ANALIZA RYZYKA W ŚRODOWISKU INFORMATYCZNYM

Podobne dokumenty
Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Reforma ochrony danych osobowych RODO/GDPR

ZAŁĄCZNIK NR 2. Polityka Ochrony Danych Osobowych w Przedsiębiorstwie Wodociągów i Kanalizacji Spółka z ograniczoną odpowiedzialnością w Ełku.

Zarządzanie bezpieczeństwem informacji przegląd aktualnych standardów i metodyk

Zarządzanie ryzykiem w bezpieczeostwie IT

Ryzyko w Rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012r. w sprawie Krajowych Ram Interoperacyjności ( )

Zarządzanie ryzykiem w bezpieczeństwie informacji

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

ISO bezpieczeństwo informacji w organizacji

POLITYKA ZARZĄDZANIA RYZYKIEM

Promotor: dr inż. Krzysztof Różanowski

ZARZĄDZENIE Nr 132/12 BURMISTRZA PASŁĘKA z dnia 28 grudnia 2012 roku

ZARZĄDZENIE NR 03/2017 DYREKTORA SZKOŁY PODSTAWOWEJ Z ODDZIAŁAMI INTEGRACYJNYMI NR 20 im. HARCERZY BUCHALIKÓW w RYBNIKU z dnia r.

Ryzyko w działalności przedsiębiorstw przemysłowych. Grażyna Wieteska Uniwersytet Łódzki Katedra Zarządzania Jakością

Doświadczenia w wdrażaniu systemu zarządzania bezpieczeństwem informacji zgodnego z normą ISO 27001

Maciej Byczkowski ENSI 2017 ENSI 2017

Zagrożenia bezpieczeństwa informacji. dr inż. Wojciech Winogrodzki T-Matic Grupa Computer Plus Sp. z o.o.

Spis treści Wstęp 1. Wprowadzenie 2. Zarządzanie ryzykiem systemów informacyjnych

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zarządzenie Nr 43/2010/2011 Rektora Akademii Wychowania Fizycznego Józefa Piłsudskiego w Warszawie z dnia 6 lipca 2011r.

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 W KROŚNIE ODRZAŃSKIM

Analiza Ryzyka - wytyczne ISO/IEC TR 13335

2.11. Monitorowanie i przegląd ryzyka Kluczowe role w procesie zarządzania ryzykiem

Załącznik nr 1 do zarządzenia nr 30/2016/2017 Procedura zarządzania ryzykiem w bezpieczeństwie informacji

Spis treści. Analiza Ryzyka Instrukcja Użytkowania

SZCZEGÓŁOWY HARMONOGRAM KURSU

Spis treści. Analiza Ryzyka 2.0 ARIN Instrukcja Użytkowania

ZARZĄDZENIE NR WÓJTA GMINY DOBROMIERZ. z dnia 10 wrzesień 2014 r.

System Zachowania Ciągłości Funkcjonowania Grupy KDPW Polityka SZCF (wyciąg)

Kwestionariusz dotyczący działania systemów teleinformatycznych wykorzystywanych do realizacji zadań zleconych z zakresu administracji rządowej

Ochrona biznesu w cyfrowej transformacji

Imed El Fray Włodzimierz Chocianowicz

Monitorowanie systemów IT

Bezpieczeństwo danych w sieciach elektroenergetycznych

Bezpieczeństwo danych i systemów informatycznych. Wykład 1

A N A L I Z A Z A G R O Ż E Ń I R Y Z Y K A p r z y p r z e t w a r z a n i u d a n y c h o s o b o w y c h W URZĘDZIE MIASTA I GMINY ŁASIN

Deklaracja Zarządu o ustanowieniu Polityki Bezpieczeństwa PLT Sp. z o.o.

P O L I T Y K A Z A R Z Ą D Z A N I A R Y Z Y K I E M W UNIWERSYTECIE JANA K O CH ANOWSKIEGO W KIELCACH

Budowanie polityki bezpieczeństwa zgodnie z wymogami PN ISO/IEC przy wykorzystaniu metodologii OCTAVE

Szkolenie otwarte 2016 r.

