Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

Transkrypt

1 Strona1 Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji Spis treści I Wstęp... 2 II. W jakim celu określa się wartośd aktywów?... 2 III. Wartościowanie aktywów... 3 IV. Powiązanie istotności informacji z zasobami... 4 V. Przykładowy algorytm postępowania w procesie wartościowaniu aktywów wspierających... 5 VI. Podsumowanie... 6 Biografia... 6

2 Strona2 I Wstęp Organizacje tworzone są przez grupy ludzi, pełniących określone role, z przypisanymi odpowiedzialnościami. Ludzie tworząc wzajemne związki realizują zadania. Zadania te składają się na proces organizacyjny, który aby zachodził potrzebuje aktywów informacji. Ludzie, wykorzystując aktywa wspierające (często wykorzystywanym synonimem jest określenie zasoby ), przetwarzają informacje i realizują zdania w ramach konkretnego procesu. W ten sposób wiele niezależnych oraz zależnych (najczęściej) od siebie procesów generuje wyniki, które składają się na wytwarzany produkt lub dostarczaną przez organizację usługę. Procesy i informacje zalicza się do aktywów głównych. Ludzi, środki przetwarzania informacji oraz inne zasoby istotne z punktu widzenia przetwarzania informacji (np. budynki) zalicza się do aktywów wspierających. Na rysunku nr 1 zobrazowano wzajemne związki pomiędzy poszczególnymi elementami składającymi się na określoną organizację, realizującą wyznaczone cele biznesowe. Rys. 1. Wzajemne relacje pomiędzy elementami składającymi się na organizację II. W jakim celu określa się wartość aktywów? Wartośd aktywów jest jednym z podstawowych parametrów branym pod uwagę w procesie analizy ryzyka. Bez względu na kontekst wykonywania analizy ryzyka (kontekst bezpieczeostw informacji, kontekst ciągłości działania organizacji) szacując ryzyko należy określid wartośd wykorzystywanych w procesach aktywów (zasobów) i zdefiniowad sposób ich wartościowania. Wartośd zidentyfikowanego ryzyka jest proporcjonalna do wartości zasobu, z którym to ryzyko jest związane [1] tzn. im bardziej wartościowy jest dany zasób, tym większe może byd prawdopodobieostwo materializacji danego scenariusza (np. z punktu widzenia potencjalnych korzyści

3 Strona3 prawdopodobieostwo ataku hakera na bazę danych zawierającą numery kart kredytowych jest większe niż na bazę danych zawierającą informacje o pracownikach danej organizacji) lub/oraz tym większe skutki mogą zaistnied w wyniku materializacji scenariusza (np. utrata poufności numerów kart kredytowych może doprowadzid do wielomilionowych strat dla banku, na które mogą składad się np. kary, odpływ klientów). Określenie wartości aktywów jest więc istotne z punktu widzenia szacowanych skutków materializacji danego ryzyka. III. Wartościowanie aktywów Wartościowanie aktywów nie jest sprawą prostą, szczególnie w obliczu różnorodności aktywów [2], które wchodzą w zakres systemu zarządzania bezpieczeostwem informacji. Wyróżnia się różne grupy aktywów podlegających inwentaryzacji [2]. Do aktywów głównych zalicza się procesy organizacyjne oraz informacje. Do aktywów wspierających można zaliczyd takie grupy aktywów jak: sprzęt, oprogramowanie, sied, personel, siedziba, usługi świadczone na rzecz organizacji, struktury organizacyjne. Określając wartośd aktywów można brad pod uwagę wiele różnych składowych. Najważniejsze z nich to: rodzaj informacji przetwarzanych przez aktywa, znaczenie aktywów w kontekście realizacji procesów, wartośd odtworzenia aktywów (wartośd zakupu), wartośd dostarczenia aktywów zastępczych. Do większości środków przetwarzania informacji można przypisad wartośd finansową - wiadomo ile kosztuje dany zasób lub jakie nakłady należy ponieśd, aby go zastąpid. Jednak nie wszystkie aktywa mogą zostad zwartościowane w tak oczywisty sposób. Dla przykładu sposób nadania wartości aktywom będącym pochodną ustanowienia w organizacji określonych struktur organizacyjnych (np. rola administratora bezpieczeostwa informacji) nie jest już taki oczywisty w każdym przypadku. Wartościując aktywa można posłużyd się metodami ilościowymi oraz jakościowymi. W praktyce wykorzystuje się metody mieszane, w których poszczególne wartości cząstkowe składają się na wypadkową wartośd zasobu. Wartośd aktywów może też byd określana poprzez skutki, które zaistnieją w wyniku materializacji danego scenariusza ryzyka dotyczącego określonego zasobu. W takim przypadku może się okazad, że utrata poufności określonej informacji ( zasób niematerialny ) przewyższy w konsekwencji fizyczną utratę zasobów np. naruszenie poufności kluczowej informacji (opracowana innowacyjna technologia) spowoduje utratę potencjalnych korzyści wyrażoną w setkach milionów złotych, podczas

