background image

www.hakin9.org

hakin9 Nr 4/2007

46

Obrona

T

a  częsta  praktyka  może  doprowadzić 
do sytuacji, w której nie będzie można 
poradzić sobie z daną katastrofą lub in-

cydentem, ponieważ nie będzie zdefiniowane-
go  logicznego  i  przemyślanego  planu  postę-
powania z ryzykiem. 

Będziemy się wtedy zastanawiać nie tyl-

ko, co zrobić, ale dlaczego dany incydent w 
ogóle  mógł  mieć  miejsce.  Sami  wtedy  doj-
dziemy do wniosku, że być może nie zostały 
zdefiniowane i zastosowane odpowiednie za-
bezpieczenia,  lub  same  procesy  nie  zostały 
dokładnie  przeanalizowane  pod  kątem  bez-
pieczeństwa.

Podstawą  każdego  wdrożenia  Systemu 

Zarządzania Bezpieczeństwem Informacji jest 
przede  wszystkim  sprawnie  przeprowadzona 
i przemyślana analiza ryzyka. Jest ona punk-
tem  wyjściowym  do  dostosowania  polityki 
bezpieczeństwa do faktycznych potrzeb i real-
nych zagrożeń dla danej organizacji. 

Sama  norma  ISO  27001  wymaga  od 

przedsiębiorstwa, zdefiniowania i przeanalizo-
wania potencjalnego ryzyka i wybrania na je-
go podstawie odpowiednich metod zabezpie-
czeń. Jednak sama analiza ryzyka to później-
szy etap.

Krok pierwszy – wybór metody

Pierwsze  kroki  przy  rozpoczęciu  całego  pro-
cesu  analizy  ryzyka  to  wybór  odpowiedniej 
metody jego przeprowadzenia i dobranie od-
powiednio  przeszkolonego  personelu.  Wśród 
specjalistów  zaangażowanych  w  prace  nad 
analizą  ryzyka  powinni  znaleźć  się  członko-
wie zarządu firmy, dyrektorowie pionów, dzia-
łów,  informatycy  oraz  pracownicy  ochrony  fi-
zycznej.  Wspólnie  określają  oni  poziom  ak-
ceptowanego  ryzyka  oraz  podatność  przed-
siębiorstwa na nie. Przed rozpoczęciem prac 
nad  analizą  ryzyka,  powinny  zostać  sklasyfi-
kowane  informacje  oraz  aktywa  je  przetwa-
rzające,  przechowujące  i  niszczące  informa-
cje. Należy również zdefiniować tzw. „obsza-
ry bezpieczne”, w których znajdują się strate-

Analiza ryzyka – Zarządza- 

nie Bezpieczeństwem 

Informacji

Tomasz Polaczek

stopień trudności

Częstym błędem przy wdrażaniu polityki bezpieczeństwa 

informacji w rozmaitych organizacjach, jest szybkie i 

powierzchowne podejście do problemów. Bardziej oparte na 

intuicji, niż wynikające z przemyślanych analiz incydentów, czy 

innych zdarzeń mających wpływ na zachwianie bezpieczeństwa 

zarówno informacji, jak i IT. 

Z artykułu dowiesz się...

•   czym jest analiza ryzyka,
•   dlaczego  jest  tak  ważnym  procesem  przy 

wdrażaniu  sprawnego  Systemu  Zarządzanie 
Bezpieczeństwem  Informacji.  Sprawnie  prze-
prowadzona, z odpowiednią grupą osób z or-
ganizacji, jest podstawą bezpieczeństwa.

background image

System Zarządzania Bezpieczeństwem Informacji

hakin9 Nr 4/2007

www.hakin9.org

47

giczne  dane  organizacji,  sprzęt  in-
formatyczny  oraz  pracownicy,  któ-
rych  brak  lub  odejście  z  firmy  mo-
że  spowodować  wypłynięcie  waż-
nych danych lub zachwianie ciągło-
ści  działania.  Ważne  jest  również 
określenie  właścicieli  danych  infor-
macji i aktywów.

Krok drugi – 

identyfikacja zagrożeń

Następnie  przychodzi  czas  na  do-
kładną identyfikację zagrożeń i po-
datności na nie dla każdego ze skla-
syfikowanych  aktywów,  informacji, 
obszarów  oraz  ludzi.  Istotne  jest, 
aby  identyfikacja  dotyczyła  real-
nych,  prawdopodobnych  zagrożeń, 
na  jakie  może  zostać  narażona  or-
ganizacja. Po tak dokładnej identy-
fikacji,  określa  się  skutki  potencjal-
nych katastrof.

