1. Metodologija procene rizika
25
3.2 OPŠTA METODOLOGIJA ZA UPRAVLJANJE RIZIKOM 3.2.1 Glavni principi upravljanja rizikom Rezultati empirijskih istraživanja potvrđuju da su IKTS poslovnih sistema izloženi sličnim rizicima i koriste slične tehnologije za ublažavanje rizika. Takođe, bezbednosni ciljevi su generički za gotovo sve poslovne sisteme u Ineternet okruženju: zaštita integriteta i/ili poverljivosti i/ili raspoloživosti podataka i informacija. Generalno proces upravljanja rizikom (UR) zasniva se na pet osnovnih principa: Procena rizika i određivanje bezbednosnih zahteva; Uspostavljanje sistema za centralno upravljanje rizikom; Implementacija rentabilnih politika i kontrola zaštite; Promovisanje svesti o potrebi i obuka; Nadzor i kontrola sistema zaštite i evaluacija efektivnosti i usklađenosti. Važan faktor za efektivnu implementaciju ovih principa je princip njihovog cikličnog povezivanja, koji obezbeđuje da politike zaštite uvek obuhvataju tekuće faktore rizika u realnom vremenu. Ovaj princip obezbeđuje održavanje politike zaštite, nadzor i reviziju sistema zaštite i upravljanja kontrolama zaštite, odnosno, sistemom/programom zaštite. Princip cikličnog upravljanja rizikom ilustrovan je na Sl.3.1, [15]: Sl. 3.1 Princip ciklusa upravljanja rizikom U standardu najbolje prakse zaštite razvijen je skup osnovnih aktivnosti – BP (base practices) za implementaciju glavnih principa UR, iako se zavisno od veličine i kulture organizacije mogu koristiti različite tehnike. Da bi se postigla prihvatljiva efektivnost sistema zaštite, potrebno je implementirati 16 ključnih BP, koje se odnose na pet glavnih principa UR (Tabela 3.1), [25]. Tabela T.3.1 Principi i osnovne aktivnosti upravljanja rizikom 1
Transcript of 1. Metodologija procene rizika
3.2 OPŠTA METODOLOGIJA ZA UPRAVLJANJE RIZIKOM
3.2.1 Glavni principi upravljanja rizikom
Rezultati empirijskih istraživanja potvrđuju da su IKTS poslovnih sistema izloženi sličnim rizicima i koriste slične tehnologije za ublažavanje rizika. Takođe, bezbednosni ciljevi su generički za gotovo sve poslovne sisteme u Ineternet okruženju: zaštita integriteta i/ili poverljivosti i/ili raspoloživosti podataka i informacija. Generalno proces upravljanja rizikom (UR) zasniva se na pet osnovnih principa:
Procena rizika i određivanje bezbednosnih zahteva; Uspostavljanje sistema za centralno upravljanje rizikom; Implementacija rentabilnih politika i kontrola zaštite; Promovisanje svesti o potrebi i obuka; Nadzor i kontrola sistema zaštite i evaluacija efektivnosti i usklađenosti.
Važan faktor za efektivnu implementaciju ovih principa je princip njihovog cikličnog povezivanja, koji obezbeđuje da politike zaštite uvek obuhvataju tekuće faktore rizika u realnom vremenu. Ovaj princip obezbeđuje održavanje politike zaštite, nadzor i reviziju sistema zaštite i upravljanja kontrolama zaštite, odnosno, sistemom/programom zaštite. Princip cikličnog upravljanja rizikom ilustrovan je na Sl.3.1, [15]:
Sl. 3.1 Princip ciklusa upravljanja rizikom
U standardu najbolje prakse zaštite razvijen je skup osnovnih aktivnosti – BP (base practices) za implementaciju glavnih principa UR, iako se zavisno od veličine i kulture organizacije mogu koristiti različite tehnike. Da bi se postigla prihvatljiva efektivnost sistema zaštite, potrebno je implementirati 16 ključnih BP, koje se odnose na pet glavnih principa UR (Tabela 3.1), [25].
