Krytyczny oznacza wpływ największy, a Normalny wpływ najmniejszy. 13/23

14 wysokie średnie pomijalne prawdopodopodobieństwo wpływ MACIERZ RYZYK S 5 P 3 P 1 W 10 S 6 P 2 W S 9 P 3 W 20 W 12 S 4 Normalny Duży Bardzo duży Krytyczny Rys. 4 Linia tolerancji ryzyka Macierz ryzyk dla przyjętych w niniejszej metodyce: wartości wskaźników prawdopodobieństw (Tabela 3) i wartości wskaźników wpływu zagrożenia (Tabela 6). Poziom ryzyka: Niski (ozn. P ); Średni (ozn. S ); Wysoki (ozn. W ). Przyjęto następującą, ogólną zasadę doboru strategii dla oszacowanych ryzyk realizacji umowy: wysoki poziom ryzyka (10 20) należy stosować najbardziej kosztowne i złożone plany. Dla negatywnych unikanie tj. doprowadzenie do sytuacji, że dany czynnik ryzyka nie ma możliwości wystąpić. Należy również przeanalizować wycofanie *) ; dla ryzyk o średnim poziomie ryzyka (4 9) mniej kosztowne, ale także mniej skuteczne plany wprowadzenia zabezpieczeń łagodzących czyli zmniejszających prawdopodobieństwo i/lub skutki ryzyka; Dla wysokich i średnich poziomów ryzyka można również stosować strategię: przeniesienia. Najczęściej przeniesienie ryzyka polega na ubezpieczeniu się od jakiegoś zdarzenia lub scedowanie skutków ryzyka na kontrahenta (lub podwykonawcę); dla ryzyk o normalnym poziomie (1 3) stosuje się zazwyczaj akceptację ryzyk. Jeżeli zagrożenia się ziszczą ponosimy odpowiednie skutki. Akceptację dzielimy na aktywną (posiadamy rezerwę finansową) i pasywną (brak rezerw) *) Wycofanie strategia wykorzystywana w początkowej fazie projektu. Np. przeprowadzenie studium wykonalności. Sprawdzamy czy rezultat projektu (dostarczany produkt lub usługa) ma szanse na spełnienie założonych wymagań. Jeśli nie - ponieśliśmy koszty na badania, ale inwestycja nie pochłonie bezsensownie całego budżetu. 14/23

15 Przykład oszacowania ryzyk W przykładowej tabeli (Tabela nr 7) wskazano aktywa/procesy, określone zagrożenia, wartości wskaźników prawdopodobieństwa wystąpienia poszczególnych zagrożeń, oszacowano, zgodnie z Tabelą 6, realny wpływ zagrożenia na realizację umowy (skutek), wyliczono wartości ryzyka dla każdego aktywa/procesu. Tabela 7. Ryzyka związane z realizacją umowy Aktywa/Procesy Symbol Zagrożenie Prawdopodobieństwo Wpływ zagrożenia Ryzyko Internet (sieć LAN) LAN zerwanie linii 0, Komputery Kom kradzież 0, Badanie barofunkcji Bar nieżyt górnych dróg oddechowych 0, Personel techniczny Te absencja 0,3 20 6? Symulatory Sym awaria 0, Na macierz ryzyk naniesiono symbole aktywów/procesów, umieszczając je w polach macierzy zgodnie z wyliczonymi wartościami (Rys. 5). MACIERZ RYZYK wysokie średnie pomijalne prawdopodobieństwo wpływ S Kom (5) P 3 P LAN (1) W 10 S Te, Bar (6) P 2 W S 9 P 3 W 20 W Sym (12) S 4 Normalny Duży Bardzo duży Krytyczny Rys. 5 Macierz ryzyk - przykład. Linia tolerancji ryzyka Powyższa, przykładowa macierz ryzyk uwidacznia ryzyko o symbolu Sym ponad linią tolerancji ryzyka, w obszarze wysokiego ryzyka. Należałoby zatem, zgodnie z przyjętymi zasadami dokonać np. przeniesienia ryzyka. Dla aktywów Te, Kom i procesu Bar należałoby zastosować środki zapobiegawcze (ograniczające prawdopodobieństwo wystąpienia lub wpływ zagrożenia). Dla aktywa o symbolu LAN można by zaakceptować związane z nim ryzyko. 15/23

