Analiza Ryzyka - wytyczne ISO/IEC TR 13335

Transkrypt

1 Analiza Ryzyka - wytyczne ISO/IEC TR Andrzej Zoła 21 listopada 2003 Spis treści 1 Czym jest ISO/IEC TR Zarzadzanie bezpieczeństwem systemów informatycznych 2 3 Zarządzanie ryzykiem 3 4 Strategie analizy ryzyka Podejście podstawowego poziomu Podejście nieformalne Szczegółowa analiza ryzyka Podejście mieszane Podejście mieszane Ogólna analiza ryzyka Podejście podstawowego poziomu zabezpieczeń Szczegółowa analiza ryzyka Ustalenie zakresu przegladu Identyfikacja zasobów Wycena zasobów i ustalenie zależności pomiędzy nimi Oszacowanie zagrożeń Oszacowanie podatności Identyfikacja istniejących i planowanych zabezpieczeń Oszacowanie ryzyka

2 1 Czym jest ISO/IEC TR ISO, czyli Międzynarodowa Organizacja Normalizacyjna (International Standard Organization) oraz IEC, czyli Międzynarodowa Komisja Elektrotechniczna (International Electrotechnical Commission). Tworzą wyspecjalizowany system normalizacji. Jednakże oprócz norm w niektórych przypadkach wydaj tzw. raporty techniczne. Dzije sie tak np. wówczas, gdy dana dziedzina jest w fazie rozwoju i wytyczne jej dotyczące mogą się często zmieniać. Raport taki może być po pewnym czasie przekształcony na normę. Takim właśnie raportem jest ISO/IEC TR Technika informacyjna - Wytyczne do zarządzania bezpieczeństwem systemów informatycznych ( Information technology - Guidelines for the management if IT security ) 1. 2 Zarzadzanie bezpieczeństwem systemów informatycznych Każdy system informatyczny zawiera zasoby, które muszą być chronione przed zagrożeniami (pochodzącymi z wewnątrz i z zewnątrz). Schematycznie przedstawia to rysunek 2. Rysunek 1: Zasoby i zagrozenia Wszystkie zasoby posiadają pewne podatności, czyli słabosci, które mogą 1 W polsce raport ten posiada status normy. Jest to norma PN-I

3 byc wykorzystane przez zagrożenie. Prawdopodobieństwo takiego niepożądanego wykorzystania podatności nazywamy ryzykiem. Aby zmniejszyć ryzyko stosuje się zabezpieczenia, czyli praktyki, procedury lub mechanizmy redukujące ryzyko. Jednak żadne zabezpieczenie nie jest całkowicie skuteczne, dlatego nawet po wprowadzeniu zabezpieczeń zawsze pozostaje ryzyko szczątkowe. Niektóre podatności nie mają znanych zagrożeń, które by je wykorzystywały i nie muszą (choć oczywiście mogą) być chronione zabezpieczeniami. Także nie wszystkie podatności, które są zagrożone muszą być chronione. Całościowy i ciągły proces prowadzący do stworzenia i utrzymania bezpieczeństwa w instytucji jest nazywany zarządzaniem bezpieczenstwem. Składa się on z wielu podprocesów, wśród których jest zarządzanie ryzykiem. Kluczowym elementem tego ostatniego jest natomiast analiza ryzyka. Podział ten obrazyje rysunek 2. Rysunek 2: Zarządzanie bezpieczeństwem 3 Zarządzanie ryzykiem Zarządzanie ryzykiem (risk management) to całkowity proces identyfikacji, kontrolowania i eliminacji lub minimalizowania prawdopodobieństwa zaistnienia niepewnych zdarzeń, które mogą mieć wpływ na zasoby systemu informatycznego. Natomiast analiza ryzyka (risk analysis) to proces identyfikacji 3

