- Łączenie funkcji w ochronie informacji niejawnych
- Jak prawidłowo zatrudnić Pełnomocnika ds. ochrony informacji niejawnych
- Organizacji kancelarii tajnej obsługującej dwie lub więcej jednostek organizacyjnych
- Szkolenia z informacji niejawnych - kiedy, kogo i przez kogo?
- Informacje niejawne w przetargach publicznych
Analiza ryzyka
Zgodnie z Rozporządzeniem Prezesa Rady ministrów z dnia 25 sierpnia 2005 r. w sprawnie podstawowych wymagań bezpieczeństwa teleinformatycznego [§12] Szczególne Wymagania Bezpieczeństwa (SWB) „opracowuje się po przeprowadzeniu szacowania ryzyka dla IN [..] z uwzględnieniem warunków charakterystycznych dla jednostki organizacyjnej”. Znaczy to, iż przed przystąpieniem do opracowywania dokumentacji systemu niejawnego należy przeprowadzić analizę ryzyka.
Analiza ryzyka jest jednym z elementów procesu zarządzania ryzykiem. Wykonuje się ją podczas projektowania sytemu/sieci TI, cyklicznie w trakcie eksploatacji oraz w przypadku zaistnienia incydentu naruszenia bezpieczeństwa TI. W oparciu o wyniki analizy ryzyka dobiera się zabezpieczenia. Zastosowane zabezpieczenia powinny być efektywne kosztowo i uwzględniać wymagania wynikające z przepisów prawa, wymagania biznesowe i wymagania z analizy ryzyka zasobów posiadających wartość dla działania instytucji. Ryzyko jakie powstaje po wprowadzeniu zabezpieczeń nazywamy ryzykiem szczątkowym.
Aby poprawnie przeprowadzić analizę ryzyka potrzebujemy określonej wiedzy. Musi być nam znana polityka bezpieczeństwa wdrożona w danej jednostce organizacyjnej (np. kontrola dostępu do pomieszczeń lub monitoring), musimy wiedzieć co chronimy i przed kim/czym, a także konieczna jest wiedza na temat środków jakimi dysponujemy (ludzie, pieniądze, czas).
Analiza ryzyka polega na identyfikacji ryzyka wystąpienia niepożądanego czynnika (ujawnienia, przechwycenia itd.), określenia jego wielkości i zidentyfikowania obszarów wymagających zabezpieczeń tak aby to ryzyko zminimalizować lub całkowicie go zlikwidować.
Aby przeprowadzić poprawnie analizę ryzyka na początku należy określić:
- zasoby, które będziemy chronić;
- zagrożenia – czynnik, który może powodować wystąpienie incydentu;
- podatność – słabość zasobów, która może być wykorzystana przez zagrożenie;
- skutki – jaki wpływ będzie miał zaistniały incydent na system/sieci TI.
Uzbrojeni w taką wiedzę możemy zacząć szacować ryzyko, które w dalszej fazie pozwoli wysunąć nam wnioski do dokumentacji bezpieczeństwa systemu.
Zasobami systemu są wszystkie elementy służące do przetwarzania, przechowywania, lub przekazywania informacji oraz do zapewnienia im właściwego poziomu bezpieczeństwa.
Analizę ryzyka najlepiej przeprowadzić w oparciu o macierz oszacowania ryzyka.
W lewej kolumnie umieszczamy zasoby (ZA) np.: ludzie, aplikacje. W wierszu zagrożenia (ZG) umieszczamy elementy mające negatywny wpływ na zasoby np.: pożar, kradzież. Następnie ustalamy skalę dla poszczególnych przypadków (utraty poufności, dostępności, integralności).
Ryzyko = iloczyn wartości skutków i podatności zasobów systemu
P R Z Y K Ł A D
Ustalmy przykładową skalę dla zasobów np. od 0 do 10, gdzie 10 oznacza bardzo duże skutki zaistniałego incydentu. Skalę ryzyka otrzymamy mnożąc przez siebie maksymalne punkty dla zasobów i tak 10×10 mamy 100, więc 100 będzie oznaczało bardzo duże ryzyko wystąpienia incydentu.
I teraz np.: dla zasobu „Dysk twardy” możemy wymienić następujące zagrożenia:
- dla poufności: nieuprawniony dostęp do komputera w którym się dysk znajduje, na dysku przechowujemy informacje poufne więc skutek utraty ich poufności ustawmy na 5. Komputer stoi w pokoju bez monitoringu, do którego ma dostęp wiele osób wiec podatność na to zagrożenie jest wysoka, powiedzmy 7 pkt. Aby obliczyć ryzyko mnożymy 5×7 i otrzymujemy wynik 35. W naszej 100 stopniowej skali oznacza to że ryzyko nieuprawnionego dostępu do komputera kształtuje się na poziomie średnim.
- dla dostępności: odcięcie zasilania. Informacje znajdujące się na dysku nie wypływają znacząco na pracę jednostki organizacyjnej i możemy przeczekać czas bez prądu, więc szacujemy iż skutki utraty dostępu do zasobów są niskie i stawiamy 2 pkt. Jako że komputer ma UPS’a oraz firma posiada także własny alternator prądotwórczy w razie czego, podatność na to zagrożenie jest też niska, stawiam 2 pkt. Iloczyn skutków i podatności daje nam wynik 4 pkt., co oznacza że ryzyko praktycznie nie występuje.
- dla integralności: atak wirusa. Nasz przykładowy dysk twardy, jak już wcześniej wspomniałem znajduje się w komputerze, wyposażony on jest w wejście USB przez które można podpiąć pamięć przenośną, na której znajduje się wirus i „zarazić” nim cały komputer. Działalność wirusa może spowodować zafałszowanie danych lub ich utratę. Stawiam 5 pkt. Przez obecność odpowiedniego oprogramowania antywirusowego, który nie może zostać wyłączony przez zwykłego użytkownika oraz bieżąca aktualizacja go powoduje, iż podatność jest nie wielka, stawiam 3 pkt. 5×3 daje nam 15 co oznacza że ryzyko jest niewielkie.
Przy analizie skutków utraty poszczególnych elementów bezpieczeństwa (poufności, dostępności, integralności) należy także uwzględnić je w stosunku do kosztów ewentualnych dodatkowych zabezpieczeń.
Tak przeprowadzona analiza dla wszystkich chronionych zasobów oraz wszystkich możliwych zagrożeń da nam pełny obraz na co zwrócić szczególną uwagę, jakie zastosować dodatkowe środki bezpieczeństwa i pozwoli na stworzenie dobrze działającej polityki bezpieczeństwa danego systemu. Dodatkowo ułatwi nam też stworzenie dokumentacji bezpieczeństwa.
Zajmuje się szeroko pojętym tematem zarządzania bezpieczeństwa informacji.
Jako młoda, aktywna i przedsiębiorcza osoba wciąż poszukuję nowych źródeł wiedzy i możliwości rozwoju.
Poszukuję kontaktów biznesowych, nawiążę również kontakt z osobami zainteresowanymi podobną problematyką w celu współpracy, wymiany spostrzeżeń i doświadczeń.