Określając  skutki  wystąpienia 

katastrofy możemy w prosty sposób 
przejść do wyboru odpowiednich za-
bezpieczeń w postaci sprzętu, opro-
gramowania,  procesów,  procedur 
oraz  polityk.  Wybór  zabezpieczeń 
na podstawie przeprowadzonej ana-
lizy  znacznie  wpływa  na  zminimali-
zowanie kosztów wdrożenia tych za-
bezpieczeń oraz na jego czas. Jeśli 
w analizie zostaną określone ryzyka 
krytyczne, to bardzo ważne  dla da-
nej organizacji jest jak najszybsze je-
go zmniejszenie do poziomu akcep-
towalnego.

Po oszacowaniu skutków wystą-

pienia ryzyka, należy też oszacować  
hipoteczną wielkość szkód, jakie mo-
że spowodować dana katastrofa. 

Krok trzeci - 

prawdopodobieństwo

W  następnym  etapie,  gdy  mamy 
już  oszacowane  ewentualne  skut-
ki  i  szkody  spowodowane  wystą-
pieniem  katastrofy,  należy  określić 
prawdopodobieństwo ich wystąpie-
nia. Dla niektórych obszarów, akty-
wów,  procesów,  prawdopodobień-
stwo to może być wysokie z uwagi 
na  niezastosowanie  w  tych  obsza-
rach żadnych zabezpieczeń, lub za-
stosowanie  słabych,  niewystarcza-
jących  i  nie  adekwatnych  do  waż-
ności  samego  zagadnienia.  Poja-

wią  się  też  obszary,  aktywa,  infor-
macje,  gdzie  prawdopodobieństwo 
będzie  bardzo  małe;  zabezpiecze-
nia mogą już istnieć, być odpowied-
nie  i  wystarczające,  co  w  dużym 
stopniu zmniejsza ryzyko wystąpie-
nia  katastrofy.  Jednak  nawet  mimo 
wystąpienia  małego  prawdopodo-
bieństwa, należy zawsze zachować 
czujność i na bieżąco monitorować 
obszary,  aktywa,  informacje,  ludzi 
wymienionych w analizie ryzyka.

Same  ryzyka  możemy  podzielić 

na cztery grupy:

•   Ryzyko akceptowalne
•   Ryzyko akceptowalne czasowo
•   Ryzyko nieakceptowane
•   Ryzyko krytyczne

Dla  każdego  z  nich  możemy  zało-
żyć  odpowiednie  ramy  czasowe,  w 
których musimy dane ryzyko zmniej-
szyć lub tylko monitorować - w przy-
padku ryzyka akceptowalnego. Moż-
na  założyć  sobie  następujący  sce-
nariusz.

Ryzyko  akceptowalne  –  nie  są 

podejmowane  żadne  działania,  jest 
ono monitorowane podczas przeglą-
du SZBI.

Ryzyko  akceptowalne  warunko-

wo  –  Forum  Zarządzania  Bezpie-
czeństwem Informacji decyduje, czy 

zostaną podjęte działania korygujące 
i zapobiegawcze, zależy to od orga-
nizacji pracy oraz kosztów zabezpie-
czeń. Jeżeli nie są wymagane dzia-
łania korygujące lub zapobiegawcze 
to  stosowane  są  zabezpieczenia  z 
załącznika A normy ISO 27001, de-
cyzje są podejmowane do roku.

Ryzyko nieakceptowane - Forum 

Zarządzania  Bezpieczeństwem  In-
formacji podejmuje działania korygu-
jące i zapobiegawcze w czasie do 6 
miesięcy.

Ryzyko krytyczne - Forum Zarzą-

dzania  Bezpieczeństwem  Informacji 
podejmuje działania korygujące i za-
pobiegawcze w czasie do 3 miesię-
cy,  przeprowadza  audit  wewnętrz-
ny ISO 27001 we wszystkich obsza-
rach Urzędu, po 3 miesiącach prze-
prowadzana  jest  jeszcze  raz  anali-
za ryzyka.

Jednak,  aby  bardziej  unaocznić  

tą problematykę, przedstawimy sce-
nariusz  realnej  analizy  ryzyka  oraz 
całego  procesu,  jaki  się  w  związku 
z nią odbywa.

Przykładowy scenariusz

Organizacja  chcąca  wdrożyć  w 
swych  strukturach  System  Zarzą-
dzania 

Bezpieczeństwem 

Infor-

macji  postanowiła  rozpocząć  pra-
cę  od  dokładnego  oszacowania 

Rysunek 1. 