16 Załącznik 1 Aktywa - przykłady Informacje o Niezbędne do funkcjonowania Instytutu o Osobowe o Strategiczne decydujące dla rozwoju Instytutu o Istotne, o wysokim koszcie pozyskania, przechowywania lub przetwarzania Sprzęt i wyposaŝenie o Sprzęt mobilny (laptopy, PDA itp.) o Sprzęt stały (serwery, komputery osobiste) o Peryferia (drukarki, przenośne napędy itp.) o Masowe pamięci (macierze, urządzenia kopii zapasowych) o Nośniki danych (CD, taśma, pendrive, dysk zewnętrzny) Oprogramowanie o Systemy operacyjne o Oprogramowanie serwisowe i administracyjne o Oprogramowanie standardowe lub grupowe (bazy danych, serwery webowe, praca grupowa) o Aplikacje biznesowe Standardowe Specyficzne Sieci o Elementy pośredniczące (router, hub, switch) o Interfejsy komunikacyjne (GPRS, karty sieciowe) Pracownicy o Kierownictwo i właściciele aktywów o UŜytkownicy sprzętu przetwarzającego informacje o Administratorzy (systemów, baz danych, systemów bezpieczeństwa) Lokalizacja o Otoczenie zewnętrzne o Teren o Strefy o Kluczowe usługi o Komunikacja o WyposaŜenie (klimatyzacja, dostawa wody, wywóz śmieci itp.) Organizacja o Organy administracji o Struktura organizacyjna o Klienci 16/23

17 Lista zagrożeń i podatności Przykłady obszarów naraŝonych na zagroŝenia Załącznik 2 PoniŜsza lista podaje przykłady obszarów naraŝonych na zagroŝenia, znajdujących się w róŝnych rejonach bezpieczeństwa, włączając w to przykłady zagroŝeń, które mogą takie obszary wykorzystać. Lista ta moŝe być pomocna przy szacowaniu obszarów naraŝonych. Zaznacza się, iŝ mogą istnieć inne zagroŝenia będące w stanie wykorzystać te obszary naraŝone na zagroŝenia. Bezpieczeństwo personelu Absencja personelu - niedobór kadry Nie nadzorowana praca wykonywana przez kadry zewnętrzne lub sprzątające kradzieŝ Niewystarczające szkolenie w zakresie bezpieczeństwa błędy kadry wsparcia operacyjnego Brak świadomości w zakresie bezpieczeństwa błędy uŝytkowników Słabo udokumentowane oprogramowanie błędy kadry wsparcia operacyjnego Brak mechanizmów monitorowania uŝywanie oprogramowania w sposób nieupowaŝniony Brak polityk prawidłowego uŝytkowania mediów telekomunikacyjnych i systemów powiadamiania tego typu uŝywanie infrastruktury sieciowej w sposób nieautoryzowany Niewłaściwe procedury rekrutacyjne rozmyślne szkody Bezpieczeństwo fizyczne i środowiskowe Niewłaściwe lub niedbałe prowadzenie kontroli dostępu fizycznego do budynków, pomieszczeń i biur rozmyślne szkody Brak fizycznej ochrony budynków, drzwi i okien kradzieŝ Lokalizacja w rejonie podatnym na zalania powódź Niechronione magazynowanie kradzieŝ Niewystarczająca konserwacja/wadliwa instalacja nośników błąd w konserwacji Brak planów okresowej wymiany sprzętu spadek jakości nośników Podatność sprzętu na wilgotność, pył, zabrudzenie lotne cząstki/pył Podatność sprzętu na wahania temperatury ekstremalne temperatury Podatność sprzętu na wahania napięcia wahania zasilania Niestabilna sieć zasilająca wahania zasilania 17/23

18 Zarządzanie komputerami i sieciami Niechronione linie komunikacyjne podsłuch Wadliwie połączone okablowanie infiltracja łączności Brak mechanizmów identyfikacji i upowaŝniania podszywanie się pod toŝsamość uŝytkownika Transfer haseł w otwartej sieci dostęp dla nieupowaŝnionych uŝytkowników Brak dowodu wysłania lub otrzymania wiadomości odrzucenie Sieć oparta na łączach komutowanych - dostęp dla nieupowaŝnionych uŝytkowników Niechroniony przesył poufnych danych podsłuch Pojedynczy punkt awarii awaria usług komunikacyjnych Niewłaściwe zarządzanie siecią przeciąŝenie ruchu Brak troski podczas rozporządzania materiałami kradzieŝ Niekontrolowane kopiowanie kradzieŝ Niezabezpieczone połączenia z sieci publicznych uŝywanie oprogramowania przez nieupowaŝnionych uŝytkowników Kontrola dostępu do systemu / opracowywanie i utrzymywanie systemu Skomplikowany interfejs uŝytkownika błąd personelu operacyjnego Pozbywanie się lub ponowne uŝytkowanie nośników bez odpowiednich procedur usuwania danych korzystanie z oprogramowania przez osoby nieupowaŝnione Brak dziennika kontroli korzystanie z oprogramowania w sposób nieautoryzowany Brak dokumentacji - błąd personelu operacyjnego Brak efektywnych zabezpieczeń zmian wady oprogramowania Brak mechanizmów identyfikacji i autoryzacji, takich jak autoryzacja uŝytkownika podszywanie pod toŝsamość uŝytkownika Niewylogowanie się przy odejściu od stacji roboczej korzystanie z oprogramowania przez osoby nieupowaŝnione Brak lub niewystarczające testowanie oprogramowania - korzystanie z oprogramowania przez osoby nieupowaŝnione Niewydolne zarządzanie hasłami (łatwe do odgadnięcia hasła, przechowywanie haseł, zbyt rzadka wymiana haseł) podszywanie się pod toŝsamość uŝytkownika Niejasne lub niepełne specyfikacje dla twórców oprogramowania wady oprogramowania Niekontrolowane pobieranie plików i korzystanie z oprogramowania złośliwe oprogramowanie Niechronione tabele haseł podszywanie się pod toŝsamość uŝytkownika Dobrze znane usterki w oprogramowaniu korzystanie z oprogramowania przez osoby nieupowaŝnione Błędne przyznawanie uprawnień dostępowych korzystanie z oprogramowania w sposób nieautoryzowany 18/23

