72
BEZPIECZNA FIRMA
HAKIN9 5/2010
B
ezpieczeństwo informacji według
normy ISO 17799 oznacza zachowanie
poufności, integralności i dostępności
informacji. Dodatkowo mogą być brane pod
uwagę inne atrybuty informacji, takie jak
autentyczność, rozliczalność, niezaprzeczalność
i niezawodność. Jak uczy doświadczenie,
sukces w zapewnieniu bezpieczeństwa
informacji w organizacji zależy miedzy innymi
od szacowania ryzyka i właściwego nim
zarządzania.
Ryzyko ma wiele znaczeń. Potocznie
oznacza niepewność, która wiąże się z szansą
albo stratą. Według Wikipedii oznacza jakąś
miarę/ocenę zagrożenia czy niebezpieczeństwa
wynikającego albo z prawdopodobnych
zdarzeń od nas niezależnych, albo z możliwych
konsekwencji podjęcia decyzji. Najogólniej,
ryzyko jest wskaźnikiem stanu lub zdarzenia
które może prowadzić do strat. Jest ono
proporcjonalne do prawdopodobieństwa
wystąpienia tego zdarzenia i do wielkości strat
które może spowodować.
W bezpieczeństwie informacji, wg normy
ISO/IEC Guide 73:2002, ryzyko jest kombinacją
prawdopodobieństwa zdarzenia i jego
konsekwencji (następstw), natomiast wg normy
ISO/IEC 27005:2008, ryzyko to potencjalna
sytuacja, w której określone zagrożenie
wykorzysta podatność aktywów lub grupy
aktywów powodując w ten sposób szkodę dla
organizacji.
ANDRZEJ GUZIK
Z ARTYKUŁU
DOWIESZ SIĘ
jak zarządzać ryzykiem w
bezpieczeństwie informacji.
CO POWINIENEŚ
WIEDZIEĆ
znać podstawowe zasady
ochrony informacji.
Z kolei zarządzanie ryzykiem definiowane
jest jako proces szacowania ryzyka mający
na celu ograniczenie go do akceptowalnego
poziomu. Zarządzanie ryzykiem zawiera
zwykle następujące etapy: szacowanie ryzyka,
postępowanie z ryzykiem, akceptowanie ryzyka
i informowanie o ryzyku.
System Zarządzania
Bezpieczeństwem Informacji
a ryzyko
Zarządzanie ryzykiem jest podstawowym
elementem profesjonalnego podejścia
do bezpieczeństwa informacji i stanowi
kluczowy element systemu zarządzania
bezpieczeństwem informacji (dalej SZBI).
Jednocześnie jest to jedno z najtrudniejszych
do realizacji w praktyce zagadnień. Z pomocą
przychodzą nam normy serii ISO 27000.
Norma ISO 27002 zawiera wytyczne związane
z ustanowieniem, wdrożeniem, eksploatacją,
monitorowaniem, przeglądem, utrzymaniem
i doskonaleniem systemu zarządzania
bezpieczeństwem informacji. Norma jest
pierwszym standardem obejmującym
kompleksowo zarządzanie bezpieczeństwem
informacji, w tym zarządzanie ryzykiem.
Celem tej normy jest wdrożenie
mechanizmów zarządzania, które zapewnią,
że bezpieczeństwo informacji będzie istotnym
elementem funkcjonowania organizacji.
Norma zawiera wytyczne zarządzania
Stopień trudności
Ryzyko w
bezpieczeństwie
informacji
W starym modelu zarządzania ryzykiem można wyróżnić dwa
główne procesy: szacowanie ryzyka i ograniczanie ryzyka.
W nowym modelu zarządzania ryzykiem celem procesu
zarządzania ryzykiem jest ograniczenie go do akceptowalnego
poziomu przez opracowanie planu postępowania.