4 ryzyka, określania jego wielkości i identyfikowania obszarów wymagających zabezpieczeń. Związki zachodzace w zarządzaniu ryzykiem obrazuje rysunek 3. Rysunek 3: Związki w zarządzaniu ryzykiem 4 Strategie analizy ryzyka Zanim w instytucji przeprowadzi się analizę ryzyka należy obrać właściwą strategie tej analizy. Istnieją cztery warianty takich strategii. Wybierając jeden z nich należy kierowac się z jednej strony wielkością nastepstw potencjalnych incydentów bezpieczenstwa w poszczególnych systemach, z drugiej strony natomiast należy wziać pod uwagę koszty i czas niezbędny dla przeprowadzenia analizy według poszczególnych wariantów. Poza możliwością niepodejmowania żadnych działań w celu zapewnienia bezpieczeństwa istnieją następujace podejścia do analizy ryzyka: 1., 2. Podejście nieformalne, 3. Szczegółowa analiza ryzyka, 4. Podejście mieszane. Omówimy teraz po kolei te warianty, ich zalety i wady oraz wskażemy wariamt preferowany (według ISO/IEC TR 13335). 4

5 4.1 Podejście podstawowego poziomu Polega ono na zastosowaniu standardowych zabezpieczeń we wszystkich systemach informatycznych bez względu na zagrożenia i na znaczenie poszczególnych systemów dla instytucji. Takie podejście ma następujące zalety: do analizy ryzyka i wdrożenia zabezpieczeń wymagane sa tylko minimalne zasoby, przez co podejście to pochłania mniej czasu i wysiłku, standardowe zabezpieczenia mozna przenosić z innych, podobnych systemów co wydatnie zmniejsza koszty zabezpieczeń. Natomiast wady tego wariantu to: ustalenie standardowego poziomu zbyt wysoko prowadzi do nadmiaru zabezpieczeń, który wiąże się z utrudniniami i wysokimi kosztami, jeśli poziom ten bedzie zbyt niski, wówczas niektóre newralgiczne systemy mogą być zbyt słabo zabezpieczone, moga wystąpic trudności w zarządzaiu zmianami związanymi z bezpieczeństwem. Strategia ta może być wybrana w instytucji, gdzie wszystkie systemy mają podobny poziom wymagań bezpieczeństwa. Jednak jeśli istnieją systemy o różnym znaczeniu wielkości i stopniu skomplikowania nie jest ona zalecana. 4.2 Podejście nieformalne Wariant ten nie opiera się na metodach strukturalnych, ale wykorzystuje wiedzę i doświadczenie ekspertów. Jego zaletą jest to, że: zwykle nie wymaga angażowania wielu zasobów ani czasu, analizę te wykonuje się szybciej niż szczegółową analize ryzyka, Ma on jednak szereg wad: bez formalnego podejścia istnieje prawdopodobieństwo pominiecia istotnych szczegółów, trudno uzasadnic wdrożenie konkretnych zabezpieczeń i związane z nimi wydatki, osoby z niewielkim doświadczeniem mogą nie podołac temu zadaniu, taka analiza jest subiektywna, moga na nia wpłynąc pewne szczególne uprzedzenia osoby ją przeprowadzającej, 5

