Nowe podejścia w zarządzaniu ryzykiem dla systemów informacyjnych organizacji



Podobne dokumenty
Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Maciej Byczkowski ENSI 2017 ENSI 2017

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Imed El Fray Włodzimierz Chocianowicz

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Zarządzanie ryzykiem w bezpieczeństwie informacji

Koncepcja zastosowania metody CBR oraz algorytmów genetycznych w systemie obsługującym windykację ubezpieczeniową

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

Bezpieczeństwo dziś i jutro Security InsideOut

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

AUDYT BEZPIECZEŃSTWA INFORMACJI Podstawy

Kompleksowe Przygotowanie do Egzaminu CISMP

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Strategia i Polityka Bezpieczeństwa Systemów Informatycznych. Wykład. Aleksander Poniewierski

Zarządzanie ryzykiem jako kluczowy element kontroli zarządczej 2 marca 2013 r.

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Maksymalny błąd oszacowania prędkości pojazdów uczestniczących w wypadkach drogowych wyznaczonej różnymi metodami

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Zdrowe podejście do informacji

BAKER TILLY POLAND CONSULTING

DZIAŁ ZARZĄDZANIA RYZYKIEM INFORMATYCZNYM. Analiza i zarządzanie ryzykiem systemów informatycznych. Wykład. Mirosław Ryba

Grzegorz Pieniążek Hubert Szczepaniuk

WPŁYW OSZCZĘDNOŚCI W STRATACH ENERGII NA DOBÓR TRANSFORMATORÓW ROZDZIELCZYCH SN/nn

Zarządzenie Nr 24/2012 Rektora Uniwersytetu Wrocławskiego z dnia 28 marca 2012 r. w sprawie Polityki zarządzania ryzykiem

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

Ryzyko w Nowoczesnych Systemach Zarządzania

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

Radca Prawny Anna Matusiak-Wekiera. Kancelaria Radcy Prawnego Anna Matusiak-Wekiera

Cel warsztatu: Wypracowanie metod oceny zwrotu z inwestycji i sprzedaży w mediach społecznościowych i technologiach mobilnych

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

Przedszkole Nr 30 - Śródmieście

Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie / Andrzej Białas. Wyd. 2, 1 dodr. Warszawa, Spis treści

Zarządzanie relacjami z dostawcami

Krzysztof Świtała WPiA UKSW

Cechy charakterystyczne tworzenia oprogramowania w Inżynierii Biomedycznej. Wykładowca Dr inż. Zofia Kruczkiewicz

Zarządzanie ryzykiem w ochronie informacji niejawnych. KSIBIT Warszawa 22 lipca 2014 r.

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

Audyt procesu zarządzania bezpieczeństwem informacji. Prowadzący: Anna Słowińska audytor wewnętrzny

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Zarządzanie ryzykiem w projektach informatycznych. Marcin Krysiński marcin@krysinski.eu

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

POLITYKA ZARZĄDZANIA RYZYKIEM

Zarządzanie ryzykiem w rozwiązaniach prawnych. by Antoni Jeżowski, 2014

Analiza stateczności zbocza

Dwie oceny systemu bezpieczeństwa: ilościowa i jakościowa. Robert Kępczyński Senior Consultant

Regulamin organizacji i zasad funkcjonowania kontroli zarządczej w Powiatowym Urzędzie Pracy w Tarnobrzegu

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Zarządzenie Nr 60/2011/2012 Rektora Uniwersytetu Kazimierza Wielkiego z dnia 2 kwietnia 2012 r.

SKUTECZNOŚĆ ROZDZIELANIA MIESZANINY ZIARNIAKÓW ZBÓŻ I ORZESZKÓW GRYKI W TRYJERZE Z WGŁĘBIENIAMI KIESZONKOWYMI

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

COBIT 5 I I N N E S TA N D A R D Y. Sylwia Wystub, CISA, ABCP

Promotor: dr inż. Krzysztof Różanowski

PRELEGENT Przemek Frańczak Członek SIODO

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Zasady analizy ryzyka w Urzędzie Miasta Leszna

1) przetwarzanie danych osobowych zgodnie z podstawowymi zasadami określonymi w

Polityka zarządzania ryzykiem w Uniwersytecie Mikołaja Kopernika w Toruniu

SKZ System Kontroli Zarządczej

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Analiza Ryzyka - wytyczne ISO/IEC TR 13335

