Szacowanie ryzyka w systemie zarzadzania bezpieczeństwem informacji

Jaka jest rzeczywista rola i znaczenie procesu szacowania ryzyka podczas tworzenia i utrzymywania systemu bezpieczeństwa informacji w organizacji? Czy należy go przeprowadzić tylko dlatego, że jest on wymagany przez standard ISO/IEC 27001:2005?

Praktyczny przewodnik

Organizacja, która decyduje się na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) oraz na jego certyfikację przez akredytowane jednostki certyfikujące, musi zapewnić zgodność tego systemu z wymaganiami normy, którą w chwili obecnej jest ISO/IEC 27001:2005 lub jej polski odpowiednik PN ISO/IEC 27001:2007. Jednym z kluczowych jej wymagań jest przeprowadzenie procesu szacowania ryzyka. W dalszej części opracowania znajduje się opis metodyki szacowania ryzyka, która jest wykorzystywana w funkcjonujących i certyfikowanych systemach zarządzania bezpieczeństwem informacji, zgodnych z ISO/IEC 27001:2005 i została pozytywnie oceniona przez audytorów jednostek certyfikujących. Podstawowe pojęcia

  • Bezpieczeństwo informacji – zachowanie poufności, integralności i dostępności informacji, czyli informacja nie jest ujawniana osobom nieupoważnionym, jest ona dokładna i kompletna oraz dostępna i użyteczna na żądanie upoważnionego personelu
  • Szacowanie ryzyka – całościowy proces analizy i oceny ryzyka
  • Ryzyko – prawdopodobieństwo wystąpienia zagrożenia, które, wykorzystując podatność(ci) aktywu, może doprowadzić do jego uszkodzenia lub zniszczenia
  • Aktyw – wszystko to, co ma wartość dla organizacji

Elementy szacowania ryzyka

Standard ISO/IEC 27001:2005 nie zawiera szczegółowych wymagań, określających jak powinien wyglądać proces szacowania ryzyka. W normie zostały umieszczone zalecenia – elementy, które należy wziąć pod uwagę. Są nimi aktywa, ich wartość, potencjalne zagrożenia, prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywu na zagrożenie, wpływ zagrożenia na bezpieczeństwo aktywu oraz stosowane zabezpieczenia. Elementem, który nie jest wymagany wprost przez normę, ale sprawdził się w praktyce, jest wprowadzenie pojęcia zasób (inaczej: miejsce przetwarzania). W organizacji wykorzystywane są różne systemy informatyczne, ale zainstalowane są one na jednym serwerze. Owe systemy informatyczne wraz z danymi możemy potraktować jako aktywa, natomiast serwer będzie zasobem. Z tak zaprojektowanej analizy możemy uzyskać informację, że o ile każdy z w/w aktywów ma swoją wartość, to wartość zasobu, na którym znajdują się te aktywa jest dużo wyższa, ponieważ jest sumą wartości aktywów znajdujących się na nim. W związku z tym nie musimy zabezpieczać każdego z tych systemów oddzielnie, tylko np. skupić swoją uwagę na zabezpieczeniach serwera. Wzajemne relacje pomiędzy poszczególnymi elementami obrazuje poniższy schemat:

Struktura analizy ryzyka (opracowanie własne)

Kroki szacowania ryzyka

Krok 1 – Identyfikacja aktywów Kluczowym elementem procesu szacowania ryzyka są aktywa. Oznacza to, że należy przeprowadzić inwentaryzację aktywów organizacji i określić ich wartość dla organizacji. Podczas określania wartości aktywu należy rozważyć, jaki wpływ na funkcjonowanie organizacji będzie miała jego utrata, awaria lub inne problemy z nim związane. Im większy wpływ tym większa wartość aktywu. Wartość najlepiej oceniać z punktu widzenia znaczenia dla biznesu i wyrażać w pieniądzu, ale ponieważ w przypadku takich aktywów jak wizerunek firmy czy też wiedza pracowników trudno jest określić ich wartość kwotowo, możemy przyjąć inny sposób oceny wartości – względną ocenę istotności aktywu w stosunku do pozostałych aktywów. Stosując skalę np. czterostopniową, ważne jest określenie znaczenia poszczególnych wystąpień. Istotność aktywu:

  • Bardzo duża – utrata lub naruszenie bezpieczeństwa aktywu powoduje przerwanie procesów biznesowych
  • Znacząca – utrata lub naruszenie bezpieczeństwa aktywu może mieć wpływ na realizację procesów biznesowychŚrednia – utrata lub naruszenie bezpieczeństwa aktywu powoduje utrudnienia w normalnym funkcjonowaniu procesu biznesowego
  • Pomijalna – utrata lub naruszenie bezpieczeństwa aktywu nie ma wpływu na funkcjonowanie procesu biznesowego

gdzie pozycja „Bardzo duża” oznacza najwyższą istotność, a „Pomijalna” – najniższą istotność Liczebność zasobów/ilość miejsc przetwarzania informacji może mieć wpływ na bezpieczeństwo aktywu. Jeśli chronimy aktyw przed utratą poufności, to w im większej ilości zasobów/miejsc przetwarzania ten aktyw się znajduje, tym wyższe jest ryzyko ujawnienia informacji. W przypadku aktywów, które powinny być dostępne, zwiększenie ilości miejsc, gdzie one się znajdują wpływa na zwiększenie ich dostępności. Omawiana metodyka wymaga określenia ilości zasobów/miejsc przetwarzania, na których analizowany aktyw się znajduje oraz określenie wpływu tej ilości na podatność aktywu – czy zwiększenie ilości zwiększa podatność aktywu, czy zmniejsza, czy też nie ma wpływu. Krok 2 – Identyfikacja zagrożeń Chcąc zabezpieczyć nasze aktywa lub zasoby, należy wiedzieć, przed czym, czyli jakie zagrożenia mogą wystąpić w przypadku konkretnego aktywu. Dobrą praktyką jest wskazywanie przede wszystkim rzeczywistych zagrożeń – tzn. takich, które mogą wystąpić i występują w organizacji (konkretne awarie, braki zasilania, „wypaplanie” informacji, kradzież), a nie tylko takich, które łatwo wymienić (zamach terrorystyczny, zrzut paliwa przez lądujące awaryjnie samoloty – tam gdzie nie ma lotniska) itp. Z punktu widzenia kompletności szacowania ryzyka powinna być brana pod uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych) – ale należy pamiętać, że istotnym elementem procesu analizy ryzyka jest możliwość uzyskania aktualnych i miarodajnych wyników. Zbyt rozbudowana analiza – o mniej istotne elementy – może spowodować, że w momencie jej zakończenia już będzie nieaktualna. (Listy przykładowych zagrożeń lub grup zagrożeń znajdują się w pozycjach od 3 do 5 Literatury). Krok 3 – Określenie prawdopodobieństwa Nie wszystkie zagrożenia występują tak samo często, stąd wprowadzone zostało pojęcie prawdopodobieństwa wystąpienia zagrożenia. Awarie urządzeń, czy brak zasilania są na pewno częstsze niż pożary czy zrzuty paliwa przez lądujące awaryjnie samoloty. Jakie przyjąć stopniowanie określania prawdopodobieństwa, to oczywiście zależy od struktury organizacji, jej branży i wielkości. Dobrą praktyką, która sprawdziła się w czasie szacowania ryzyka w prowadzonych przeze mnie wdrożeniach SZBI w firmach rynku MSP (małe i średnie przedsiębiorstwa – do 500 zatrudnionych), jest stosowanie skali nie większej niż 3-stopniowa, np: Wysokie, Średnie, Pomijalne, gdzie: prawdopodobieństwo wystąpienia zagrożenia:

  • Wysokie – występuje się często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością
  • Średnie – wystąpiło w ostatnim roku lub zdarza się nieregularnie
  • Pomijalne – nie wystąpiło ani razu w ciągu ostatniego roku

gdzie prawdopodobieństwo „Wysokie” oznacza najwyższe prawdopodobieństwo, a „Pomijalne” – najniższe. Krok 4 – Określenie podatności Jeśli wiemy już, co chronimy (aktywa), dlaczego (istotność), przed czym (zagrożenia), to należy jeszcze określić słabe strony naszych aktywów tzn. cechy i/lub właściwości aktywu, które mogą zostać wykorzystane przez zagrożenie. Papier chronimy przez spaleniem, ponieważ nie jest odporny na ogień – wprost przeciwnie – jest podatny na spalenie. Po co określać podatności? Jeśli z analizy ryzyka uzyskamy wynik, że ryzykownym aktywem jest np. budynek, a zagrożeniem ulewna burza – to przy wskazanej podatności „niedrożna kanalizacja deszczowa” otrzymujemy wyraźną sugestię, że należy wdrożyć zabezpieczenia związane z możliwością podtopienia budynku z powodu niedrożnej kanalizacji, np. okresowe udrażnianie/przegląd owej kanalizacji. Listy przykładowych podatności znajdują się w pozycjach od 3 do 5 Literatury. Krok 5 -Określenie wpływu zagrożenia a poziom zabezpieczeń Ostatnimi elementami domykającymi analizę są kwestie związane z oceną wpływu zagrożenia na poufność, integralność i dostępność (cechy bezpieczeństwa informacji, wymagane przez normę) oraz określenie poziomu wdrożonych zabezpieczeń. Wpływ/skutek wystąpienia zagrożenia: (na Poufność, Integralność, Dostępność)

  • Krytyczny – wystąpienie zagrożenia powoduje wystąpienia efektu biznesowego, wysoki koszt, utrata wizerunku firmy, brak możliwości realizacji zadań
  • Średni – wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże utrudnienie w pracy
  • Pomijalny – wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny
  • Nie dotyczy – Wystąpienie zagrożenia nie ma wpływu na aktyw

gdzie wpływ „Krytyczny” oznacza najwyższą wartość (największy wpływ), a „Pomijalny” – najniższą wartość (najmniejszy wpływ); Poziom zabezpieczeń:

  • Wysoki – występujące zabezpieczenie chroni skutecznie przed znanymi zagrożeniami
  • Średni – występują częściowe zabezpieczenia, które chronią tylko wybrane obszary lub nie są w pełni skuteczne
  • Niski – praktycznie brak jest jakichkolwiek zabezpieczeń lub są one nieskuteczne
  • Nie dotyczy – Wystąpienie zagrożenia nie ma wpływu na aktyw

gdzie poziom „Wysoki” oznacza najwyższą wartość (najwyższy poziom zabezpieczeń), a „Pomijalny” – najniższą wartość (najniższy poziom zabezpieczeń); Krok 6 – Określenie ryzyka szczątkowe Ryzyko aktywu wskazuje nam na ile obawiamy się realnej utraty bezpieczeństwa tego aktywu na tle pozostałych aktywów w sytuacji, kiedy nie stosujemy jeszcze żadnych zabezpieczeń. Lista aktywów, posortowana wg ich ryzyk, stanowi podstawę do określenia, jakie zabezpieczenia powinny być wybrane w celu ochrony najbardziej ryzykownych aktywów. W celu uzyskania porównywalnych ze sobą ryzyk aktywów, należy ustalić sposób ich obliczania. Żeby móc obliczyć ich wartość należy podstawić do poniższego wzoru wartości liczbowe przypisane do poszczególnych pozycji. Wielkości nie są istotne, ważna jest ich powtarzalność. Ryzyko aktywu jest obliczane wg następującego wzoru:

Ra = E(Wa x Pwz)

gdzie: Ra – ryzyko aktywu Wa – wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności), rozumiany jako;

Wa =Sp((Wp + Wi +Wd)*LZ*Wpd)

gdzie: Sp – suma wg podatności Wp – wpływ zagrożenia na poufność Wi – wpływ zagrożenia na integralność Wd – wpływ zagrożenia na dostępność LZ – liczebność zasobu/ilość miejsc przetwarzania Wpd – wpływ liczebności na podatność Po wyborze i wdrożeniu zabezpieczeń należy ponownie przeprowadzić szacowanie ryzyka, ale już z uwzględnieniem poziomów zabezpieczeń, jakie wg nas zostały zapewnione dzięki wdrożonym zabezpieczeniom – są to ryzyka szczątkowe. Ryzyko szczątkowe natomiast obliczane jest wg następującego wzoru:

Rsa = Wsa x Pwz

gdzie: Rsa – ryzyko szczątkowe Wsa – wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności oraz zastosowanych zabezpieczeń);

Wa =Sp((Wp/Zp + Wi/Zi +Wd/Zd)*LZ*Wpd);

gdzie: Zp – poziom zabezpieczeń przed wpływem zagrożenia na poufność Zi – poziom zabezpieczeń przed wpływem zagrożenia na integralność Zd – poziom zabezpieczeń przed wpływem zagrożenia na dostępność W efekcie uzyskujemy ryzyka szczątkowe aktywów, dla których kierownictwo organizacji określa i akceptuje poziom „ryzyka akceptowalnego” jako ustaloną wartość ryzyka, poniżej którego ryzyka aktywów zostają uznane za akceptowalne.

Wynik szacowania ryzyka

Określenie poziomu ryzyka akceptowalnego w zasadzie kończy etap szacowania ryzyka, kolejnym krokiem jest przygotowanie planów, mających na celu obniżenie ryzyk szczątkowych aktywów, których ryzyko szczątkowe jest większe od ustalonej wartości ryzyka akceptowalnego.

Jednym z wymogów normy jest, aby można było wykazać powiązanie pomiędzy wybranymi zabezpieczeniami i dotyczącymi ich rezultatami szacowania ryzyka i procesu postępowania z ryzykiem a następnie z odpowiednimi politykami i celami SZBI”. Zestawienie aktywów wg ryzyka (bez zabezpieczeń) wyznacza nam listę aktywów najbardziej ryzykownych dla organizacji – tzw. stan „0”. Na podstawie tej listy powinno się dobierać odpowiednie zabezpieczenia (uwzględniając istniejące), natomiast na podstawie ryzyk szczątkowych przygotować plan postępowania z ryzykiem.

Podsumowanie

Podsumowując, zadaniem procesu szacowania ryzyk aktywów jest wskazanie aktywów najbardziej zagrożonych w firmie (miejsc o relatywnie wysokim prawdopodobieństwie zmaterializowania się zagrożenia), dzięki czemu wiemy, którymi aktywami należy się zająć w pierwszej kolejności i wdrożyć dla nich zabezpieczenia (fizyczne, techniczne lub organizacyjne). Wdrożenie zabezpieczeń może wiązać się z koniecznością przeznaczenia dodatkowych funduszy na ten cel. Wyniki szacowania są podstawą do uzasadnienia kierownictwu, dlaczego należy wydać pieniądze i dlaczego zabezpieczamy właśnie te, a nie inne aktywa. Poniższy schemat prezentuje całościowy proces zarządzania ryzykiem, gdzie identyfikacja aktywów i zmian, oraz szacowanie ryzyka są jego częścią.

Zarządzanie ryzykiem

Po wprowadzeniu zabezpieczeń ponownie szacujemy ryzyko (aktualizacji podlega poziom zabezpieczeń) i ponownie otrzymujemy listę aktywów i ich ryzyk, które kierownictwo akceptuje, lub też nie akceptuje i należy określić kolejne zabezpieczenia.

Jak często należy przeprowadzać proces szacowania ryzyka? Norma ISO/IEC 27001:2005 wymusza przeprowadzanie przeglądu zarządzania nie rzadziej niż raz w roku, a ponieważ wejściem na przegląd jest również raport z analizy ryzyka stąd można wysnuć wniosek, że w ten sposób określono niezbędną minimalną częstotliwość aktualizacji ryzyk. Z drugiej jednak strony norma wskazuje konieczność aktualizacji analizy po każdej zmianie, która może mieć wpływ na funkcjonujący system zarządzania bezpieczeństwem informacji.

Wsparcie informatyczne

Podczas przeprowadzania procesu szacowania ryzyka ułatwieniem jest wykorzystanie oprogramowania wspomagającego szacowanie ze względu na ilość danych, które należy wziąć pod uwagę. Przykładem takiego oprogramowania jest Certus Risk Analyzer dostępny w wersji demo pod tym adresem, którego zasady funkcjonowania są oparte o omawianą w tym opracowaniu metodykę.


Literatura:

  1. PN ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji, PKN, 2007
  2. PN ISO/IEC 17799:2005 Praktyczne zasady zarządzania bezpieczeństwem informacji, PKN, 2007
  3. ISO/IEC TR 13335 część 1 do 4 Wytyczne do zarządzania bezpieczeństwem systemów informatycznych, PKN,
  4. The Security Risk Management Guide, Microsoft Corporation, 2006
  5. Threat and Risk Assessment Working Guide, Government of Canada, Communications Security Establishment, 1999;

Ostatnie zapytania:

  • szacowanie ryzyka
  • analiza ryzyka bezpieczeństwa informacji
  • polityka zarzadzania ryzykiem w archiwum
  • szacowanie ryzyka przykład
  • ryzyko w archiwum
  • sposoby szacowania ryzyka
  • szaciwabie ryzyka
  • Szacowanie ryzyk
  • szacowanie ryzyka iso
  • szacowanie ryzyka iso 27