2007 04 Analiza ryzyka – Zarządza nie Bezpieczeństwem Informacji


Analiza ryzyka  Zarządza-
nie Bezpieczeństwem
Informacji
Obrona
Tomasz Polaczek
stopień trudności
Częstym błędem przy wdrażaniu polityki bezpieczeństwa
informacji w rozmaitych organizacjach, jest szybkie i
powierzchowne podejście do problemów. Bardziej oparte na
intuicji, niż wynikające z przemyślanych analiz incydentów, czy
innych zdarzeń mających wpływ na zachwianie bezpieczeństwa
zarówno informacji, jak i IT.
a częsta praktyka może doprowadzić Krok pierwszy  wybór metody
do sytuacji, w której nie będzie można Pierwsze kroki przy rozpoczęciu całego pro-
Tporadzić sobie z daną katastrofą lub in- cesu analizy ryzyka to wybór odpowiedniej
cydentem, ponieważ nie będzie zdefiniowane- metody jego przeprowadzenia i dobranie od-
go logicznego i przemyślanego planu postę- powiednio przeszkolonego personelu. Wśród
powania z ryzykiem. specjalistów zaangażowanych w prace nad
Będziemy się wtedy zastanawiać nie tyl- analizą ryzyka powinni znalezć się członko-
ko, co zrobić, ale dlaczego dany incydent w wie zarządu firmy, dyrektorowie pionów, dzia-
ogóle mógł mieć miejsce. Sami wtedy doj- łów, informatycy oraz pracownicy ochrony fi-
dziemy do wniosku, że być może nie zostały zycznej. Wspólnie określają oni poziom ak-
zdefiniowane i zastosowane odpowiednie za- ceptowanego ryzyka oraz podatność przed-
bezpieczenia, lub same procesy nie zostały siębiorstwa na nie. Przed rozpoczęciem prac
dokładnie przeanalizowane pod kątem bez- nad analizą ryzyka, powinny zostać sklasyfi-
pieczeństwa. kowane informacje oraz aktywa je przetwa-
Podstawą każdego wdrożenia Systemu rzające, przechowujące i niszczące informa-
Zarządzania Bezpieczeństwem Informacji jest cje. Należy również zdefiniować tzw.  obsza-
przede wszystkim sprawnie przeprowadzona ry bezpieczne , w których znajdują się strate-
i przemyślana analiza ryzyka. Jest ona punk-
tem wyjściowym do dostosowania polityki
Z artykułu dowiesz się...
bezpieczeństwa do faktycznych potrzeb i real-
nych zagrożeń dla danej organizacji.
" czym jest analiza ryzyka,
Sama norma ISO 27001 wymaga od
" dlaczego jest tak ważnym procesem przy
przedsiębiorstwa, zdefiniowania i przeanalizo-
wdrażaniu sprawnego Systemu Zarządzanie
wania potencjalnego ryzyka i wybrania na je-
Bezpieczeństwem Informacji. Sprawnie prze-
go podstawie odpowiednich metod zabezpie- prowadzona, z odpowiednią grupą osób z or-
czeń. Jednak sama analiza ryzyka to pózniej- ganizacji, jest podstawą bezpieczeństwa.
szy etap.
hakin9 Nr 4/2007
46 www.hakin9.org
System Zarządzania Bezpieczeństwem Informacji
giczne dane organizacji, sprzęt in- wią się też obszary, aktywa, infor- zostaną podjęte działania korygujące
formatyczny oraz pracownicy, któ- macje, gdzie prawdopodobieństwo i zapobiegawcze, zależy to od orga-
rych brak lub odejście z firmy mo- będzie bardzo małe; zabezpiecze- nizacji pracy oraz kosztów zabezpie-
że spowodować wypłynięcie waż- nia mogą już istnieć, być odpowied- czeń. Jeżeli nie są wymagane dzia-
nych danych lub zachwianie ciągło- nie i wystarczające, co w dużym łania korygujące lub zapobiegawcze
ści działania. Ważne jest również stopniu zmniejsza ryzyko wystąpie- to stosowane są zabezpieczenia z
określenie właścicieli danych infor- nia katastrofy. Jednak nawet mimo załącznika A normy ISO 27001, de-
macji i aktywów. wystąpienia małego prawdopodo- cyzje są podejmowane do roku.
bieństwa, należy zawsze zachować Ryzyko nieakceptowane - Forum
Krok drugi  czujność i na bieżąco monitorować Zarządzania Bezpieczeństwem In-
identyfikacja zagrożeń obszary, aktywa, informacje, ludzi formacji podejmuje działania korygu-
Następnie przychodzi czas na do- wymienionych w analizie ryzyka. jące i zapobiegawcze w czasie do 6
kładną identyfikację zagrożeń i po- Same ryzyka możemy podzielić miesięcy.
datności na nie dla każdego ze skla- na cztery grupy: Ryzyko krytyczne - Forum Zarzą-
syfikowanych aktywów, informacji, dzania Bezpieczeństwem Informacji
obszarów oraz ludzi. Istotne jest, " Ryzyko akceptowalne podejmuje działania korygujące i za-
aby identyfikacja dotyczyła real- " Ryzyko akceptowalne czasowo pobiegawcze w czasie do 3 miesię-
nych, prawdopodobnych zagrożeń, " Ryzyko nieakceptowane cy, przeprowadza audit wewnętrz-
na jakie może zostać narażona or- " Ryzyko krytyczne ny ISO 27001 we wszystkich obsza-
ganizacja. Po tak dokładnej identy- rach Urzędu, po 3 miesiącach prze-
fikacji, określa się skutki potencjal- Dla każdego z nich możemy zało- prowadzana jest jeszcze raz anali-
nych katastrof. żyć odpowiednie ramy czasowe, w za ryzyka.
Określając skutki wystąpienia których musimy dane ryzyko zmniej- Jednak, aby bardziej unaocznić
katastrofy możemy w prosty sposób szyć lub tylko monitorować - w przy- tą problematykę, przedstawimy sce-
przejść do wyboru odpowiednich za- padku ryzyka akceptowalnego. Moż- nariusz realnej analizy ryzyka oraz
bezpieczeń w postaci sprzętu, opro- na założyć sobie następujący sce- całego procesu, jaki się w związku
gramowania, procesów, procedur nariusz. z nią odbywa.
oraz polityk. Wybór zabezpieczeń Ryzyko akceptowalne  nie są
na podstawie przeprowadzonej ana- podejmowane żadne działania, jest Przykładowy scenariusz
lizy znacznie wpływa na zminimali- ono monitorowane podczas przeglą- Organizacja chcąca wdrożyć w
zowanie kosztów wdrożenia tych za- du SZBI. swych strukturach System Zarzą-
bezpieczeń oraz na jego czas. Jeśli Ryzyko akceptowalne warunko- dzania Bezpieczeństwem Infor-
w analizie zostaną określone ryzyka wo  Forum Zarządzania Bezpie- macji postanowiła rozpocząć pra-
krytyczne, to bardzo ważne dla da- czeństwem Informacji decyduje, czy cę od dokładnego oszacowania
nej organizacji jest jak najszybsze je-
go zmniejszenie do poziomu akcep-
towalnego.
Po oszacowaniu skutków wystą-
pienia ryzyka, należy też oszacować
hipoteczną wielkość szkód, jakie mo-
że spowodować dana katastrofa.
Krok trzeci -
prawdopodobieństwo
W następnym etapie, gdy mamy
już oszacowane ewentualne skut-
ki i szkody spowodowane wystą-
pieniem katastrofy, należy określić
prawdopodobieństwo ich wystąpie-
nia. Dla niektórych obszarów, akty-
wów, procesów, prawdopodobień-
stwo to może być wysokie z uwagi
na niezastosowanie w tych obsza-
rach żadnych zabezpieczeń, lub za-
stosowanie słabych, niewystarcza-
jących i nie adekwatnych do waż-
ności samego zagadnienia. Poja- Rysunek 1. Spotkanie z kierownictwem organizacji
www.hakin9.org hakin9 Nr 4/2007 47
Obrona
ryzyka, istniejących podatności, praw-
dopodobieństwa występowania zagro-
żeń oraz analizy ryzyka. Na początku
wdrożenia powołano, zgodnie z wyma-
ganiem normy, forum bezpieczeństwa
odpowiedzialne za nadzór nad proce-
sem wdrożenia. Do prac nad analizą
ryzyka zaproszono zarząd, wszyst-
kich dyrektorów pionów, informatyków,
służby ochrony. Wraz z konsultantami
z zakresu bezpieczeństwa informa-
cji oraz bezpieczeństwa IT, zaczeli się
oni zastanawiać, czy i jakie wystąpiły
w przeszłości w organizacji incydenty
dotyczące naruszenia informacji, awa-
rii systemów informatycznych, zakłó-
ceń związanych z bezpieczeństwem
fizycznym i środowiskowym w obsza-
rach organizacji. Po określeniu takich
Rysunek 2. Analiza ryzyka, czyli burza mózgów przeprowadzona z
incydentów, przeanalizowano raz jesz-
kierownictwem organizacji
cze, jakie czynniki miały wpływ na ich
wystąpienie i jakie działania korygują- " Włamanie fizyczne do budynk ją. Dlatego też ustalono, że zostanie
ce i zapobiegawcze zastosowano, aby " Pożar stworzona oddzielna, dość restrykcyj-
nie dopuścić w przyszłości do ponow- " Zalanie na procedura dotycząca wynoszenia
nego wystąpienia podobnych zdarzeń. " Włamanie fizyczne do pomiesz- sprzętu komputerowego poza obszar
Analizując te dane wraz z powołanymi czenia zastępcy Dyrektora finan- firmy, tak, aby zminimalizować ryzyko
specjalistami z zakresu bezpieczeń- sowego jego utraty. Ponadto ustalono, że zo-
stwa informacji i bezpieczeństwa IT, " Kradzież laptopów stanie zakupiony odpowiedni sprzęt do
zaczęto się zastanawiać, czy obecnie " Sabotaż wewnętrzny ze strony wzmocnienia ochrony tych urządzeń
zastosowane zabezpieczenia są ade- pracowników ochrony oraz lepsze, bezpieczniejsze nośniki,
kwatne do wagi posiadanych przez niesugerujące pochodzenia.
przedsiębiorstwo informacji, aktywów, Następnie określone zostały prawdo- Jedynym problemem do rozwią-
procesów, obszarów i ludzi. podobieństwa wystąpienia realnych zania pozostał ewentualny sabotaż
Wcześniej jednak konsultanci zagrożeń dla tych obszarów. Uzna- wewnętrzny w firmie. Jest on niezwy-
przekazali wszystkim dyrektorom pio- no, że należy wzmocnić ochronę fi- kle trudny do udowodnienia, a jeszcze
nów, formularz dotyczący klasyfika- zyczną budynku poprzez zainstalowa- trudniej znalezć winnego tych działań.
cji informacji i aktywów, jakie znajdu- nie lepszego monitoringu zarówno we- Zarząd zlecił stworzenie odpowied-
ją się w organizacji, a jakie mają dla wnątrz, jak i na zewnątrz budynku, po- nich procedur związanych z zatrud-
nich znaczenie (prawne, rynkowe, prosić przedstawiciela straży pożarnej nieniem pracowników, ich rekrutacją
strategiczne). Informacje zwrotne zo- o jeszcze jedną analizę systemu prze- i weryfikacją posiadanych przez nich
stały dodane do szablonu szacowa- ciwpożarowego i ewentualne wzmoc- kwalifikacji. Ponadto obecnym pra-
nia ryzyka. Wspólnie z całą powołaną nienie budynku w tym obszarze. cownikom nakazano podpisanie sto-
kadrą określono realne, istniejące po- W przypadku pomieszczeń członków sownych oświadczeń bezpieczeń-
datności-tzw.  słabe punkty w orga- zarządu, ustalono, że zostanie okre- stwa, mówiących o ewentualnych
nizacji, mogące mieć wpływ na naru- ślony oddzielny obszar bezpieczny, sankcjach w przypadku udostępnie-
szenie bezpieczeństwa dla wymienio- w którym znajdować się będą biura nia informacji, jej kradzieży, zniszcze-
nych informacji, aktywów, obszarów członków zarządu. Obszar ten będzie nia lub zmodyfikowania bez zgody i
czy procesów. W tym momencie kon- oddzielony za pomocą szklanej ścia- wiedzy przełożonego.
sultanci mieli przygotowany dokład- ny z drzwiami na zamek magnetycz- Co prawda żadna organizacja
ny szablon analizy ryzyka i mogli po- ny otwierany przez wprowadzenie sze-
dejść do jego szacowania. Na pierw- ściocyfrowego kodu PIN. Dodatkowo
O autorze
szej pozycji pojawił się budynek za- przed obszarem, zostanie umieszczo-
Autor jest Product Managerem ds.
rządu, jako ważny obszar, w którym ny sekretariat, który będzie wpuszczał
zarządzania bezpieczeństwem informa-
przetwarzane i przechowywane są wyłącznie umówionych interesantów.
cji w Computer Service Support S.A.
najważniejsze informacje. Określono Kradzież laptopów z ważnymi da-
Kontakt z autorem: tomasz.polacze-
dla niego kilka realnych podatności. nymi jest dla każdej organizacji uciąż- k@css.pl
Były nimi: liwa, nie wiadomo gdzie dane te trafia-
www.hakin9.org
48 hakin9 Nr 4/2007
System Zarządzania Bezpieczeństwem Informacji
nigdy nie osiągnie 100% bezpie- stosować inne metody. Jest to na przy-
czeństwa, ale może je realnie zmi- kład unikanie ryzyka, czyli zastanowie-
UWAGI
nimalizować. nie się, w jaki sposób możemy uniknąć
Należy pamietać że dobra analiza ry-
Znając już dokładne sposoby, ja- ryzyka lub, przeniesienie samego ry-
zyka powinna być przeprowadzana
kie można wykorzystać do zminimali- zyka na inne obszary,czy procesy w
indywidualnie dla danej organizacji,
zowania zagrożenia, określamy praw- organizacji.
uwzględniając w niej realne zagrożenie
oraz faktycznie istniejące podatności, dopodobieństwo jego wystąpienia na
które mogą mieć realny wpływ na na- podstawie incydentów, jakie wystąpi- Podsumowanie
ruszenie bezpieczeństwa zasobów in-
ły w przeszłości. Należy przy tym pa- Opisana metoda, hipotetyczny scena-
fomracyjnych organizacji.
miętać, że logiczny jest wybór zabez- riusz szacowania oraz analizy ryzyka
Analiza ryzyka powinna być prze-
pieczeń, których koszt nie przekro- są jednymi z wielu możliwości. Na ryn-
prowadzana z najwyższym kierownic-
czy wartości aktywu, informacji, któ- ku istnieje wiele programów wspoma-
twem organizacji, kierownikami po-
re chcemy zabezpieczyć. gających szacowanie ryzyka. Dlate-
szególnych działów,wydziałów,depar-
Po określeniu tych wszystkich go też ważne jest, aby podchodząc do
tamentów, pownieważ tylko wtedy bę-
czynników, zarząd miał pełen obraz analizy ryzyka, wybrać najskuteczniej-
dziemy mieć realny wgląd w istniejące
realnych zagrożeń, określił przedział szą i najlepszą metodę, która dokład-
zabezpieczenia, podatności i zagroże-
czasu, w jakim dane zabezpieczenia nie wpasuje się w organizację oraz jej
nia, a nikt nie zna tak dobrze organiza-
cji jak ludzie w niej pracujący. dla określonych obszarów, aktywów potrzeby. Należy również pamiętać, że
Na podstawie wyników z analizy ry- i informacji zostaną wdrożone i mógł dane, jakie uzyskamy z analizy ryzyka,
zyka, możemy stworzyć sprawny plan
przystąpić do wdrożenie całego Syste- posłużą nam pózniej do formułowania
ciągłości działania biznesowego orga-
mu Zarządzania Bezpieczeństwem In- planu ciągłości działania organizacji w
nizacji oraz odpowiednika dla informa-
formacji ISO 27001 w całej organizacji. przypadku katastrof i incydentów mo-
tyki, disaster recovery
Poza zastosowaniem odpowiednich gących realnie w niej wystąpić. l
zabezpieczeń, możemy również za-
R E K L A M A


Wyszukiwarka

Podobne podstrony:
2007 04 Qmail – nowoczesny serwer pocztowy [Bezpieczenstwo]
Analiza Ryzyka w zarządzaniu projektami systemów
4 Systemy zarządzania bezpieczeństwem informacji
RAPORT2013 zarządzanie bezpieczeństwem informacji
Żebrowski L , 2013 07 04 NDz, Korpus (nie)bezpieczeństwa wewnętrznego
2007 04 Tworzenie kopii bezpieczeństwa danych [Administracja]
Zarządzanie projektami analiza ryzyka
Zagrożenia bezpieczeństa informacji
Lekcja 2 Analiza Procesu pracy etap pozyskiwania informacji i podejmowania?cyzji
2007 04 Nowoczesna metoda oceny rehabilitacji u pacjentów po endoprototezoplastyce st biodrowego
3 Metody jakoÂciowe analizy ryzyka [v3]
Normy i standardy z zakresu bezpieczenstwa informacyjnego i teleinformatycznego
Krasnodębski Z , 2010 04 14 Rz, Już nie przeszkadza (L Kaczyński)

więcej podobnych podstron