Szkoła Podstawowa nr 336 im. Janka Bytnara Rudego - Ursynów

Audyt systemów informatycznych w świetle standardów ISACA

SZCZEGÓŁOWY HARMONOGRAM KURSU

MSF. Microsoft Solution Framework

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

Klaster sposób na lepszą współpracę przedsiębiorstw

Plan prezentacji. Projektowanie i wdrażanie systemów zarządzania bezpieczeństwem informacji zgodnie z ISO/IEC dokumentacja ISO/IEC 27003:2010

ZAŁĄCZNIK SPROSTOWANIE

Kryteria oceny Systemu Kontroli Zarządczej

INSTYTUT ENERGOELEKTRYKI POLITECHNIKI WROCŁAWSKIEJ Raport serii SPRAWOZDANIA Nr LABORATORIUM TEORII I TEHCNIKI STEROWANIA INSTRUKCJA LABORATORYJNA

INFORMACJA POLSKIEGO BANKU SPÓŁDZIELCZEGO W WYSZKOWIE

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Normalizacja dla bezpieczeństwa informacyjnego

Jak skutecznie wdrożyć System Zarządzania Bezpieczeństwem Informacji. Katowice 25 czerwiec 2013

Warszawa, dnia 15 stycznia 2014 r. Poz. 3

Projekty BPM z perspektywy analityka biznesowego. Wrocław, 20 stycznia 2011

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Ryzyko w świetle nowych norm ISO 9001:2015 i 14001:2015

Procedura zarządzania ryzykiem w Sądzie Okręgowym w Białymstoku

Zarządzanie ryzykiem w bezpieczeostwie IT

INFORMACJA BANKU SPÓŁDZIELCZEGO KRASNOSIELCU Z SIEDZIBĄ W MAKOWIE MAZOWIECKIM

Podstawowe pytania o bezpieczeństwo informacji i cyberbezpieczeństwo w jednostkach sektora finansów publicznych

SYSTEM ZARZĄDZANIA RYZYKIEM W DZIAŁALNOŚCI POLITECHNIKI WARSZAWSKIEJ FILII w PŁOCKU

ZARZĄDZANIE WYMAGANIAMI ARCHITEKTONICZNYMI

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

Regulamin zarządzania ryzykiem. Założenia ogólne

Wyznaczanie minimalnej odważki jako element kwalifikacji operacyjnej procesu walidacji dla wagi analitycznej.

Polityka Zarządzania Ryzykiem

Tomasz Redliński - Manager, Departament Bezpieczeństwa, PBSG Sp. z o.o. Janusz Słobosz Risk Consulting Manager, Aon Polska Sp. z o.o.

Transkrypt:

doi:10.15199/48.2015.11.45 Imed EL FRAY, Jerzy PEJAŚ, Tomaz HYLA Zachodniopomorki Uniwerytet Technologiczny w Szczecinie, Wydział Informatyki, Katedra Inżynierii Oprogramowania Nowe podejścia w zarządzaniu ryzykiem dla ytemów informacyjnych organizacji Strezczenie. W artykule przedtawiono nowe podejście do zarządzania ryzykiem w ytemach informacyjnych zgodne z wymaganiami norm ISO/IEC. Proponowane podejście ma na celu zautomatyzowanie proceu podejmowania decyzji w ytuacjach, gdy ozacowanie ryzyka nie pełnia przyjętych przez organizację kryteriów tzw. potępowania z ryzykiem. W artykule zaproponowano także mechanizm wdrażania głównych procedur potępowania z ryzykiem (unikanie, ograniczenie, przenieienie czy akceptowanie ryzyka) będący podproceu zarządzania ryzykiem. Abtract. The paper preent a new approach to rik management information ytem compliant with the requirement of ISO/IEC. The propoed approach i deigned to automate the deciion-making proce in ituation where the rik aement doe not meet the criteria of o called rik treatment adopted by the organization. The paper alo propoe a mechanim for the implementation of the main procedure of rik (avoidance, reduction, tranfer or acceptance of rik) which i the ub-proce of rik management (New approach to rik management for an organization' information ytem). Słowa kluczowe: analiza ryzyka, potępowania z ryzykiem, zarządzania ryzykiem. Keyword: rik analyi, rik treatment, rik management. Wtęp Ciągłe innowacje technologiczne i konkurencja pomiędzy różnymi organizacjami umożliwiają klientom dotęp do coraz zerzego wachlarza uług i produktów dotarczanych przez ytemy teleinformatyczne [1-3]. Szybki rozwój ytemów teleinformatycznych, w tym Internetu jako medium dytrybucji produktów i uług, nieie za obą zarówno korzyści jak również ryzyka [4,5]. Szczególne ryzyko rodzi możliwość bezprawnego ujawnienia, modyfikacji lub kradzieży informacji mających itotnych znaczenie dla organizacji [6,7,8]. Obecnie, zczególnej uwagi wymaga zapewnienie bezpiecznego dotępu do uług i informacji zawartych w tego typu ytemach [9,10]. Wybór metod zapewnienia bezpieczeńtwa ytemów teleinformatycznych w konkretnej organizacji powinien być adekwatny do rodzaju ryzyka. Przejrzyte i aktywne podejście do analizy i zarządzania ryzykiem może nie tylko minimalizować ryzyko, lecz również kreować przewagę konkurencyjną organizacji [11,12]. Nietety minimalizacja ryzyka pociąga za obą zawze określone wydatki, które nie każda organizacja jet w tanie udźwignąć. W tej ytuacji dobre zdefiniowanie proceu potępowania z ryzykiem może być alternatywą dla organizacji, która chce zminimalizować ryzyka przy ograniczonym budżecie przeznaczonym na zapewnienie bezpieczeńtwa woich ytemów informacyjnych. Więkzość dotępnych obecnie i wdrażanych w organizacjach metod analizy i zarządzania ryzykiem takich jak MEHARI [13], NIST [14], BSI [15] z