Systemy zarządzania bezpieczeństwem informacji: co to jest, po co je budować i dlaczego w urzędach administracji publicznej

Bezpieczeństwo dziś i jutro Security InsideOut

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Autor: Artur Lewandowski. Promotor: dr inż. Krzysztof Różanowski

Polityka Bezpieczeństwa jako kluczowy element systemu informatycznego. Krzysztof Młynarski Teleinformatica

MINISTERSTWO ADMINISTRACJI I CYFRYZACJI

WZ PW Norma ISO/IEC 27001:2013 najnowsze zmiany w systemach zarzadzania bezpieczeństwem informacji IT security trends

ZARZĄDZENIE Nr 73/2015 WÓJTA GMINY Orły z dnia 11 czerwca 2015 r. w sprawie wdrożenia Polityki Bezpieczeństwa Informacji w Urzędzie Gminy w Orłach

ZARZĄDZANIE RYZYKIEM W LABORATORIUM BADAWCZYM W ASPEKCIE NOWELIZACJI NORMY PN-EN ISO/ IEC 17025:

BAKER TILLY POLAND CONSULTING

Załącznik do zarządzenia nr 29/2005/2006 Obowiązuje od r. POLITYKA BEZPIECZEŃSTWA

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Rektora-Komendanta Szkoły Głównej Służby Pożarniczej. z dnia 9 lipca 2008 r. w sprawie ustalenia Polityki Bezpieczeństwa Informacji w SGSP

Zabezpieczenia zgodnie z Załącznikiem A normy ISO/IEC 27001

Zarządzanie ryzykiem w rozwiązaniach prawnych. by Antoni Jeżowski, 2014

REGULAMIN ZARZĄDZANIA RYZYKIEM. w Sądzie Okręgowym w Krakowie

ZARZĄDZENIE NR Or BURMISTRZA MIASTA SANDOMIERZA. w sprawie zarządzania ryzykiem w Urzędzie Miejskim w Sandomierzu.

Procedury zarządzania ryzykiem w Zespole Szkolno-Przedszkolnym

osobowe pracowników laboratorium SecLab EMAG w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów oraz inne osoby i instytucje mające dostęp

Bezpieczeństwo i koszty wdrażania Informatycznych Systemów Zarządzania Hubert Szczepaniuk Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego

Zasady kontroli zarządczej w Zespole Szkolno - Przedszkolnym nr 8 w Warszawie

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

ZARZĄDZANIE RYZYKIEM CYBERNETYCZNYM NASZE ROZWIĄZANIA

System Zachowania Ciągłości Funkcjonowania Grupy KDPW

Procedura zarządzania. w Sępólnie Krajeńskim z siedzibą w Więcborku;

System Zachowania Ciągłości Funkcjonowania Krajowego Depozytu Papierów Wartościowych S.A. Dokument Główny (wyciąg)

Plan realizacji celów głównych i zadań... w roku...

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Marcin Soczko. Agenda

Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Polityka Ochrony Danych Osobowych w Szkole Podstawowej nr 1 w Siemiatyczach

Bezpieczeństwo cybernetyczne

Procedura zarządzania ryzykiem w Urzędzie Gminy Damasławek

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Zarządzanie bezpieczeństwem informacji przepisy prawa a normy

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Właściwe środowisko wewnętrzne w sposób zasadniczy wpływa na jakość kontroli zarządczej.

Procedura zarządzania ryzykiem w Urzędzie Miejskim w Radomiu

Kompleksowe Przygotowanie do Egzaminu CISMP

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Rozporządzenie Wykonawcze Komisji (UE) 2018/151

Rola inspektora ochrony danych w zabezpieczeniu systemu informatycznego. Podejście oparte na ryzyku

Konspekt: Polityka bezpieczeństwa, a polskie unormowania prawne. Autorzy: Grzegorz Dębiec, Edyta Gąsior, Łukasz Krzanik, Maciej Tokarczyk DUMF

JAK ZAPEWNIĆ BEZPIECZEŃSTWO INFORMACYJNE?