6 jeśli osoba przeprowadzająca analize odejdzie z instytucji moga powstać problemy z utrzymaniem bezpieczeństwa. Podejście to może byc skuteczne tylko w małych instytucjach. 4.3 Szczegółowa analiza ryzyka Strategia ta wymaga dogłębnej identyfikacji i wyceny zasobów, oszacowania zagrożeń i podatności. Wyniki tych działań stanowią podstawę do oszacowania ryzyka i wyboru zabezpieczeń. Ten wariant ma następujące zalety: jest prawdopodobne, że dla wszystkich systemów wybrane zostaną właściwe zabezpieczenia, wyniki tej analizy ułatwią późniejsze zarządzanie zmianami. Głównąwadą tej opcji jest fakt, że wymaga ona dużo czasu, wysiłków i środków oraz wiedzy eksperckiej. Zastosowanie tej techniki we wszystkich systemach nie jest więc zalecane. 4.4 Podejście mieszane Polega ono na przeprowadzeniu wstępnej analizy ryzyka wysokiego poziomu w celu stwierdzenia, które systemy wymagają dalszej szczegółowej analizy ryzyka, a w których wystarczy podejście podstawowego poziomu. Jest to więc kombinacja podejścia 1 i 3. Główną zaletą tego podejścia jest zapewnienie równowagoi pomiędzy nakładami finansowymi i czasem poświęconym na analizę a zapewnieniem, że wszystkie systemy będą właściwie chronione. Pozostałe zalety to: wprowadzenie szybkiego podejścia na poczatku może ułatwić uzyskanie akceptacji dla programu analizy ryzyka, wariant ten będzie pomocny przy planowaniu, dzieki możliwości szybkiego uzyskania całoścowego obrazu, zasoby i srodki pieniężne moga być przeznaczone tam, gzie przyniosą największe korzyści, systemy, które najbardziej potrzebują ochrony otrzymają ją w pierwszej kolejnosci, czynności związane z utrzymaniem bezpieczenstwa będą mogły być przeprowadzone w optymalny sposób. Potencjalna wadą tej metody jest fakt, że: 6

7 ponieważ wstępna analiza mało dokładna niektóre systemy wymagające szczegółowej analizy ryzyka mogą nie zostać od razu zidentyfikowane. Jednakże zostaną one i tak objęte podstawowymi zabezpieczeniami. Jest to sposób podejścia zalecany przez autorów raportu. 5 Podejście mieszane 5.1 Ogólna analiza ryzyka Przeprowadzając ogólną analizę ryzyka wysokiego poziomu należy wziąć pod uwagę następujące aspekty: cele biznesowe, które mają być osiągnięte przez uzywanie systemu informatycznego, stopień zależności instytucji od tego systemu, tj. czy funkcje, które insty tucja uważa za krytyczne wymagaja prawidłowego działania tego systemu, poziom inwesrycji w ten system w kategoriach jego rozwoju, utrzymania lub wymiany, zasoby systemu, którym instytucja przypisuje wartość. Po rozważeniu tych zagadnień podjęcie decyzji co do sposobu dalszej analizy w wiekszości przypadków będzie sprawa prostą. Ogólna zasada jest taka: jeśli brak danego systemu lub jego nieprawidłowe działanie może spowodować poważną szkodę dla instytucji wówczas system ten wymaga szczegółowej analizy ryzyka; w pozostałych przypadkach wystarczy podejście podstawowego poziomu zabezpieczeń. 5.2 Podejście podstawowego poziomu zabezpieczeń Odpowiednią ochronę na podstawowym poziomie zabezpieczeń można uzyskać używając katalogów zabezpieczeń. Nie jest konieczne szacowanie podatności, zagrożeń i ryzyka. Należy jedynie wybrać z katalogu zabezpieczen te części, które dotyczą danego typu systemu i zainstalowac te zabezpieczenia, których jeszcze w systemie nie ma, a moga być zainstalowane. Katalogi zabezpieczeń podstawowego poziomu można otrzymać: od międzinarodowych i krajowych instytucji normalizacyjnych, z norm i zaleceń branżowych, z innych firm, najlepiej o opdobnych celach biznesowych i wielkości. 7

8 Oczywiście instytucja może też stworzyć swój własny katalog zabezpieczeń podstawowego poziomu, odpowiedni dla jej srodowiska i celów biznesowych. 5.3 Szczegółowa analiza ryzyka Szczegółowa analiza ryzyka dla systemu obejmuje zidentyfikowanie związanych z nim rodzajów ryzyka i ozacowanie ich rozmiaru. Wymaga ona dokonania szczegółowej analizy na kazdym z etapów przedstawionych na rysunku 4. Rysunek 4: Szczegółowa analiza ryzyka Kolejne etapy szczegółowej analizy ryzyka przedstawione są w kolejnych podrozdziałach. 8