nienależytą powagą traktuje proce potępowania z ryzykiem. Wyjątkiem jet metoda CRAMM [16], która wprawdzie pełnia wymania proceu potępowania z ryzykiem, jednakże tylko w odnieieniu do dwóch z czterech podproceów (unikanie i/lub ograniczenie ryzyka). Jet to zetaw gotowych zaleceń i rekomendacji podzielonych na 70 grup zabezpieczeń przeciwdziałających zidentyfikowanym zagrożeniom mającym wpływ na informacje, infratrukturę fizyczną i logiczną. CRAMM pomimo pełnienia dwóch z czterech podproceów potępowania z ryzykiem jet jednak dedykowany organizacjom, które nie mają ograniczeń budżetowych. W niniejzym artykule przedtawiono algorytm pozwalający na wybór rozwiązania minimalizującego ryzyko dla każdego ozacowanego cenariuza ryzyka uwzględniając wzytkie podprocey związanych z potępowaniem z ryzykiem (unikanie i/lub ograniczenie, akceptacje oraz tranfer ryzyka). Zarządzania ryzykiem w ytemach informacyjnych Zarządzania ryzykiem jet klaycznym proceem kładającym ię z zeregu logicznych kroków powzechnie znanych z dotępnych w literaturze norm i metod [14-19]. Ryunek 1 przedtawia proce zarządzania ryzykiem. Proce ten kłada ię z utanowienia kontektu organizacji, oceny ryzyka, potępowania z ryzykiem, akceptacji ryzyka, komunikacji ryzyka oraz monitorowania i przeglądu ryzyka. Jak widać na ryunku proce ten jet proceem iteracyjnym. Proce zarzadzania ryzykiem w ytemach informacyjnych powinien być integralną częścią wzytkich działań związanych z zarządzaniem bezpieczeńtwem informacji, który analizuje na bieżąco to, co może ię zdarzyć i jakie mogą być możliwe natęptwa tych zdarzeń, a natępnie decyduje, co i kiedy należy wykonać, aby zredukować ryzyka do akceptowalnego poziomu. Proce zarządzania ryzykiem należy monitorować i regularnie przeglądać. Każda zmiana w zarządzaniu, w kontekście czy w ytemie informacyjnym organizacji może powodować zmiany dotyczące ryzyka i/lub jego poziomu. Proce ten może być zatoowany do organizacji jako całości, dowolnej części organizacji, dowolnego ytemu informacyjnego, itniejących zabezpieczeń, ich planów lub wybranych apektów (np. planowanie ciągłości działania). Formalny model zacowania ryzyka Więkzość metod analizy i zarządzania ryzykiem oparte ą na rozwiązaniach know-how opracowanych przez niezależne lub rządowe organizacje różnych krajów i przeznaczonych do zatoowania w ytemach rządowych i organizacjach użytku publicznego [20]. Metody te nie bazują na formalnych modelach matematycznych, a jedynie ą zbiorami dobrych praktyk z zakreu IT Governance [21]. Itnieje kilka metod bazujących na formalnych modelach [26,30]. Więkzość tych metod jet oparta na przedtawionym poniżej pięciofazowym modelu analizy ryzyka [ 22, 23]: Faza 1 - identyfikacja i klayfikacja zaobów, Faza 2 - identyfikacja zagrożeń wraz z ich źródłem, motywem itp. Faza 3 - ocena ryzyka, 186 PRZEGLĄD ELEKTROTECHNICZNY, ISSN 0033-2097, R. 91 NR 11/2015