73
ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI
HAKIN9
5/2010
bezpieczeństwem informacji. Dotyczy
wszystkich obszarów bezpieczeństwa:
bezpieczeństwa fizycznego i
środowiskowego, bezpieczeństwa
osobowego, bezpieczeństwa IT,
zarządzania ciągłością działania i
zapewnienia zgodności z przepisami
prawa (bezpieczeństwa prawnego).
Natomiast norma ISO/IEC 27001
definiuje wymagania dla systemu
zarządzania bezpieczeństwem informacji.
SZBI powinien stanowić część składową
systemu zarządzania organizacją i być
oparty na analizie ryzyka biznesowego.
Norma zaleca podejście systemowe
zgodnie z cyklem PDCA (Plan-Do-
Check-Act) Deminga obejmującym:
ustanowienie, wdrożenie, eksploatację,
monitorowanie, przegląd, a także
utrzymanie i doskonalenie systemu
zarządzania bezpieczeństwem informacji.
W ramach ustanowienia SZBI organizacja
powinna w kontekście zarządzania
ryzykiem wykonać następujące działania:
• zdefiniować podejście do szacowania
ryzyka w organizacji,
• określić ryzyka,
• analizować i oceniać ryzyka,
• zidentyfikować i ocenić warianty
postępowania z ryzykiem,
• wybrać cele stosowania
zabezpieczeń i zabezpieczenia jako
środki postępowania z ryzykiem,
• uzyskać akceptację kierownictwa dla
proponowanych ryzyk szczątkowych.
Analiza ryzyka obejmuje: analizę
zasobów, analizę zagrożeń, analizę
podatności, analizę zabezpieczeń oraz
ocenę (oszacowanie) ryzyk. Mając
zdefiniowaną metodykę analizy ryzyka
można przystąpić do zinwentaryzowania
zasobów i szacowania ryzyk.
W wyniku przeprowadzonej analizy
ryzyka otrzymamy poziomy ryzyk
oraz poziom ryzyka akceptowalnego.
Zabezpieczenia jakie należy wdrożyć w
organizacji w celu ograniczenia ryzyk
nieakceptowalnych należy opisać w
planie postępowania z ryzykiem. Zwykle
odwołujemy się do zabezpieczeń
zaproponowanych w normie ISO
27001, w innych standardach lub
do dobrych praktyk stosowanych w
organizacji. Następnie należy opracować
deklarację stosowania. Określa ona
cele stosowania zabezpieczeń oraz
zabezpieczenia zastosowane do
budowy SZBI, w tym zawiera opis
ewentualnych wyłączeń. Należy zauważyć,
że lista 133 zabezpieczeń zawartych
w załączniku A do normy ISO 27001
nie jest wyczerpująca. Znaczy to, że
organizacja może rozważyć, czy nie są
konieczne dodatkowe cele stosowania
zabezpieczeń i zabezpieczenia.
Tabela 1 przestawia, działania jakie
należy podjąć w organizacji w procesie
zarządzania ryzykiem na poszczególnych
etapach wdrażania SZBI.
Wszystkie działania związane
z ustanowieniem, wdrożeniem,
eksploatacją, monitorowaniem,
przeglądem, utrzymaniem i
doskonaleniem systemu zarządzania
bezpieczeństwem informacji powinny
być udokumentowane, w tym proces
zarządzania ryzykiem.
Tabela 2 przedstawia wymagania
dokumentacyjne SZBI wymagane przez
normę ISO 27001.
Metodyki analizy ryzyka
Do analizy ryzyka w bezpieczeństwie
informacji stosuje się różne metodyki
analizy ryzyka, najczęściej metodykę
ilościową, jakościową lub metodykę
mieszaną – ilościowo – jakościową.
W metodyce ilościowej
oszacowanie wartości ryzyka wiąże
Tabela 1.