Zarządzenie nr 9a / 2011 Dyrektora Domu Pomocy Społecznej Betania" w Lublinie z dnia roku

Zarządzenie nr 116/2012 Burmistrza Karczewa z dnia 21 sierpnia 2012 roku

Szacowanie ryzyka dla operacji przetwarzania danych. Praktyki dla zarządzających bezpieczeństwem i inspektorów

Polityka Bezpieczeństwa Informacji. Tomasz Frąckiewicz T-Matic Grupa Computer Plus Sp. z o.o.

Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

POLITYKA ZARZĄDZANIA RYZYKIEM ROZDZIAŁ I. Postanowienia ogólne

ZARZĄDZENIE NR 41/2016 STAROSTY NOWODWORSKIEGO. z dnia 26 października 2016 r.

POLITYKA ZARZĄDZANIA RYZYKIEM W SZKOLE PODSTAWOWEJ NR 2 IM. ŚW. WOJCIECHA W KRAKOWIE

Prelegent : Krzysztof Struk Stanowisko: Analityk

POLITYKA ZARZĄDZANIA RYZYKIEM W MIEJSKO-GMINNYM OŚRODKU KULTURY SPORTU I REKREACJI W GNIEWKOWIE

Transkrypt:

BEZPIECZEŃSTWO IT ANALIZA RYZYKA W ŚRODOWISKU INFORMATYCZNYM Jeżeli nie przewidzieliśmy wcześniej środków zaradczych, awaria urządzeń, które powinny zapewniać przetwarzanie danych, może sparaliżować funkcjonowanie każdej organizacji. Aby zminimalizować tego typu ryzyko, należy właściwie zarządzać infrastrukturą IT. Dariusz Łydziński A by skutecznie chronić firmowe systemy komputerowe, konieczne jest ciągłe rozpoznawanie zagrożeń i identyfikowanie, które z nich stanowią realne niebezpieczeństwo dla funkcjonowania organizacji. Przed przystąpieniem do analizy ryzyka należy to ryzyko w miarę możliwości precyzyjnie zdefiniować. Konieczne jest ustalenie jego przyczyn, zakresu, granic i rozróżnienie poszczególnych ryzyk mających wpływ na osiąganie celów przez organizację. Proces zarządzania ryzykiem jest kluczowy w aspekcie bezpieczeństwa systemów teleinformatycznych i zarządzania bezpieczeństwem organizacji. Dzięki analizie pozwala zidentyfikować zagrożenia, na jakie narażone są informacje przetwarzane w organizacji, a następnie za pomocą odpowiedniego doboru zabezpieczeń zapewnić efektywną ochronę przed zidentyfikowanymi niebezpieczeństwami, poprzez kontrolowanie, unikanie lub minimalizowanie zamierzonych lub przypadkowych skutków. Analiza ryzyka jest podstawowym elementem zarządzania ryzykiem w organizacji. W procesie analizy gromadzi się SPOSOBY POSTĘPOWANIA Z RYZYKIEM unikanie ryzyka polega na zarządzaniu w taki sposób, aby nie podejmować działań mogących zwiększać ryzyko. Jeżeli uważamy, że poziom ryzyka jest wysoki i nie potrafimy się zabezpieczyć, rezygnujemy z przetwarzania informacji w danym miejscu lub za pomocą sposobu będącego powodem wysokiego poziomu ryzyka; transfer ryzyka polega na przeniesieniu konsekwencji wystąpienia szkody lub jej skutków finansowych na inny podmiot. Wykupujemy ubezpieczenie lub oddajemy przetwarzanie informacji na zewnątrz (chmura, outsourcing), zabezpieczając się jednocześnie umową; redukcja to nic innego jak wprowadzanie zabezpieczeń do systemu w momencie, gdy uważamy, że poziom ryzyka jest zbyt wysoki i podejmujemy działania w celu jego zmniejszenia; akceptacja ryzyka to pogodzenie się z ewentualnymi konsekwencjami i zaniechanie dalszych działań. 58 Wrzesień 2014