Spotkanie z kierownictwem organizacji

background image

hakin9 Nr 4/2007

www.hakin9.org

Obrona

48

ryzyka, istniejących podatności, praw-
dopodobieństwa występowania zagro-
żeń oraz analizy ryzyka. Na początku 
wdrożenia powołano, zgodnie z wyma-
ganiem normy, forum bezpieczeństwa 
odpowiedzialne za nadzór nad proce-
sem  wdrożenia.  Do  prac  nad  analizą 
ryzyka  zaproszono  zarząd,  wszyst-
kich dyrektorów pionów, informatyków, 
służby ochrony. Wraz z konsultantami 
z  zakresu  bezpieczeństwa  informa-
cji oraz bezpieczeństwa IT, zaczeli się 
oni zastanawiać, czy i jakie wystąpiły 
w przeszłości w organizacji incydenty 
dotyczące  naruszenia informacji, awa-
rii  systemów  informatycznych,  zakłó-
ceń  związanych  z  bezpieczeństwem 
fizycznym i środowiskowym w obsza-
rach organizacji. Po określeniu takich 
incydentów, przeanalizowano raz jesz-
cze, jakie czynniki miały wpływ na ich 
wystąpienie i jakie działania korygują-
ce i zapobiegawcze zastosowano, aby 
nie dopuścić w przyszłości do ponow-
nego wystąpienia podobnych zdarzeń. 
Analizując te dane wraz z powołanymi 
specjalistami  z  zakresu  bezpieczeń-
stwa  informacji  i  bezpieczeństwa  IT, 
zaczęto się zastanawiać, czy obecnie 
zastosowane zabezpieczenia są ade-
kwatne  do  wagi  posiadanych  przez 
przedsiębiorstwo informacji, aktywów, 
procesów, obszarów i ludzi. 

Wcześniej  jednak  konsultanci 

przekazali wszystkim dyrektorom pio-
nów,  formularz  dotyczący  klasyfika-
cji informacji i aktywów, jakie znajdu-
ją się w organizacji, a jakie mają dla 
nich  znaczenie  (prawne,  rynkowe, 
strategiczne). Informacje zwrotne zo-
stały  dodane  do  szablonu  szacowa-
nia ryzyka. Wspólnie z całą powołaną 
kadrą określono realne, istniejące po-
datności-tzw. „słabe punkty” w orga-
nizacji, mogące mieć wpływ na naru-
szenie bezpieczeństwa dla wymienio-
nych  informacji,  aktywów,  obszarów 
czy procesów. W tym momencie kon-
sultanci  mieli  przygotowany  dokład-
ny szablon analizy ryzyka i mogli po-
dejść do jego szacowania. Na pierw-
szej  pozycji  pojawił  się  budynek  za-
rządu, jako ważny obszar, w którym 
przetwarzane  i  przechowywane  są 
najważniejsze informacje. Określono 
dla  niego  kilka  realnych  podatności. 

Były nimi:

•   Włamanie fizyczne do budynk
•   Pożar
•   Zalanie
•   Włamanie  fizyczne  do  pomiesz-

czenia zastępcy Dyrektora finan-
sowego

•   Kradzież laptopów
•   Sabotaż  wewnętrzny  ze  strony 

pracowników ochrony

Następnie  określone  zostały  prawdo-
podobieństwa  wystąpienia  realnych 
zagrożeń  dla  tych  obszarów.  Uzna-
no,  że  należy  wzmocnić  ochronę  fi-
zyczną budynku poprzez zainstalowa-
nie lepszego monitoringu zarówno we-
wnątrz, jak i na zewnątrz budynku, po-
prosić przedstawiciela straży pożarnej 
o jeszcze jedną analizę systemu prze-
ciwpożarowego i ewentualne wzmoc-
nienie  budynku  w  tym  obszarze. 
W  przypadku  pomieszczeń  członków 
zarządu,  ustalono,  że  zostanie  okre-
ślony  oddzielny  obszar  bezpieczny, 
w  którym  znajdować  się  będą  biura 
członków zarządu. Obszar ten będzie 
oddzielony  za  pomocą  szklanej  ścia-
ny  z  drzwiami  na  zamek  magnetycz-
ny otwierany przez wprowadzenie sze-
ściocyfrowego  kodu  PIN.  Dodatkowo 
przed obszarem, zostanie umieszczo-
ny sekretariat, który będzie wpuszczał 
wyłącznie umówionych interesantów.

Kradzież laptopów z ważnymi da-

nymi jest dla każdej organizacji uciąż-
liwa, nie wiadomo gdzie dane te trafia-

ją.  Dlatego  też  ustalono,  że  zostanie 
stworzona oddzielna, dość restrykcyj-
na  procedura  dotycząca  wynoszenia 
sprzętu  komputerowego  poza  obszar 
firmy, tak, aby zminimalizować ryzyko 
jego  utraty.  Ponadto  ustalono,  że  zo-
stanie zakupiony odpowiedni sprzęt do 
wzmocnienia  ochrony  tych  urządzeń 
oraz  lepsze,  bezpieczniejsze  nośniki, 
niesugerujące pochodzenia.