Relacje między procesem SZBI a procesem zarządzania ryzykiem
w bezpieczeństwie informacji
Proces SZBI
Proces zarządzania ryzykiem w bezpieczeństwie informacji
Planuj (Plan)
Ustanowienie kontekstu
Szacowanie ryzyka
Opracowanie planu postępowania z ryzykiem
Akceptowanie ryzyka
Wykonaj (Do)
Wdrożenie planu postępowania z ryzykiem
Sprawdzaj (Check) Ciągłe monitorowanie i przeglądanie ryzyka
Działaj (Act)
Utrzymanie i doskonalenie procesu zarządzania ryzykiem
w bezpieczeństwie informacji
Źródło: PN-ISO/IEC 27005
Tabela 2.
Wymagania dokumentacyjne wg ISO 27001
Lp.
Dokumentacja SZBI wg ISO 27001
1
Polityka bezpieczeństwa informacji
2
Deklaracja stosowania
3
Dokumentacja systemowa
4
Procedury wspomagające SZBI
5
Opis metodyki szacowania ryzykiem
6
Raport z szacowania ryzykiem
7
Plan postępowania z ryzykiem
Źródło: Opracowanie własne
Tabela 3.
Przykład metodyki ilościowej i jakościowej do określenia wartości zasobów
organizacji (4-stopniowa skala wartości)
Metodyka ilościowa
szacowania wartości zasobów
Metodyka jakościowa
szacowania wartości zasobów
< 10 000 PLN
Mała wartość zasobu
< 100 000 PLN
Średnia wartość zasobu
< 1 000 000 PLN
Duża wartość zasobu
> 1 000 000 PLN
Bardzo duża wartość zasobu
Źródło: Opracowanie własne
BEZPIECZNA FIRMA
74
HAKIN9 5/2010
ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI
75
HAKIN9
5/2010
się z wykorzystaniem miar liczbowych
– wartość zasobów informacyjnych
jest określana kwotowo, częstotliwość
wystąpienia zagrożenia liczbą
przypadków, a podatność wartością
prawdopodobieństwa ich utraty.
W metodyce jakościowej
oszacowanie wartości ryzyka wiąże się z
opisem jakościowym wartości aktywów,
określeniem skal jakościowych dla
częstotliwości wystąpienia zagrożeń
i podatności na dane zagrożenie.
W Tabeli 3 podano przykład
wykorzystania metodyki ilościowej i
jakościowej przy określaniu wartości
zasobów organizacji.
Analiza ryzyka
wg ISO/IEC TR 13335-3
Jednym z najtrudniejszych zadań jakie
należy wykonać na etapie ustanowienia
systemu zarządzania bezpieczeństwem
informacji jest określenie podejścia
organizacji do szacowania ryzyka.
Pomocny w tym względzie może być
raport techniczny ISO/IEC TR 13335-3
(polski odpowiednik ISO/IEC TR 13335-3:
1998 Technika informatyczna – Wytyczne
do zarządzania bezpieczeństwem
systemów informatycznych Część 3:
Techniki zarządzania bezpieczeństwem
systemów informatycznych), który
zawiera przykłady metodyk szacowania
ryzyka.
W raporcie tym przedstawiono cztery
warianty podejścia do analizy ryzyka:
podejście podstawowego poziomu
bezpieczeństwa, podejście nieformalne,
szczegółową analizę ryzyka i podejście
mieszane. Podstawowa różnica pomiędzy
nimi dotyczy stopnia szczegółowości
analizy ryzyka.
Podejście podstawowego poziomu
bezpieczeństwa polega na wprowadzeniu
standardowych zabezpieczeń niezależnie
od ryzyka wynikającego z analizy
zasobów, zagrożeń i podatności.
Podejście nieformalne polega na
wykorzystaniu wiedzy i doświadczenia
ekspertów, koncentruje się na zasobach
narażonych na wysokie ryzyko. Z
kolei szczegółowa analiza ryzyka
wymaga identyfikacji i wyceny aktywów,
oszacowania zagrożeń oraz oszacowania
podatności. Podejście czwarte, podejście
mieszane obejmuje dwa etapy. W
pierwszym etapie przeprowadza się
ogólną analizę ryzyka dla wszystkich
zasobów z uwzględnieniem ich wartości
biznesowej i ryzyka, na które są narażone.