informacje niezbędne do podejmowania decyzji w zakresie: strategii postępowania z ryzykiem; efektywnego doboru środków redukcji ryzyka; oceny zasadności transferu, akceptacji lub unikania ryzyka. Zebrane dane definiują także priorytety dla rozwoju systemów bezpieczeństwa organizacji. W dalszej części artykułu zostaną opisane podstawowe etapy (elementy) procesu zarządzania ryzykiem (patrz rys. 1). Wszelkie związki pomiędzy tymi elementami zostały opisane i przedstawione za pomocą modelu ujętego w normie ISO/IEC 13335 poświęconej technice informatycznej (patrz rys. 2). > IDENTYFIKACJA ZASOBÓW Zasoby organizacji, często związane z procesami biznesowymi, wpływają na ich realizację. Istotnym działaniem związanym z identyfikacją zasobów jest opis ważnych dla prowadzenia firmy procesów. Do każdego procesu należy przypisać zasoby, które warunkują prawidłowy jego przebieg. Należy zidentyfikować wszystkie zasoby, gdyż każdy z nich ma określoną wartość, a to z kolei wskazuje na konieczność zagwarantowania pewnego minimalnego poziomu ochrony. Określenie zasobów występujących w organizacji pozwala zidentyfikować kluczowe elementy infrastruktury (krytyczne z punktu widzenia ciągłości działania organizacji). Zasoby można sklasyfikować następująco: zasoby fizyczne (budynki, infrastruktura techniczna i informatyczna, sprzęt informatyczny, serwery, nośniki, urządzenia komunikacyjne, systemy zabezpieczeń); informacje (bazy danych); oprogramowanie (aplikacje, systemy); zdolność produkowania lub świadczenia usług (np. realizacji transakcji elektronicznych, usług operatorów i dostawców); personel (menedżerowie, programiści, administratorzy, projektanci, zasoby ludzkie, ich wiedza i umiejętności); KONTROLA RYZYKA POPRZEZ STOSOWANIE ZABEZPIECZEŃ ZALEŻNOŚCI W SYSTEMIE Zabezpieczenia powinny: chronić przed zagrożeniami; odstraszać intruzów; redukować podatności; ograniczać następstwa; wykrywać niepożądane incydenty i zapobiegać im; ułatwiać odtwarzanie uszkodzonych zasobów. Przykładowe środki zaradcze: zainstalowanie dodatkowych zabezpieczeń technicznych zwiększających odporność serwerów na włamania; przeniesienie serwisu WWW na serwer udostępniony przez firmę świadczącą usługi hostingowe; zastosowanie szyfrowania; zatrudnienie dodatkowego pracownika pełniącego funkcję zastępcy administratora, którego obowiązkiem będzie opieka nad systemami IT podczas nieobecności administratora. RYS. 1. PODSTAWOWE ELEMENTY PROCESU ZARZĄDZANIA RYZYKIEM Wrzesień 2014 59

