72

BEZPIECZNA FIRMA

HAKIN9 5/2010

B

ezpieczeństwo informacji według
normy ISO 17799 oznacza zachowanie
poufności, integralności i dostępności

informacji. Dodatkowo mogą być brane pod
uwagę inne atrybuty informacji, takie jak
autentyczność, rozliczalność, niezaprzeczalność
i niezawodność. Jak uczy doświadczenie,
sukces w zapewnieniu bezpieczeństwa
informacji w organizacji zależy miedzy innymi
od szacowania ryzyka i właściwego nim
zarządzania.

Ryzyko ma wiele znaczeń. Potocznie

oznacza niepewność, która wiąże się z szansą
albo stratą. Według Wikipedii oznacza jakąś
miarę/ocenę zagrożenia czy niebezpieczeństwa
wynikającego albo z prawdopodobnych
zdarzeń od nas niezależnych, albo z możliwych
konsekwencji podjęcia decyzji. Najogólniej,
ryzyko jest wskaźnikiem stanu lub zdarzenia
które może prowadzić do strat. Jest ono
proporcjonalne do prawdopodobieństwa
wystąpienia tego zdarzenia i do wielkości strat
które może spowodować.

W bezpieczeństwie informacji, wg normy

ISO/IEC Guide 73:2002, ryzyko jest kombinacją
prawdopodobieństwa zdarzenia i jego
konsekwencji (następstw), natomiast wg normy
ISO/IEC 27005:2008, ryzyko to potencjalna
sytuacja, w której określone zagrożenie
wykorzysta podatność aktywów lub grupy
aktywów powodując w ten sposób szkodę dla
organizacji.

ANDRZEJ GUZIK

Z ARTYKUŁU

DOWIESZ SIĘ

jak zarządzać ryzykiem w

bezpieczeństwie informacji.

CO POWINIENEŚ

WIEDZIEĆ

znać podstawowe zasady

ochrony informacji.

Z kolei zarządzanie ryzykiem definiowane

jest jako proces szacowania ryzyka mający
na celu ograniczenie go do akceptowalnego
poziomu. Zarządzanie ryzykiem zawiera
zwykle następujące etapy: szacowanie ryzyka,
postępowanie z ryzykiem, akceptowanie ryzyka
i informowanie o ryzyku.

System Zarządzania

Bezpieczeństwem Informacji

a ryzyko

Zarządzanie ryzykiem jest podstawowym
elementem profesjonalnego podejścia
do bezpieczeństwa informacji i stanowi
kluczowy element systemu zarządzania
bezpieczeństwem informacji (dalej SZBI).
Jednocześnie jest to jedno z najtrudniejszych
do realizacji w praktyce zagadnień. Z pomocą
przychodzą nam normy serii ISO 27000.
Norma ISO 27002 zawiera wytyczne związane
z ustanowieniem, wdrożeniem, eksploatacją,
monitorowaniem, przeglądem, utrzymaniem
i doskonaleniem systemu zarządzania
bezpieczeństwem informacji. Norma jest
pierwszym standardem obejmującym
kompleksowo zarządzanie bezpieczeństwem
informacji, w tym zarządzanie ryzykiem.
Celem tej normy jest wdrożenie
mechanizmów zarządzania, które zapewnią,
że bezpieczeństwo informacji będzie istotnym
elementem funkcjonowania organizacji.
Norma zawiera wytyczne zarządzania

Stopień trudności

Ryzyko w

bezpieczeństwie

informacji

W starym modelu zarządzania ryzykiem można wyróżnić dwa

główne procesy: szacowanie ryzyka i ograniczanie ryzyka.

W nowym modelu zarządzania ryzykiem celem procesu

zarządzania ryzykiem jest ograniczenie go do akceptowalnego

poziomu przez opracowanie planu postępowania.

73

ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI

HAKIN9

5/2010

bezpieczeństwem informacji. Dotyczy
wszystkich obszarów bezpieczeństwa:
bezpieczeństwa fizycznego i
środowiskowego, bezpieczeństwa
osobowego, bezpieczeństwa IT,
zarządzania ciągłością działania i
zapewnienia zgodności z przepisami
prawa (bezpieczeństwa prawnego).

Natomiast norma ISO/IEC 27001

definiuje wymagania dla systemu
zarządzania bezpieczeństwem informacji.
SZBI powinien stanowić część składową
systemu zarządzania organizacją i być
oparty na analizie ryzyka biznesowego.
Norma zaleca podejście systemowe
zgodnie z cyklem PDCA (Plan-Do-
Check-Act) Deminga obejmującym:
ustanowienie, wdrożenie, eksploatację,
monitorowanie, przegląd, a także
utrzymanie i doskonalenie systemu
zarządzania bezpieczeństwem informacji.
W ramach ustanowienia SZBI organizacja
powinna w kontekście zarządzania
ryzykiem wykonać następujące działania:

• zdefiniować podejście do szacowania

ryzyka w organizacji,

• określić ryzyka,
• analizować i oceniać ryzyka,
• zidentyfikować i ocenić warianty

postępowania z ryzykiem,

• wybrać cele stosowania

zabezpieczeń i zabezpieczenia jako
środki postępowania z ryzykiem,

• uzyskać akceptację kierownictwa dla

proponowanych ryzyk szczątkowych.

Analiza ryzyka obejmuje: analizę
zasobów, analizę zagrożeń, analizę
podatności, analizę zabezpieczeń oraz
ocenę (oszacowanie) ryzyk. Mając
zdefiniowaną metodykę analizy ryzyka
można przystąpić do zinwentaryzowania
zasobów i szacowania ryzyk.

W wyniku przeprowadzonej analizy

ryzyka otrzymamy poziomy ryzyk
oraz poziom ryzyka akceptowalnego.
Zabezpieczenia jakie należy wdrożyć w
organizacji w celu ograniczenia ryzyk
nieakceptowalnych należy opisać w
planie postępowania z ryzykiem. Zwykle
odwołujemy się do zabezpieczeń
zaproponowanych w normie ISO
27001, w innych standardach lub
do dobrych praktyk stosowanych w

organizacji. Następnie należy opracować
deklarację stosowania. Określa ona
cele stosowania zabezpieczeń oraz
zabezpieczenia zastosowane do
budowy SZBI, w tym zawiera opis
ewentualnych wyłączeń. Należy zauważyć,
że lista 133 zabezpieczeń zawartych
w załączniku A do normy ISO 27001
nie jest wyczerpująca. Znaczy to, że
organizacja może rozważyć, czy nie są
konieczne dodatkowe cele stosowania
zabezpieczeń i zabezpieczenia.

Tabela 1 przestawia, działania jakie

należy podjąć w organizacji w procesie
zarządzania ryzykiem na poszczególnych
etapach wdrażania SZBI.

Wszystkie działania związane

z ustanowieniem, wdrożeniem,

eksploatacją, monitorowaniem,
przeglądem, utrzymaniem i
doskonaleniem systemu zarządzania
bezpieczeństwem informacji powinny
być udokumentowane, w tym proces
zarządzania ryzykiem.

Tabela 2 przedstawia wymagania

dokumentacyjne SZBI wymagane przez
normę ISO 27001.

Metodyki analizy ryzyka

Do analizy ryzyka w bezpieczeństwie
informacji stosuje się różne metodyki
analizy ryzyka, najczęściej metodykę
ilościową, jakościową lub metodykę
mieszaną – ilościowo – jakościową.

W metodyce ilościowej

oszacowanie wartości ryzyka wiąże

Tabela 1.

Relacje między procesem SZBI a procesem zarządzania ryzykiem

w bezpieczeństwie informacji

Proces SZBI

Proces zarządzania ryzykiem w bezpieczeństwie informacji

Planuj (Plan)

Ustanowienie kontekstu

Szacowanie ryzyka

Opracowanie planu postępowania z ryzykiem

Akceptowanie ryzyka

Wykonaj (Do)

Wdrożenie planu postępowania z ryzykiem

Sprawdzaj (Check) Ciągłe monitorowanie i przeglądanie ryzyka
Działaj (Act)

Utrzymanie i doskonalenie procesu zarządzania ryzykiem

w bezpieczeństwie informacji

Źródło: PN-ISO/IEC 27005

Tabela 2.

Wymagania dokumentacyjne wg ISO 27001

Lp.

Dokumentacja SZBI wg ISO 27001

1

Polityka bezpieczeństwa informacji

2

Deklaracja stosowania

3

Dokumentacja systemowa

4

Procedury wspomagające SZBI

5

Opis metodyki szacowania ryzykiem

6

Raport z szacowania ryzykiem

7

Plan postępowania z ryzykiem

Źródło: Opracowanie własne

Tabela 3.

Przykład metodyki ilościowej i jakościowej do określenia wartości zasobów

organizacji (4-stopniowa skala wartości)

Metodyka ilościowa

szacowania wartości zasobów

Metodyka jakościowa

szacowania wartości zasobów

< 10 000 PLN

Mała wartość zasobu

< 100 000 PLN

Średnia wartość zasobu

< 1 000 000 PLN

Duża wartość zasobu

> 1 000 000 PLN

Bardzo duża wartość zasobu

Źródło: Opracowanie własne

BEZPIECZNA FIRMA

74

HAKIN9 5/2010

ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI

75

HAKIN9

5/2010

się z wykorzystaniem miar liczbowych
– wartość zasobów informacyjnych
jest określana kwotowo, częstotliwość
wystąpienia zagrożenia liczbą
przypadków, a podatność wartością
prawdopodobieństwa ich utraty.

W metodyce jakościowej

oszacowanie wartości ryzyka wiąże się z
opisem jakościowym wartości aktywów,
określeniem skal jakościowych dla
częstotliwości wystąpienia zagrożeń
i podatności na dane zagrożenie.

W Tabeli 3 podano przykład

wykorzystania metodyki ilościowej i
jakościowej przy określaniu wartości
zasobów organizacji.

Analiza ryzyka

wg ISO/IEC TR 13335-3

Jednym z najtrudniejszych zadań jakie
należy wykonać na etapie ustanowienia

systemu zarządzania bezpieczeństwem
informacji jest określenie podejścia
organizacji do szacowania ryzyka.
Pomocny w tym względzie może być
raport techniczny ISO/IEC TR 13335-3
(polski odpowiednik ISO/IEC TR 13335-3:
1998 Technika informatyczna – Wytyczne
do zarządzania bezpieczeństwem
systemów informatycznych Część 3:
Techniki zarządzania bezpieczeństwem
systemów informatycznych), który
zawiera przykłady metodyk szacowania
ryzyka.

W raporcie tym przedstawiono cztery

warianty podejścia do analizy ryzyka:
podejście podstawowego poziomu
bezpieczeństwa, podejście nieformalne,
szczegółową analizę ryzyka i podejście
mieszane. Podstawowa różnica pomiędzy
nimi dotyczy stopnia szczegółowości
analizy ryzyka.

Podejście podstawowego poziomu

bezpieczeństwa polega na wprowadzeniu
standardowych zabezpieczeń niezależnie
od ryzyka wynikającego z analizy
zasobów, zagrożeń i podatności.
Podejście nieformalne polega na
wykorzystaniu wiedzy i doświadczenia
ekspertów, koncentruje się na zasobach
narażonych na wysokie ryzyko. Z
kolei szczegółowa analiza ryzyka
wymaga identyfikacji i wyceny aktywów,
oszacowania zagrożeń oraz oszacowania
podatności. Podejście czwarte, podejście
mieszane obejmuje dwa etapy. W
pierwszym etapie przeprowadza się
ogólną analizę ryzyka dla wszystkich
zasobów z uwzględnieniem ich wartości
biznesowej i ryzyka, na które są narażone.
Dla wszystkich zidentyfikowanych
zasobów, które są ważne (wartościowe)
dla organizacji, słabo zabezpieczone
i narażone na wysokie ryzyko, należy
później przeprowadzić szczegółową
analizę ryzyka. W drugim etapie dla
pozostałych zasobów stosuje się
podejście podstawowego poziomu
bezpieczeństwa.

Przyjęcie podejścia mieszanego

zalecane jest dla większości organizacji.
Jest ono najbardziej efektywne
– szczegółowa analiza ryzyka dla
zasobów posiadających wartość,
słabo zabezpieczonych i narażonych
na wysokie ryzyko, a dla pozostałych
zasobów zastosowanie podstawowego
poziomu bezpieczeństwa – wdrożenie
standardowych zabezpieczeń.

Zarządzanie ryzykiem

wg ISO 27005

Norma ISO/IEC 27005:2008 –
Zarządzanie ryzykiem w bezpieczeństwie
informacji zastępuje raporty techniczne
ISO/IEC TR 13335-3:1998 i ISO/IEC
TR 13335-4:2002, stanowiąc ich
techniczną aktualizację. Zawiera ona
wytyczne dotyczące zarządzania
ryzykiem w bezpieczeństwie informacji w
organizacji, a w szczególności wspiera
wymagania SZBI zgodnego z ISO/IEC
27001. Norma ta nie zawiera żadnej
określonej metodyki analizy ryzyka.
Każda organizacja sama powinna
określić swoje podejście do zarządzania
ryzykiem w zależności od zakresu SZBI,

Rysunek 1.

Proces zarządzania ryzykiem w bezpieczeństwie informacji. Źródło: PN-

ISO/IEC 27005

����������������������

�����

�

���

�����������������

�

����

��������

�

�������

�

����

�����������������

���

���

���

���

�������

������

����������������������

������������������

������������

����������������������

�������������������

���������������������������������������

������������������������

�����������������������������

������������������������

����������������������������

BEZPIECZNA FIRMA

74

HAKIN9 5/2010

ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI

75

HAKIN9

5/2010

kontekstu zarządzania ryzykiem czy
branży, w której działa. Wdrożenie SZBI
wymaga systematycznego podejścia do
zarządzania ryzykiem w bezpieczeństwie
informacji. Proces zarządzania ryzykiem
powinien być procesem ciągłym.
Po oszacowaniu ryzyka zaleca się
opracowanie planu postępowania z
ryzykiem w celu wdrożenia zaleceń i
decyzji.

Wg ww. normy proces zarządzania

ryzykiem w bezpieczeństwie informacji
składa się z ustanowienia kontekstu,
szacowania ryzyka, postępowania
z ryzykiem, akceptowania ryzyka,
informowania o ryzyku oraz
monitorowania i przeglądu ryzyka.
Ilustruje to Rysunek 1.

Jak wynika z Rysunku 1, dla działań

szacowania ryzyka i/lub postępowania
z ryzykiem, proces zarządzani ryzykiem
w bezpieczeństwie informacji może być
iteracyjny.

Zawiera dwa punkty decyzyjne:

szacowanie ryzyka satysfakcjonujące
i postępowanie z ryzykiem
satysfakcjonujące.

W przypadku, gdy szacowanie

ryzyka jest satysfakcjonujące (poziom
ryzyka akceptowalny) przechodzimy do
postępowania z ryzykiem.

Rysunek 2 przedstawia postępowanie

z ryzykiem w bezpieczeństwie informacji.

Jak wynika z Rysunku 2 możliwe są

cztery warianty postępowania z ryzykiem:
redukowanie ryzyka, zachowanie ryzyka,
unikanie ryzyka i przeniesienie ryzyka.

W wariancie I – redukowanie

ryzyka, zaleca się zredukowanie
ryzyka przez taki wybór zabezpieczeń,
aby ryzyko szczątkowe można było
ponownie oszacować jako ryzyko do
zaakceptowania.

W wariancie II – zachowanie ryzyka,

zaleca się podjęcie decyzji o zachowaniu
ryzyka bez podejmowania dalszych
działań na podstawie oceny ryzyka.

Z kolei w wariancie III – unikanie

ryzyka, zaleca się unikanie działań lub
warunków, które powodują powstanie
określonych ryzyk.

Natomiast w wariancie IV –

przeniesienie (transfer) ryzyka, zaleca się
transfer ryzyka do innej strony, która może
skutecznie zarządzać ryzykiem.

Na koniec warto wspomnieć o

sześciu załącznikach informacyjnych
do normy ISO 27005. Zawierają one

wiele pomocnych informacji, które
można wykorzystać przy zarządzaniu
i analizie ryzyka. W załączniku A

Rysunek 2.

Działanie postępowania z ryzykiem .Źródło: PN-ISO/IEC 27005

����������

�����������������

������������

�����������������

�����������������������

������������������������

������������������������

��������������������������������

�����������

������

����������

������

��������

������

�������������

������

�����������������

������������

�����������������

������

Normy związane z analizą ryzyka

• ISO/IEC TR 13335-3 (polski odpowiednik ISO/IEC TR 13335-3:1998 Technika

informatyczna – Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych Część 3: Techniki zarządzania bezpieczeństwem systemów
informatycznych).

• ISO/IEC 27001:2005 – Wymagania związane z ustanowieniem, wdrożeniem,

eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu
Zarządzania Bezpieczeństwem Informacji (polski odpowiednik PN-ISO/IEC 27001:
2007 Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania
bezpieczeństwem informacji – Wymagania).

• ISO/IEC 27002:2005 – Wytyczne związane z ustanowieniem, wdrożeniem,

eksploatacją, monitorowaniem, przeglądem, utrzymaniem i doskonaleniem Systemu
Zarządzania Bezpieczeństwem Informacji (polski odpowiednik PN-ISO/IEC 17799:
2007 Technika informatyczna – Techniki bezpieczeństwa – Praktyczne zasady
zarządzania bezpieczeństwem informacji).

• ISO/IEC 27005:2008 – Zarządzanie ryzykiem w bezpieczeństwie informacji (projekt

polskiego odpowiednika PN-ISO/IEC 27005:2009 Technika informatyczna – Techniki
bezpieczeństwa – Zarządzanie ryzykiem w bezpieczeństwie informacji).

BEZPIECZNA FIRMA

76

HAKIN9 5/2010

ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI

77

HAKIN9

5/2010

znajdziemy informacje na temat
sposobu definiowania zakresu i
granic procesu zarządzania ryzykiem
w bezpieczeństwie informacji.

Struktura normy ISO/IEC 27005

Przedmowa
Wprowadzenie
1 Zakres normy.
2 Powołania normatywne.
3 Terminy i definicje.
4 Struktura niniejszej Normy Międzynarodowej.
5 Informacje podstawowe.
6 Przegląd procesu zarządzania ryzykiem związanym z bezpieczeństwem

informacji.

7 Ustanowienie kontekstu.
7.1 Rozważania ogólne.
7.2 Podstawowe kryteria.
7.3 Zakres i granice.
7.4 Organizacja zarządzania ryzykiem w bezpieczeństwie informacji.
8 Szacowanie ryzyka w bezpieczeństwie informacji.
8.1 Ogólny opis szacowania ryzyka w bezpieczeństwie informacji.
8.2 Analiza ryzyka.
8.2.1 Identyfikowanie ryzyka.
8.2.2 Estymacja ryzyka.
8.3 Ocena ryzyka.
9 Postępowanie z ryzykiem w bezpieczeństwie informacji.
9.1 Ogólny opis postępowania z ryzykiem.
9.2 Redukowanie ryzyka.
9.3 Zachowanie ryzyka.
9.4 Unikanie ryzyka.
9.5 Transfer ryzyka.
10 Akceptowanie ryzyka w bezpieczeństwie informacji.
11 Informowanie o ryzyku w bezpieczeństwie informacji.
12 Monitorowanie i przegląd ryzyka w bezpieczeństwie informacji.
12.1 Monitorowanie i przegląd czynników ryzyka.
12.2 Monitorowanie, przegląd i doskonalenie zarządzania ryzykiem.

Załącznik A (informacyjny) Definiowanie zakresu i granic procesu zarządzania ryzykiem w bezpieczeństwie informacji.

A.1 Studium organizacji.
A.2 Lista ograniczeń dotyczących organizacji.
A.3 Lista powołań legislacyjnych i regulacyjnych mających zastosowanie w organizacji.
A.4 Lista ograniczeń dotyczących zakresu.

Załącznik B (informacyjny) Identyfikowanie i wartościowanie aktywów oraz szacowanie skutków

B.1 Przykłady identyfikowania aktywów.
B.1.1 Identyfikowanie aktywów podstawowych.
B.1.2 Lista i opis aktywów wspierających.
B.2 Wartościowanie aktywów.
B.3 Szacowanie skutków.

Załącznik C (informacyjny) Przykłady typowych zagrożeń.

Załącznik D (informacyjny) Podatności i metody szacowania podatności.

D.1 Przykłady podatności.
D.2 Metody szacowania podatności technicznych.

Załącznik E (informacyjny) Podejście do szacowania ryzyka w bezpieczeństwie informacji.

E.1 Ogólne szacowanie ryzyka w bezpieczeństwie informacji.
E.2 Szczegółowe szacowanie ryzyka w bezpieczeństwie informacji.
E.2.1 Przykład 1 Macierz z wcześniej zdefiniowanymi wartościami.
E.2.2 Przykład 2 Ranking zagrożeń przez pomiar ryzyka.
E.2.3 Przykład 3 Szacowanie wartości prawdopodobieństwa i potencjalnych następstw ryzyka.

Załącznik F (informacyjny) Ograniczenia przy redukowaniu ryzyka.

Bibliografia.

Załącznik B zawiera przykłady
identyfikowania i wartościowania
aktywów oraz szacowanie skutków w
związku z incydentami związanymi z

bezpieczeństwem informacji. Załączniki
C i D zawierają przykłady typowych
zagrożeń i podatności oraz metody
szacowania podatności, które można

BEZPIECZNA FIRMA

76

HAKIN9 5/2010

ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI

77

HAKIN9

5/2010

Lista typowych zasobów

Andrzej Guzik

audytor systemu zarządzania bezpieczeństwem

informacji oraz systemu zarządzania jakością, audytor

wewnętrzny, ekspert w zakresie ochrony informacji

prawnie chronionych, redaktor portalu www.ochronain

formacji.pl.

Kontakt z autorem, e-mail: a.guzik@ochronainformacji.pl.

Terminologia związana z ryzykiem

Skutek – negatywna zmiana w odniesieniu do osiąganego poziomu celów biznesowych.
Ryzyko związane z bezpieczeństwem informacji – potencjalna sytuacja, w której określone zagrożenie wykorzysta podatność aktywów lub
grupy aktywów powodując w ten sposób szkodę dla organizacji. Ryzyko jest mierzone jako kombinacja prawdopodobieństwa zdarzenia i jego
następstw.
Unikanie ryzyka – decyzja o nieangażowaniu się lub działanie w kierunku wycofania się
z ryzykowanej sytuacji.
Informowanie o ryzyku – wymiana lub dzielenie się informacjami o ryzyku między decydentami a innymi uczestnikami.
Estymacja ryzyka – proces przypisywania wartości prawdopodobieństwu i następstwom ryzyka.
Identyfikowanie ryzyka – proces znajdowania, zestawiania i charakteryzowania elementów ryzyka.
Redukowanie ryzyka – działania podejmowane w celu zmniejszenia prawdopodobieństwa, negatywnych następstw, lub obu, związanych z
ryzykiem.
Zachowanie ryzyka – akceptowanie ciężaru straty lub korzyści z zysku, z określonego ryzyka.
Transfer ryzyka – dzielenie z inną stroną ciężaru straty lub korzyści zysku, dla ryzyka.

Lp.

Lista zasobów

1

grupy informacji przetwarzane w systemach informatycznych, w tym zwłaszcza informacje prawnie chronione:

tajemnica przedsiębiorstwa, dane osobowe, informacje niejawne

2

sprzęt komputerowy

3

oprogramowanie

4

urządzenia telekomunikacyjne

5

informatyczne nośniki danych

6

dokumentacja

7

usługi

8

sprzęt zapewniający właściwe warunki środowiskowe

9

budynki, pomieszczenia

10

personel

11

wizerunek organizacji

Źródło: ISO 27005

wykorzystać w analizie ryzyka. Na
szczególną uwagę zasługuje załącznik
E opisujący podejście do szacowania
ryzyka w bezpieczeństwie informacji.
Znajdziemy w nim informacje na temat
ogólnego i szczegółowego szacowania
ryzyka w bezpieczeństwie informacji. W
ostatnim załączniku F norma opisuje
ograniczenia jakie należy wziąć pod
uwagę przy redukowania ryzyka.

Podsumowanie

Proces zarządzania ryzykiem
jest podstawowym i zarazem
najtrudniejszym procesem w systemie
zarządzania bezpieczeństwem
informacji. Jego jakość decyduje o
jakości całego SZBI. Na podstawie

wyników analizy ryzyka dobiera się
zabezpieczenia, opracowuje się
plan postępowania z ryzykiem oraz
akceptuje ryzyka. Należy pamiętać, że
nie jest to jednorazowy akt, lecz proces
ciągły. Powinien być przeprowadzany
przynajmniej raz w roku. Instytucja
powinna posiadać udokumentowaną
procedurę analizy ryzyka, tak aby proces
analizy ryzyka był powtarzalny.

Zgodnie z nowym modelem

zarządzania ryzykiem ograniczamy
ryzyka do akceptowalnego poziomu
przez opracowanie planu postępowania
z ryzykiem. Po oszacowaniu ryzyka
mamy do wyboru cztery warianty
postępowania z ryzykiem: redukowanie,
zachowanie, unikanie i przeniesienie.

Wybór wariantu postępowania z
ryzykiem należy do najwyższego
kierownictwa organizacji.

Wdrożenie procesu zarządzanie

ryzykiem w organizacji świadczy
o profesjonalnym podejściu do
planowania skutecznych i uzasadnionych
działań w obszarze bezpieczeństwa
informacji oraz do zapewnienia ciągłości
działania organizacji.

BEZPIECZNA FIRMA

78

HAKIN9 5/2010

ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI

Lista typowych zagrożeń

Rodzaj zagrożenia Typ zagrożenia

Przyczyna

Zniszczenia fizyczne Pożar

P, R, S

Zalanie

P, R, S

Zanieczyszczenie

P, R, S

Poważny wypadek

P, R, S

Zniszczenie urządzeń lub nośników

P, R, S

Pył, korozja, wychłodzenie

P, R, S

Zjawiska naturalne

Zjawiska klimatyczne

S

Zjawiska pogodowe

S

Powódź

S

Utrata

Podstawowych

usług

Awaria systemu klimatyzacji lub wodno-kanalizacyjnego

P, R

Utrata zasilania

P, R, S

Awaria urządzenia telekomunikacyjnego

P, R

Zakłócenia

spowodowane

promieniowaniem

Promieniowanie elektromagnetyczne

P, R, S

Promieniowanie cieplne

P, R, S

Impuls elektromagnetyczny

P, R, S

Naruszenie

bezpieczeństwa

informacji

Przechwycenie sygnałów na skutek zjawiska interferencji

R

Szpiegostwo zdalne

R

Podsłuch

R

Kradzież nośników lub dokumentów

R

Kradzież urządzenia

R

Odtworzenie z nośników wyrzuconych lub pochodzących z recyklingu

R

Ujawnienie

P, R

Dane z niewiarygodnych źródeł

P, R

Manipulowanie urządzeniem

R

Sfałszowanie oprogramowania

P, R

Detekcja umiejscowienia

R

Awarie techniczne

Awaria urządzenia

P

Niewłaściwe funkcjonowanie urządzeń

P

Przeciążenie systemu informacyjnego

P, R

Niewłaściwe funkcjonowanie oprogramowania

P

Naruszenie zdolności utrzymania systemu informacyjnego

P, R

Nieautoryzowane

działania

Nieautoryzowane użycie urządzeń

R

Nieuprawnione kopiowanie oprogramowania

R

Użycie fałszywego lub skopiowanego oprogramowania

P, R

Zniekształcenie danych

R

Nielegalne przetwarzanie danych

R

Naruszenie

bezpieczeństwa

funkcji

Błąd użytkowania

P

Nadużycie praw

P, R

Fałszowanie praw

R

Odmowa działania

R

Naruszenie dostępności personelu

P, R, S

Źródło: ISO 27005. Gdzie: P – zagrożenie przypadkowe R – zagrożenie rozmyślne S – zagrożenie środowiskowe

BEZPIECZNA FIRMA

78

HAKIN9 5/2010

ZARZĄDZANIE RYZYKIEM W BEZPIECZEŃSTWIE INFORMACJI

Lista typowych podatności w poszczególnych obszarach bezpieczeństwa

Lp.

Obszar bezpieczeństwa

Podatność

1

Środowisko i infrastruktura

Brak fizycznej ochrony budynku, drzwi i okien

Niewłaściwe lub nieuważne użycie fizycznej kontroli dostępu do budynków, pomieszczeń

Niestabilna sieć elektryczna

Lokalizacja na terenie zagrożonym powodzią

2

Sprzęt

Brak planów okresowej wymiany

Podatność na zmiany napięcia

Podatność na zamiany temperatury

Podatność na wilgotność, kurz, zabrudzenie

Wrażliwość na promieniowanie elektromagnetyczne

Niewłaściwa konserwacja/wadliwa instalacja nośników

Brak sprawnej kontroli zmian w konfiguracji

3

Oprogramowanie

Niejasny lub niekompletny opis techniczny dla projektantów

Brak lub niedostateczne przetestowanie oprogramowania

Skomplikowany interfejs użytkownika

Brak mechanizmów identyfikacji i uwierzytelniania takich jak uwierzytelnianie użytkowników

Brak śladów dla audytu

Dobrze znane wady oprogramowania

Niechronione tablice haseł

Złe zarządzanie hasłami

Niewłaściwy przydział uprawnień do dostępu

Brak kontroli pobierania i użytkowania oprogramowania

Brak konieczności wylogowania się po opuszczeniu stacji roboczej

Brak efektywnej kontroli zmian

Brak dokumentacji

Brak kopii zapasowych

Usuwanie lub ponowne użycie nośników bez odpowiedniego kasowania ich zawartości

4

Łączność

Niechronione linie łączności

Złe łączenie kabli

Brak identyfikacji i uwierzytelniania nadawcy i odbiorcy

Przesyłanie haseł w postaci jawnej

Brak dowodu wysłania lub odebrania wiadomości

Linie komutowane

Niechroniony wrażliwy ruch

Nieodpowiednie zarządzanie siecią

Niechronione połączenia do sieci publicznej

5

Dokumenty

Niechronione przechowywanie

Nieodpowiednie niszczenie

Niekontrolowane kopiowanie

6

Personel

Nieobecność personelu

Praca personelu zewnętrznego lub sprzątającego bez nadzoru

Niedostateczne szkolenia w zakresie bezpieczeństwa

Brak świadomości bezpieczeństwa

Niewłaściwe użycie oprogramowania i sprzętu

Brak mechanizmów monitorowania

Brak polityk właściwego użycia środków łączności i komunikowania się

Niewłaściwe procedury zatrudniania

7

Podatności mające

zastosowania ogólne

Pojedynczy punkt uszkodzenia

Niewłaściwa reakcja serwisu dokonującego konserwacji

Źródło: ISO 27005