Tabela T.3.1 Principi i osnovne aktivnosti upravljanja rizikom
Principi UR Osnovne aktivnosti (BP)
Procena rizika i određivanje potreba
Prepoznavanje objekata informacione imovine kao bitnih resursa
Razvoj praktične procedure za procenu rizika, koja povezuje sistem zaštite sa poslovnim potrebama organizacije
Određivanje odgovornosti organa uprave za program zaštite
Neprekidno upravljanje rizikom
Uspostavljanje sistema za centralno upravljanje rizikom/
Određivanje radnog tima za izvršavanje ključnih aktivnosti
Obezbeđivanje brzog i nezavisnog pristupa CRT menadžmentu
Obezbeđivanje resursa (osoblja i finansiranja) za CRT
1
Principi UR Osnovne aktivnosti (BP)
zaštitom (CRT)Unapređivanje tehničke obučenosti i profesionalnog odnosa CRT
Implementacija politike i odgovarajućih kontrola zaštite
Povezivanje politike zaštite sa faktorima rizika
Definisanje razlika između politike i smernica (guidelines)
Podržavanje politike kroz rad CRT za zaštitu
Razvoj svesti o potrebi i obuka korisnika o zaštiti
Neprekidna obuka korisnika i drugih učesnika o uticaju faktora rizika i odgovarajućim politikama zaštite
Upotreba tehnika obuke prikladnih za korisnike
Nadzor i revizija (kontrola) efektivnosti sistema zaštite i evaluacija usklađenosti politike i prakse zaštite
Nadzor i revizija faktora rizika i indikatore efektivnosti zaštite
Korišćenje rezultata evaluacije za usmeravanje sledećih aktivnosti i uspostavljanje odgovornosti organa uprave
Održavanje spremnosti za uvođenje novih tehnika i alata za nadzor sistema zaštite
3.2.2 Opšti model za analizu i procenu rizika
Generalni u objektno orijentisanom modeliovanju sistem se posmatra kao skup objekata, međusobnih relacija tih objekata i njihovih atributa i relacija atributa objekata prema okruženju, pri čemu se IKTS i okruženje razmatraju kao jedna celina koju karakterišu sledeći objekti (entiteti), (Sl.3.2): ciljevi, okruženje, resursi, komponente, upravljanje, [3], [18].
Sl. 3.2 Opšti model za analizu i procenu rizika, [18]
Odnosi sistema i okruženja i stepen kontrole koju neka organizacija može izvršiti na faktore okruženja sistema, zavise u najvećoj meri od obima i intenziteta skupljanja informacija potrebnih za analizu i procenu faktora rizika. Opšti model za analizu i procenu rizikasadrži 3 konceptualne oblasti: upravljanje rizikom, procena rizika i neodređenost koja interaktivno deluje na procenu faktora rizika.U prvom koraku definiše se obim procene rizika. Zatim se analiziraju komponente rizika: imovina, pretnje, ranjivosti, verovatnoća uticaja i zaštita, da se kvantifikuju njihovi atributi i specificiraju međusobni odnosi. Iz rezultata analize procenjuju se faktori rizika i testira njihova prihvatljivost. Ako su faktori rizika realni, proces ulazi u okvir upravljanja rizikom, gde se mogu specificirati promene zahteva za sistem ili okruženje sistema, uvođenjem različitih kontrola zaštite. Procedura se ponavlja sve dok svi analizirani faktori rizika ne budu na prihvatljivom nivou.Tok procesa upravljanja rizikom najbolje pokazuje gde su rentabilne i koje kontrole zaštite za ublažavanje ili eliminisanje rizika, [25]: Napad postoji: implementirati pouzdane tehničke kontrole za smanjenje verovatnoće
neželjenog napada;
2
Postoji iskoristiva ranjivost: primeniti slojevitu zaštitu i projektovati bezbednu arhitekturu sistema da se spreči iskorišćenje ranjivosti;
Troškovi napada su manji od dobiti: primeniti takve kontrole zaštite da se povećaju troškovi napada ili značajno smanji potencijalna dobit napadača;
Gubitak je suviše velik: primeniti principe projektovanja i arhitekture bezbednog sistema, proceduralne i tehničke kontrole zaštite.
Na slici Sl.3.3. prikazan je primer toka procesa za uspešno održavanja rizika na prihvatljivom nivou u slučaju tipičnog namernog, ali ne i malicioznog napada hakera sa Intraneta, [9].