4 Strona4 gdy fizyczne zniszczenie Centrum Przetwarzania Danych i czasowa niedostępnośd określonych aplikacji biznesowych (utrata dostępności informacji) przełoży się na mniejszą, kilkunastomilionową stratę, na którą złożą się koszty związane z odtworzeniem infrastruktury sprzętowej oraz straty wynikające z czasowego zatrzymania produkcji bądź nieświadczenia usługi. Na pierwszy rzut oka drugi przypadek wydawałby się o wiele gorszy w skutkach, gdyż tracone są aktualnie posiadane aktywa, a nie potencjalnie utracone korzyści. Mając na uwadze powyższe, z punktu widzenia poszczególnych atrybutów bezpieczeostwa informacji (poufnośd/integralnośd/dostępnośd) nadawanie wartości temu samemu zasobowi może byd odmienne. Inaczej będziemy wartościowad zasób rozważając zagrożenie doprowadzające do utraty poufności informacji na nim przetwarzanych (w tym przypadku znaczenie będzie miała istotnośd informacji, której poufnośd zostaje naruszona), a inaczej zwartościujemy ten sam zasób rozważając zagrożenie doprowadzające do utraty dostępności informacji w wyniku np. zniszczenia serwera i braku dostępu do krytycznej aplikacji biznesowej (w tym przypadku należałoby rozważyd nie tylko istotnośd informacji, ale również wartośd odtworzenia/zastąpienia serwera). Podsumowując - analiza wartości aktywów poprzez szacowanie skutków może odbywad się w obrębie konkretnego scenariusza ryzyka. IV. Powiązanie istotności informacji z zasobami Ponieważ analiza ryzyka w bezpieczeostwie informacji wykonywana jest w obrębie zinwentaryzowanych aktywów, należy zidentyfikowad w których aktywach wspierających przetwarzane są określone informacje (aktywa główne) oraz jaki ostatecznie wpływ ma dany zasób na proces organizacyjny, a tym samym na realizację celów biznesowych organizacji. W celu powiązania istotności informacji oraz zasobów można zastosowad następujące podejście opisane poniżej. Procesy jako aktywa główne do funkcjonowania potrzebują informacji (również aktywa główne) oraz szeregu aktywów wspierających (zasobów). Informacje przetwarzane są przez zasoby (lub inaczej w zasobach ). Zarówno informacje jak i zasoby wspierają realizację procesów. Na rysunku nr 2 zobrazowano kierunek przenikania istotności informacyjnej pomiędzy aktywami. Funkcjonowanie procesów organizacyjnych niezbędnych do wytworzenia produktów lub dostarczania określonych usług dla klientów zależy od zasobów. Pojedyncze zasoby mogą wspierad pojedyncze procesy lub całe grupy procesów. W związku z tym wartośd danego zasobu zależy od liczby procesów, które są przez niego wspierane. Oprócz samej liczby wspieranych przez zasób procesów należy uwzględnid również krytycznośd wspieranych procesów. Dane o krytyczności procesów można uzyskad wykonując analizę wpływu na biznes (ang. Business Impact Analisys). Ostatecznie na wartośd danego zasobu wpływają istotnośd informacji przetwarzanych przez dany zasób oraz liczba i istotnośd poszczególnych procesów przez ten zasób wspieranych.

5 Strona5 Rys.2. Zobrazowanie przenikania wartości pomiędzy aktywami V. Przykładowy algorytm postępowania w procesie wartościowaniu aktywów wspierających Organizacje, które chcą określid wartośd swoich aktywów mogą zastosowad poniższy algorytm działania (zobrazowany dodatkowo na rysunku nr 3): a) zdefiniowad i opisad procesy organizacyjne (aktywa główne), b) zidentyfikowad i sklasyfikowad informacje (aktywa główne), c) zidentyfikowad i zinwentaryzowad aktywa wspierające (zasoby), d) wskazad, które procesy i w jakim stopniu zależą od zasobu, e) wskazad które informacje są przetwarzane przez zasoby, f) wyliczyd wartośd (znaczenie) zasobu, g) przeprowadzid analizę ryzyka w odniesieniu do zasobów.

6 Strona6 Rys. 3. Przykładowy algorytm wyliczenia wartości zasobów na potrzeby analizy ryzyka VI. Podsumowanie Wartościując zasoby na potrzeby analizy ryzyka bezpieczeostwa informacji można stosowad różne podejścia. Ważne jest, aby pracownicy poszczególnych organizacji opracowali i stworzyli taką metodę postępowania w tym procesie, która: jest zrozumiała dla przedstawicieli organizacji, jest dostosowana do aktualnego poziomu dojrzałości systemu ochrony informacji funkcjonującego w organizacji, uwzględnia istotnośd informacji oraz znaczenie zasobów w kontekście funkcjonowania procesów, jest możliwa do zastosowania w praktyce tzn. organizacja jest w stanie zebrad i przetworzyd potrzebne dane niezbędne do wyliczenia wartości zasobów. Biografia 1 - Pr PN - I Technika informatyczna. Wytyczne do zarządzania bezpieczeostwem systemów informatycznych. Pojęcia i modele bezpieczeostwa systemów informatycznych 2 ISO/IEC 27005:2008 Technika informatyczna. Techniki bezpieczeostwa. Zarządzanie ryzykiem w bezpieczeostwie informacji Autor: Marek Abramczyk, CISA, CRISC, CISSP, LA ISO Poznao