Dla wszystkich zidentyfikowanych
zasobów, które są ważne (wartościowe)
dla organizacji, słabo zabezpieczone
i narażone na wysokie ryzyko, należy
później przeprowadzić szczegółową
analizę ryzyka. W drugim etapie dla
pozostałych zasobów stosuje się
podejście podstawowego poziomu
bezpieczeństwa.
Przyjęcie podejścia mieszanego
zalecane jest dla większości organizacji.
Jest ono najbardziej efektywne
– szczegółowa analiza ryzyka dla
zasobów posiadających wartość,
słabo zabezpieczonych i narażonych
na wysokie ryzyko, a dla pozostałych
zasobów zastosowanie podstawowego
poziomu bezpieczeństwa – wdrożenie
standardowych zabezpieczeń.
Zarządzanie ryzykiem
wg ISO 27005
Norma ISO/IEC 27005:2008 –
Zarządzanie ryzykiem w bezpieczeństwie
informacji zastępuje raporty techniczne
ISO/IEC TR 13335-3:1998 i ISO/IEC
TR 13335-4:2002, stanowiąc ich
techniczną aktualizację. Zawiera ona
wytyczne dotyczące zarządzania
ryzykiem w bezpieczeństwie informacji w
organizacji, a w szczególności wspiera
wymagania SZBI zgodnego z ISO/IEC
27001. Norma ta nie zawiera żadnej
określonej metodyki analizy ryzyka.
Każda organizacja sama powinna
określić swoje podejście do zarządzania
ryzykiem w zależności od zakresu SZBI,
Rysunek 1.
Proces zarządzania ryzykiem w bezpieczeństwie informacji. Źródło: PN-
ISO/IEC 27005
����������������������
�����
�
���
�����������������
�
����
��������
�
�������
�
����
�����������������
���
���
���
���
�������
������
����������������������
������������������
������������
����������������������
�������������������
���������������������������������������
������������������������
�����������������������������
������������������������
����������������������������
BEZPIECZNA FIRMA
74
HAKIN9 5/2010
ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI
75
HAKIN9
5/2010
kontekstu zarządzania ryzykiem czy
branży, w której działa. Wdrożenie SZBI
wymaga systematycznego podejścia do
zarządzania ryzykiem w bezpieczeństwie
informacji. Proces zarządzania ryzykiem
powinien być procesem ciągłym.
Po oszacowaniu ryzyka zaleca się
opracowanie planu postępowania z
ryzykiem w celu wdrożenia zaleceń i
decyzji.
Wg ww. normy proces zarządzania
ryzykiem w bezpieczeństwie informacji
składa się z ustanowienia kontekstu,
szacowania ryzyka, postępowania
z ryzykiem, akceptowania ryzyka,
informowania o ryzyku oraz
monitorowania i przeglądu ryzyka.
Ilustruje to Rysunek 1.
Jak wynika z Rysunku 1, dla działań
szacowania ryzyka i/lub postępowania
z ryzykiem, proces zarządzani ryzykiem
w bezpieczeństwie informacji może być
iteracyjny.
Zawiera dwa punkty decyzyjne:
szacowanie ryzyka satysfakcjonujące
i postępowanie z ryzykiem
satysfakcjonujące.
W przypadku, gdy szacowanie
ryzyka jest satysfakcjonujące (poziom
ryzyka akceptowalny) przechodzimy do
postępowania z ryzykiem.
Rysunek 2 przedstawia postępowanie
z ryzykiem w bezpieczeństwie informacji.
Jak wynika z Rysunku 2 możliwe są
cztery warianty postępowania z ryzykiem:
redukowanie ryzyka, zachowanie ryzyka,
unikanie ryzyka i przeniesienie ryzyka.
W wariancie I – redukowanie
ryzyka, zaleca się zredukowanie
ryzyka przez taki wybór zabezpieczeń,
aby ryzyko szczątkowe można było
ponownie oszacować jako ryzyko do
zaakceptowania.