RYS. 2. ZWIĄZKI W ZARZĄDZANIU RYZYKIEM bezpieczeństwa, takie jak np. znaczenie zasobu dla organizacji i stopień ich wrażliwości na niebezpieczeństwa. dobra niematerialne (wizerunek, reputacja, technologie, know-how). Należy zwrócić także uwagę na komponenty, które nie znajdują się w naszej infrastrukturze, a które są konieczne do poprawnego funkcjonowania całej organizacji, m.in. systemy działające w modelu outsourcingowym, np. serwery poczty, DNS, witryna internetowa. Zasoby organizacji są to wszelkie wartości materialne i niematerialne mające znaczenie dla osiągnięcia wyznaczonych celów organizacji. Źródło: na podstawie PN-I-13335-1 Dla każdego zasobu należy rozważyć, na czym polega jego wartość dla organizacji i które cechy aktywów powinny być chronione w warunkach ryzyka. Rezultat przeprowadzonej klasyfikacji pozwala zidentyfikować zasoby najistotniejsze dla organizacji (należy je poddać wnikliwszej analizie), a także takie, które nie wymagają ochrony, ale np. powinny być monitorowane z punktu widzenia zmian ich ważności. Klasyfikując zasoby, należy mieć na względzie atrybuty > WYCENA ZASOBÓW Wyceny zasobów podlegających ryzyku, dokonuje się, biorąc pod uwagę potencjalne następstwa całkowitej lub częściowej ich utraty. Należy przeanalizować, jaki wpływ na osiągnięcie celów biznesowych będzie miała utrata wartości chronionych aktywów organizacji. Dla niektórych aktywów taką wycenę można dokonać wprost, ponieważ wynika ona wyłącznie z wartości księgowej. W innych przypadkach wartość księgowa jest dla organizacji tylko częścią wartości określonych aktywów. Warto zauważyć, że zakłócenie przebiegu określonego procesu biznesowego lub jego całkowita utrata wiąże się z dodatkowymi stratami. Te straty jest o wiele trudniej wycenić, niż ma to miejsce w przypadku utraconych urządzeń. W organizacji procesy biznesowe tworzą wartości prowadzące do osiągania obrotów handlowych i zysków. Utrata określonego procesu produkcyjnego sprawia, że producent nie może oferować danego produktu lub usługi, co w konsekwencji powoduje zmniejszenie obrotów i wpływa na utratę dochodów i zmniejszenie zysków. Sytuacja kryzysowa, utrzymująca się przez dłuższy czas, może doprowadzić do utraty udziału w rynku. Poprawne oszacowanie wartości aktywów w procesie zarządzania ryzykiem jest niezbędne do późniejszego TABELA 1. PRZYKŁAD IDENTYFIKACJI ZASOBÓW W PROCESIE ZARZĄDZANIA RYZYKIEM IT Lp. Zasób Rodzaj zasobu Opis zasobu Opis niedostępności Ryzyko następstwa utraty D P I 1. Stacja robocza Sprzęt Stanowisko pracy Niedostępność zasobu uniemożliwia dostęp do infrastruktury IT w ciągu pewnego okresu X 2. Serwerownia Infrastruktura Pomieszczenie, w którym znajdują się urządzenia, serwery, macierze systemu IT Niedostępność serwerowni powoduje przerwę w działaniu systemu do czasu ponownego uruchomienia systemu X 3. Łącza telekomunikacyjne Infrastruktura Dedykowane łącza WAN przeznaczone do obsługi systemu IT Niedostępność zasobu powoduje przerwę w komunikacji z systemem do czasu naprawy łącza lub zmiany dostawcy usług internetowych. Istnieje możliwość szybkiego uruchomienia łączy zamiennych, jednak uniemożliwia to dostęp do wszystkich zasobów w ciągu pewnego okresu X 60 Wrzesień 2014

