Metodyka analizy ryzyka

Analiza ryzyka to nie tylko obowiązek ustawowy niezbędny do uzyskania akredytacji bezpieczeństwa teleinformatycznego.

Jednym z zagadnień, znacząco lekceważonym w trakcie projektowania, wdrażania i eksploatowania systemów teleinformatycznych przetwarzających informacje niejawne jest analiza ryzyka. Analiza ryzyka jest elementem większej całości, procesu zarządzania ryzykiem. Na zarządzanie ryzykiem składa się: proces szacowania ryzyka, proces postępowania z ryzykiem, proces akceptacji ryzyka i proces monitorowania ryzyka. Gdzie tu analiza ryzyka zapytacie, jest jako element szacowania ryzyka. Definicja określa analizę ryzyka jako proces identyfikacji ryzyka i określenia wielkości ryzyk. Bardziej zrozumiale, analiza ryzyka to proces podczas którego określamy kolejno: zasoby systemu teleinformatycznego, zagrożenia oddziaływujące na zasoby, podatności zasobów lub zabezpieczeń, zabezpieczenia inaczej środki ochrony i skutki działania zagrożeń. Mając określone powyższe elementy używamy dowolnej metodyki do określenia wielkości zidentyfikowanych ryzyk. Bardzo popularna metodyka identyfikuje ryzyka jako iloczyn podatności i skutków.

W celu dopuszczenia do pracy systemu teleinformatycznego, w którym mają być przetwarzane informacje niejawne, należy zakończyć, z wynikiem pozytywnym proces akredytacji bezpieczeństwa. Na proces akredytacji bezpieczeństwa teleinformatycznego składa się: ocena dokumentacji bezpieczeństwa, czyli dokumentów „szczególnych wymagań bezpieczeństwa” i „procedur bezpiecznej eksploatacji” i audyt bezpieczeństwa systemu teleinformatycznego. Jednostka organizacyjna, w której mają być przetwarzane informacje niejawne przedstawia do akceptacji do ABW lub SKW dokumentację bezpieczeństwa, a po zatwierdzeniu dokumentacji ABW lub SKW przeprowadza audyt bezpieczeństwa systemu teleinformatycznego weryfikując zgodność wdrożonych środków ochrony z zapisami dokumentacji bezpieczeństwa i przepisami prawa.

Co ma z tym wspólnego analiza ryzyka, a raczej szacowanie ryzyka jako większy element, spójrzmy na §18 ust. 3 pkt 2 rozporządzenia Prezesa Rady Ministrów z dnia 20 lipca 2011 r. w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego, który mówi: „Na etapie projektowania: dokonuje się wyboru zabezpieczeń dla systemu teleinformatycznego w oparciu o wyniki wstępnego szacowania ryzyka dla bezpieczeństwa informacji niejawnych”. Tak więc, na podstawie szacowania ryzyka dokonujemy wyboru środków ochrony, określamy zabezpieczenia które należy wdrożyć w celu zapewnienia ochrony informacji niejawnych przetwarzanych w postaci elektronicznej. Szacowanie ryzyka pozwala zidentyfikować ryzyka naruszenia bezpieczeństwa, na jakie narażone są informacje przetwarzane w systemie, pozwala dobrać adekwatne zabezpieczenia, efektywnie chroniące zasoby, a przede wszystkim informacje składowane w tym systemie. Wielokrotnie termin „analiza ryzyka” używany jest do określenia wszystkich działań związanych z procesem zarządzania ryzykiem oraz zamiennie z terminem „szacowanie ryzyka”, w kontekście ustawy o ochronie informacji niejawnych jest to błędne.

