www.hakin9.org
hakin9 Nr 4/2007
46
Obrona
T
a częsta praktyka może doprowadzić
do sytuacji, w której nie będzie można
poradzić sobie z daną katastrofą lub in-
cydentem, ponieważ nie będzie zdefiniowane-
go logicznego i przemyślanego planu postę-
powania z ryzykiem.
Będziemy się wtedy zastanawiać nie tyl-
ko, co zrobić, ale dlaczego dany incydent w
ogóle mógł mieć miejsce. Sami wtedy doj-
dziemy do wniosku, że być może nie zostały
zdefiniowane i zastosowane odpowiednie za-
bezpieczenia, lub same procesy nie zostały
dokładnie przeanalizowane pod kątem bez-
pieczeństwa.
Podstawą każdego wdrożenia Systemu
Zarządzania Bezpieczeństwem Informacji jest
przede wszystkim sprawnie przeprowadzona
i przemyślana analiza ryzyka. Jest ona punk-
tem wyjściowym do dostosowania polityki
bezpieczeństwa do faktycznych potrzeb i real-
nych zagrożeń dla danej organizacji.
Sama norma ISO 27001 wymaga od
przedsiębiorstwa, zdefiniowania i przeanalizo-
wania potencjalnego ryzyka i wybrania na je-
go podstawie odpowiednich metod zabezpie-
czeń. Jednak sama analiza ryzyka to później-
szy etap.
Krok pierwszy – wybór metody
Pierwsze kroki przy rozpoczęciu całego pro-
cesu analizy ryzyka to wybór odpowiedniej
metody jego przeprowadzenia i dobranie od-
powiednio przeszkolonego personelu. Wśród
specjalistów zaangażowanych w prace nad
analizą ryzyka powinni znaleźć się członko-
wie zarządu firmy, dyrektorowie pionów, dzia-
łów, informatycy oraz pracownicy ochrony fi-
zycznej. Wspólnie określają oni poziom ak-
ceptowanego ryzyka oraz podatność przed-
siębiorstwa na nie. Przed rozpoczęciem prac
nad analizą ryzyka, powinny zostać sklasyfi-
kowane informacje oraz aktywa je przetwa-
rzające, przechowujące i niszczące informa-
cje. Należy również zdefiniować tzw. „obsza-
ry bezpieczne”, w których znajdują się strate-
Analiza ryzyka – Zarządza-
nie Bezpieczeństwem
Informacji
Tomasz Polaczek
stopień trudności
Częstym błędem przy wdrażaniu polityki bezpieczeństwa
informacji w rozmaitych organizacjach, jest szybkie i
powierzchowne podejście do problemów. Bardziej oparte na
intuicji, niż wynikające z przemyślanych analiz incydentów, czy
innych zdarzeń mających wpływ na zachwianie bezpieczeństwa
zarówno informacji, jak i IT.
Z artykułu dowiesz się...
• czym jest analiza ryzyka,
• dlaczego jest tak ważnym procesem przy
wdrażaniu sprawnego Systemu Zarządzanie
Bezpieczeństwem Informacji. Sprawnie prze-
prowadzona, z odpowiednią grupą osób z or-
ganizacji, jest podstawą bezpieczeństwa.
System Zarządzania Bezpieczeństwem Informacji
hakin9 Nr 4/2007
www.hakin9.org
47
giczne dane organizacji, sprzęt in-
formatyczny oraz pracownicy, któ-
rych brak lub odejście z firmy mo-
że spowodować wypłynięcie waż-
nych danych lub zachwianie ciągło-
ści działania. Ważne jest również
określenie właścicieli danych infor-
macji i aktywów.
Krok drugi –
identyfikacja zagrożeń
Następnie przychodzi czas na do-
kładną identyfikację zagrożeń i po-
datności na nie dla każdego ze skla-
syfikowanych aktywów, informacji,
obszarów oraz ludzi. Istotne jest,
aby identyfikacja dotyczyła real-
nych, prawdopodobnych zagrożeń,
na jakie może zostać narażona or-
ganizacja. Po tak dokładnej identy-
fikacji, określa się skutki potencjal-
nych katastrof.
Określając skutki wystąpienia
katastrofy możemy w prosty sposób
przejść do wyboru odpowiednich za-
bezpieczeń w postaci sprzętu, opro-
gramowania, procesów, procedur
oraz polityk. Wybór zabezpieczeń
na podstawie przeprowadzonej ana-
lizy znacznie wpływa na zminimali-
zowanie kosztów wdrożenia tych za-
bezpieczeń oraz na jego czas. Jeśli
w analizie zostaną określone ryzyka
krytyczne, to bardzo ważne dla da-
nej organizacji jest jak najszybsze je-
go zmniejszenie do poziomu akcep-
towalnego.
Po oszacowaniu skutków wystą-
pienia ryzyka, należy też oszacować
hipoteczną wielkość szkód, jakie mo-
że spowodować dana katastrofa.
Krok trzeci -
prawdopodobieństwo
W następnym etapie, gdy mamy
już oszacowane ewentualne skut-
ki i szkody spowodowane wystą-
pieniem katastrofy, należy określić
prawdopodobieństwo ich wystąpie-
nia. Dla niektórych obszarów, akty-
wów, procesów, prawdopodobień-
stwo to może być wysokie z uwagi
na niezastosowanie w tych obsza-
rach żadnych zabezpieczeń, lub za-
stosowanie słabych, niewystarcza-
jących i nie adekwatnych do waż-
ności samego zagadnienia. Poja-
wią się też obszary, aktywa, infor-
macje, gdzie prawdopodobieństwo
będzie bardzo małe; zabezpiecze-
nia mogą już istnieć, być odpowied-
nie i wystarczające, co w dużym
stopniu zmniejsza ryzyko wystąpie-
nia katastrofy. Jednak nawet mimo
wystąpienia małego prawdopodo-
bieństwa, należy zawsze zachować
czujność i na bieżąco monitorować
obszary, aktywa, informacje, ludzi
wymienionych w analizie ryzyka.
Same ryzyka możemy podzielić
na cztery grupy:
• Ryzyko akceptowalne
• Ryzyko akceptowalne czasowo
• Ryzyko nieakceptowane
• Ryzyko krytyczne
Dla każdego z nich możemy zało-
żyć odpowiednie ramy czasowe, w
których musimy dane ryzyko zmniej-
szyć lub tylko monitorować - w przy-
padku ryzyka akceptowalnego. Moż-
na założyć sobie następujący sce-
nariusz.
Ryzyko akceptowalne – nie są
podejmowane żadne działania, jest
ono monitorowane podczas przeglą-
du SZBI.
Ryzyko akceptowalne warunko-
wo – Forum Zarządzania Bezpie-
czeństwem Informacji decyduje, czy
zostaną podjęte działania korygujące
i zapobiegawcze, zależy to od orga-
nizacji pracy oraz kosztów zabezpie-
czeń. Jeżeli nie są wymagane dzia-
łania korygujące lub zapobiegawcze
to stosowane są zabezpieczenia z
załącznika A normy ISO 27001, de-
cyzje są podejmowane do roku.
Ryzyko nieakceptowane - Forum
Zarządzania Bezpieczeństwem In-
formacji podejmuje działania korygu-
jące i zapobiegawcze w czasie do 6
miesięcy.
Ryzyko krytyczne - Forum Zarzą-
dzania Bezpieczeństwem Informacji
podejmuje działania korygujące i za-
pobiegawcze w czasie do 3 miesię-
cy, przeprowadza audit wewnętrz-
ny ISO 27001 we wszystkich obsza-
rach Urzędu, po 3 miesiącach prze-
prowadzana jest jeszcze raz anali-
za ryzyka.
Jednak, aby bardziej unaocznić
tą problematykę, przedstawimy sce-
nariusz realnej analizy ryzyka oraz
całego procesu, jaki się w związku
z nią odbywa.
Przykładowy scenariusz
Organizacja chcąca wdrożyć w
swych strukturach System Zarzą-
dzania
Bezpieczeństwem
Infor-
macji postanowiła rozpocząć pra-
cę od dokładnego oszacowania
Rysunek 1.
Spotkanie z kierownictwem organizacji
hakin9 Nr 4/2007
www.hakin9.org
Obrona
48
ryzyka, istniejących podatności, praw-
dopodobieństwa występowania zagro-
żeń oraz analizy ryzyka. Na początku
wdrożenia powołano, zgodnie z wyma-
ganiem normy, forum bezpieczeństwa
odpowiedzialne za nadzór nad proce-
sem wdrożenia. Do prac nad analizą
ryzyka zaproszono zarząd, wszyst-
kich dyrektorów pionów, informatyków,
służby ochrony. Wraz z konsultantami
z zakresu bezpieczeństwa informa-
cji oraz bezpieczeństwa IT, zaczeli się
oni zastanawiać, czy i jakie wystąpiły
w przeszłości w organizacji incydenty
dotyczące naruszenia informacji, awa-
rii systemów informatycznych, zakłó-
ceń związanych z bezpieczeństwem
fizycznym i środowiskowym w obsza-
rach organizacji. Po określeniu takich
incydentów, przeanalizowano raz jesz-
cze, jakie czynniki miały wpływ na ich
wystąpienie i jakie działania korygują-
ce i zapobiegawcze zastosowano, aby
nie dopuścić w przyszłości do ponow-
nego wystąpienia podobnych zdarzeń.
Analizując te dane wraz z powołanymi
specjalistami z zakresu bezpieczeń-
stwa informacji i bezpieczeństwa IT,
zaczęto się zastanawiać, czy obecnie
zastosowane zabezpieczenia są ade-
kwatne do wagi posiadanych przez
przedsiębiorstwo informacji, aktywów,
procesów, obszarów i ludzi.
Wcześniej jednak konsultanci
przekazali wszystkim dyrektorom pio-
nów, formularz dotyczący klasyfika-
cji informacji i aktywów, jakie znajdu-
ją się w organizacji, a jakie mają dla
nich znaczenie (prawne, rynkowe,
strategiczne). Informacje zwrotne zo-
stały dodane do szablonu szacowa-
nia ryzyka. Wspólnie z całą powołaną
kadrą określono realne, istniejące po-
datności-tzw. „słabe punkty” w orga-
nizacji, mogące mieć wpływ na naru-
szenie bezpieczeństwa dla wymienio-
nych informacji, aktywów, obszarów
czy procesów. W tym momencie kon-
sultanci mieli przygotowany dokład-
ny szablon analizy ryzyka i mogli po-
dejść do jego szacowania. Na pierw-
szej pozycji pojawił się budynek za-
rządu, jako ważny obszar, w którym
przetwarzane i przechowywane są
najważniejsze informacje. Określono
dla niego kilka realnych podatności.
Były nimi:
• Włamanie fizyczne do budynk
• Pożar
• Zalanie
• Włamanie fizyczne do pomiesz-
czenia zastępcy Dyrektora finan-
sowego
• Kradzież laptopów
• Sabotaż wewnętrzny ze strony
pracowników ochrony
Następnie określone zostały prawdo-
podobieństwa wystąpienia realnych
zagrożeń dla tych obszarów. Uzna-
no, że należy wzmocnić ochronę fi-
zyczną budynku poprzez zainstalowa-
nie lepszego monitoringu zarówno we-
wnątrz, jak i na zewnątrz budynku, po-
prosić przedstawiciela straży pożarnej
o jeszcze jedną analizę systemu prze-
ciwpożarowego i ewentualne wzmoc-
nienie budynku w tym obszarze.
W przypadku pomieszczeń członków
zarządu, ustalono, że zostanie okre-
ślony oddzielny obszar bezpieczny,
w którym znajdować się będą biura
członków zarządu. Obszar ten będzie
oddzielony za pomocą szklanej ścia-
ny z drzwiami na zamek magnetycz-
ny otwierany przez wprowadzenie sze-
ściocyfrowego kodu PIN. Dodatkowo
przed obszarem, zostanie umieszczo-
ny sekretariat, który będzie wpuszczał
wyłącznie umówionych interesantów.
Kradzież laptopów z ważnymi da-
nymi jest dla każdej organizacji uciąż-
liwa, nie wiadomo gdzie dane te trafia-
ją. Dlatego też ustalono, że zostanie
stworzona oddzielna, dość restrykcyj-
na procedura dotycząca wynoszenia
sprzętu komputerowego poza obszar
firmy, tak, aby zminimalizować ryzyko
jego utraty. Ponadto ustalono, że zo-
stanie zakupiony odpowiedni sprzęt do
wzmocnienia ochrony tych urządzeń
oraz lepsze, bezpieczniejsze nośniki,
niesugerujące pochodzenia.
Jedynym problemem do rozwią-
zania pozostał ewentualny sabotaż
wewnętrzny w firmie. Jest on niezwy-
kle trudny do udowodnienia, a jeszcze
trudniej znaleźć winnego tych działań.
Zarząd zlecił stworzenie odpowied-
nich procedur związanych z zatrud-
nieniem pracowników, ich rekrutacją
i weryfikacją posiadanych przez nich
kwalifikacji. Ponadto obecnym pra-
cownikom nakazano podpisanie sto-
sownych oświadczeń bezpieczeń-
stwa, mówiących o ewentualnych
sankcjach w przypadku udostępnie-
nia informacji, jej kradzieży, zniszcze-
nia lub zmodyfikowania bez zgody i
wiedzy przełożonego.
Co prawda żadna organizacja
O autorze
Autor jest Product Managerem ds.
zarządzania bezpieczeństwem informa-
cji w Computer Service Support S.A.
Kontakt z autorem: tomasz.polacze-
k@css.pl
Rysunek 2.
Analiza ryzyka, czyli burza mózgów przeprowadzona z
kierownictwem organizacji
System Zarządzania Bezpieczeństwem Informacji
nigdy nie osiągnie 100% bezpie-
czeństwa, ale może je realnie zmi-
nimalizować.
Znając już dokładne sposoby, ja-
kie można wykorzystać do zminimali-
zowania zagrożenia, określamy praw-
dopodobieństwo jego wystąpienia na
podstawie incydentów, jakie wystąpi-
ły w przeszłości. Należy przy tym pa-
miętać, że logiczny jest wybór zabez-
pieczeń, których koszt nie przekro-
czy wartości aktywu, informacji, któ-
re chcemy zabezpieczyć.
Po określeniu tych wszystkich
czynników, zarząd miał pełen obraz
realnych zagrożeń, określił przedział
czasu, w jakim dane zabezpieczenia
dla określonych obszarów, aktywów
i informacji zostaną wdrożone i mógł
przystąpić do wdrożenie całego Syste-
mu Zarządzania Bezpieczeństwem In-
formacji ISO 27001 w całej organizacji.
Poza zastosowaniem odpowiednich
zabezpieczeń, możemy również za-
stosować inne metody. Jest to na przy-
kład unikanie ryzyka, czyli zastanowie-
nie się, w jaki sposób możemy uniknąć
ryzyka lub, przeniesienie samego ry-
zyka na inne obszary,czy procesy w
organizacji.
Podsumowanie
Opisana metoda, hipotetyczny scena-
riusz szacowania oraz analizy ryzyka
są jednymi z wielu możliwości. Na ryn-
ku istnieje wiele programów wspoma-
gających szacowanie ryzyka. Dlate-
go też ważne jest, aby podchodząc do
analizy ryzyka, wybrać najskuteczniej-
szą i najlepszą metodę, która dokład-
nie wpasuje się w organizację oraz jej
potrzeby. Należy również pamiętać, że
dane, jakie uzyskamy z analizy ryzyka,
posłużą nam później do formułowania
planu ciągłości działania organizacji w
przypadku katastrof i incydentów mo-
gących realnie w niej wystąpić. l
UWAGI
Należy pamietać że dobra analiza ry-
zyka powinna być przeprowadzana
indywidualnie dla danej organizacji,
uwzględniając w niej realne zagrożenie
oraz faktycznie istniejące podatności,
które mogą mieć realny wpływ na na-
ruszenie bezpieczeństwa zasobów in-
fomracyjnych organizacji.
Analiza ryzyka powinna być prze-
prowadzana z najwyższym kierownic-
twem organizacji, kierownikami po-
szególnych działów,wydziałów,depar-
tamentów, pownieważ tylko wtedy bę-
dziemy mieć realny wgląd w istniejące
zabezpieczenia, podatności i zagroże-
nia, a nikt nie zna tak dobrze organiza-
cji jak ludzie w niej pracujący.
Na podstawie wyników z analizy ry-
zyka, możemy stworzyć sprawny plan
ciągłości działania biznesowego orga-
nizacji oraz odpowiednika dla informa-
tyki, disaster recovery
R
E
K
L
A
M
A