19 Podatności 1. Środowisko i infrastruktura Brak fizycznej ochrony budynku, drzwi i okien (moŝe zostać wykorzystana na przykład przez zagroŝenie kradzieŝą) Niewłaściwe lub nieuwaŝne uŝycie fizycznej kontroli dostępu do budynków, pomieszczeń (moŝe zostać wykorzystana na przykład przez zagroŝenie umyślną szkodą) Niestabilna sieć elektryczna (moŝe zostać wykorzystana na przykład przez zagroŝenie wahaniami natęŝenia prądu) Lokalizacja na terenie zagroŝonym powodzią (moŝe zostać wykorzystana na przykład przez zagroŝenie zalaniem) 2. Sprzęt Brak planów okresowej wymiany (moŝe zostać wykorzystana na przykład przez zagroŝenie zuŝyciem nośników) Podatność na zmiany napięcia (moŝe zostać wykorzystana na przykład przez zagroŝenie wahaniami napięcia prądu) Podatność na zmiany temperatury (moŝe zostać wykorzystana na przykład przez zagroŝenie ekstremalnymi temperaturami) Podatność na wilgotność, kurz, zabrudzenie (moŝe zostać wykorzystana na przykład przez zagroŝenie kurzem) WraŜliwość na promieniowanie elektromagnetyczne (moŝe zostać wykorzystana na przykład przez zagroŝenie promieniowaniem elektromagnetycznym) Niewłaściwa konserwacja / wadliwa instalacja nośników (moŝe zostać wykorzystana na przykład przez zagroŝenie błędami konserwacji Brak sprawnej kontroli zmian w konfiguracji (moŝe zostać wykorzystana na przykład przez zagroŝenie błędem personelu obsługującego) 3. Oprogramowanie Niejasny lub niekompletny opis techniczny dla projektantów (moŝe zostać wykorzystana na przykład przez zagroŝenie awarią oprogramowania) Brak lub niedostateczne przetestowanie oprogramowania (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania przez nieuprawnionych uŝytkowników) Skomplikowany interfejs uŝytkownika (moŝe zostać wykorzystana na przykład przez zagroŝenie błędem personelu obsługującego) Brak mechanizmów identyfikacji i uwierzytelniania takich jak uwierzytelnianie uŝytkowników (moŝe zostać wykorzystana na przykład przez zagroŝenie maskaradą toŝsamości uŝytkownika) Brak śladów dla audytu (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania w nieuprawniony sposób) Dobrze znane wady oprogramowania 19/23