W wariancie II – zachowanie ryzyka,
zaleca się podjęcie decyzji o zachowaniu
ryzyka bez podejmowania dalszych
działań na podstawie oceny ryzyka.
Z kolei w wariancie III – unikanie
ryzyka, zaleca się unikanie działań lub
warunków, które powodują powstanie
określonych ryzyk.
Natomiast w wariancie IV –
przeniesienie (transfer) ryzyka, zaleca się
transfer ryzyka do innej strony, która może
skutecznie zarządzać ryzykiem.
Na koniec warto wspomnieć o
sześciu załącznikach informacyjnych
do normy ISO 27005. Zawierają one
wiele pomocnych informacji, które
można wykorzystać przy zarządzaniu
i analizie ryzyka. W załączniku A
Rysunek 2.
Działanie postępowania z ryzykiem .Źródło: PN-ISO/IEC 27005
����������
�����������������
������������
�����������������
�����������������������
������������������������
������������������������
��������������������������������
�����������
������
����������
������
��������
������
�������������
������
�����������������
������������
�����������������
������
Normy związane z analizą ryzyka
• ISO/IEC TR 13335-3 (polski odpowiednik ISO/IEC TR 13335-3:1998 Technika
informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych Część 3: Techniki zarządzania bezpieczeństwem systemów
informatycznych).
• ISO/IEC 27001:2005 – Wymagania związane z ustanowieniem, wdrożeniem,
eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu
Zarządzania Bezpieczeństwem Informacji (polski odpowiednik PN-ISO/IEC 27001:
2007 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania
bezpieczeństwem informacji – Wymagania).
• ISO/IEC 27002:2005 – Wytyczne związane z ustanowieniem, wdrożeniem,
eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu
Zarządzania Bezpieczeństwem Informacji (polski odpowiednik PN-ISO/IEC 17799:
2007 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady
zarządzania bezpieczeństwem informacji).
• ISO/IEC 27005:2008 – Zarządzanie ryzykiem w bezpieczeństwie informacji (projekt
polskiego odpowiednika PN-ISO/IEC 27005:2009 Technika informatyczna – Techniki
bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji).
BEZPIECZNA FIRMA
76
HAKIN9 5/2010
ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI
77
HAKIN9
5/2010
znajdziemy informacje na temat
sposobu definiowania zakresu i
granic procesu zarządzania ryzykiem
w bezpieczeństwie informacji.
Struktura normy ISO/IEC 27005
Przedmowa
Wprowadzenie
1 Zakres normy.
2 Powołania normatywne.
3 Terminy i definicje.
4 Struktura niniejszej Normy Międzynarodowej.
5 Informacje podstawowe.
6 Przegląd procesu zarządzania ryzykiem związanym z bezpieczeństwem
informacji.
7 Ustanowienie kontekstu.
7.1 Rozważania ogólne.
7.2 Podstawowe kryteria.
7.3 Zakres i granice.
7.4 Organizacja zarządzania ryzykiem w bezpieczeństwie informacji.
8 Szacowanie ryzyka w bezpieczeństwie informacji.
8.1 Ogólny opis szacowania ryzyka w bezpieczeństwie informacji.
8.2 Analiza ryzyka.
8.2.1 Identyfikowanie ryzyka.
8.2.2 Estymacja ryzyka.
8.3 Ocena ryzyka.
9 Postępowanie z ryzykiem w bezpieczeństwie informacji.
9.1 Ogólny opis postępowania z ryzykiem.
9.2 Redukowanie ryzyka.
9.3 Zachowanie ryzyka.
9.4 Unikanie ryzyka.
9.5 Transfer ryzyka.
10 Akceptowanie ryzyka w bezpieczeństwie informacji.
11 Informowanie o ryzyku w bezpieczeństwie informacji.
12 Monitorowanie i przegląd ryzyka w bezpieczeństwie informacji.
12.1 Monitorowanie i przegląd czynników ryzyka.
12.2 Monitorowanie, przegląd i doskonalenie zarządzania ryzykiem.
Załącznik A (informacyjny) Definiowanie zakresu i granic procesu zarządzania ryzykiem w bezpieczeństwie informacji.