Faza 4 - identyfikacja, wybór oraz implementacja zabezpieczeń wkazane zotają zabezpieczenia pod kątem ich opłacalności, koztochłonności oraz pilności ich wprowadzenia w organizacji. Ry.1. Proce zarządzania ryzykiem w bezpieczeńtwie informacji Faza 5 - implementacja ytemu zabezpieczeń nowo wybrane zabezpieczenia powinny być rozpatrywane pod kątem założonego poziomu ryzyka. Poniżej przedtawiono podtawowe truktury matematyczne formalnego modelu analizy ryzyka o nazwie FoMRA [23] uzupełnione parametry, które pozwalają na dokładnie zacowanie (analizę i ocenę) itniejącego ryzyka w organizacji dla każdego identyfikowanego cenariuza ryzyka, który negatywne może wpływać na bezpieczeńtwo organizacji. (1) A a i : i 1,..., n A zbiór zaobów (2) V v j : j 1,..., nv - zbiór podatność (3) O o k 1,..., n k : O - zbiór uwarunkowań wewnętrznych i zewnętrznych wpływających na podatność zaobu, T tm : m 1,..., nt - zbiór zagrożeń zaobów P pl : l 1,..., np - zbiór aktorów (źródeł zagrożeń) S n : n 1,..., ns - zbiór cenariuze zagrożeń DP dp : 1,..., ndp - zbiór środki redukujące przyczyny powtania zagrożeń DI dit : t 1,..., ndi - zbiór środki redukujące kutki zagrożeń (4) (5) (6) (7) (8) Powyżze truktury określają odpowiednio klay podatności zaobów ytemu oraz uwarunkowań wewnętrznych i zewnętrznych wpływających na podatność zaobów, klay zagrożenia zaobów oraz źródeł tych zagrożeń, cenariuze zagrożeń, środki redukujące przyczyny powtania zagrożeń oraz środki redukujące kutki zagrożeń wynikające z utraty zaobów. Założono również, że dany jet n-elementowy uporządkowany zbiór wartości dla argumentów ytemu informacyjnego (SI), odpowiadających zbiorom A, V, O, T, P, S, DP, DI oraz M, W gdzie: M i W ą macierzami i wagami redukującymi przyczyny powtania zagrożeń, kutki zagrożeń oraz ryzyka. W zbiorze r min, rmax N, gdzie N jet zbiorem liczb naturalnych, zdefiniowano natępujące pomocnicze funkcje: * * * value A : A - przypiuje danemu zaobowi a A wartości trzech podtawowych parametrów bezpieczeńtwa: CIA (Confidentiality, Integrity, Availability) value V : V - przypiuje danej podatności v V wartości trzech parametrów AEV (Accident, Error, Voluntary). Dla value, value zbiór * null, gdzie A V * null jet wartością neutralną, która oznacza, że ze względu na to, iż określony argument funkcji nie poiada określonej cechy, to nie można mu przypiać żadnej wartości. value T : T - przypiuje dane zagrożenie t T wartości t value DP : DP S N - przypiuje dany środek redukujący przyczyny powtania zagrożenia wartości d p d p DP value DI : DI S N - przypiuje dany środek redukujący kutek powtania zagrożenia d i DI wartości d i a Dodatkowo, w celu określenia wag ryzyka W, dla każdego cenariuza zagrożeń przyporządkowanego zaobowi a predefiniowano poniżze macierze: macierz redukcji przyczyny M pot n nn, która uzależnia deklarowaną wagę środków redukujących przyczyny powtania zagrożenia Wpot [ i, j, k] od CM, j (dla określonego j=dp 1,..., dp n DP ) oraz wartości podatności value V v, macierz redukcji kutku Mimp n n n, która uzależnia deklarowaną wagę środków redukujących kutki zagrożenia W imp [ i, j, k] od CM, j (dla określonego j=di 1,..., value A a, di ) oraz wartości zaobu n DI, a macierz ryzyka M nn, która uzależnia deklarowaną, wagę ryzyka W a [ i, j] od wagi W pot wyznaczonej z macierzy z macierzy M pot M imp n nn oraz od wagi W imp wyznaczonej n nn. PRZEGLĄD ELEKTROTECHNICZNY, ISSN 0033-2097, R. 91 NR 11/2015 187