Sl. 2.1. Tok procesa UR od namernog, nemalicioznog eksternog napada
U analizi uticaja faktora rizika razvija se scenario “šta ako” u slučaju da se dogodi svaki razmatrani faktor rizika. Procenjuju se verovatnoća pojave učestanost i intenzitet uticaja svakog faktora rizika, kao i uticaja kombinacije faktora rizika. Procena faktora rizika je valjana za određeno vreme, iako se temeljito uradi, jer se scenario pretnji brzo menja pa se i procena rizika mora češće ažurirati. Proces upravljanja rizikom integriše se i podržava sve faze životnog ciklusa sistema sa određenim aktivnostima i izlaznim rezultatima.
3.2.3 Generički metod za kvalitativnu procenu rizika
U procesu analize i procene bezbednosnog rizika procenjuju se sledeći atributi: vrednost objekata–A, pretnje–T, ranjivosti objekata–V i uticaj–U (verovatnoća da će pretnje iskoristiti ranjivosti). Procene su uvek unutar obima i granica bezbednosnog rizika i smatra se da izvan njih nema rizika, [23]. Atributima se pridružuju kvalitativni težinski faktori (numerički: 1–5; 1–10 itd. ili tekstualni: nizak, srednji, visok; nizak, srednje nizak, srednji, srednje visok, visok itd.) koji se, zatim, kombinuju proizvodeći meru relativnog rizika – Rr za specifičnu ranjivost. Vrednost rizika se smatra relativnom, zato što se relacija zasniva na subjektivnom vrednovanju i rangiranju vrednosti atributa A,T,V,U bez formalnog proračuna faktora neodređenosti ovih atributa. Za razumevanja procesa procene rizika korisno je razumeti prirodu i doprinos svakog pojedinačnog atributa ukupnom riziku, kroz primer intuitivne kvalitativne procene atributa Rr, (Tabeli 3.1).
Tabela T. 3.1 Primer intuitivne procene atributa A,V,T i relativnog rizika (Rr)
Primer scenarija Procena A Procena V Procena T Procena Rr
Korpa sa mesom sa vukovima u šumi Visoka Visoka Visoka Visoka
Prazna korpa sa vukovima u šumi Niska Visoka Visoka Niska
Meso u hermetički zatvorenom kontejneru Visoka Niska Visoka Niska
3
Primer scenarija Procena A Procena V Procena T Procena Rr
sa vukovima u šumi
Korpa sa mesom na kuhinjskom stolu Visoka Visoka Niska Niska
3.3 METODOLOGIJA ZA PROCENU RIZIKA
Bezbednosni rizik se može definisati kao funkcija: vrednosti informacione imovine (asset value) – A; kombinovanih pretnji (threats) - T ili verovatnoće ostvarivanja pretnje – napada, koji može naneti štetu imovini (A), ranjivosti (vulnerabilities) - V, objekata informacione imovine i uticaja – U ili verovatnoće da će jedna ili kombinacija pretnji iskoristiti ranjivosti i naneti štetu i postojećih ili planiranih kontrola zaštite (security controls) – Mz, koje mogu ublažiti ranjivosti, pretnje i uticaj.
3.3.1 Uspostavljanje konteksta za procenu rizika
Proces uspostavljanja konteksta za analizu rizika odvija se kroz 4 osnovne faze:1. Definisanje osnovnih parametara za upravljanje rizikom;2. Definisanje obima i granica analize i procene rizika;3. Uspostavljanje i organizacija tima za upravljanje rizikom;4. Uspostavljanje strukture i procesa za analizu i procenu rizika.