podejmowania decyzji dotyczących wielkości środków, jakie warto przeznaczyć na ich ochronę. > OCENA ISTNIEJĄCYCH ZABEZPIECZEŃ Etap identyfikacji wdrożonych w systemie zabezpieczeń polega na stworzeniu wykazu zasobów i zagrożeń (określonych w poprzednich etapach) oraz przeciwdziałających im zabezpieczeń technicznych, organizacyjnych i fizycznych. Dla poszczególnych par zagrożenie zabezpieczenie określamy, przed utratą jakich informacji chroni nas każdy z tych środków. Uwzględniane są tylko te cechy, które są naruszane przez dane zagrożenie. W określaniu istniejących zabezpieczeń pomocne mogą być przykładowe metody ochrony opisane na stronie sans.org (tinyurl.com/sec-ctrl). ZIDENTYFIKUJ, CO MOŻE SPOWODOWAĆ SZKODĘ DLA KAŻDEGO ZINWENTARYZOWANEGO ZASOBU OCENA ZAGROŻEŃ Zagrożenia mogą być potencjalną przyczyną incydentu, który może spowodować szkodę dla organizacji lub systemu. W przypadku zagrożeń należy określić kanały, którymi mogą one dotrzeć do organizacji lub systemu. Trzeba poznać wszystkie słabe punkty. Poznanie zagrożeń jest elementem koniecznym dla prawidłowego przeprowadzenia analizy zagrożeń, w wyniku której dobierane są zabezpieczenia adekwatne do występującego ryzyka. W identyfikacji zagrożeń pomocne mogą być checklisty udostępnione w dokumentach NIST SP800 30 Guide for Conducting Risk Assessments (tinyurl. com/nist-sp800) oraz ISO 27005:2011 załącznik C (patrz też tabela 2). OKREŚL SŁABOŚCI I LUKI ZASOBÓW NA ZAGROŻENIA OCENA PODATNOŚCI Przez pojęcie podatności należy rozumieć słabe punkty lub luki w zabezpieczeniach systemów i procesów, które mogą zostać przypadkowo lub celowo TABELA 2. PRZYKŁAD IDENTYFIKACJI ZAGROŻEŃ W PROCESIE ZARZĄDZANIA RYZYKIEM IT Lp. Nazwa zagrożenia Opis zagrożenia Grupa zagrożeń 1. Ataki komputerowe DOS, DDoS Programowe 2. Błąd w oprogramowaniu Nowe poważne błędy w TCP/IP, poważne błędy Programowe systemów operacyjnych 3. Nieautoryzowana modyfikacja/ usunięcie danych wykorzystane do zaburzenia ciągłości działania organizacji, jej procesów lub systemów. Podatnościami dla konkretnych zagrożeń mogą być wszelkie słabości systemu, luki, niedostosowania organizacyjne, techniczne lub niedociągnięcia związane ze sprawami personalnymi lub prawnymi. Podatność nie generuje szkody, lecz jest warunkiem, który pozwala zagrożeniu wpływać na zasoby. Przeprowadzając analizę Naruszenie integralności, uszkodzenie bazy danych Programowe 4. Szkodliwe oprogramowanie Wirusy, robaki, bomby logiczne Programowe 5. Awaria sprzętu Urządzenia sieciowe, serwery usługowe/ bazodanowe, moduł kryptograficzny, zegary GPS Sprzętowe 6. Awaria zasilania Skoki napięcia, brak zasilania Sprzętowe 7. Nieautoryzowana modyfikacja sprzętu 8. Kompromitacja algorytmów szyfrujących Dodanie, usunięcie, modyfikacja sprzętu przez osoby niepowołane Kompromitacja algorytmów szyfrujących i kluczy szyfrujących, konstruowanie nowych procesorów 9. Kradzież danych Nieautoryzowany przekaz nośników, sprzedaż informacji 10. 11. Sabotaż Zaprzestanie obsługi domen internetowych przez rejestratora domen Celowe działanie dowolnego podmiotu w celu zaszkodzenia działalności organizacji. Działania nieobjęte kategoriami wymienionymi w innych zagrożeniach. Ogłoszenie fałszywego alarmu, blokada dostępu do siedziby firmy. Niezadowoleni pracownicy i byli pracownicy. Rozpowszechnienie fałszywych informacji przekazanie do mediów nieprawdziwych informacji Nieopłacenie domeny na czas może spowodować jej utratę. Może zostać wykupiona przez osobę trzecią Sprzętowe podatności, należy określić słabości, które mogą być wykorzystane przez zidentyfikowane wcześniej zagrożenia (patrz tabela 3). Identyfikowanie podatności może mieć miejsce: w procesie testów podatności; w procesie testów bezpieczeństwa testy penetracyjne, testy weryfikujące spełnienie wymagań bezpieczeństwa, testy zgodności z wymaganiami standardów bezpieczeństwa; Proces zarządzania ryzykiem jest kluczowy w aspekcie bezpieczeństwa systemów teleinformatycznych i zarządzania bezpieczeństwem organizacji. Wrzesień 2014 61