A.1 Studium organizacji.
A.2 Lista ograniczeń dotyczących organizacji.
A.3 Lista powołań legislacyjnych i regulacyjnych mających zastosowanie w organizacji.
A.4 Lista ograniczeń dotyczących zakresu.
Załącznik B (informacyjny) Identyfikowanie i wartościowanie aktywów oraz szacowanie skutków
B.1 Przykłady identyfikowania aktywów.
B.1.1 Identyfikowanie aktywów podstawowych.
B.1.2 Lista i opis aktywów wspierających.
B.2 Wartościowanie aktywów.
B.3 Szacowanie skutków.
Załącznik C (informacyjny) Przykłady typowych zagrożeń.
Załącznik D (informacyjny) Podatności i metody szacowania podatności.
D.1 Przykłady podatności.
D.2 Metody szacowania podatności technicznych.
Załącznik E (informacyjny) Podejście do szacowania ryzyka w bezpieczeństwie informacji.
E.1 Ogólne szacowanie ryzyka w bezpieczeństwie informacji.
E.2 Szczegółowe szacowanie ryzyka w bezpieczeństwie informacji.
E.2.1 Przykład 1 Macierz z wcześniej zdefiniowanymi wartościami.
E.2.2 Przykład 2 Ranking zagrożeń przez pomiar ryzyka.
E.2.3 Przykład 3 Szacowanie wartości prawdopodobieństwa i potencjalnych następstw ryzyka.
Załącznik F (informacyjny) Ograniczenia przy redukowaniu ryzyka.
Bibliografia.
Załącznik B zawiera przykłady
identyfikowania i wartościowania
aktywów oraz szacowanie skutków w
związku z incydentami związanymi z
bezpieczeństwem informacji. Załączniki
C i D zawierają przykłady typowych
zagrożeń i podatności oraz metody
szacowania podatności, które można
BEZPIECZNA FIRMA
76
HAKIN9 5/2010
ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI
77
HAKIN9
5/2010
Lista typowych zasobów
Andrzej Guzik
audytor systemu zarządzania bezpieczeństwem
informacji oraz systemu zarządzania jakością, audytor
wewnętrzny, ekspert w zakresie ochrony informacji
prawnie chronionych, redaktor portalu www.ochronain
formacji.pl.
Kontakt z autorem, e-mail: a.guzik@ochronainformacji.pl.
Terminologia związana z ryzykiem
Skutek – negatywna zmiana w odniesieniu do osiąganego poziomu celów biznesowych.
Ryzyko związane z bezpieczeństwem informacji – potencjalna sytuacja, w której określone zagrożenie wykorzysta podatność aktywów lub
grupy aktywów powodując w ten sposób szkodę dla organizacji. Ryzyko jest mierzone jako kombinacja prawdopodobieństwa zdarzenia i jego
następstw.
Unikanie ryzyka – decyzja o nieangażowaniu się lub działanie w kierunku wycofania się
z ryzykowanej sytuacji.
Informowanie o ryzyku – wymiana lub dzielenie się informacjami o ryzyku między decydentami a innymi uczestnikami.
Estymacja ryzyka – proces przypisywania wartości prawdopodobieństwu i następstwom ryzyka.
Identyfikowanie ryzyka – proces znajdowania, zestawiania i charakteryzowania elementów ryzyka.
Redukowanie ryzyka – działania podejmowane w celu zmniejszenia prawdopodobieństwa, negatywnych następstw, lub obu, związanych z
ryzykiem.
Zachowanie ryzyka – akceptowanie ciężaru straty lub korzyści z zysku, z określonego ryzyka.
Transfer ryzyka – dzielenie z inną stroną ciężaru straty lub korzyści zysku, dla ryzyka.
