Zarządzanie ryzykiem a bezpieczeństwo informacji – definicje

0

Zarządzanie Ryzykiem jest podstawą racjonalnego podejmowania decyzji związanych z praktycznym zabezpieczaniem informacji. Jest to proces ciągły, a nie jednorazowy projekt, którego efektem jest osiągnięcie stałego stanu bezpieczeństwa. Dlatego ważne jest poznanie definicji, metod i działań związanych z tak istotnym zagadnieniem. Wiele z tych informacji przekażemy w tym artykule, reszta to już codzienna praktyka.

Jeżeli się nad tym chwilę zastanowić, większość działań związanych z bezpieczeństwem stanowi próbę zarządzania ryzykiem. Jak to możliwe? Odpowiedź na to pytanie jest stosunkowo oczywista, po zdefiniowaniu istoty zarządzania ryzykiem. Proponuję więc rozpocząć od próby zdefiniowania RM, a konkretnie przedstawienia definicji podstawowych pojęć niezbędnych do omówienia procesu, mającego na celu racjonalne zarządzanie ryzykiem.

Zasób
Podstawą naszych działań jest jednoznaczne zdefiniowanie zasobów, które mamy chronić przed ryzykiem całkowitej lub częściowej utraty, zniszczeniem, w wyniku zrealizowanego zagrożenia. Zasoby w tym rozumieniu są szeroko pojęte, kilka ich przykładowych i oczywistych grup to m.in.:

  • sprzęt komputerowy,
  • infrastruktura (budynki, centra przetwarzania danych itp.),
  • oprogramowanie,
  • dane (i informacje) zgromadzone w naszych systemach informatycznych.

Już na pierwszy rzut oka widać, że zasoby można podzielić na materialne i niematerialne. Ważne jest, aby mieć świadomość pełnej wartości zasobu, za przykład może posłużyć fakt, że tasiemka z kopią zapasową stanowi zarówno zasób materialny – nośnik, jak i niematerialny – w postaci informacji na niej zapisanych. Bardzo często wartość zawartości nośnika (czyli wartość niematerialna) przewyższa wielokrotnie wartość samego nośnika czy też urządzenia.

Podstawowym zadaniem zarządzania ryzykiem jest zapewnienie ciągłości dostępu do kluczowych dla naszej organizacji zasobów, przy jednoczesnym zachowaniu ich poufności i integralności (spójności). Ideę tę reprezentuje triada CIA (czyli confidentiality – poufności, integrity – integralności i availability dostępności), najczęściej przedstawiana w postaci tzw. trójkąta bezpieczeństwa:

image001

Rysunek 1. Trójkąt bezpieczeństwa informatycznego

Wszystkie zagrożenia dla naszych zasobów są bezpośrednio związane z naruszeniem któregoś z wierzchołków trójkąta CIA: np. ataki typu DoS i DDoS obierają za swój cel Dostępność, kradzież danych to atak na Poufność, a nieautoryzowana zmiana informacji (np. jako efekt złamania zabezpieczeń strony WWW naszej organizacji) to atak przeprowadzony na Integralność. Celem wielu ataków może być więcej niż jeden z wierzchołków, np. DoS jako przygotowanie terenu pod przepełnienie bufora i wykonanie kodu wybranego przez atakującego w celu kradzieży lub zmiany czy też zniszczenia informacji.

Idąc dalej tym tropem, awaria sprzętowa może wpłynąć na Dostępność i Integralność informacji, a niewłaściwa polityka kont może doprowadzić do naruszenia Poufności – przykłady można mnożyć w nieskończoność. Istotne jest to, aby zrozumieć, że musimy chronić nasze zasoby (zarówno materialne, jak i niematerialne), biorąc pod uwagę wszystkie trzy aspekty bezpieczeństwa: Dostępność, Integralność i Poufność.