20 (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania przez nieuprawnionych uŝytkowników) Niechronione tablice haseł (moŝe zostać wykorzystana na przykład przez zagroŝenie maskaradą toŝsamości uŝytkownika) Złe zarządzanie hasłami (hasła łatwe do odgadnięcia, przechowywanie haseł w postaci jawnej, zbyt rzadkie zmiany - moŝe zostać wykorzystana na przykład przez zagroŝenie maskaradą toŝsamości uŝytkownika) Niewłaściwy przydział uprawnień do dostępu (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania w nieuprawniony sposób) Brak kontroli pobierania i uŝywania oprogramowania (moŝe zostać wykorzystana na przykład przez zagroŝenie złośliwym oprogramowaniem) Brak konieczności wylogowania się po opuszczeniu stacji roboczej (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania przez nieuprawnionych uŝytkowników) Brak efektywnej kontroli zmian (moŝe zostać wykorzystana na przykład przez zagroŝenie awarią oprogramowania) Brak dokumentacji (moŝe zostać wykorzystana na przykład przez zagroŝenie błędem personelu obsługującego) Brak kopii zapasowych (moŝe zostać wykorzystana na przykład przez zagroŝenie złośliwym oprogramowaniem lub zagroŝenie poŝarem) Usuwanie lub ponowne uŝycie nośników bez odpowiedniego kasowania ich zawartości (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝycia oprogramowania przez nieuprawnionych uŝytkowników) 4. Łączność Niechronione linie łączności (moŝe zostać wykorzystana na przykład przez zagroŝenie podsłuchem) Złe łączenie kabli (moŝe zostać wykorzystana na przykład przez zagroŝenie infiltracją łączności) Brak identyfikacji i uwierzytelniania nadawcy i odbiorcy (moŝe zostać wykorzystana na przykład przez zagroŝenie podszyciem się pod uŝytkownika) Przesyłanie haseł w postaci jawnej (moŝe zostać wykorzystana na przykład przez zagroŝenie dostępu do sieci przez nieuprawnionych uŝytkowników) Brak dowodu wysłania lub odebrania wiadomości (moŝe zostać wykorzystana na przykład przez zagroŝenie zaprzeczenia) Linie komutowane (moŝe zostać wykorzystana na przykład przez zagroŝenie dostępu do sieci przez nieuprawnionych uŝytkowników) 20/23

21 Niechroniony wraŝliwy ruch (moŝe zostać wykorzystana na przykład przez zagroŝenie podsłuchem) Nieodpowiednie zarządzanie siecią (odporność trasowania na uszkodzenia) (moŝe zostać wykorzystana na przykład przez zagroŝenie przeciąŝeniem ruchem) Niechronione połączenia do sieci publicznej (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania przez nieuprawnionych uŝytkowników) 5. Dokumenty Niechronione przechowywanie (moŝe zostać wykorzystana na przykład przez zagroŝenie kradzieŝą) Nieodpowiednie niszczenie (moŝe zostać wykorzystana na przykład przez zagroŝenie kradzieŝą) Niekontrolowane kopiowanie (moŝe zostać wykorzystana na przykład przez zagroŝenie kradzieŝą) 6. Personel Nieobecność personelu (moŝe zostać wykorzystana na przykład przez zagroŝenie niedoborem personelu) Praca personelu zewnętrznego lub sprzątającego bez nadzoru (moŝe zostać wykorzystana na przykład przez zagroŝenie kradzieŝą) Niedostateczne szkolenia w zakresie bezpieczeństwa (moŝe zostać wykorzystana na przykład przez zagroŝenie błędem personelu obsługującego) Brak świadomości bezpieczeństwa (moŝe zostać wykorzystana na przykład przez zagroŝenie błędami uŝytkowników) Niewłaściwe uŝycie oprogramowania i sprzętu (moŝe zostać wykorzystana na przykład przez zagroŝenie błędem personelu obsługującego) Brak mechanizmów monitorowania (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem oprogramowania w nieuprawniony sposób) Brak polityk właściwego uŝycia środków łączności i komunikowania się (moŝe zostać wykorzystana na przykład przez zagroŝenie uŝyciem instalacji sieciowych w nieuprawniony sposób) Niewłaściwe procedury zatrudniania (moŝe zostać wykorzystana na przykład przez zagroŝenie umyślną szkodą) 7. Podatności mające zastosowanie ogólne Pojedynczy punkt uszkodzenia (moŝe zostać wykorzystana na przykład przez zagroŝenie awarią usług łączności) Niewłaściwa reakcja serwisu dokonującego konserwacji (moŝe zostać wykorzystana na przykład przez zagroŝenie awarią sprzętu) 21/23

22 Plan postępowania z ryzykiem Załącznik 3 W celu obniŝenia ryzyk w/w aktywów opracowano plan postępowania z ryzykiem: Ryzyko Dział lub proces Dotyczy zagroŝenia Opis postępowania Pracownicy ZBSSiTLL... (Istruktorzy / wykładowcy) Dokumentacja OBOLLiMP... Osoba odpowiedzialna za realizację Planowane koszty realizacji Stan na dzień... r. Planowana data realizacji Data realizacji Skuteczność (T/N) /23

23 Wykaz zmian Lp. Data zmiany Nr strony Krótki opis zmiany Wprowadził Zmiany w wydaniu 3.2 Dostosowano opis obszarów do aktualnej struktury WIML OBOLLiMP, AeMC WIML, CS, Laboratorium Kliniczne, ZBSSiTLL Zmodyfikowano wykaz obszarów podlegających analizie ryzyka Zmiany w wydaniu 4.0 M. Dereń M. Dereń /23