Lp.
Lista zasobów
1
grupy informacji przetwarzane w systemach informatycznych, w tym zwłaszcza informacje prawnie chronione:
tajemnica przedsiębiorstwa, dane osobowe, informacje niejawne
2
sprzęt komputerowy
3
oprogramowanie
4
urządzenia telekomunikacyjne
5
informatyczne nośniki danych
6
dokumentacja
7
usługi
8
sprzęt zapewniający właściwe warunki środowiskowe
9
budynki, pomieszczenia
10
personel
11
wizerunek organizacji
Źródło: ISO 27005
wykorzystać w analizie ryzyka. Na
szczególną uwagę zasługuje załącznik
E opisujący podejście do szacowania
ryzyka w bezpieczeństwie informacji.
Znajdziemy w nim informacje na temat
ogólnego i szczegółowego szacowania
ryzyka w bezpieczeństwie informacji. W
ostatnim załączniku F norma opisuje
ograniczenia jakie należy wziąć pod
uwagę przy redukowania ryzyka.
Podsumowanie
Proces zarządzania ryzykiem
jest podstawowym i zarazem
najtrudniejszym procesem w systemie
zarządzania bezpieczeństwem
informacji. Jego jakość decyduje o
jakości całego SZBI. Na podstawie
wyników analizy ryzyka dobiera się
zabezpieczenia, opracowuje się
plan postępowania z ryzykiem oraz
akceptuje ryzyka. Należy pamiętać, że
nie jest to jednorazowy akt, lecz proces
ciągły. Powinien być przeprowadzany
przynajmniej raz w roku. Instytucja
powinna posiadać udokumentowaną
procedurę analizy ryzyka, tak aby proces
analizy ryzyka był powtarzalny.
Zgodnie z nowym modelem
zarządzania ryzykiem ograniczamy
ryzyka do akceptowalnego poziomu
przez opracowanie planu postępowania
z ryzykiem. Po oszacowaniu ryzyka
mamy do wyboru cztery warianty
postępowania z ryzykiem: redukowanie,
zachowanie, unikanie i przeniesienie.
Wybór wariantu postępowania z
ryzykiem należy do najwyższego
kierownictwa organizacji.
Wdrożenie procesu zarządzanie
ryzykiem w organizacji świadczy
o profesjonalnym podejściu do
planowania skutecznych i uzasadnionych
działań w obszarze bezpieczeństwa
informacji oraz do zapewnienia ciągłości
działania organizacji.
BEZPIECZNA FIRMA
78
HAKIN9 5/2010
ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI
Lista typowych zagrożeń
Rodzaj zagrożenia Typ zagrożenia
Przyczyna
Zniszczenia fizyczne Pożar
P, R, S
Zalanie
P, R, S
Zanieczyszczenie
P, R, S
Poważny wypadek
P, R, S
Zniszczenie urządzeń lub nośników
P, R, S
Pył, korozja, wychłodzenie
P, R, S
Zjawiska naturalne
Zjawiska klimatyczne
S
Zjawiska pogodowe
S
Powódź
S
Utrata
Podstawowych
usług
Awaria systemu klimatyzacji lub wodno-kanalizacyjnego
P, R
Utrata zasilania
P, R, S
Awaria urządzenia telekomunikacyjnego
P, R
Zakłócenia
spowodowane
promieniowaniem
Promieniowanie elektromagnetyczne
P, R, S
Promieniowanie cieplne
P, R, S
Impuls elektromagnetyczny
P, R, S
Naruszenie
bezpieczeństwa
informacji
Przechwycenie sygnałów na skutek zjawiska interferencji
R
Szpiegostwo zdalne
R
Podsłuch
R
Kradzież nośników lub dokumentów
R
Kradzież urządzenia
R
Odtworzenie z nośników wyrzuconych lub pochodzących z recyklingu
R
Ujawnienie
P, R
Dane z niewiarygodnych źródeł
P, R
Manipulowanie urządzeniem
R
Sfałszowanie oprogramowania
P, R
Detekcja umiejscowienia
R
Awarie techniczne
Awaria urządzenia
P
Niewłaściwe funkcjonowanie urządzeń
P
Przeciążenie systemu informacyjnego
P, R
Niewłaściwe funkcjonowanie oprogramowania
P
Naruszenie zdolności utrzymania systemu informacyjnego
P, R
Nieautoryzowane
działania
Nieautoryzowane użycie urządzeń
R
Nieuprawnione kopiowanie oprogramowania
R
Użycie fałszywego lub skopiowanego oprogramowania
P, R
Zniekształcenie danych
R
Nielegalne przetwarzanie danych
R
Naruszenie
bezpieczeństwa
funkcji
Błąd użytkowania
P
Nadużycie praw
P, R
Fałszowanie praw
R
Odmowa działania
R
Naruszenie dostępności personelu
P, R, S
Źródło: ISO 27005. Gdzie: P – zagrożenie przypadkowe R – zagrożenie rozmyślne S – zagrożenie środowiskowe
BEZPIECZNA FIRMA
78
HAKIN9 5/2010
ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI
Lista typowych podatności w poszczególnych obszarach bezpieczeństwa
Lp.
Obszar bezpieczeństwa
Podatność
1
Środowisko i infrastruktura
Brak fizycznej ochrony budynku, drzwi i okien
Niewłaściwe lub nieuważne użycie fizycznej kontroli dostępu do budynków, pomieszczeń
Niestabilna sieć elektryczna
Lokalizacja na terenie zagrożonym powodzią
2
Sprzęt
Brak planów okresowej wymiany
Podatność na zmiany napięcia
Podatność na zamiany temperatury
Podatność na wilgotność, kurz, zabrudzenie
Wrażliwość na promieniowanie elektromagnetyczne
Niewłaściwa konserwacja/wadliwa instalacja nośników
Brak sprawnej kontroli zmian w konfiguracji
3
Oprogramowanie
Niejasny lub niekompletny opis techniczny dla projektantów
Brak lub niedostateczne przetestowanie oprogramowania
Skomplikowany interfejs użytkownika
Brak mechanizmów identyfikacji i uwierzytelniania takich jak uwierzytelnianie użytkowników
Brak śladów dla audytu
Dobrze znane wady oprogramowania
Niechronione tablice haseł
Złe zarządzanie hasłami
Niewłaściwy przydział uprawnień do dostępu
Brak kontroli pobierania i użytkowania oprogramowania
Brak konieczności wylogowania się po opuszczeniu stacji roboczej
Brak efektywnej kontroli zmian
Brak dokumentacji
Brak kopii zapasowych
Usuwanie lub ponowne użycie nośników bez odpowiedniego kasowania ich zawartości
4
Łączność
Niechronione linie łączności
Złe łączenie kabli
Brak identyfikacji i uwierzytelniania nadawcy i odbiorcy
Przesyłanie haseł w postaci jawnej
Brak dowodu wysłania lub odebrania wiadomości
Linie komutowane
Niechroniony wrażliwy ruch
Nieodpowiednie zarządzanie siecią
Niechronione połączenia do sieci publicznej
5
Dokumenty
Niechronione przechowywanie
Nieodpowiednie niszczenie
Niekontrolowane kopiowanie
6
Personel
Nieobecność personelu
Praca personelu zewnętrznego lub sprzątającego bez nadzoru
Niedostateczne szkolenia w zakresie bezpieczeństwa
Brak świadomości bezpieczeństwa
Niewłaściwe użycie oprogramowania i sprzętu
Brak mechanizmów monitorowania
Brak polityk właściwego użycia środków łączności i komunikowania się
Niewłaściwe procedury zatrudniania
7
Podatności mające
zastosowania ogólne
Pojedynczy punkt uszkodzenia
Niewłaściwa reakcja serwisu dokonującego konserwacji
Źródło: ISO 27005