Definisanje parametri za upravljanje rizikom: U fazi određivanja potencijalno raspoloživih resursa potrebno je:
a) Izabrati odgovarajući pristup/metodologiju za procenu rizika: ISO/IEC TR 13335-3, ISO/IEC 27005, NIST SP 800-30, CRAMM, OCTAVE, BAR-brza analiza rizika itd., pomoćne alat za proračun faktora rizika - interaktivne programsku aplikacije (RA2, COBRA, HESTIA i dr.), templejti radnih tabela i standardne taksonomije pretnji i ranjivosti.
b) Definisati kriterijume za evaluaciju rizika kao što su legalni zahtevi i ugovorne obaveze, operativne i poslovne posledice gubitka poverljivosti, integriteta i raspoloživosti informacija, negativan uticaj na reputaciju i dr.
c) Uspostaviti kriterijume za procenu uticaja rizika kao što su operativni, tehnički, finansijski, legalni, normativni, socijalni i dr. uticaji, koji zavise od interesa relevantnih učesnika, politike i poslovnih ciljeva organizacije, zatim, kriterijumi za odlučivanje praga ne/prihvatljivosti rizika koji mogu biti višestruki (npr., uticaj normativnih i ugovornih obaveza, bez obzira na procenjeni nivo rizika).
d) Uspostaviti kriterijuma za prihvatanje rizika, pri čemu su mogući različiti nivoi praga prihvatanja rizika u istoj organizaciji.
e) Definisati potencijalno raspoložive resurse za uspostavljanje tima za upravljanje rizikom u organizaciji, izbor i implementaciju kontrola zaštite.
Definisanje obima i granica procesa upravljanja rizikom: Obim (predmet) procesa upravljanja rizikom može da uključi strateške i kratkoročne poslovne ciljeve organizacije, poslovne procese i strategije, politiku zaštite organizacije, legalne i normativne zahteve, oblast primene i razloge za isključivanje nekog objekta iz procesa upravljanja rizikom. Granice (oblast) procesa upravljanja rizikom tipično uključuju: poslovne ciljeve i politiku, informacionu imovinu, ljude (zaposlene, partnere, podugovorače, spoljne saradnike, klijente…), fizičko okruženje (zgrade i druge objekte), socialno-kulturološko okruženje i poslovne procese i aktivnosti.
4
Uspostavljanje i organizacija tima za upravljanje rizikom: U fazi uspostavljanja i organizacije tima za upravljanje rizikom vrše se sledeće aktivnosti: identifikacija i analiza relevantnih učesnika, izbor lidera tima, izbor članova tima (izvršni menadžer, praktičar - poznavalac poslovnih procesa, pravnik, administrator sistema/mreže, specijalista zaštite), definisanje uloga i odgovornosti svih učesnika i uspostavljanje zahtevanih odnosa i potpune komunikacije između tima i organizacije kao i drugih projekata i aktivnosti.
Uspostavljanje strukture procesa analize i procene rizika: Tok procesa analize i procene rizika uspostavlja se u odnosu na strateške poslovne ciljeve organizacije, a obuhvata sledeće (pot)procese: uspostavljanje konteksta za upravljanje rizikom (okvira za ISMS), identifikovanje, analiza, evaluacija i procena rizika, tretman rizika i prihvatanje preostalog rizika, (Sl. 3.3).
Sl. 3.3 Struktura procesa upravljanja rizicima
U procesu procene rizika zahteva se potpuna komunikacija koja podrazumeva kvalitetno uspostavljanje veza i potpuno razumevanje značenja prenesenih informacija između svih učesnika u procesu upravljanja rizikom u svakoj fazi procesa. Ciljevi komunikacije uključuju, između ostalog, sakupljanje informacija za identifikaciju faktora rizika, analizu toka informacija za izbegavanje ili redukciju uticaja bezbednosnog incidenata, konsultacije za poboljšavanje međusobnog razumevanja procesa upravljanja rizika kod relevantnih učesnika itd. U ranoj fazi procesa procene rizika treba razviti plan komunikacije i sva pitanja koja se odnose na sam proces i upravljanje procesom.
Procedura za upravljanje rizikom treba da obezbedi sigurnost upravljanja rizikom, skupljanje informacija o riziku i otpornost sistema zaštite na proboje zbog eventualnog nerazumevanja relevantnih učesnika i donosioca odluka. Glavni cilj izrade procedure za upravljanje rizikom je da prenese generalan stav organizacije prema zaštiti i smanji uticaj proboj sistema zaštite na poslovne procese.Monitoring i revizija procesa upravljanja rizikom identifikuje promene faktora rizika u ranoj fazi, obezbeđuje regularnu reviziju svih (pod)procesa upravljanja rizikom i kad se dogode glavne promene. Glavni cilj revizije procesa je da se odredi relevantnost tekuće procene rizika i po potrebi preduzmu korektivne akcije, uključujući redefinisanje: konteksta, kriterijuma za evaluaciju rizika, pristupa i metodologije za procenu rizika, opcija tretmana rizika, metoda komunikacije itd.