9 5.3.1 Ustalenie zakresu przegladu Zakres przeglądu powinien definiować, które elementy mają być wzięte pod uwagę przy analizie ryzyka. Do takich elementów moga się elementy z następujących grup: zasoby informatyczne, osoby, środowiska (budynki, instalacje), działania (czynnosci) Identyfikacja zasobów Na tym etapie należy zidentyfikowac wszystkie zasoby w ustalonym zakresie. Należy przy tym pamiętać, że zasoby to nie tylko sprzęt i oprogramowanie. Można do nich zaliczyć także na przykład: informacje, oprogramowanie układowe (pamięci RM, EEPROM, FLASH etc.) dokumenty, środki pienieżne, wyprodukowane towary, usługi, wyposażenie środowiska, personel, wizerunek instytucji Wycena zasobów i ustalenie zależności pomiędzy nimi Dla wszystkich zidentyfikowanych zasobów należy ocenić wysokość ewentualnych strat, jakie instytucja mogłaby ponieść w przypadku zniszczenia, modyfikacji, niedostępności lub ujawnienia zasobów. Wycena ta nie zawsze musi (i nie zawsze może) wyrażać się w jednostkach finansowych. Często odpowiedniejsze będzie zastosowanie pewnej skali, np. niskie - średnie - wysokie, lub bardziej szczegółowej. Należy wziąć pod uwagę zależności pomiędzy zasobami, tzn. to jak brak (uszkodzenie) jednych zasobów może wpłynąć na inne. Należy też rozpatrzyć potencjalne straty spowodowaneprzez: 9

10 naruszenie przepisów, pogorszenie wyników biznesowych, utratę reputacji, naruszenie poufności danych osobowych, narażenie bezpieczeństwa osobistego, negatywny wpływ na egzekwowanie prawa, naruszenie tajemnicy handlowej, naruszenie porządku publicznego, straty finansowe, zakłócenie działalności biznesowej, narażenie bezpieczeństwa środowiska Oszacowanie zagrożeń Do najczęstszych zagrożeń należą: błędy i pominięcia, oszustwo i kradzież, sabotaż ze strony pracownika, utrata wsparcia technicznego, złośliwe hakerstwo, złośliwe oprogramowanie (wirusy), szpiegostwo przemysłowe. Jednak analizując zagrożenia należy skorzystać ze znacznie obszerniejszych list i katalogów. Należy również wziąć pod uwagę rozwój zagrożeń i ich zmienność w czasie. Na tym etapie należy również ocenić prawdopodobieństwo wystąpienia poszczególnych zagrożeń. Należy przy tym wziać pod uwagę między innymi: częstotliwość występownia zagrożenia, motywację w przypadku zagrożeń umyślnych, czynniki geograficzne w przypadku zagrożeń przypadkowych. 10

11 5.3.5 Oszacowanie podatności Oszacowanie to ma na celu rozpoznanie słabości w systemie. Należy zwrócić uwagę, czy danej podatności odpowiada realne zagrożenie. Jeśli nie, zabezpieczenie jej nie jest konieczne, jednak należy stosować monitorowanie w celu upewnienia się, czy takie zagrożenie nie powstanie. Ważne jest by oszacować, jak łatwo jest wykorzystać daną podatność. Wynikiem końcowym tego etapu powinna być lista podatności wraz z oceną łatwości ich wykorzystania Identyfikacja istniejących i planowanych zabezpieczeń Należy rozpoznać i przeanalizować wszystkie istniejące i planowane zabezpieczenia w szczególności pod kątem ich współpracy z nowymi, zaproponowanymi w wyniku analizy ryzyka Oszacowanie ryzyka Ryzyko jest zależne od wartości zagrożonych ryzykiem zasobów, prawdopodobieństwa wystąpienia zagrożeń, łatwości wykorzystania podatniości oraz istniejących i planowanych zabezpieczeń mogących to ryzyko zredukowac. 11