Zarządzanie ryzykiem w bezpieczeostwie IT GIGACON 2011 Marek Abramczyk CISA, CRISC, CISSP, LA ISO27001 Warszawa, 29.11.2011 ABIWAY 1 /34
Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO 27005 - porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 2 /34
Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO 27005 - porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 3 /34
Informowanie o ryzyku Monitorowanie i przegląd ryzyka Proces zarządzania ryzykiem wg ISO 27005 Ustanowienie kontekstu SZACOWANIE RYZYKA ANALIZA RYZYKA Identyfikacja ryzyka Estymowanie ryzyka Ocena ryzyka Szacowanie satysfakcjonujące TAK NIE Postpowanie z ryzykiem Postępowanie satysfakcjonujące TAK Akceptowanie ryzyka ABIWAY 4 /34 NIE
Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO 27005 Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka TAK Postępowanie satysfakcjonujące T/N Postępowanie z ryzykiem T/N NIE NIE Wyznaczenie kontekstu Kryteria oceny ryzyka, skutków, akceptowania ryzyka Zakres i granice Organizacja zarządzania ryzykiem w bezpieczeostwie IT TAK Akceptowanie ryzyka Identyfikacja ryzyka ABIWAY 5 /34
Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO 27005 Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka TAK T/N NIE Postępowanie z ryzykiem Identyfikacja ryzyka Identyfikacja przyczyn i sposobu materializacji niepożądanych incydentów. Obejmuje identyfikowanie aktywów, zagrożeo, podatności i potencjalnych następstw zidentyfikowanych incydentów. Estymacja ryzyka Estymacja prawdopodobieostwa incydentu oraz jego skutków. Analiza ta odbywa się w kontekście istniejących zabezpieczeo oraz Postępowanie satysfakcjonujące TAK T/N NIE Ocena ryzyka Porównanie wyznaczonych poziomów ryzyka z ustalonymi kryteriami i nadanie priorytetów ryzykom. Akceptowanie ryzyka ABIWAY 6 /34
Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO 27005 Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka TAK Postępowanie satysfakcjonujące T/N Postępowanie z ryzykiem T/N NIE NIE Postępowanie z ryzykiem Opracowanie i wdrożenie planu zarządzania ryzykiem z uwzględnieniem kryteriów oceny ryzyka. TAK Akceptowanie ryzyka ABIWAY 7 /34
Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO 27005 Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka TAK Postępowanie satysfakcjonujące T/N Postępowanie z ryzykiem T/N NIE NIE Akceptowanie ryzyka Ryzyka pozostałe po procesie postępowania z ryzykiem i opracowaniu planu postępowania z ryzykiem, określane jako ryzyka szczątkowe, są akceptowane. Formalny charakter!!! TAK Akceptowanie ryzyka ABIWAY 8 /34
Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO 27005 Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka TAK Postępowanie satysfakcjonujące T/N Postępowanie z ryzykiem T/N NIE NIE Informowanie o ryzyku Wymiana lub dystrybucja informacji o ryzyku do uczestników procesu zarządzania ryzykiem na każdym etapie procesu zarządzania ryzykiem. TAK Akceptowanie ryzyka ABIWAY 9 /34
Informowanie o ryzyku Monitorowanie oraz przegląd ryzyka Proces zarządzania ryzykiem wg ISO 27005 Ustanowienie kontekstu Szacowanie satysfakcjonujące Szacowanie ryzyka T/N NIE Monitorowanie i przegląd czynników ryzyka Monitorowanie i przegląd elementów ryzyka i ich czynników TAK Postępowanie satysfakcjonujące Postępowanie z ryzykiem T/N NIE Monitorowanie, przegląd i doskonalenie zarządzania ryzykiem Ciągłe monitorowanie, przeglądanie oraz dostosowywanie do potrzeb TAK Akceptowanie ryzyka ABIWAY 10 /34
Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO 27005 - porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 11 /34
Informowanie o ryzyku Monitorowanie i przegląd ryzyka Porównanie ISO27005 z ISO 31000 Ustanowienie kontekstu Ustanowienie kontekstu SZACOWANIE RYZYKA ANALIZA RYZYKA Szacowanie satysfakcjonujące Postępowanie satysfakcjonujące Identyfikacja ryzyka Estymowanie ryzyka Ocena ryzyka TAK Postpowanie z ryzykiem TAK NIE NIE Akceptowanie ryzyka Szacowanie ryzyka ABIWAY 12 /34 Komunikacja i konsultacje Identyfikacja ryzyka Analiza ryzyka Ocena ryzyka Postępowanie z ryzykiem Monitorowanie i przegląd
Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO 27005 - porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 13 /34
Monitorowanie, komunikacja i przegląd ryzyka Organizacja procesu zarządzania ryzykiem Kierownictwo Ustanawianie kontekstu Identyfikacja ryzyka Zespół ds. ryzyka: - wiodący w procesach - właściciele aktywów Koordynator Zespołu ds. ryzyka Analiza ryzyka Pracownicy, Audytorzy Ocena ryzyka Postępowanie z ryzykiem Właściciel ryzyka ABIWAY 14 /34
Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO 27005 - porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 15 /34
Poziom szczegółowości inwentaryzacji aktywów TOP Aktywa podstawowe AKTYWA WSPIERAJĄCE Wydział IT Zespół 1 Zespół 2 Zespół 3 Procesy zarządzania usługami IT Dostawcy zewnętrzni Dostawca 1 Dostawca 2 Infrastruktura IT AP OS NET Rooms DOWN ABIWAY 16 /34
Poziom szczegółowości inwentaryzacji aktywów Identyfikacja aktywów na poziomie szczegółowości zapewniający wystarczające informacje na potrzeby szacowania ryzyka. Im szczegółowszy wykaz aktywów tym precyzyjniejsza i łatwiejsza estymacja ryzyka. W praktyce do opisania aktywów organizacji na potrzeby szacowania ryzyka wystarczy czteropoziomowy, hierarchiczny model opisu. Podstawowy wykaz aktywów dla przeciętnej organizacji, wykonany na niskim poziome szczegółowości obejmuje kilkaset pozycji. Z każdą kolejną iteracją procesu zarządzania ryzykiem szczegółowośd inwentaryzacji powinna postępowad i wchodzid na wyższy poziom szczegółowości. ABIWAY 17 /34
Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO 27005 - porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 18 /34
Relacja pomiędzy aktywami wartośd wartośd Relacja jej charakter powinien byd zdefiniowany. K wartośd Charakter relacji jest podstawą do określania wpływu. Relacja powinna byd opisana wartością. Lokalizacje K Sprzęt K Wspierające W Podstawowe P Informacje Wartośd może byd wyrażona ilościowo lub jakościowo. Wartośd może byd wyrażona ilościowo lub jakościowo. Oprogramowanie K Personel Procesy Usługi K Struktura organizacyjna ABIWAY 19 /34
Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO 27005 - porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 20 /34
Model zależności pomiędzy elementami bezpieczeostwa Środowisko Z Z - zagrożenie P - podatnośd ZB - zabezpieczenie R - ryzyko RS - ryzyko Z Z Z Z Z ABIWAY 21 /34
Model zależności pomiędzy elementami bezpieczeostwa Zagrożenia wykorzystują Podatności chronią przed zwiększają zwiększają narażają Zabezpieczenia minimalizują Ryzyko Aktywa realizowane przez analiza wskazuje zwiększa posiadają Wymagania (w zakresie ochrony) Wartośd ABIWAY 22 /34
Scenariusz ryzyka wg Risk IT Typ zagrożenia: Złośliwe działanie Wypadek Błąd Awaria Siła natury Zewnętrzne wymagania Zdarzenie Ujawnienie tajemnicy Przerwa w działaniu Modyfikacja Kradzież Zniszczenie Złe zaprojektowanie Zasady i regulacje Niewłaściwe użycie Aktywa/zasoby Ludzie i organizacja Procesy Infrastruktura Infrastruktura IT Informacje Aplikacje Czynnik sprawczy: Wewnętrzny (pracownik, współpracownik) Zewnętrzny (partner biznesowy, konkurent) Scenariusz ryzyka Czas Okres trwania Czas wystąpienia Czas wykrycia ABIWAY 23 /34
Przykładowy scenariusz bezpieczeostwa IT Zalecany zestaw informacji składających się na scenariusz ryzyka w bezpieczeostwie IT: Incydenty Zabezpieczenia Audyt Mierniki efektywnośd zabezpieczeo Opis zagrożenia Opis podatności Wskazanie aktywu Scenariusz ryzyka Atrybut bezpieczeostwa który zostanie naruszony (poufnośd / integralnośd / dostępnośd) Wartośd aktywu Opis konsekwencji (szkody i straty biznesowe) Identyfikacja strat ABIWAY 24 /34
Agenda 1 2 3 4 5 6 7 Omówienie procesu zarządzania ryzykiem ISO27005 Proces zarządzania ryzykiem wg ISO31000 i ISO 27005 - porównanie Przykładowa organizacja procesu zarządzania ryzykiem Poziom szczegółowości inwentaryzacji aktywów Oddziaływanie między aktywami Identyfikacja ryzyka - budowa scenariusza ryzyka Metoda ilościowego pomiaru wartości ryzyka ABIWAY 25 /34
Ilościowy pomiar wartości ryzyka Ilościowa metoda pomiaru ryzyka obejmuje: Zinwentaryzowania aktywów Opracowanie listy zagrożeo dotyczący aktywów Budowę scenariuszy ryzyka Wyliczenia: SLE, ARO, ALE Aktywa Zagrożenie Wartośd aktywu ARO : Roczna częstotliwośd występowania ABIWAY 26 /34
Pojedyncza oczekiwana strata ang. Single Lose Expectancy SLE = AV($) x EF (%) SLE - Pojedyncza oczekiwana strata na skutek wystąpienia konkretnego, pojedynczego zdarzenia AV[PLN] wartość aktywu EF [%] - współczynnik narażenia liczony jako procent wartości aktywów. Typy strat do rozważenia: 1. fizyczne zniszczenia, 2. kradzież zasobów, 3. utrata danych, 4. kradzież informacji, 5. pośrednie kradzieże aktywów, 6. opóźnienia w procesach. ZAŁOŻENIA Jeżeli strata jest ograniczona do jednego typu, można określid wpływ na aktywa poprzez procentowe szacowanie utraty wartości zasobu. Jeżeli typ straty nie jest znany wartośd współczynnika narażenia EF równa się 100% ABIWAY 27 /34
Roczna częstotliwośd występowania ang. Annual Rate of Occurrance ARO Prawdopodobieostwo występowania niechcianych zdarzeo Liczba ekspozycji lub incydentów, których można się spodziewad w danym roku Wszystkie zidentyfikowane zagrożenia należy opisad współczynnikiem ARO Współczynnik wyrażany liczbą ekspozycji lub incydentów w danym roku, które prawdopodobnie wystąpią w danym roku Współczynnik trudny do oszacowania. Określa się go wykorzystując: I. analizę historyczną, II. analizę aktualnie prowadzonych zmian lub przyszłych zmian w środowisku. Współczynnik ten często jest szacowany jako pojedyncze wystąpienia zdarzenia na przestrzeni wielu lat, dając w wyniku wartośd ułamkową. Jeśli szacuje się wystąpienie zdarzenia raz na 50 lat, to nie oznacza, że wystąpi ono dopiero za 50 lat. Zdarzenie równie dobrze może wystąpid jutro. ABIWAY 28 /34
Roczna oczekiwana strat ang. Annual Lose Expectancy ALE Wyraża poziom ryzyka Współczynnik liczony dla pojedynczego ryzyka Przybliża roczny finansowy wpływ (stratę) wywołany danym ryzykiem ALE = SLE x ARO ABIWAY 29 /34
Ilościowy pomiar wartości ryzyka Przykład wykorzystania metody w oparciu o SLE, ARO, ALE Aktywa: OS systemu DBX-Ring Zagrożenie: Uszkodzenie OS w wyniku działania wirusa Wartośd aktywu: wartośd aktywów mierzona utratą przychodu z powodu braku dostępu do systemu centralnego DBXRing przez pracowników ARO : 1 wystąpienie zdarzenia w ciągu ostatnich 2 lat ARO = 0,5 ABIWAY 30 /34
Roczna oczekiwana strata SLE = (liczba pracowników) x (średni zysk na godzinę w przeliczeniu na pracownika) x (czas utraty dostępu) Liczba użytkowników = 200 50 PLN/1h średni zysk z pracownika (użytkownika) na godzinę SLE = 200 x 50 x 3= = 30000 PLN Czas utraty dostępu 3 h ABIWAY 31 /34
Roczna oczekiwana strata Wyliczenie wartości rocznej oczekiwanej straty ALE = ARO x SLE = 0,5 x 30000 = 15 000 PLN/rok Postępowanie z ryzykiem: minimalizacja ryzyka Koszt oprogramowania, które minimalizuje ryzyko wynosi 10 000 PLN rocznie. Oznacza to, że organizacja inwestując 10 000 PLN w oprogramowanie zaoszczędzi 5000 PLN rocznie. ABIWAY 32 /34
Biografia Temat: Wartośd aktywów w analizie ryzyka ciągłości działania usług IT ISO/IEC 27001:2005 ISO/IEC 27005:2008 ISO/IEC TR 13335-1:1996 (ISC)2 CISSP CBK ISACA ABIWAY 33 /34
Dziękuję za uwagę Marek Abramczyk Dyrektor Zarządzający marek.abramczyk@abiway.pl 0503 907 376 ABIWAY www.abiway.pl ABIWAY 34 /34