5
Predmet revizije u procesu upravljanja rizikom su: legalni okvir i kontekst okruženja, konkurencija, kriterijumi za evaluaciju rizika, kategorizacija i vrednovanje informacione imovine, prag za odlučivanje o tretmanu rizika i vrednovanje troškova implementacije kontrola zaštite.
3.3.2 Proces analize i evaluacije rizika
Proces za procenu rizika (risk assessment) obuhvata sledeće faze:
analizu rizika (identifikaciju i estimaciju) i evaluaciju rizika.
Analiza rizika podrazumeva analizu svakog faktora rizika, u odnosu na to zašto i kako može nastati. U tom smislu faktore rizika treba identifikovati, a zatim izvršiti estimaciju svakog identifikovanog faktora rizika.
Identifikacija faktora rizika mora biti sveobuhvatna, struktuirana i argumentovana. Korisno je identifikovati faktore rizike koje treba tretirati pod kontrolom organizacije, ali i izvan te kontrole. Faktori rizika se mogu nalaziti u oblasti informacione imovine-A, kombinovanih pretnji-∑T i ranjivosti sistema-V, a identifikuju se u odnosu na parametre verovatnoće (frekvencije pojave i intenziteta) i uticaja-U (posledica, štete) na poslovne procese, ili verovatnoće uticaja da će pretnja/e iskoristiti ranjivost/i. U ovoj fazi se definišu i neprihvatljive posledice uticaja faktora rizika, kao i primenljivi metodi za identifikaciju faktora rizika: ček liste, intervjui, sistemska analiza i sistem inženjerske tehnike. Očekivani izlazi iz ove faze procesa analize rizika su:
Izlaz 1: Inventar informacione imovine (vrednosti) Izlaz 2: Taksonomija relevantnih pretnji Izlaz 3: Taksonomija relevantnih ranjivosti
Estimacije parametara rizika može biti kvantitativna, statističko-numerička aproksimacija ili kvalitativna, na bazi parametra kvaliteta (npr., nizak, srednji, visok). Ova faza analize rizika uključuje sve faktore neodređenosti u proceni rizika, (NIST SP 800-30). Faktori neodređenosti u proceni rizika mogu se smanjiti primenom formalnih modela i složenog matematičkog aparata, što je nerentabilno i praktično se retko koristi. Sasvim prihvatljiv metod redukcije faktora neodređenosti u proceni rizika je izbor najnepovoljnije estimacije, koja dovodi do većeg rizika, čime se proaktivno deluje na izbor robustnijih kontrola zaštite za efektivniji tretman rizika. Naime, parametri rizika (A, T, V), relativno nezavisnih objekata mogu se u estimaciji relativnog preostalog rizika – Rr množiti ili sabirati:
Rr= AxVx∑T, ili Rr=A+V+∑T (3.1)
Kako se množenjem istih veličina dobija veći iznos, množenjem parametara rizika umanjuju se posledice uticaja faktora neodređenosti parametara rizika na tačnosti procene rizika, pa je bolja aproksimacija od sabiranja parametara rizika.
Identifikacija i estimacija informacione imovine: Definicija informacione imovine organizacije u standardu ISO/IEC 27001 obuhvata dve ključne kategorije: listu inventara i bezbednosnu kategorizaciju i klasifikaciju informacione imovine. Pod inventarom informacione imovine u standardu se podrazumevaju svi materijalni i nematerijalni objekti koji imaju neposredan i posredan značaj za bezbednost informacija. Klasifikacija informacione imovine, prema standardu ISO/IEC 27002, prepoznaje 6 kategorija grupisanih u čistu informacionu imovinu, fizičku imovinu i humanu imovinu, ali ostavlja i mogućnost da organizacija uvede i nove kategorije ukoliko postoji potreba. U skladu sa obimom i nivoom procenjenog rizika, inventar imovine organizacije, treba srazmerno ali ne previše detaljno, grupisati u bezbednosne kategorije da bi se smanjila kompleksnost analize i procene rizika. Ovo je veoma značajna faza, jer predstavlja ulaz u proces analize rizika. Propusti u izradi ove
6
liste mogu imati velike posledice, jer se neće tretirati kroz proces analize, procene i ublažavanja rizika.Svi objekti informacione imovine treba da imaju svoje vlasnike (staraoce), odnosno da za njih budu zaduženi neki entiteti organizacije. Vlasništvo nad informacijama mogu imati poslovni procesi, definisani skup aktivnosti, aplikacije, definisane grupe podataka i zaposleni. Rutinski poslovi sa vlasničkim informacijama ili objektima imovine mogu biti delegirani, ali odgovornost ostaje na vlasniku. Vlasnici koji su zaduženi za objekte informacione imovine, odgovorni su za klasifikaciju informacija i bezbednosnu kategorizaciju imovine, određivanje prava pristupa (ovlašćenja i privilegija) i periodičnu proveru restrikcija pristupa i ovlašćenja.
Informacije mogu imati različite stepene osetljivosti i kritičnosti za poslovanje. Cilj klasifikovanja informacija je održavanje odgovarajućeg nivoa zaštite. Informacije treba klasifikovati po potrebi, prioritetima i očekivanoj poverljivosti prilikom upotrebe. Neke od njih zahtevaju posebne tretmane i stepene specijalne zaštite. Šema za klasifikovanje informacija treba da sadrži stepene osetljivosti i uputstva za upotrebu u zavisnosti od stepena osetljivosti informacija. Odgovornost za klasifikaciju informacija snosi vlasnik, staraoc, odnosno zaduženo lice, ili proces. U praksi se najčešće uspostavlja nekoliko stepena klasifikacije osetljivosti informacija, na primer: Javne informacije: najčešće ne zahtevaju dodatni stepeni zaštite; dostupne su svim
zainteresovanim licima (npr., marketinški materijal, javni izveštaji itd.); Interne informacije: informacije koje se mogu koristiti samo u organizaciji; Poverljive informacije: ukazuju na stepen osetljivosti i po pravilu dozvoljavaju pristup samo
unapred definisanoj grupi korisnika; Strogo poverljive informacije: za razliku od prethodne grupe zahtevaju i niz dodatnih mera zaštita
koje su određene u klasifikacionoj šemi.
Klasifikacionu šemu i mere u odnosu na klasifikaciju svaka organizacija kreira prema svojim potrebama i mogućnostima. Bitno je napomenuti da je u praksi gotovo nemoguće naći organizaciju koja ima savršen sistem klasifikacije informacija, iz nekoliko razloga: informacije se često ne klasifikuju, zaposleni se ne pridržavaju instrukcija i mera iz klasifikacione šeme ili se zahteva višekratna primena klasifikacije nad istom informacijom (što je najteže izvodljivo). Zatim, Informacije tokom korišćenja učestvuju u procesima, mogu biti podložne promeni klasifikacije u odnosu na vremenski period (neke strogo poverljive, to više nisu posle određenog vremena), a često se ukazuje i potreba za promenom vlasnika informacije u procesu. Taj komplikovani proces nije uvek jednostavno ispratiti, pa sistem klasifikacije informacija uvek treba poboljšavati. Na ovaj proces se takođe može primeniti PDCA model kao način poboljšanja sistema klasifikacije, što je sa aspekta ISMS Demingov „točak u točku“.
Pravilna upotreba informacija i drugih objekata informacione imovine treba da budu definisana, dokumentovana kroz politike komponenti sistema zaštite1 i implementirana. Sva razvijena pravila obuhvaćena obimom i kontekstom ISMS politike, treba da budu odobrena od strane glavnog menadžmenta, a odgovornost za poštovanje i sprovođenje pravila snose zaposleni na koje se odnose. Za estimaciju vrednosti imovine (A) mogu se izabrati kvantitativne ili kvalitativne skale gradacije. Kvantitativna skala gradacije imovine izražava se u novčanim jedinicama, što uvek nije dovoljno za sve objekte imovine. Kvalitativna skala gradacije imovine može se kretati u različitim opsezima kvalitativne procene, na primer, zanemarljiv, vrlo nizak, nizak (N), srednji (S), visok (V), vrlo visok, kritičan. Kako se za bezbednosnu kategorizaciju imovine uzima najnepovoljniji slučaj, dovoljna je skala gradacije: N, S, V. Za pripisivanje vrednosti objektima informacione imovine, mogu se koristiti brojni, nedvosmisleni i dokumentovani kriterijumi (najteža faza ovog koraka), kao što su: originalna nabavna cena, troškovi zamene i/ili re-kreiranja u slučaju kvara/destrukcije, apstraktne vrednosti, kao gubitak ugleda, klijenata, konkurentske prednosti na tržištu i sl., troškovi nastali gubitkom poverljivosti, raspoloživosti i integriteta, uključujući neporecivost, autentifikaciju i pouzdanost.