TABELA 3. PRZYKŁAD IDENTYFIKACJI PODATNOŚCI W PROCESIE ZARZĄDZANIA RYZYKIEM IT Lp. Zasób Zagrożenie Podatność 1. System informatyczny Ataki komputerowe Brak IDS/IPS, luki w aplikacjach 2. Użytkownik systemu Kradzież danych Mała świadomość zagrożeń teleinformatycznych 3. e-bok Skutki prawne Niezgodność z wymaganiami ustawy o ochronie danych osobowych podczas przeprowadzania modelowania zagrożeń i analizy ryzyka; w procesie zarządzania zdarzeniami bezpieczeństwa oraz monitorowania bezpieczeństwa systemów; w procesie zarządzania incydentami bezpieczeństwa (podatność jako przyczyna zgłoszonego incydentu); w konsekwencji aktywnego poszukiwania informacji o podatnościach pasujących do bazy aktywów przedsiębiorstwa. OKREŚL PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻEŃ Następnym krokiem jest określenie prawdopodobieństwa wystąpienia zdarzenia oraz analiza skutków (strat), jeśli ono wystąpi. Nie należy ograniczać się RYS. 3. OKREŚLENIE PRAWDOPODOBIEŃSTWA WYSTĄPIENIA ZDARZENIA jedynie do skutków finansowych. Mogą to być także: zniszczenie zasobów, awaria sprzętu, utrata reputacji i wizerunku, skutki prawne, ryzyko utraty udziałów na rynku. Bardzo często skutki prawne i wizerunkowe będą wyższe niż bezpośrednie straty finansowe (patrz rys. 3). Można je określić ilościowo i jakościowo, uwzględniając koszt finansowy, skalę szkodliwości i częstotliwość występowania. Konieczne jest oszacowanie potencjalnych szkód i strat biznesowych w organizacji, które mogą powstać w wyniku działania złośliwego oprogramowania, czyli należy określić poziom ryzyka. O tym, czy dane ryzyko jest dla nas ważne czy nie, zadecyduje kryterium akceptacji czyli z góry ustalony poziom ryzyka, dla którego ryzyko znajdujące się w danym przedziale jest akceptowalne. W oszacowaniach ryzyka wyróżniają się dwa podejścia: podejście jakościowe w tym modelu ryzyko zazwyczaj określane jest jako niskie / średnie / wysokie (stosowane są też podobne skale). Wartość ryzyka odczytywana jest z tabeli, która definiuje finalne ryzyko. Przedstawione są w niej warunki: w kolumnach znajduje się prawdopodobieństwo wykorzystania danej podatności (niskie, średnie, wysokie); w wierszach zaznaczany jest wpływ wykorzystania podatności na naszą organizację (niski, średni wysoki). W określeniu ryzyka pomocny może być dokument OWASP Risk Rating Methodology (tinyurl.com/owasp-risk). Ryzyko jest funkcją prawdopodobieństwa wykorzystania podatności oraz idących za tym skutków (patrz tabela 4). podejście ilościowe w podejściu ilościowym oszacowanie wartości ryzyka wiąże się z wykorzystaniem miar liczbowych wartość zasobów informacyjnych jest określana kwotowo, częstotliwość wystąpienia zagrożenia liczbą przypadków, a podatność wartością prawdopodobieństwa ich utraty. W pierwszej kolejności szacowane jest prawdopodobieństwo skutecznego wykorzystania podatności przez zagrożenie w zadanym okresie (najczęściej przyjmuje się jeden rok). Prawdopodobieństwo incydentów spowodowanych określonym rodzajem ryzyka wynika ze wzajemnego oddziaływania zagrożeń i podatności powodujących to ryzyko. W przypadku incydentów, które zdarzają się odpowiednio często kilkadziesiąt lub kilkaset razy w roku organizacja może wykorzystać statystyki wewnętrzne. Natomiast w przypadku incydentów zachodzących rzadko konieczne jest korzystanie z wiarygodnych źródeł zewnętrznych. Dla zobrazowania tej metody posłużmy się przykładem firmowej strony WWW, która wg szacunków zostanie 62 Wrzesień 2014