Obserwuje się niestaranne i pobłażliwe podejście do problematyki zarządzania ryzykiem. Wiele jednostek organizacyjnych traktuje analizę ryzyka jako element, będący tylko dodatkowym rozdziałem w dokumencie „szczególnych wymagań bezpieczeństwa”, bez którego ABW albo SKW nie zatwierdzi dokumentacji bezpieczeństwa. Brak sformalizowanej analizy ryzyka, nie oznacza jednak, że dane składowane w systemie teleinformatycznym nie są należycie chronione. W rzeczywistości każdy, podczas projektowania i eksploatowania systemu teleinformatycznego, który ma posiadać założony przez nas poziom ochrony informacji, przeprowadza intuicyjną analizę ryzyka. Jeżeli chcemy stworzyć bezpieczny system teleinformatyczny to zawsze postępujemy tak samo, czyli analizujemy system TI pod kątem słabych punktów, dokonujemy przeglądu wszystkich zagrożeń, które mogą pojawić się w tych słabych punktach, a następnie wdrażamy zabezpieczenia, których rolą jest ochrona przed zagrożeniami. Działania te składają się na szacowanie ryzyka. Jest wiele metodologii pozwalających w sposób formalny opisać wyżej wymienione czynności. Niektórzy zadadzą pytanie, po co to formalizować? Na pewno jednym z powodów jest to, że szacowanie ryzyka, zawarte w dokumentacji bezpieczeństwa, pozwoli udowodnić ABW albo SKW należyty stopień ochrony informacji niejawnych przetwarzanych w systemie teleinformatycznym. Czy tylko dlatego? Nie tylko. Przeprowadzenie kompleksowego szacowania ryzyka daje gwarancję miarodajnego wyniku. Podejście formalne ułatwia opisanie rzeczywistości, gdyż dostarcza nam gotowe wzorce i podpowiada rozwiązania. Uporządkowanie opisu i czynności pozwala także ocenić przeprowadzone działania oraz daje możliwość korzystania z uzyskanych wyników przy kolejnych szacowaniach ryzyka. W przypadku mało skomplikowanych systemów teleinformatycznych, np. pojedyncze stanowisko komputerowe, przeprowadzenie analizy ryzyka, bez ujęcia jej w formalne ramy, nie musi skutkować tym, że wdroży się niewłaściwe środki ochrony, ponieważ w takim przypadku nie wymaga się skomplikowanych analiz. W przypadku jednak złożonych systemów teleinformatycznych, np. sieci komputerowych, podejście metodologiczne jest niezbędne, ponieważ bez tych ram, łatwo popełnić błąd, można czegoś nie zauważyć lub coś pominąć.

Przyjrzyjmy się bliżej metodologiom analizy ryzyka. W NATO powszechnie stosowane są następujące metodologie: EBIOS (kraj pochodzenia: Francja), MAGERIT (kraj pochodzenia: Hiszpania), CRAMM (kraj pochodzenia: Wielka Brytania), MEHARI (kraj pochodzenia: Francja), MIGRA (kraj pochodzenia: Włochy), OCTAVE (kraj pochodzenia: USA). Ktoś może się pokusić i zadać pytanie: która z nich jest najlepsza? Niestety nie ma badań, które mogłyby na to pytanie odpowiedzieć. Każda z metodologii traktuje o tym samym, ale każda w inny sposób. Metodologie ujęte są także w normach, najbardziej popularne to norma międzynarodowa ISO/IEC 27001 i amerykańska norma NIST SP800-30. Jest więc z czego korzystać. Trudnością może być to, że w celu skorzystania z części metodologii niezbędne jest posiadanie komercyjnego oprogramowania. Metodologie są opisane, ale użycie ich bez oprogramowania jest niemożliwe. Wzorcem dla krajowych jednostek są zalecenia wydane przez ABW albo SKW dotyczące analizy oraz zarządzania ryzykiem w systemach teleinformatycznych. Wiedzę można również czerpać z bezpłatnych amerykańskich norm, które są ogólnodostępne na amerykańskich rządowych stronach internetowych.

Kiedy mówimy o szacowaniu ryzyka, to nie można zapomnieć o tym, że jest ono tylko elementem większej całości, całości którą stanowi proces zarządzania ryzykiem. Proces zarządzania ryzykiem to nic innego jak schemat postępowania wykonywany cyklicznie w celu minimalizacji ryzyka naruszenia bezpieczeństwa oraz strat finansowych. Dobrym odniesieniem jest norma ISO/IEC 27001, która szczegółowo opisuje powyższy cykl.

Jak wygląda proces zarządzania ryzykiem? Najpierw określamy środowisko, w którym przeprowadzamy analizę ryzyka. Potem identyfikujemy wszystkie elementy niezbędne w analizie ryzyka, czyli zasoby, zagrożenia, środki ochrony i słabe punkty. Kolejnym krokiem jest określenie skutków działania zagrożeń na zasoby, określenie prawdopodobieństw lub inaczej możliwości wystąpienia zagrożeń, a na końcu określenie poziomu ryzyk naruszenia bezpieczeństwa. Wymienione etapy składają się na analizę ryzyka. Następnym etapem jest ocena wyliczonego ryzyka, czyli określenie znaczenia i istotności ryzyka. Dotychczasowa całość tworzy szacowanie ryzyka. Następnie należy odpowiedzieć na pytanie, czy przeciwdziałać możliwym zagrożeniom, czy nie. Po dokonaniu szacowania ryzyka podejmujemy działania, których celem jest minimalizacja lub wyeliminowanie możliwych zagrożeń. Po wdrożeniu środków ochrony, system teleinformatyczny, powinien posiadać założony przez nas poziom bezpieczeństwa. Dalszym etapem jest monitorowanie stanu bezpieczeństwa systemu teleinformatycznego. Śledzimy na bieżąco zmiany struktury organizacji, wpływ czynników zewnętrznym, np. zmiany prawne. Gdy dostrzegamy nowe zagrożenia lub pojawiają się słabe punkty, ponownie rozpoczynamy kolejny cykl procesu zarządzania ryzykiem, korzystając oczywiście z poprzednich wyników. Dobrą praktyką jest wykonywanie cyklicznie w/w działań, co ustalony przedział czasu. Proces ten jest ciągły, czyli pewne czynności trwają nieprzerwanie, np. analiza czynników zewnętrznych i wewnętrznych, które oddziałują na system TI. Należy dodać, że okresowość szacowania ryzyka wymusza rozporządzenie w sprawie podstawowych wymagań bezpieczeństwa teleinformatycznego, a konkretnie §19 ust. 7 pkt 5.

Analizę ryzyka można wykonywać manualnie, albo używając narzędzi do automatyzacji pracy. W pierwszym przypadku, sami, od początku do końca odpowiadamy za obliczenia, określenie możliwych zagrożeń, skutków, słabych punktów, sami kontrolujemy poprawność przyjętych założeń i działań wykonywanych podczas analizy. Sami także tworzymy końcowy raport, będący podsumowaniem i uzasadnieniem podjętych działań. Analiza rozbudowanych systemów teleinformatycznych wykonywana tym sposobem jest pracochłonna. Każdy kto wykonywał taką analizę wie, jakiej to wymaga koncentracji i cierpliwości. Zaletą jest to, że po wykonaniu tych czynności, zespół odpowiedzialny za ochronę danych w systemie TI posiada kompletną wiedzę na temat bezpieczeństwa analizowanego systemu. Wynika to z tego, że podczas przeprowadzania analizy bada się wnikliwe wszystkie sytuacje, które mogą pojawić się w trakcie życia systemu. W przypadku dużego i skomplikowanego systemu niezbędne będzie użycie narzędzi do automatyzacji pracy.

Jednym z dostępnych na rynku narzędzi jest program ARIN (Analiza Ryzyka Informacji Niejawnych). Wersja demonstracyjna jest możliwa do pobrania ze strony producenta F-tec.pl (https://f-tec.pl/analiza-ryzyka/). Dzięki oprogramowaniu możemy m.in. w łatwy sposób zarządzać danymi, przeglądać różne scenariusze działań, korzystać z gotowych biblioteki zawierających zbiór zagrożeń, zabezpieczeń i podatności. Dla wprawnego analityka z dobrą znajomością narzędzi przeprowadzenie analizy ryzyka jest tylko formalnością.

Skupmy się ponownie na procesie zarządzania ryzykiem, jak wiemy analiza ryzyka jest tylko elementem tego procesu, który jest działaniem wieloetapowym. Szacowanie ryzyka jest wykonywana przez podmioty, które zamierzają eksploatować system teleinformatyczny, w którym będą przetwarzane informacje niejawne. Taki jest wymóg ustawowy i należy go spełnić, nie ma innego wyjścia. Proces zarządzania ryzykiem umożliwia należyte zabezpieczenie danych, które utrzymywane jest w sposób ciągły na założonym poziomie. Duże systemy TI wymagają podejścia formalnego.

Postęp technologiczny z jakim mamy do czynienia w chwili obecnej powoduje, że wdrożone środki ochrony w systemach TI nie nadążają za pojawiającymi się zagrożeniami. Wprowadzanie nowinek technicznych, zmiany standardów teleinformatycznych, wdrażanie nowych rozwiązań jest jak najbardziej wskazane, jednak pociąga za sobą pojawianie się luk w systemach i nowe zagrożenia. W takim przypadku niezastąpiony jest proces zarządzania ryzykiem. Ciągła gotowość i analiza sytuacji, w wyniku wdrożonego procesu zarządzania ryzykiem, pozwala na eliminowanie niepożądanych zdarzeń, w tym utraty danych, czyli najdotkliwszej straty w systemach, w których składowane są informacje niejawne.