Analiza ryzyka jest kluczowym elementem procesu akredytacji bezpieczeństwa teleinformatycznego. Na podstawie analizy ryzyka dobieramy środki ochrony, które należy wdrożyć w systemie teleinformatycznym. Analiza ryzyka jest elementem większej całości, a mianowicie procesu zarządzania ryzykiem. Istotnym elementem jest szacowanie ryzyka, którego etapem jest analiza ryzyka. W ustawie o ochronie informacji niejawnych, a także w rozporządzeniu w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego mowa jest, przede wszystkim, o szacowaniu ryzyka. Wyniki szacowanie ryzyka akceptuje kierownik jednostki organizacyjnej.
Analiza ryzyka
Analiza ryzyka jest to proces identyfikacji ryzyka i określenia wielkości ryzyk.
W procesie identyfikacji ryzyka określamy kolejno:
- zasoby systemu teleinformatycznego, czyli informacje niejawne, osoby, usługi, oprogramowanie, dane i sprzęt, a także inne elementy mające wpływ na bezpieczeństwo informacji
- zagrożenia, czyli niepożądane zdarzenia, mogące mieć wpływ na informacje niejawne
- podatności, czyli słabość zasobu lub zabezpieczenia systemu teleinformatycznego, która może zostać wykorzystana przez zagrożeni
- zabezpieczenia, czyli środki o charakterze fizycznym, technicznym lub organizacyjnym
- skutki, czyli wynik działania zagrożenia
W procesie określenia wielkości ryzyk wyznacza się poziomy zidentyfikowanych ryzyk.
Podstawa prawna: § 20 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
Analiza ryzyka a szacowanie ryzyka
Analiza ryzyka jest częścią szacowania ryzyka.
Szacowanie ryzyka obejmuje analizę ryzyka i ocenę ryzyka. Analiza ryzyka jest węższym pojęciem, nie zawiera bowiem oceny ryzyka. W procesie akredytacji bezpieczeństwa teleinformatycznego wybór środków ochrony odbywa się na podstawie szacowania ryzyka.
Szacowanie ryzyka
Szacowanie ryzyka składa się z:
- analizy ryzyka
- oceny ryzyka, czyli określenia, które ryzyka są akceptowalne poprzez porównanie wyznaczonych poziomów ryzyk z tymi, które można zaakceptować.
Analiza ryzyka składa się z:
- identyfikacji ryzyka
- określenia wielkości ryzyk
Podstawa prawna: § 20 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
Szacowanie ryzyka w dokumencie SWB
Przebieg i wynik szacowania ryzyka powinien zostać dołączony do dokumentu SWB, może stanowić rozdział w dokumencie SWB, ale może również być oddzielnym dokumentem.
Podstawa prawna: art. 49 ust. 1 Ustawy o ochronie informacji niejawnych
Kierownik jednostki organizacyjnej i szacowanie ryzyka
Wyniki procesu szacowania ryzyka akceptuje kierownik jednostki organizacyjnej. Przed wysłaniem dokumentacji bezpieczeństwa do oceny do ABW albo SKW kierownik jednostki organizacyjnej musi zaakceptować wyniki szacowania ryzyka, czyli mówiąc trywialnie kierownik jednostki organizacyjne musi podpisać dokument, który zawiera szacowanie ryzyka.
Podstawa prawna: § 22 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
Podstawa prawna: art. 49 ust. 7 Ustawy o ochronie informacji niejawnych
Norma ISO/IEC 27005 i szacowanie ryzyka
Należy zauważyć, że proces zarządzania ryzykiem zawarty w rozporządzeniu w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego jest zgodny z normą ISO/IEC 27005. Jeżeli ktoś zna normę to nie będzie miał problemu ze zrozumieniem zagadnień ujętych w rozporządzeniu.
Zarządzanie ryzykiem
Zarządzanie ryzykiem składa się z następujących procesów:
- szacowania ryzyka, czyli analizy ryzyka i oceny ryzyka
- postępowania z ryzykiem, czyli wyboru sposobu działania z otrzymanym ryzykiem. Ryzyko możemy obniżyć wdrażając środki ochrony, pozostawić na wyliczonym poziomie, uniknąć ryzyka niepodejmując ryzykownych działań lub przenieść ryzyko na inny podmiot.
- akceptacji ryzyka, czyli zatwierdzeniu przez kierownika jednostki organizacyjnej aktualnego stanu jako wystarczającego do ochrony informacji niejawnych
- przegląd, monitorowanie i informowanie o ryzyku, czyli bieżąca analiza wdrożonych środków ochrony, otoczenia prawnego, środowiska eksploatacji systemu, zmian organizacji. Informowanie osób odpowiedzialnych za zarządzanie ryzykiem o zmianach ryzyka i nowych ryzykach.
Podstawa prawna: § 19 ust. 2 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
Schemat zarządzania ryzykiem
Przeprowadzanie ponownego szacowania ryzyka
Szacowanie ryzyka przeprowadza się ponownie:
- w przypadku wprowadzania zmian, które mogą mieć wpływ na bezpieczeństwo przetwarzanych w nim informacji
- po wykryciu nowych zagrożeń lub zidentyfikowaniu nowych podatności, które nie były rozpatrywane podczas wcześniejszego szacowania ryzyka dla bezpieczeństwa informacji niejawnych
- w przypadku zaistnienia istotnego incydentu bezpieczeństwa teleinformatycznego
- jeżeli zmianie lub rozszerzeniu uległo przeznaczenie, zadania lub funkcjonalność systemu teleinformatycznego
- okresowo, w ramach procesu zarządzania ryzykiem w systemie teleinformatycznym, przy czym częstotliwość określa się w dokumentacji bezpieczeństwa
Podstawa prawna: § 20 ust.7 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
Proces postępowania z otrzymanym ryzykiem
Proces postępowania z ryzykiem jest drugim etap procesu zarządzania ryzykiem. W ramach postępowania z ryzykiem możemy podjąć cztery różne działania. Omówię w skrócie najważniejsze aspekty.
Pierwsza możliwość to obniżenie ryzyka poprzez wdrożenie zabezpieczeń. Jest to najbardziej powszechne działanie. Na przykład mamy zagrożenie kradzież komputera, aby obniżyć ryzyko powodzenia tego zagrożenia wdrażamy środki ochrony, takie jak wzmocnione drzwi klasy „C”, kraty w oknach, system alarmowy.
Druga możliwość to pozostawienie ryzyka na poziomie określonym w procesie szacowania ryzyka i zaniechanie dalszych działań. Z opcją tą możemy mieć do czynienia w przypadku gdy ryzyko otrzymane w procesie szacowania jest na akceptowalnym poziomie i nie wymaga wdrożenia dodatkowych zabezpieczeń.
Trzecia możliwość to unikanie ryzyka przez niepodejmowanie działań będących źródłem ryzyka. Przykładem takiego postępowania będzie ryzyko związane z lokalizacją komputera w budynku. Planujemy umieścić komputer w pomieszczeniu na parterze, ale stwarza to zagrożenie włamania do pomieszczenia. W związku z tym przenosimy komputer do pomieszczenia na wyższe piętro, gdzie zagrożenie włamania jest mniejsze. Unikamy w ten sposób ryzyka.
Czwarta możliwość to przeniesienie ryzyka na inny podmiot w zakresie odpowiedzialności za zarządzanie ryzykiem bez możliwości przeniesienia odpowiedzialności za skutki wynikające z naruszenia poufności, integralności lub dostępności informacji niejawnych przetwarzanych w systemie teleinformatycznym. Przeniesienie ryzyka może np. oznaczać ubezpieczenie komputerów albo zatrudnienie firmy ochroniarskiej, która w ramach podpisanej umowy ponosi finansowe koszty w przypadku kradzieży sprzętu. Nie da się ubezpieczyć informacji niejawnych, nie da się wycenić ich wartości.
Podstawa prawna: § 21 Rozporządzenia w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego
Przykład szacowania ryzyka
Poniżej przedstawiono uproszczony przykład szacowania ryzyka, nie uwzględniono wielu czynników, przykład ma na celu zobrazowanie metodyki szacowania ryzyka. Poniższa metodyka jest zalecana przez ABW.
Opis:
Stanowisko komputerowe składające się z następujących elementów:
- monitor
- jednostka centralna
- mysz
- klawiatura
- drukarka
Komputer zlokalizowany jest w budynku na 2 piętrze, cały budynek należy do gestora systemu. Stanowisko znajduje się w 2 strefie ochronnej.
Klauzula przetwarzanych informacji w systemie teleinformatycznym: poufne
Wyznaczamy zasoby systemu:
- Dysk z informacjami niejawnymi
- administrator systemu
- komputer
- dokument SWB
Wyznaczamy zagrożenia:
- kradzież
- pożar
- nieuprawniony dostęp
Podatności:
Identyfikujemy wdrożone środki ochrony w celu określenia podatności. Określamy podatności dla każdej pary zasób-zagrożenie. Ustalmy skalę <0;10>
- <0> brak podatności
- <1;4> niski poziom podatności
- <5;7> średni poziom podatności
- <8;9> wysoki poziom podatności
- <10> ekstremalny poziom podatności
Skutki:
Następnie identyfikujemy skutki utraty zasobów (lub ich części tzw. degradacja zasobów). Skutki ustalamy dla każdego atrybutu informacji niejawnej: poufności, integralności i dostępności. Ustalamy skalę dla poufności, dostępności i integralności, np. <0;10> i określamy poziomy, mając na uwadze, że w systemie mogą być przetwarzane maksymalnie informacje o klauzuli „poufne”.
Skutki utraty poufności:
- <0-3> jawne
- <4;7> zastrzeżone
- <8;10> poufne
Skutki utraty integralności:
- <1;3> niski skutek utraty integralności
- <4;7> średni skutek utraty integralności
- <8;9> wysoki skutek utraty integralności
- <10> bezwzględny skutek utraty integralności
Skutki utraty dostępności:
- <1;3> niski skutek utraty dostępności
- <4;6> średni skutek utraty dostępności
- <7;8> wysoki skutek utraty dostępności
- <9> ekstremalny skutek utraty dostępności
- <10> absolutny skutek utraty dostępności
Wielkości ryzyk:
Następnie określamy wielkości zidentyfikowanych ryzyk ze wzoru:
ryzyko = podatność x skutek
Ustalamy poziomy ryzyk, wraz z poziomem akceptowalnym
- <1;20> niski
- <21;60> średni – poziom akceptowalny, powyżej którego należy zmniejszyć ryzyko
- <61;80> wysoki
- <81;100> maksymalny
Tworzymy macierz ryzyka:
Ocena ryzyka:
Kolejny krok to ocena ryzyka, czyli określenie, które ryzyka są akceptowalne poprzez porównanie wyznaczonych poziomów ryzyk z tymi, które można zaakceptować.
W naszej analizie ryzyko akceptowalne jest do poziomu 60, powyżej jest ryzyko wysokie i maksymalne, które należałoby zmniejszyć poprzez wprowadzenie zabezpieczeń. W naszym przykładzie wszystkie ryzyka są akceptowalne.