CM, j jet ważoną wartością środka redukującego przyczyny powtania zagrożenia lub redukującego kutki tego zagrożenia. Poniżze równanie przedtawia poób obliczania CM, j : (9) R i Pi CM, j ( r r ) r 0. 5 max min min Pi gdzie: j DP DI zatoowany środek zaradczy, x - oznacza operację zaokrąglania wyniku x w dół do liczby należącej do zbioru (do kreu dolnego liczby x w tym zbiorze), R i odpowiedź na zadane pytanie audytowe (wartość 1 lub 0), P value j,, nor i X i wartość przypiana i-temu pytaniu, przy czym X = DP lub DI; wartość ta zależy od określonego typu środka zaradczego j, cenariuza oraz numeru pytania no(r i ) powiązanego z odpowiedzią R i. Wagi zdefiniowanych macierzy M pot, M imp a i M, uzależniono od krytyczności proceów bizneowych w danej organizacji. Krytyczność proceu zależeć będzie od wartości podatności value V v, zaobów value A a oraz kuteczności implementowanych środków redukujących przyczyny powtania zagrożenia DP ( dp : 1,..., ndp ) i jego kutek DI ( dp t : t 1,..., ndi ). Dla tak określonych macierzy wyznaczano dodatkowo także poniżze zbiory macierzy: (10) M pot { M } : (, dp) DP pot dpdp (11) M imp { M } : (, di) DI imp. didi (12) M, a { M } ( a, ) AS Przedtawiony powyżej krócony opi modelu nazywany jako FoMRA(1) uwzględnia podtawowe wymagania ISO/IEC 27005:2014 - Zarządzania ryzykiem w bezpieczeńtwie informacji. Model FoMRA(1) umożliwia w pełni zacować ryzyka. Potępowania z ryzykiem Kolejną modyfikacją modelu FoMRA(1), zapewniającą jego nową funkcjonalność jet zgodność z wymaganiami ISO/IEC 27005 (potępowanie z ryzykiem) [18]. Szacowanie ryzyka odbywa ię według tandardowego proceu opianego wyżej i polega na porównaniu zacunkowej wielkości ryzyka z przyjętymi przez organizację kryteriami. Określają one, czy i na ile dane ryzyko jet dla organizacji itotne, czy należy je przyjąć i jakie działania względem niego podjąć. W przypadku uzykania wyniku, który nie pełnia (częściowo lub w pełni) kryteriów organizacji mogą być wdrożone poniżze procey potępowania z ryzykiem: ograniczenie ryzyka podejmowanie działań, które mają na celu zmniejzenie prawdopodobieńtwa powtania zagrożenia i/lub kutku tej zagrożenia lub obydwu, związanych z ryzykiem (np. zatoowanie odpowiednich zabezpieczeń), akceptowanie ryzyka przyjęcie powtałych trat wynikających z określonego ryzyka (np. zaakceptować ryzyka takiego, jakie jet, ponieważ jego prawdopodobieńtwo i konekwencje ą wytarczająco nikie lub średnio nikie), unikanie ryzyka niedopuzczanie do działań, które mogłyby powodować wytąpienie ryzyka, przenieienie ryzyka dzielenie trat z tytułu powtałego ryzyka ze trzecią troną (np. ubezpieczenie przed konekwencjami ryzyka). Decyzja o wyborze określonej czynności (wdrożenia określonego proceu) jet na ogół oparta na zacowaniu koztów między ryzykiem a potępowaniem z ryzykiem. W proponowanym rozwiązaniu możemy ograniczyć ryzyko na kilka różnych poobów (według oceny możliwości organizacji w kontekście ich zaobów i aktywów): wybór cenariuzy S, które podlegają ograniczeniu w odnieieniu do zabezpieczeń przyporządkowanych do nich (zabezpieczenia te ą podzbiorami świadczonych uług w potaci środków CM, j (dla określonego j=dp 1,..., dp n DP redukujących przyczyny (np. zniechęcających czy zapobiegawczych), i/lub j=di 1,..., di n DI redukującego kutku (ochronnych czy łagodzących)). Ograniczenie takie będzie związane z wdrożeniem nowych zabezpieczeń w miejcu tych zabezpieczeń, które ą niekuteczne lub ich brak, i które ą niezbędne dla działania organizacji, wybór wzytkich działań, które charakteryzują ię najwiękzym kutkiem w danym cenariuzu i tylko one podlegają ograniczeniu (wdrażamy tylko te zabezpieczenia, które mogą nam generować najwiękze traty w ytuacji ich braku), wybór działań poiadających zabezpieczenia według możliwych ponozonych koztów (od najmniejzych do najwiękzych), jeśli organizacja podejmie ię ich unikania, ograniczenia lub np. ich tranferu (zabezpieczenia proceduralno-prawne (CS Control Security), zabezpieczenia peronalno-komunikacyjne (PS Peronel ecurity), zabezpieczenia przętowoprogramowe (SHS Software-Hardware Security). Powyżze pooby ograniczenia ryzyka oraz innych możliwych poobów, w tym akceptacji, i tranferu ryzyka zotały zamodelowane poniżzej (patrz rozdz. 3). Warunki tworzenia algorytmu potępowania z ryzykiem oraz wyniki ekperymentu Podobnie jak w przypadku innych ytemów obliczeniowych, ytemy zarządzania ryzykiem poddawane ą nieutannym modyfikacjom lub udokonaleniom. Zmiany te można podzielić na dwie grupy. Pierwza z nich to różnego rodzaju optymalizacje obliczeń, w tym zmiany koncepcyjne toowanych algorytmów lub ich optymalizacje, czy wręcz praktyczne zatoowanie różnych metod opracowanych dla rozwiązania dowolnego zadania obliczeniowego. Druga to zwiękzanie funkcjonalności ytemu o dodatkowe opcje lub wprowadzenie całkiem nowych możliwości. Poniżej przedtawiono algorytm, który pozwala na taką optymalizację obliczeń, aby uzykać odpowiedni tań zabezpieczeń zaobów bez wpływu na działalność organizacji (np. niezakłócone świadczenie uług): Dane wejściowe algorytmu ą zgodne z danymi wejściowymi modelu FoMRA(1) z natępującymi modyfikacjami: zbiór zaobów A jet uporządkowany w poób natępujący: zaoby ą kolejno indekowane liczbami naturalnymi więkzymi od zera zgodnie z kryteriami bezpieczeńtwa poufności, integralności oraz dotępności, zbiory działań kutkowych przyporządkowanych odpowiednim cenariuzom oraz zaobom ą uporządkowane według dwóch hierarchii, najpierw 188 PRZEGLĄD ELEKTROTECHNICZNY, ISSN 0033-2097, R. 91 NR 11/2015