TABELA 4. PRZYKŁAD OKREŚLANIA RYZYKA ZA POMOCĄ OWASP RISK RATING METHODOLOGY Lp. Zasób Zagrożenie Podatność Prawdopodobieństwo ataku Skutek wykorzystania podatności Ryzyko 1. Strona firmowa WWW Atak hakerski umożliwiający całkowite przejęcie kontroli nad serwisem Luki w aplikacjach Średnie (Medium) Wysoki (High) Wysokie (High) zaatakowana skutecznie jeden raz w przeciągu najbliższego roku (zrealizowane wcześniej testy penetracyjne wykazały, że portal zawiera istotne podatności, które umożliwiają nieautoryzowane, zdalne przejęcie nad nim kontroli). Szacując potencjalne straty, obliczamy koszty, które poniesiemy w wyniku wykorzystania podatności przez zagrożenie. Należy oszacować możliwie wiele wartości, m.in. takich jak: czas pracowników potrzebny na przywrócenie funkcjonalności portalu do stanu początkowego, straty finansowe, koszty utraty reputacji, kary wynikające z umów/ustaw itp. Finalnie wskazujemy, ile wynoszą średnioroczne straty podczas eksploatacji danego zasobu. Pozwala to nie tylko na oszacowanie poziomu ryzyka, ale również na zaplanowanie budżetu, który nie powinien być większy od szacowanych strat (patrz też rys. Sposoby postępowania z ryzykiem). Wartość oczekiwanej straty opisywana jest iloczynem wartości aktywa i częstotliwości występowania zagrożenia oraz podatności systemu na zagrożenie: R = F V W oraz F V = P gdzie: R wartość ryzyka; F częstotliwość wystąpienia zagrożenia; V podatność systemu informatycznego (lub jego elementu) na zagrożenie (miara prawdopodobieństwa wykorzystania określonej podatności przez dane zagrożenie); W wartość straty przewidywana średnia utrata wartości aktywów w wyniku wystąpienia pojedynczego incydentu; P prawdopodobieństwo wystąpienia zdarzenia powodującego utratę wartości aktywów w przyjętym okresie. ZIDENTYFIKUJ, KTÓRE ZAGROŻENIA MOGĄ SPOWODOWAĆ NAJWIĘKSZE STRATY Po oszacowaniu ryzyka i jego ocenie za pomocą kryteriów akceptowalności następnym krokiem jest postępowanie z ryzykiem. Ryzyko może być minimalizowane, jednak należy pamiętać, że każdorazowe jego pomniejszenie znacznie zwiększa koszt wprowadzania skutecznych zabezpieczeń skuteczne zabezpieczenia są bowiem kosztowne. W takich sytuacjach należy rozpatrywać wprowadzenie zabezpieczeń z punktu widzenia kryterium efektywnościowego. Organizacja powinna zająć się ryzykiem, które zostało oszacowane jako najwyższe i w stosunku do niego opracować plan minimalizujący lub ograniczający owo zagrożenie. Podczas budowy systemu bezpieczeństwa IT stosowane rozwiązania powinny być adekwatne dla zdefiniowanego ryzyka. Autor specjalizuje się w technologiach związanych z infrastrukturą klucza publicznego oraz rozwiązaniach e-security. Menedżer, trener i koordynator projektów, audytor systemów zarządzania bezpieczeństwem informacji. Wrzesień 2014 63

2024 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres