www.hakin9.org

hakin9 Nr 4/2007

46

Obrona

T

a częsta praktyka może doprowadzić
do sytuacji, w której nie będzie można
poradzić sobie z daną katastrofą lub in-

cydentem, ponieważ nie będzie zdefiniowane-
go logicznego i przemyślanego planu postę-
powania z ryzykiem.

Będziemy się wtedy zastanawiać nie tyl-

ko, co zrobić, ale dlaczego dany incydent w
ogóle mógł mieć miejsce. Sami wtedy doj-
dziemy do wniosku, że być może nie zostały
zdefiniowane i zastosowane odpowiednie za-
bezpieczenia, lub same procesy nie zostały
dokładnie przeanalizowane pod kątem bez-
pieczeństwa.

Podstawą każdego wdrożenia Systemu

Zarządzania Bezpieczeństwem Informacji jest
przede wszystkim sprawnie przeprowadzona
i przemyślana analiza ryzyka. Jest ona punk-
tem wyjściowym do dostosowania polityki
bezpieczeństwa do faktycznych potrzeb i real-
nych zagrożeń dla danej organizacji.

Sama norma ISO 27001 wymaga od

przedsiębiorstwa, zdefiniowania i przeanalizo-
wania potencjalnego ryzyka i wybrania na je-
go podstawie odpowiednich metod zabezpie-
czeń. Jednak sama analiza ryzyka to później-
szy etap.

Krok pierwszy – wybór metody

Pierwsze kroki przy rozpoczęciu całego pro-
cesu analizy ryzyka to wybór odpowiedniej
metody jego przeprowadzenia i dobranie od-
powiednio przeszkolonego personelu. Wśród
specjalistów zaangażowanych w prace nad
analizą ryzyka powinni znaleźć się członko-
wie zarządu firmy, dyrektorowie pionów, dzia-
łów, informatycy oraz pracownicy ochrony fi-
zycznej. Wspólnie określają oni poziom ak-
ceptowanego ryzyka oraz podatność przed-
siębiorstwa na nie. Przed rozpoczęciem prac
nad analizą ryzyka, powinny zostać sklasyfi-
kowane informacje oraz aktywa je przetwa-
rzające, przechowujące i niszczące informa-
cje. Należy również zdefiniować tzw. „obsza-
ry bezpieczne”, w których znajdują się strate-

Analiza ryzyka – Zarządza-

nie Bezpieczeństwem

Informacji

Tomasz Polaczek

stopień trudności

Częstym błędem przy wdrażaniu polityki bezpieczeństwa

informacji w rozmaitych organizacjach, jest szybkie i

powierzchowne podejście do problemów. Bardziej oparte na

intuicji, niż wynikające z przemyślanych analiz incydentów, czy

innych zdarzeń mających wpływ na zachwianie bezpieczeństwa

zarówno informacji, jak i IT.

Z artykułu dowiesz się...

• czym jest analiza ryzyka,
• dlaczego jest tak ważnym procesem przy

wdrażaniu sprawnego Systemu Zarządzanie
Bezpieczeństwem Informacji. Sprawnie prze-
prowadzona, z odpowiednią grupą osób z or-
ganizacji, jest podstawą bezpieczeństwa.

System Zarządzania Bezpieczeństwem Informacji

hakin9 Nr 4/2007

www.hakin9.org

47

giczne dane organizacji, sprzęt in-
formatyczny oraz pracownicy, któ-
rych brak lub odejście z firmy mo-
że spowodować wypłynięcie waż-
nych danych lub zachwianie ciągło-
ści działania. Ważne jest również
określenie właścicieli danych infor-
macji i aktywów.

Krok drugi –

identyfikacja zagrożeń

Następnie przychodzi czas na do-
kładną identyfikację zagrożeń i po-
datności na nie dla każdego ze skla-
syfikowanych aktywów, informacji,
obszarów oraz ludzi. Istotne jest,
aby identyfikacja dotyczyła real-
nych, prawdopodobnych zagrożeń,
na jakie może zostać narażona or-
ganizacja. Po tak dokładnej identy-
fikacji, określa się skutki potencjal-
nych katastrof.

Określając skutki wystąpienia

katastrofy możemy w prosty sposób
przejść do wyboru odpowiednich za-
bezpieczeń w postaci sprzętu, opro-
gramowania, procesów, procedur
oraz polityk. Wybór zabezpieczeń
na podstawie przeprowadzonej ana-
lizy znacznie wpływa na zminimali-
zowanie kosztów wdrożenia tych za-
bezpieczeń oraz na jego czas. Jeśli
w analizie zostaną określone ryzyka
krytyczne, to bardzo ważne dla da-
nej organizacji jest jak najszybsze je-
go zmniejszenie do poziomu akcep-
towalnego.

Po oszacowaniu skutków wystą-

pienia ryzyka, należy też oszacować
hipoteczną wielkość szkód, jakie mo-
że spowodować dana katastrofa.

Krok trzeci -

prawdopodobieństwo

W następnym etapie, gdy mamy
już oszacowane ewentualne skut-
ki i szkody spowodowane wystą-
pieniem katastrofy, należy określić
prawdopodobieństwo ich wystąpie-
nia. Dla niektórych obszarów, akty-
wów, procesów, prawdopodobień-
stwo to może być wysokie z uwagi
na niezastosowanie w tych obsza-
rach żadnych zabezpieczeń, lub za-
stosowanie słabych, niewystarcza-
jących i nie adekwatnych do waż-
ności samego zagadnienia. Poja-

wią się też obszary, aktywa, infor-
macje, gdzie prawdopodobieństwo
będzie bardzo małe; zabezpiecze-
nia mogą już istnieć, być odpowied-
nie i wystarczające, co w dużym
stopniu zmniejsza ryzyko wystąpie-
nia katastrofy. Jednak nawet mimo
wystąpienia małego prawdopodo-
bieństwa, należy zawsze zachować
czujność i na bieżąco monitorować
obszary, aktywa, informacje, ludzi
wymienionych w analizie ryzyka.

Same ryzyka możemy podzielić

na cztery grupy:

• Ryzyko akceptowalne
• Ryzyko akceptowalne czasowo
• Ryzyko nieakceptowane
• Ryzyko krytyczne

Dla każdego z nich możemy zało-
żyć odpowiednie ramy czasowe, w
których musimy dane ryzyko zmniej-
szyć lub tylko monitorować - w przy-
padku ryzyka akceptowalnego. Moż-
na założyć sobie następujący sce-
nariusz.

Ryzyko akceptowalne – nie są

podejmowane żadne działania, jest
ono monitorowane podczas przeglą-
du SZBI.

Ryzyko akceptowalne warunko-

wo – Forum Zarządzania Bezpie-
czeństwem Informacji decyduje, czy

zostaną podjęte działania korygujące
i zapobiegawcze, zależy to od orga-
nizacji pracy oraz kosztów zabezpie-
czeń. Jeżeli nie są wymagane dzia-
łania korygujące lub zapobiegawcze
to stosowane są zabezpieczenia z
załącznika A normy ISO 27001, de-
cyzje są podejmowane do roku.

Ryzyko nieakceptowane - Forum

Zarządzania Bezpieczeństwem In-
formacji podejmuje działania korygu-
jące i zapobiegawcze w czasie do 6
miesięcy.

Ryzyko krytyczne - Forum Zarzą-

dzania Bezpieczeństwem Informacji
podejmuje działania korygujące i za-
pobiegawcze w czasie do 3 miesię-
cy, przeprowadza audit wewnętrz-
ny ISO 27001 we wszystkich obsza-
rach Urzędu, po 3 miesiącach prze-
prowadzana jest jeszcze raz anali-
za ryzyka.

Jednak, aby bardziej unaocznić

tą problematykę, przedstawimy sce-
nariusz realnej analizy ryzyka oraz
całego procesu, jaki się w związku
z nią odbywa.

Przykładowy scenariusz

Organizacja chcąca wdrożyć w
swych strukturach System Zarzą-
dzania

Bezpieczeństwem

Infor-

macji postanowiła rozpocząć pra-
cę od dokładnego oszacowania

Rysunek 1.

Spotkanie z kierownictwem organizacji

hakin9 Nr 4/2007

www.hakin9.org

Obrona

48

ryzyka, istniejących podatności, praw-
dopodobieństwa występowania zagro-
żeń oraz analizy ryzyka. Na początku
wdrożenia powołano, zgodnie z wyma-
ganiem normy, forum bezpieczeństwa
odpowiedzialne za nadzór nad proce-
sem wdrożenia. Do prac nad analizą
ryzyka zaproszono zarząd, wszyst-
kich dyrektorów pionów, informatyków,
służby ochrony. Wraz z konsultantami
z zakresu bezpieczeństwa informa-
cji oraz bezpieczeństwa IT, zaczeli się
oni zastanawiać, czy i jakie wystąpiły
w przeszłości w organizacji incydenty
dotyczące naruszenia informacji, awa-
rii systemów informatycznych, zakłó-
ceń związanych z bezpieczeństwem
fizycznym i środowiskowym w obsza-
rach organizacji. Po określeniu takich
incydentów, przeanalizowano raz jesz-
cze, jakie czynniki miały wpływ na ich
wystąpienie i jakie działania korygują-
ce i zapobiegawcze zastosowano, aby
nie dopuścić w przyszłości do ponow-
nego wystąpienia podobnych zdarzeń.
Analizując te dane wraz z powołanymi
specjalistami z zakresu bezpieczeń-
stwa informacji i bezpieczeństwa IT,
zaczęto się zastanawiać, czy obecnie
zastosowane zabezpieczenia są ade-
kwatne do wagi posiadanych przez
przedsiębiorstwo informacji, aktywów,
procesów, obszarów i ludzi.

Wcześniej jednak konsultanci

przekazali wszystkim dyrektorom pio-
nów, formularz dotyczący klasyfika-
cji informacji i aktywów, jakie znajdu-
ją się w organizacji, a jakie mają dla
nich znaczenie (prawne, rynkowe,
strategiczne). Informacje zwrotne zo-
stały dodane do szablonu szacowa-
nia ryzyka. Wspólnie z całą powołaną
kadrą określono realne, istniejące po-
datności-tzw. „słabe punkty” w orga-
nizacji, mogące mieć wpływ na naru-
szenie bezpieczeństwa dla wymienio-
nych informacji, aktywów, obszarów
czy procesów. W tym momencie kon-
sultanci mieli przygotowany dokład-
ny szablon analizy ryzyka i mogli po-
dejść do jego szacowania. Na pierw-
szej pozycji pojawił się budynek za-
rządu, jako ważny obszar, w którym
przetwarzane i przechowywane są
najważniejsze informacje. Określono
dla niego kilka realnych podatności.

Były nimi:

• Włamanie fizyczne do budynk
• Pożar
• Zalanie
• Włamanie fizyczne do pomiesz-

czenia zastępcy Dyrektora finan-
sowego

• Kradzież laptopów
• Sabotaż wewnętrzny ze strony

pracowników ochrony

Następnie określone zostały prawdo-
podobieństwa wystąpienia realnych
zagrożeń dla tych obszarów. Uzna-
no, że należy wzmocnić ochronę fi-
zyczną budynku poprzez zainstalowa-
nie lepszego monitoringu zarówno we-
wnątrz, jak i na zewnątrz budynku, po-
prosić przedstawiciela straży pożarnej
o jeszcze jedną analizę systemu prze-
ciwpożarowego i ewentualne wzmoc-
nienie budynku w tym obszarze.
W przypadku pomieszczeń członków
zarządu, ustalono, że zostanie okre-
ślony oddzielny obszar bezpieczny,
w którym znajdować się będą biura
członków zarządu. Obszar ten będzie
oddzielony za pomocą szklanej ścia-
ny z drzwiami na zamek magnetycz-
ny otwierany przez wprowadzenie sze-
ściocyfrowego kodu PIN. Dodatkowo
przed obszarem, zostanie umieszczo-
ny sekretariat, który będzie wpuszczał
wyłącznie umówionych interesantów.

Kradzież laptopów z ważnymi da-

nymi jest dla każdej organizacji uciąż-
liwa, nie wiadomo gdzie dane te trafia-

ją. Dlatego też ustalono, że zostanie
stworzona oddzielna, dość restrykcyj-
na procedura dotycząca wynoszenia
sprzętu komputerowego poza obszar
firmy, tak, aby zminimalizować ryzyko
jego utraty. Ponadto ustalono, że zo-
stanie zakupiony odpowiedni sprzęt do
wzmocnienia ochrony tych urządzeń
oraz lepsze, bezpieczniejsze nośniki,
niesugerujące pochodzenia.

Jedynym problemem do rozwią-

zania pozostał ewentualny sabotaż
wewnętrzny w firmie. Jest on niezwy-
kle trudny do udowodnienia, a jeszcze
trudniej znaleźć winnego tych działań.
Zarząd zlecił stworzenie odpowied-
nich procedur związanych z zatrud-
nieniem pracowników, ich rekrutacją
i weryfikacją posiadanych przez nich
kwalifikacji. Ponadto obecnym pra-
cownikom nakazano podpisanie sto-
sownych oświadczeń bezpieczeń-
stwa, mówiących o ewentualnych
sankcjach w przypadku udostępnie-
nia informacji, jej kradzieży, zniszcze-
nia lub zmodyfikowania bez zgody i
wiedzy przełożonego.

Co prawda żadna organizacja

O autorze

Autor jest Product Managerem ds.
zarządzania bezpieczeństwem informa-
cji w Computer Service Support S.A.
Kontakt z autorem: tomasz.polacze-
k@css.pl

Rysunek 2.

Analiza ryzyka, czyli burza mózgów przeprowadzona z

kierownictwem organizacji

System Zarządzania Bezpieczeństwem Informacji

nigdy nie osiągnie 100% bezpie-
czeństwa, ale może je realnie zmi-
nimalizować.

Znając już dokładne sposoby, ja-

kie można wykorzystać do zminimali-
zowania zagrożenia, określamy praw-
dopodobieństwo jego wystąpienia na
podstawie incydentów, jakie wystąpi-
ły w przeszłości. Należy przy tym pa-
miętać, że logiczny jest wybór zabez-
pieczeń, których koszt nie przekro-
czy wartości aktywu, informacji, któ-
re chcemy zabezpieczyć.

Po określeniu tych wszystkich

czynników, zarząd miał pełen obraz
realnych zagrożeń, określił przedział
czasu, w jakim dane zabezpieczenia
dla określonych obszarów, aktywów
i informacji zostaną wdrożone i mógł
przystąpić do wdrożenie całego Syste-
mu Zarządzania Bezpieczeństwem In-
formacji ISO 27001 w całej organizacji.
Poza zastosowaniem odpowiednich
zabezpieczeń, możemy również za-

stosować inne metody. Jest to na przy-
kład unikanie ryzyka, czyli zastanowie-
nie się, w jaki sposób możemy uniknąć
ryzyka lub, przeniesienie samego ry-
zyka na inne obszary,czy procesy w
organizacji.

Podsumowanie

Opisana metoda, hipotetyczny scena-
riusz szacowania oraz analizy ryzyka
są jednymi z wielu możliwości. Na ryn-
ku istnieje wiele programów wspoma-
gających szacowanie ryzyka. Dlate-
go też ważne jest, aby podchodząc do
analizy ryzyka, wybrać najskuteczniej-
szą i najlepszą metodę, która dokład-
nie wpasuje się w organizację oraz jej
potrzeby. Należy również pamiętać, że
dane, jakie uzyskamy z analizy ryzyka,
posłużą nam później do formułowania
planu ciągłości działania organizacji w
przypadku katastrof i incydentów mo-
gących realnie w niej wystąpić. l

UWAGI

Należy pamietać że dobra analiza ry-
zyka powinna być przeprowadzana
indywidualnie dla danej organizacji,
uwzględniając w niej realne zagrożenie
oraz faktycznie istniejące podatności,
które mogą mieć realny wpływ na na-
ruszenie bezpieczeństwa zasobów in-
fomracyjnych organizacji.

Analiza ryzyka powinna być prze-

prowadzana z najwyższym kierownic-
twem organizacji, kierownikami po-
szególnych działów,wydziałów,depar-
tamentów, pownieważ tylko wtedy bę-
dziemy mieć realny wgląd w istniejące
zabezpieczenia, podatności i zagroże-
nia, a nikt nie zna tak dobrze organiza-
cji jak ludzie w niej pracujący.

Na podstawie wyników z analizy ry-

zyka, możemy stworzyć sprawny plan
ciągłości działania biznesowego orga-
nizacji oraz odpowiednika dla informa-
tyki, disaster recovery

R

E

K

L

A

M

A