według kryteriów bezpieczeńtwa zaobów: poufności, integralności oraz dotępności, a natępnie zgodnie z kryteriami: działania ochronne i działania łagodzące (jako działania generujące kutek dla organizacji), zbiór działań przyczynowych jet uporządkowany w poób natępujący: działania ą kolejno indekowane liczbami naturalnymi więkzymi od zera zgodnie z kryteriami: działania zniechęcające i zapobiegające. W tych kategoriach touje ię ponadto natępującą hierarchię: działania celowe, awarie oraz błędy. Zaprojektowany algorytm wykonuje ię w dwunatu natępujących fazach: najpierw rozważane ą zabezpieczenia typu CS, potem PS, natępnie ISHS (wybrane ważniejze obiekty typu SHS mające przyporządkowaną wartość Max wymagające pełnienia warunku opianego w CM,j, a na końcu pozotałe SHS (przynależność zmiennych CM,j (dp) oraz CM,j (di)). W każdym z tych przypadków wytępują trzy fazy obliczeń: kolejno dla akceptowanego parametru zabezpieczeń 4, 3 oraz 2 (wartość zmiennej W[i,o]). Wzytkie kroki algorytmu mogą być przerwane na żądania (w każdej chwili możemy tranferować, akceptować czy podjąć dalze czynności mające na celu ograniczenie i/lub unikanie ryzyka). Poniżej na ryunku 2 przedtawiono peudokod algorytmu dla fazy CS z poziomem czwartym. Pozotałe fazy ą analogiczne. Celem jet uzykanie jak najlepzego tanu bezpieczeńtwa opiywanego ytemu. W konekwencji po zakończeniu wzytkich tych faz uzykujemy ryzyko zczątkowe (ryzyko zczątkowe jet otateczne wynikiem uzykanym po podjęciu wzytkich decyzji odnośnie otatecznej oceny tanu ryzyka oraz potępowania z ryzykiem (akceptacje, tranfer, ograniczenia/unikania). 1. for i=1 to n A do 2. for o=1 to n S do 3. cond[i,o] true; 4. while cond[i,o] do 5. if W[i,o]=4 then 6. if WI[i,o]=4 and DI(i,o)= then 7. if DP[i,o]= then cond[i,o] fale 8. ele 9. if WP[i,o]=4 then 10. X DP(i,o); 11. while X do 12. if dpx then 13. if val(cm(dp))=0 and CM(dp)CS then 14. val(cm(dp)) 1; 15. comp(wp[i,o]); 16. if WP[i,o]=4then goto 22 17. ele 18. comp(w[i,o]); 19 cond[i,o] fale 20. endif; 21. endif; 22. X X\{dp}; 23. endwhile 24 ele 25. if WP[i,o]{2,3} then goto 10 26. endif; 27. if WP[i,o]=1 then comp W[i,o] 28. endif; 29. endif; 30. endif; 31. endif; 32. if WI[i,o]=4 and DI(i,o) then 33. X DI(i,o); 34. while X do 35. if dix then 36. if val(cm(di))=0 and CM(di)CS then 37. val(cm) 1; 38. comp(wi[i,o]); 39. if WI[i,o]> 3 then goto 5; 40. endif; 41. if WI[i,o]< 3 then comp(w[i,o]); 42. endif; 43. if W[i,o]< 4 then goto 3; 44. endif; 45. endif; 46. X X\{di}; 47. endwhile 48. endif; 49. endif; 50. endif; 51. endwhile; 52. endfor; 53. endfor. Ry. 2. Algorytm potępowania z ryzykiem dla fazy z CM(dp), CM(di)CS oraz W[i,o]=4 Powyżzy algorytm pełnia wymagania wytycznych normy ISO/IEC 27005 odnośnie potępowania z ryzykiem. Uzupełniony o algorytm potępowania z ryzykiem model FoMRA(1) pełnia w pełni wymagania normy odnośnie zacowania i potępowania z ryzykiem. Poniżej (patrz ryunek 3) przedtawiono graficzny przykład zatoowania algorytmu prezentowanego powyżej. Ry. 3. Graficzne realizacja algorytmu potępowania z ryzykiem Wprowadzone modyfikacje formalnej metody zacowania i potępowania z ryzykiem FoMRA(1) wyraźnie pokazały, że itnieje możliwość wprowadzania nowych funkcjonalności, które ą itotne z punktu widzenia praktyki audytora bezpieczeńtwa w branży IT i pozwalają na pełne zautomatyzowanie proceu potępowania z ryzykiem. Najważniejzym oiągnięciem wynikającym z przeprowadzonych modyfikacji, pozwalających na nową funkcjonalność jet zgodność FoMRA(1) z wymaganiami ISO/IEC 27005. Rozwiązanie to na dzień dziiejzy jet unikatowe, gdyż żadna z obecnych metod nie charakteryzuje ię automatyzacją działania proceów ograniczając ię tylko do ręcznego terowania tymi proceami. Wnioki Na podtawie wyników badań dotyczących potępowania z ryzykiem wykazano, że itnieje możliwość redukcji ryzyka poprzez tworzenie bazy wiedzy o wzytkich rodzajach zabezpieczeń, umożliwiającej audytorowi podejmowania decyzji związanych z unikaniem/ograniczeniem ryzyka, jego akceptacją lub tranferem ryzyka według kryteriów zdefiniowanych przez organizację (nienarzuconych jak w więkzości modeli PRZEGLĄD ELEKTROTECHNICZNY, ISSN 0033-2097, R. 91 NR 11/2015 189