Jedynym  problemem  do  rozwią-

zania  pozostał  ewentualny  sabotaż 
wewnętrzny w firmie. Jest on niezwy-
kle trudny do udowodnienia, a jeszcze 
trudniej znaleźć winnego tych działań. 
Zarząd  zlecił  stworzenie  odpowied-
nich  procedur  związanych  z  zatrud-
nieniem  pracowników,  ich  rekrutacją 
i weryfikacją posiadanych przez nich 
kwalifikacji.  Ponadto  obecnym  pra-
cownikom  nakazano  podpisanie  sto-
sownych  oświadczeń  bezpieczeń-
stwa,  mówiących  o  ewentualnych 
sankcjach  w  przypadku  udostępnie-
nia informacji, jej kradzieży, zniszcze-
nia  lub  zmodyfikowania  bez  zgody  i 
wiedzy przełożonego.

Co  prawda  żadna  organizacja 

O autorze

Autor  jest  Product  Managerem  ds. 
zarządzania bezpieczeństwem informa-
cji w Computer Service Support S.A.
Kontakt  z  autorem:  tomasz.polacze-
k@css.pl

Rysunek 2. 

Analiza ryzyka, czyli burza mózgów przeprowadzona z 

kierownictwem organizacji

background image

System Zarządzania Bezpieczeństwem Informacji

nigdy  nie  osiągnie  100%  bezpie-
czeństwa,  ale  może  je  realnie  zmi-
nimalizować.

Znając  już  dokładne  sposoby,  ja-

kie można wykorzystać do zminimali-
zowania zagrożenia, określamy praw-
dopodobieństwo jego wystąpienia na 
podstawie incydentów, jakie wystąpi-
ły w przeszłości. Należy przy tym pa-
miętać, że logiczny jest wybór zabez-
pieczeń,  których  koszt  nie  przekro-
czy  wartości  aktywu,  informacji,  któ-
re chcemy zabezpieczyć.

Po  określeniu  tych  wszystkich 

czynników,  zarząd  miał  pełen  obraz 
realnych  zagrożeń,  określił  przedział 
czasu,  w  jakim  dane  zabezpieczenia 
dla  określonych  obszarów,  aktywów 
i  informacji  zostaną  wdrożone  i  mógł 
przystąpić do wdrożenie całego Syste-
mu Zarządzania Bezpieczeństwem In-
formacji ISO 27001 w całej organizacji. 
Poza  zastosowaniem  odpowiednich 
zabezpieczeń,  możemy  również  za-

stosować inne metody. Jest to na przy-
kład unikanie ryzyka, czyli zastanowie-
nie się, w jaki sposób możemy uniknąć 
ryzyka  lub,  przeniesienie  samego  ry-
zyka  na  inne  obszary,czy  procesy  w 
organizacji.

Podsumowanie

Opisana metoda, hipotetyczny scena-
riusz szacowania oraz analizy ryzyka 
są jednymi z wielu możliwości. Na ryn-
ku istnieje wiele programów wspoma-
gających  szacowanie  ryzyka.  Dlate-
go też ważne jest, aby podchodząc do 
analizy ryzyka, wybrać najskuteczniej-
szą i najlepszą metodę, która dokład-
nie wpasuje się w organizację oraz jej 
potrzeby. Należy również pamiętać, że 
dane, jakie uzyskamy z analizy ryzyka, 
posłużą nam później do formułowania 
planu ciągłości działania organizacji w 
przypadku katastrof i incydentów mo-
gących realnie w niej wystąpić. l

UWAGI

Należy  pamietać  że  dobra  analiza  ry-
zyka  powinna  być  przeprowadzana 
indywidualnie  dla  danej  organizacji, 
uwzględniając w niej realne zagrożenie 
oraz  faktycznie  istniejące  podatności, 
które mogą mieć realny wpływ na na-
ruszenie bezpieczeństwa zasobów in-
fomracyjnych organizacji. 

Analiza ryzyka powinna być prze-

prowadzana  z  najwyższym  kierownic-
twem  organizacji,  kierownikami  po-
szególnych  działów,wydziałów,depar-
tamentów, pownieważ tylko wtedy bę-
dziemy mieć realny wgląd w istniejące 
zabezpieczenia, podatności i zagroże-
nia, a nikt nie zna tak dobrze organiza-
cji jak ludzie w niej pracujący.

Na podstawie wyników z analizy ry-

zyka, możemy stworzyć sprawny plan 
ciągłości działania biznesowego orga-
nizacji oraz odpowiednika dla informa-
tyki, disaster recovery

R

E

K

L

A

M

A