Ryzyko
Jest to potencjalne niebezpieczeństwo, które zagraża naszym zasobom, narażając naszą organizację na ich całkowitą utratę lub częściowe uszkodzenie. Definiując ryzyko, powinniśmy odpowiedzieć sobie na kilka podstawowych pytań:

  • Co może się wydarzyć (jakie niebezpieczeństwo grozi naszym zasobom)?
  • Jak poważne jest to, co może się wydarzyć, jak poważne są konsekwencje potencjalnego zdarzenia?
  • Jak często może się to wydarzyć (ile razy w roku, raz na ile lat)?
  • Jakie jest prawdopodobieństwo zdarzenia?

Inne ujęcie, które równie dobrze oddaje naturę ryzyka, definiuje je jako potencjalną stratę. Strata może być tym większa, bardziej dotkliwa, im większą wartość posiada zasób, który staramy się chronić.

Prawdopodobieństwo
Do analizy ryzyka niezbędne jest określenie prawdopodobieństwa, z jakim zdarzenie zagrażające naszym zasobom może wystąpić. Prawdopodobieństwo określamy w zakresie od 0,0 – pewność, że zdarzenie nie wystąpi, do 1,0 – całkowita pewność, że zdarzenie będzie miało miejsce.

Podatności (vulnerabilities)
Podatność jest definiowana w związku z zagrożeniem – podatność może zostać wykorzystana przez zrealizowane zagrożenie. Dzięki istnieniu podatności może dojść do realizacji zagrożenia, a w jego wyniku powstania straty.

Z innej perspektywy podatność jest także postrzegana jako brak zabezpieczenia. Jako przykładem można posłużyć się exploitem, który korzysta z powszechnie znanej podatności w celu wykonania ataku DoS, buffer overflow itp.

Z jednej strony podatność to sama wada w oprogramowaniu, ale równocześnie podatność jest efektem braku zabezpieczenia – czyli wgranej łatki systemowej, która by ją (podatność) skutecznie zlikwidowała.

Zagrożenia (threats)
Wszelkie potencjalne mechanizmy, zdarzenia, losowe lub celowe działania, które mogą doprowadzić do wykorzystania podatności i w rezultacie w sposób intencjonalny lub przypadkowy doprowadzić do straty.

Zabezpieczenia (countermeasure, safeguard)
Wszelkie środki i działania (mechanizmy, procedury itp.) mające na celu obniżenie prawdopodobieństwa zrealizowania zagrożenia (czyli wykorzystania istniejącej podatności) lub też minimalizację potencjalnych strat związanych ze zrealizowanym zagrożeniem. Poniższy wykres pokazuje, w jakim celu stosuje się zabezpieczenia, aczkolwiek stanowi on też ogólną ilustrację całego procesu zarządzania ryzykiem:

image002

Rysunek 2. Cel stosowania zabezpieczeń

Jak widać na wykresie, poprzez zarządzanie ryzykiem i wprowadzanie zabezpieczeń dążymy do tego, żeby przesuwać się z pozycji wysokiego ryzyka (wysokiego prawdopodobieństwa realizacji zagrożenia), o dużym wpływie na naszą organizację (czyli dużych stratach), do sytuacji, w której prawdopodobieństwo katastrofy jest maksymalnie obniżone, a straty zminimalizowane.

Ekspozycja
Oznacza wystawienie naszego zasobu na zagrożenie lub wyeksponowanie zasobu na stratę związaną ze zrealizowanym zagrożeniem.

Współczynnik ekspozycji
Jest to procentowo wyrażona wielkość straty związanej ze zrealizowanym zagrożeniem, może zawierać się w zakresie od 0 do 100%, rosnąć wraz z każdym zrealizowanym zagrożeniem. Współczynnik ekspozycji posłuży nam w dalszej części tekstu do wyliczenia spodziewanej jednorazowej straty.

Zarządzanie ryzykiem
Najprostszą definicją, równocześnie pozwalającą na w miarę dokładne określenie, czym jest zarządzanie ryzykiem, jest zdefiniowanie go poprzez cel działania: w takim ujęciu RM ma na celu identyfikację i oszacowanie zagrożeń, jakim podlegają zasoby, za które odpowiadamy, oraz podjęcie działań mających na celu minimalizację ryzyka poprzez opracowanie strategii zarządzania ryzykiem i wprowadzenie odpowiednich działań zapobiegawczych, minimalizujących prawdopodobieństwo realizacji zagrożenia. Zarządzanie ryzykiem należy rozpatrywać jako proces obejmujący całość zagadnień związanych z oceną ryzyka i zabezpieczaniem zasobów.

Istotnym czynnikiem zarządzania ryzykiem jest postrzeganie go jako procesu wielokrotnie powtarzanego. Ciągłość procesu jest kluczowa do właściwego zarządzania ryzykiem, co najmniej z powodu zmieniających się zagrożeń czy też pojawiania się nowych, ale również w związku ze zmieniającą się w czasie wartością chronionych zasobów (jedne mogą stać się krytyczne, podczas gdy w inicjalnej ocenie takie nie były, inne mogą po prostu zmienić – podnieść lub obniżyć – swoją wartość dla naszej organizacji).

Uświadomienie sobie w pełni poszczególnych elementów i kroków niezbędnych do wdrożenia zarządzania ryzykiem w naszej organizacji stanowi podstawę do racjonalnego podejmowania decyzji związanych z bezpieczeństwem. Właściwie przeprowadzona analiza ryzyka stanowi punkt wyjściowy do opracowania skutecznej i wydajnej (w tym ekonomicznie) polityki zarządzania ryzykiem.

Analiza ryzyka
Celem analizy ryzyka jest identyfikacja i oszacowanie zagrożeń, na jakie są narażone zasoby, które mamy zamiar chronić. Analiza ryzyka musi być przeprowadzona w konkretnym otoczeniu. Musimy zdawać sobie sprawę z faktu, że ryzyko zawsze jest zależne od środowiska, np. prawdopodobieństwo wystąpienia powodzi w mieście położonym przy dużej rzece jest wyższe niż w mieście na wzniesieniu, odległym od rzeki. W mieście położonym bliżej rzeki nie powinniśmy planować pomieszczenia na centrum danych w piwnicy, podczas gdy w drugim może to być dobry pomysł.

Szacowanie ryzyka
Polega na przypisaniu konkretnych wartości do zasobów, oszacowaniu i przypisaniu do zasobów częstotliwości wystąpienia zagrożeń oraz zdefiniowaniu potencjalnych konsekwencji zrealizowanego zagrożenia.

Analiza jakościowa
Można ją uznać za miękką część analizy ryzyka – opiera się ona na subiektywnej ocenie ważności poszczególnych zasobów, jak również na podobnej ocenie wagi poszczególnych zagrożeń. Jest stosunkowo łatwa do przeprowadzenia, nie wymaga dużych nakładów finansowych ani specjalistycznego oprogramowania wspomagającego analizę.

Analiza ilościowa (kwantytatywna)
To jej twarda odsłona – bazująca na analizie statystycznej, wykorzystującej konkretne modele matematyczne i statystyczne. W przypadku analizy ilościowej każdy zasób otrzymuje konkretną wartość wyrażoną w złotówkach (lub innej walucie), każde potencjalne zagrożenie ma przypisane wyliczone prawdopodobieństwo zdarzenia w ciągu roku oraz konkretną spodziewaną wysokość straty (wyrażoną procentem wartości przekładającym się bezpośrednio na realne kwoty).

Analiza ilościowa jest znacznie bardziej pracochłonna i w najczęściej realizowana za pomocą specjalizowanego oprogramowania wspomagającego analizę. Większość aplikacji opiera się na modelu Monte Carlo, niektóre korzystają z drzewek decyzyjnych.

Zastosowanie oprogramowania pozwala na wzięcie pod uwagę danych statystycznych określających prawdopodobieństwo zaistnienia konkretnego zdarzenia, jak również zazwyczaj znacząco ułatwia prezentację wyników – co może mieć duże znaczenie przy kształtowaniu budżetu na zabezpieczenia niezbędne do ochrony krytycznych informacji.

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