bizneowych). Otrzymane wyniki potwierdzają prawidłowość przejętych założeń teoretycznych. Kierunkiem dalzych badań jet przede wzytkim rozwój FoMRA(1) umożliwiający unikania kozto- i czaochłonnych analiz, które muzą być wykonane po wprowadzeniu dowolnych zmian w ytemie LITERATURA [1] Datta, A.: Information Technology Capability, Knowledge Aet and Firm Innovation: A Theoretical Framework for Conceptualizing the Role of Information Technology in Firm Innovation. International Journal of Strategic Information Technology and Application. 2(2011) 9-26 [2] Raduan, C. R., Jegak, U., Halinda, A., Alimin, I.I.: A Conceptual Framework of the Relationhip Between Organizational Reource, Capabilitie, Sytem, Competitive Advantage and Performance. Reearch Journal of International Studie. 12(2009) 45-58 [3] Van Kleef, J.A.G., Roome, N.J.: Developing capabilitie and competence for utainable buine management a innovation: a reearch agenda. Journal of Cleaner Production. 15(2007) 38-51 [4] Bhatnagar, A., Ghoe, S.: Segmenting conumer baed on the benefit and rik of Internet hopping. Journal of Buine Reearch. 57 (2004) 1352 1360 [5] Byeong-Joon, M.: Conumer adoption of the internet a an information earch and product purchae channel: ome reearch hypothee. Int. J. Internet Marketing and Advertiing. 1(2004) 104-118 [6] Bumuk, J., Ingoo, H., Sangjae L.: Security threat to Internet: a Korean multi-indutry invetigation. Information & Management. 38(2001) 487 498 [7] Pothumu, S., Solm, R.: A framework for the governance of information ecurity. Computer & Security. 23(2004) 638 646 [8] Baker, W. H., Wallace, L.: I Information Security Under Control?: Invetigating Quality in Information Security Management. Security & Privacy, IEEE. 5(2007) 36 44 [9] Yeh, Q-J., Chang, A., J-T.: Threat and countermeaure for information ytem ecurity: A cro-indutry tudy. Information & Management. 44(2007) 480 491 [10] Ezingeard, J. N., Bowen, S. M.: Trigger of change in information ecurity management practice. Journal of General Management. 32(2007) 53-72 [11] Whitman, M. E., Mattord, H.: Principle of Information Security. 3 rd ed., coure technology, Boton, US (2009) [12] Mellado, D., Blanco, C., Sánchez, L. E., Medina, E. F.: A ytematic review of ecurity requirement engineering. Computer Standard & Interface. 32(2010) 153 165 [13] Méthode Harmoniée d'analye de Rique (MEHARI): Club de la Sécurité de l'information Françai, France (2010) [14] G. Stoneburner, A. Goguen, A. Feringa (2002) NIST Special Publication 800-30: Rik Management Guide for Information Technology Sytem. National Intitute of Standard and Technology, Gaitherburg, US [15] Bundeamt für Sicherheit in der Informationtechnik (2008) BSI-Standard 100-2: IT-Grundchutz Methodology, Bonn, Deutche [16] Rik Analyi and Management Method (CRAMM): Central Computing and Telecommunication Agency. United Kingdom (1987) [17] Artur Rot (2008) IT Rik Aement: Quantitative and Qualitative Approach, Proceeding of the Word Congre on Engineering and Computer Science, WCECS 2008, San Francico, USA [18] ISOIEC 27005 (2008) Information technology _ Security technique _ Information ecurity rik management. International Organization for Standardization, Genève, Suie [19] EBIOS (2004) Expreion de Beoin et Identification de Objectif de Securite. DCSSI, France [20] El Fray, I., Kurkowki, M., Pejaś, J., Mackow, W.: A New Mathematical Model for Analytical Rik Aement and Prediction in IT Sytem. Control and Cybernetic 41(2012) 1-28 [21] Moeller, R.: IT Audit, Control, and Security. John Wiley & Son, Inc., Hoboken, New Jerey, US (2010) [22] Rik Analyi and Management Method (CRAMM): Central Computing and Telecommunication Agency. United Kingdom (1987) [23] El Fray, I., A comparative tudy of rik aement method, MEHARI & CRAMM with a new formal model of rik aement (FoMRA) in information ytem. Computer Information Sytem and Indutrial Management. Springer Berlin Heidelberg, 428-442 Autorzy: dr hab. inż. Imed El Fray, Zachodniopomorki Uniwerytet Technologiczny w Szczecinie, Katedra Inżynierii Oprogramowania, ul. Żołnierka 52, 71-210 Szczecin e-mail: ielfray@zut.edu.pl; dr hab. inż. Jerzy Pejaś, Zachodniopomorki Uniwerytet Technologiczny w Szczecinie, Katedra Inżynierii Oprogramowania, ul. Żołnierka 52, 71-210 Szczecin E-mail: jpeja@zut.edu.pl; dr inż. Tomaz Hyla, Zachodniopomorki Uniwerytet Technologiczny w Szczecinie, Katedra Inżynierii Oprogramowania, ul. Żołnierka 52, 71-210 Szczecin E-mail: thyla@zut.edu.pl. 190 PRZEGLĄD ELEKTROTECHNICZNY, ISSN 0033-2097, R. 91 NR 11/2015

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres