WOJSKOWA AKADEMIA TECHNICZNA

im. Jarosława Dąbrowskiego

Ochrona i bezpieczeństwo danych w systemach informatycznych

Analiza ryzyka bezpieczeństwa danych w systemach informatycznych

Prowadzący: dr inż. Jerzy Stanik

Student: Barbara Szwal

Grupa: I1E1S1

Nazwa firmy: Powszechny Zakład Ubezpieczeń

Zasadniczym celem firmy PZU S.A. jest ubezpieczanie ludzi i wszelkiego rodzaju mienia. Jest to realizowane poprzez rejestrację polis różnego rodzaju na rzecz poszczególnego klienta. W ramach tego dokumentu ustalany jest wartość maksymalnego możliwego odszkodowania do uzyskania w przypadku wystąpienia szkody. On sam stanowi dowód na podjęcie się ubezpieczania osoby bądź mienia przez firmę.

W przypadku wystąpienia szkody, jest ona zgłaszana do firmy przez klienta za pośrednictwem pracownika. Następnie uruchamiana jest procedura wyceny szkody przez rzeczoznawców, na podstawie której wyznaczana jest późniejsza wartość odszkodowania uzyskanego przez klienta, w oparciu o dodatkową wiedzę związaną z kategorią i typem polisy.

Misja firmy

Celem Grupy PZU pozostaje utrzymanie rentownego wzrostu oraz wiodącej pozycji na polskim rynku usług ubezpieczeniowych. 
W najbliższych latach model operacyjny Grupy PZU będzie podlegał transformacji z organizacji działającej według linii produktowych na organizację działającą według segmentu klientów. Działania te pozwolą na lepsze zrozumienie potrzeb klientów oraz odpowiednie reagowanie na te potrzeby. W planach na kolejne lata znajduje się również dalsza optymalizacja operacyjna Grupy PZU. 
Zorientowanie na klienta oraz wysoka efektywność operacyjna pozwolą na utrzymanie pozycji lidera – Grupa PZU pozostanie największą i najbardziej rentowną firmą ubezpieczeniową w Europie Środkowo Wschodniej.

 Wizja firmy

„Grupa PZU – dzięki silnemu zorientowaniu na klienta i wysokiej efektywności operacyjnej – będzie największą i najbardziej rentowną firmą ubezpieczeniową w Europie Środkowo-Wschodniej”.

Procesy biznesowe

Z racji faktu, iż realizacja całościowa zagadnienia funkcjonowania firmy ubezpieczeniowej, w kontekście rozpatrywanego systemu, byłaby zbyt złożonym problemem do realizacji w ramach projektu - omawiane przedsiębiorstwo może posiadać szereg różnego rodzaju polis oraz realizować bardziej rozbudowaną procedurę wypłacania odszkodowań - zadanie zostało ograniczone głównie do trzech sektorów działania firmy.

Rys 2.Mapa procesów biznesowych, Źródło: Opracowane własne.

Lista zasobów informacyjnych

1. Lista dostępnych ofert ubezpieczeniowych.

2. Program szkolenia pracowników

3. Instrukcja naliczania składek dla polis

Ogólna wycena zasobów

Lista dostępnych ofert ubezpieczeniowych

Nazwa atrybutu bezpieczeństwa	Wartość zasobu (0; 1; 2; 3)	Uzasadnienie
Poufność	0	Ujawnienie listy dostępnych ofert ubezpieczeniowych nie skutkuje żadnymi stratami. Płynność finansowa firmy nie zostanie przerwana.
Dostępność	1	Utrata dostępności do listy dostępnych ofert ubezpieczeniowych w niewielkim stopniu utrudnia funkcjonowanie firmy. Koszty związane z odzyskaniem lub przygotowaniem na nowo są niewielkie.
Integralność	3	Utrata integralności dostępnych danych utrudnia funkcjonowanie firmy oraz naraża ją na duże koszty. Płynność finansowa firmy zostanie zaburzona.

Rysunek 2. Tabela przedstawiająca wycenę ogólną zasobu listy dostępnych ofert ubezpieczeniowych, Źródło: Opracowanie własne.

Wartość zasobu: 4

Program szkolenia pracowników

Nazwa atrybutu bezpieczeństwa	Wartość zasobu (0; 1; 2; 3)	Uzasadnienie
Poufność	1	W przypadku utracenia poufności programu szkoleniowego firma może utracić innowacyjność Zarówno ciągłość procesu biznesowego jak i płynność finansowa zostaną zachowane.
Dostępność	2	Utrata dostępności do programu szkolenia nie spowoduje funkcjonowania firmy ale przyczyni się do wzrostu kosztów związanych z ponownym przygotowaniem programu.
Integralność	2	Utrata integralności programu szkolenia pracowników nie spowoduje przerwania funkcjonowania firmy. Może przyczynić się do złego przeszkolenia pracowników i nieefektywnej pracy co spowoduje wzrost kosztów za wykonaną pracę.

Rysunek 3. Tabela przedstawiająca wycenę ogólną zasobu program szkolenia pracowników, Źródło: Opracowanie własne.

Wartość zasobu: 5

Instrukcje naliczania składek dla polis

Nazwa atrybutu bezpieczeństwa	Wartość zasobu (0; 1; 2; 3)	Uzasadnienie
Poufność	3	Przechwycenie informacji dotyczących naliczania składek dla polis niesie ogromne straty dla firmy. Generuje to koszty prowadzące do naruszenia płynności finansowej firmy oraz wizerunku.
Dostępność	3	W sytuacji utraty dostępu do instrukcji naliczania składek dla polis powoduje to przerwanie funkcjonowania firmy. Niesie to za sobą poważne straty finansowe. Firma jest narażona na koszty związane z odzyskaniem instrukcji lub utworzeniem na nowo.
Integralność	3	Niespójność w instrukcjach naliczania składek dla polis niesie poważne straty finansowe, nie wpływa to na wizerunek firmy.

Rysunek 4. Tabela przedstawiająca wycenę ogólną zasobu instrukcji naliczania składek dla polis, Źródło: Opracowanie własne.

Wartość zasobu: 9

Szczegółowa wycena zasobów wrażliwych

Do szczegółowej wyceny wybrane zostały następujące zasoby wrażliwe:

Lista dostępnych ofert ubezpieczeniowych

Nazwa atrybutu bezpieczeństwa	Koszty
	Finansowe
Poufność	0
Dostępność	0
Integralność	1

Rysunek 5. Tabela przedstawiająca szczegółową wycenę zasobów wrażliwych listy dostępnych ofert ubezpieczeniowych, Źródło: Opracowanie własne.

Wartość zasobu: 4

Program szkolenia pracowników

Nazwa atrybutu bezpieczeństwa	Koszty
	Finansowe
Poufność	0
Dostępność	1
Integralność	1

Rysunek 6. Tabela przedstawiająca szczegółową wycenę zasobów wrażliwych program szkolenia pracowników, Źródło: Opracowanie własne.

Wartość zasobu: 5

Instrukcje naliczania składek dla polis

Nazwa atrybutu bezpieczeństwa	Koszty
	Finansowe
Poufność	1
Dostępność	1
Integralność	1

Rysunek 7. Tabela przedstawiająca szczegółową wycenę zasobów wrażliwych instrukcje naliczania składek dla polis ubezpieczeniowych, Źródło: Opracowanie własne.

Wartość zasobu: 9

Analiza ryzyka

Do analizy ryzyka wybrane zostały zasoby opisane wyżej w sekcji Szczegółowa wycena zasobów wrażliwych.

Lista podatności i zagrożeń

Dla wybranych zasobów zidentyfikowane zostały następujące zagrożenia i podatności:

Lista dostępnych ofert ubezpieczeniowych

Nazwa podatności	Wartość podatności (N,Ś,W)	Zagrożenie wykorzystujące podatność	Wartość zagrożenia (N,Ś,W)
Brak planów okresowych	Ś	Starzenie się nośników(Z1)	N
Błędy instalacyjne nośników pamięci	N	Błędy utrzymania(Z2)	N
Brak mechanizmów identyfikacji i uwierzytelniania tj. potwierdzenie tożsamości użytkownika	W	Podszycie się pod uprawnionego użytkownika(Z3)	Ś
Niekontrolowane ściąganie danych i oprogramowania	Ś	Złośliwe oprogramowanie(Z4)	Ś
Niewylogowanie się po opuszczenie stanowiska pracy	W	Korzystanie z oprogramowania przez nieuprawnionych użytkowników(Z5)	Ś
Brak backupów	Ś	Złośliwe oprogramowanie lub pożar(Z6)	Ś
Usunięcie lub ponowne użycie nośników pamięci bez odpowiedniego skasowania informacji	Ś	Użycie oprogramowania przez nieuprawnionego użytkownika(Z5)	Ś
Niechroniona pamięć	Ś	Kradzież(Z7)	W
Brak nadzoru nad zniszczeniem nośników	N	Kradzież(Z7)	W
Niekontrolowane kopiowanie	Ś	Kradzież(Z7)	W
Nieprzestrzeganie zasad bezpieczeństwa	Ś	Błąd użytkownika(Z8)	Ś
Nieprawidłowe użycie oprogramowania i sprzętu	Ś	Błąd użytkownika(Z8)	Ś
Brak mechanizmów monitorujących	Ś	Użycie oprogramowania w nieuprawniony sposób(Z9)	Ś
Uszkodzenie pojedynczej stacji roboczej	Ś	Brak łączności(Z10)	N
Niewłaściwe serwisowanie	N	Awaria, zawodność sprzętu(Z11)	N
Łatwość przeglądania informacji w sposób nielegalny	W	Utrata poufności informacji(Z12)	W
Wartość średnia podatności	Ś	Wartość średnia zagrożenia	Ś

Rysunek 7. Tabela przedstawiająca ryzyka i podatności dla zasobu: Lista dostępnych ofert ubezpieczeniowych, Źródło: Norma PN-ISO/IEC 27005:2010.

Instrukcje naliczania składek dla polis

Nazwa podatności	Wartość podatności (N,Ś,W)	Zagrożenie wykorzystujące podatność	Wartość zagrożenia (N,Ś,W)
Niewystarczające utrzymanie/błędna instalacja nośników pamięci	N	Naruszenie zdolności utrzymania systemu informacyjnego (Z1)	W
Brak planów okresowej wymiany	N	Zniszczenie urządzeń lub nośników (Z2)	W
Brak mechanizmów identyfikacji i uwierzytelniania tj. potwierdzenie tożsamości użytkownika	N	Podszycie się pod uprawnionego użytkownika(Z3)	W
Brak zapisów audytowania	N	Korzystanie z oprogramowania w nieuprawniony sposób(Z4)	W
Dobrze znane słabe punkty oprogramowania	Ś	Korzystanie z oprogramowania przez nieuprawnionych użytkowników(Z2)	W
Niezabezpieczone tablice haseł	W	Podszycie się pod uprawnionego użytkownika(Z3)	W
Złe zarządzanie hasłami (łatwe do odgadnięcia hasła, złe przechowywanie, niedostateczna częstotliwość zmian)	W	Podszycie się pod uprawnionego użytkownika(Z3)	W
Niewłaściwy przydział praw dostępu	Ś	Korzystanie z oprogramowania w nieuprawniony sposób(Z4)	W
Niekontrolowane ściąganie danych i oprogramowania	Ś	Złośliwe oprogramowanie(Z5)	Ś
Niewylogowanie się po opuszczeniu stanowiska pracy	Ś	Korzystanie z oprogramowania przez nieuprawnionych użytkowników(Z2)	W
Brak dostatecznej kontroli zmian	Ś	Awaria oprogramowania(Z6)	W
Braki w dokumentacji systemu	N	Błędy użytkowników(Z7)	Ś
Brak backupów	Ś	Złośliwe oprogramowanie lub pożar(Z8)	Ś
Niechroniona pamięć	W	Kradzież(Z9)	W
Brak nadzoru nad zniszczeniem nośników	Ś	Kradzież(Z9)	W
Niekontrolowane kopiowanie	W	Kradzież(Z9)	W
Brak nadzoru nad pracami wykonywanymi przez sprzątających lub osoby z zewnątrz	N	Kradzież(Z9)	W
Nieprzestrzeganie zasad bezpieczeństwa	Ś	Błąd użytkownika(Z7)	Ś
Nieprawidłowe użycie oprogramowania i sprzętu	Ś	Błąd użytkownika(Z7)	Ś
Brak mechanizmów monitorujących	Ś	Użycie oprogramowania w nieuprawniony sposób(Z4)	W
Znaczna liczba użytkowników mających dostęp do systemu	Ś	Utrata poufności, integralności, dostępności informacji(Z10)	W
Uszkodzenie pojedynczej stacji roboczej	N	Brak łączności(Z11)	Ś
Łatwość przeglądania informacji w sposób nielegalny	W	Utrata poufności informacji(Z12)	W
Wartość średnia podatności	Ś	Wartość średnia zagrożenia	W

Rysunek 8. Tabela przedstawiająca ryzyka i podatności dla zasobu: Instrukcje naliczania składek dla polis, Źródło: Norma PN-ISO/IEC 27005:2010.

Program szkolenia pracowników

Nazwa podatności	Wartość podatności (N,Ś,W)	Zagrożenie wykorzystujące podatność	Wartość zagrożenia (N,Ś,W)
Niewłaściwy przydział praw dostępu.	W	Kradzież(Z1)	W
Niewylogowanie się po opuszczenie stanowiska pracy.	W	Błąd użytkownika(Z2)	W
Brak nadzoru nad zniszczeniem nośników	W	Utrata poufności, integralności, dostępności informacji(Z3)	W
Niedostateczne szkolenie personelu dotyczące bezpieczeństwa	W	Utrata poufności, integralności, dostępności informacji(Z3)	W
Znaczna liczba użytkowników mających dostęp do systemu	W	Możliwość korzystania przez nieuprawnionych użytkowników(Z4)	W
Brak identyfikacji i uwierzytelniania nadawcy i odbiorcy	W	Podszycie się pod innego użytkownika(Z5)	W
Wartość średnia podatności	W	Wartość średnia zagrożenia	W

Rysunek 9. Tabela przedstawiająca ryzyka i podatności dla zasobu: Program szkolenia pracowników, Źródło: Norma PN-ISO/IEC 27005:2010.

Macierz przyporządkowania

Lista dostępnych ofert ubezpieczeniowych

Podatność\Zagrożenie	Z1	Z2	Z3	Z4	Z5	Z6	Z7	Z8	Z9	Z10	Z11	Z12
P1	X
P2		X
P3			X
P4				X
P5					X
P6						X
P7					X
P8							X
P9							X
P10							X
P11								X
P12								X
P13									X
P14										X
P15											X
P16												X

Rysunek 10. Tabela przedstawiająca macierz przyporządkowania dla zasobu: Lista dostępnych ofert ubezpieczeniowych, Źródło: Opracowanie własne.

Program szkolenia pracowników

Podatność\Zagrożenie	Z1	Z2	Z3	Z4	Z5
P1	X
P2		X
P3			X
P4			X
P5				X
P6					X

Rysunek 11. Tabela przedstawiająca macierz przyporządkowania dla zasobu: Program szkolenia pracowników, Źródło: Opracowanie własne.

Instrukcje naliczania składek dla polis

P\Z	Z1	Z2	Z3	Z4	Z5	Z6	Z7	Z8	Z9	Z10	Z11	Z12
P1	X
P2		X
P3			X
P4				X
P5		X
P6			X
P7			X
P8				X
P9					X
P10		X
P11						X
P12							X
P13								X
P14									X
P15									X
P16									X
P17									X
P18							X
P19							X
P20				X
P21										X
P22											X
P23												X

Rysunek 12. Tabela przedstawiająca macierz przyporządkowania dla zasobu: Instrukcje naliczania składek dla polis, Źródło: Opracowanie własne.

Ocena ryzyka

Ocenę ryzyka dla zasobu wrażliwego wykonujemy w oparciu o następującą funkcję $R = \sum_{i = 1}^{N}{\sum_{j = 1}^{M}{f(w,p_{i},z_{j})}}$, przy czym funkcję f przedstawia poniższa tabela:

Funkcja wyceny ryzyka:

R(z) = f(Wz,P,Z)

gdzie:

• R(z) - ryzyko

• Wz – wycena zasobu $Wz = \ \sum_{}^{}{xij - koszta\ utraty}$

• P – podatności

• Z- zagrożenia

Gdzie:

w - wycena zasobu wrażliwego (dokonana w poprzednich częściach opracowania), w ∈ {1, 2, 3, 4, 5}

p_i - wartość i-tej podatności, $i = \overset{\overline{}}{1,N}\ \ \ \ ,\ \ \ \ p_{i} \in \{ 1,2,3\}$

z_j - wartość j-tego zagrożenia, $\ j = \overset{\overline{}}{1,M}\ \ \ \ ,\ \ \ \ z_{j} \in \{ 1,2,3\}$

N - liczba podatności

M - liczba zagrożeń

R - ocena ryzyka

Bazując na wartościach wyznaczonych w sekcji Lista podatności i zagrożeń otrzymujemy że:

Lista dostępnych ofert ubezpieczeniowych

Możliwość realizacji zagrożenia	N	Ś	W
Wartość podatności	N	Ś	W
Wartość zasobu
1	1	2	3
2	2	3	4
3	3	4	5
4	4	5	6
5	5	6	7

Rysunek 13. Tabela przedstawiająca ocenę ryzyka dla zasobu: Lista dostępnych ofert ubezpieczeniowych, Źródło: opracowanie własne.

$R = \sum_{i = 1}^{N}{\sum_{j = 1}^{M}{f\left( w,p_{i},z_{j} \right) = f(4}},2,2) = 6$ poza akceptowalnym poziomem ryzyka

Instrukcje naliczania składek dla polis

Możliwość realizacji zagrożenia	N	Ś	W
Wartość podatności	N	Ś	W
Wartość zasobu
1	1	2	3
2	2	3	4
3	3	4	5
4	4	5	6
5	5	6	7
6	6	7	8
7	7	8	9
8	8	9	10
9	9	10	11

Rysunek 14. Tabela przedstawiająca ocenę ryzyka dla zasobu: Instrukcje naliczania składek, Źródło: opracowanie własne.

$R = \sum_{i = 1}^{N}{\sum_{j = 1}^{M}{f\left( w,p_{i},z_{j} \right) = f(9}},2,2) = 13$ znacznie poza akceptowalnym poziomem ryzyka

Program szkolenia pracowników

Możliwość realizacji zagrożenia	N	Ś	W
Wartość podatności	N	Ś	W
Wartość zasobu
1	1	2	3
2	2	3	4
3	3	4	5
4	4	5	6
5	5	6	7

Rysunek 15. Tabela przedstawiająca ocenę ryzyka dla zasobu: Program szkolenia pracowników, Źródło: opracowanie własne.

$R = \sum_{i = 1}^{N}{\sum_{j = 1}^{M}{f\left( w,p_{i},z_{j} \right) = f(5}},3,3) = 9$ znacznie poza akceptowalnym poziomem ryzyka

Strategia zarządzania ryzykiem

W wyniku otrzymanych ocen ryzyka dla zasobów wrażliwych zaproponowane zostały następujące strategie zarządzania ryzykiem:

Lista dostępnych ofert ubezpieczeniowych- poza akceptowalnym poziomem ryzyka

Zasób	Ryzyko	Typ zabezpieczenia	Uzasadnienie
Lista dostępnych ofert ubezpieczeniowych	6	Prowadzenie szkoleń z zakresu bezpieczeństwa informacji	Potrzeba podnoszenia świadomości użytkowników oraz zapoznanie ich z zagadnieniami prawnymi dotyczącymi ochrony danych
Lista dostępnych ofert ubezpieczeniowych	6	Wprowadzenie systemów uwierzytelniania, autoryzacji i rozliczania (AAA)	Wykorzystanie systemów kontroli dostępu oraz nadzór ruchu pozwoli diagnozować ewentualne wypływy informacji, zapewni też bezpieczny i uprawniony dostęp użytkownikom
Lista dostępnych ofert ubezpieczeniowych	6	Zarządzanie hasłami operatorów systemu	Wprowadzenie polityki zarządzania hasłami takiej jak stosowanie haseł z określona liczba znaków specjalnych czy okresowa zmiana hasła pozwoli na podniesienie poziomu bezpieczeństwa.
Lista dostępnych ofert ubezpieczeniowych	6	Opracowanie i wdrożenie modułu odpowiedzialnego za weryfikację wprowadzanych danych	Zabezpieczenie dostępu do danych przed nieautoryzowanymi użytkownikami.

Rysunek 16. Tabela przedstawiająca strategię zarządzania ryzykiem dla zasobu: Lista dostępnych ofert ubezpieczeniowych

Instrukcje naliczania składek dla polis- znacznie poza akceptowalnym poziomem ryzyka

Zasób	Ryzyko	Typ zabezpieczenia	Uzasadnienie
Instrukcje naliczania składek dla polis	13	Prowadzenie szkoleń z zakresu bezpieczeństwa informacji	Potrzeba podnoszenia świadomości użytkowników oraz zapoznanie ich z zagadnieniami prawnymi dotyczącymi ochrony danych
Instrukcje naliczania składek dla polis	13	Zakup urządzeń i oprogramowania odpowiedzialnego za tworzenie kopii zapasowych oraz opracowanie instrukcji dotyczącej zasad wykonywania owych kopii	Zabezpieczenie organizacji przed bezpowrotną utratą danych
Instrukcje naliczania składek dla polis	13	Opracowanie instrukcji archiwizacji danych	Wprowadzenie polityki zarządzania hasłami takiej jak stosowanie haseł z określona liczba znaków specjalnych czy okresowa zmiana hasła pozwoli na podniesienie poziomu bezpieczeństwa.
Instrukcje naliczania składek dla polis	13	Opracowanie instrukcji archiwizacji danych	Poprawne archiwizowanie danych zabezpiecza je przed utratą oraz przed kradzieżą
Instrukcje naliczania składek dla polis	13	Opracowanie i wdrożenie modułu odpowiedzialnego za identyfikację i uwierzytelnienie użytkowników	Zabezpieczenie dostępu do danych przed nieautoryzowanymi użytkownikami.
Instrukcje naliczania składek dla polis	13	Stworzenie intuicyjnego interfejsu użytkownika	Poprawa komfortu, jakości oraz szybkości pracy. Zabezpiecza przed niepoprawnym używaniem systemu i zmniejsza ryzyko popełnienia błędu
Instrukcje naliczania składek dla polis	13	Przeprowadzanie systematycznej kontroli i aktualizacji oprogramowania	Częste kontrole i aktualizacje oprogramowania są niezwykle ważne, gdyż pozwalają wyeliminować istniejące luki w oprogramowaniu i wyeliminowanie potencjalnych ataków hakerów.

Rysunek 17. Tabela przedstawiająca strategię zarządzania ryzykiem dla zasobu: Instrukcje naliczania składek dla ofert.

Program szkolenia pracowników- znacznie poza akceptowalnym poziomem ryzyka

Zasób	Ryzyko	Typ zabezpieczenia	Uzasadnienie
Program szkolenia pracowników	9	Prowadzenie szkoleń z zakresu bezpieczeństwa informacji	Potrzeba podnoszenia świadomości użytkowników oraz zapoznanie ich z zagadnieniami prawnymi dotyczącymi ochrony danych
Program szkolenia pracowników	9	Wprowadzenie systemów uwierzytelniania, autoryzacji i rozliczania (AAA)	Wykorzystanie systemów kontroli dostępu oraz nadzór ruchu pozwoli diagnozować ewentualne wypływy informacji, zapewni też bezpieczny i uprawniony dostęp użytkownikom
Program szkolenia pracowników	9	Przeprowadzanie systematycznej kontroli i aktualizacji oprogramowania	Częste kontrole i aktualizacje oprogramowania są niezwykle ważne, gdyż pozwalają wyeliminować istniejące luki w oprogramowaniu i wyeliminowanie potencjalnych ataków hakerów.
Program szkolenia pracowników	9	Opracowanie i wdrożenie modułu odpowiedzialnego za weryfikację wprowadzanych danych	Zabezpieczenie dostępu do danych przed nieautoryzowanymi użytkownikami.

Rysunek 18. Tabela przedstawiająca strategię zarządzania ryzykiem dla zasobu: Program szkolenia pracowników.