1 NIST politiku zaštite definiše na nivou IKTS organizacije, sistema zaštite (ISMS) i komponenti sistema zaštite – pravila.
7
Takođe, mogu se koristiti i generički kriterijumi za estimaciju, kao što su: povreda zakona i/ili normativa, neusklađenost performansi poslovnih procesa, gubitak dobre volje/negativan uticaj na reputaciju, ugrožavanje privatnosti ličnih informacija, ugrožavanje lične sigurnosti, negativan uticaj na primenu zakona, narušavanje javnog reda, finansijski gubici, prekidanje poslovnih aktivnosti i ugrožavanje životne sredine.
Neki objekti informacione imovine mogu imati više kriterijuma za pripisvanje vrednosti, na primer, Plan poslovanja (biznis plan), može se vrednovati na bazi vrednosti razvoja i izrade plana (Ap), vrednosti unosa podataka u plan (Ad) i vrednosti plana za konkurenciju (Ak).
Kvantitativna procena vrednosti imovine uključuje cenu nabavke, implementacije i održavanja. Sve vrednosti višestruke i kombinovane procene se maksimiziraju (prema kriterijumu bezbednosne kategorizacije-Bk) ili sabiraju (što je manje tačno). Konačna vrednost koja se dokumentuje mora biti pažljivo određena. Na kraju, sve estimacije vrednosti objekata A treba redukovati na zajedničkoj osnovi.
Vrednost A generalno se procenjuje na bazi značaja objekta informacione imovine za poslovanje organizacije, tako da najznačajniji (najkritičniji) objekti imaju najveću vrednost A. U objektnom pristupu, vrednost A se može odrediti sabiranjem relativno nezavisnih atributa kvaliteta objekata informacione imovine, koji aditivno doprinose njihovoj vrednosti za organizaciju:
A = Pv + R+ In (3.2)gde je: Pv-poverljivost, R-raspoloživost, In-integritet objekta informacione imovine.Primera izbora kriterijuma za estimaciju težinskih faktora i proračuna vrednosti A, koji se primenjuju na sve tri grane objekata za zaštitu (Pv, R, In), a sabiraju za procenu konačne vrednosti A, dati su u tabelama 3.2 i 3.3.Tabela T. 3.2 Kriterijumi za određivanje težinskih faktora vrednosti A
Nivo vrednosti
Težinski faktor Definicija - kriterijumi
najveći 1
Ovi objekti imaju najvišu vrednost za organizaciju i mogu se vrednovati i više od mrežne i tekuće tržišne očekivane vrednosti. Njihov gubitak ili uništenje može imati ozbiljan uticaj na ukupno poslovanje organizacije.
srednje visok 2 Ovi objekti imaju vrlo visoku vrednost za procese rada i njihov gubitak ili uništenje može imati ozbiljan uticaj na neke poslove organizacije.
srednji 3 Ovo su značajni objekti organizacije koji mogu biti zamenjeni, a njihov gubitak ili uništenje može imati trenutne i ozbiljne posledice za profitabilnost poslova.
srednje nizak 4 Ovo su zamenljivi objekti, a pošto je cena zamene relativno visoka, mogu imati samo umeren uticaj na ukupnu profitabilnost poslova.
srednje nizak 5 Ovo su objekti koji nemaju stvarnu ekonomsku vrednost unutar procesa rada i mogu se lako i jeftino zameniti.
Tabela T. 3.3 Proračun vrednosti A
Nivo (A) Estimacija Definicija
Najviši 1
Ova informaciona imovina (A) ima najveću vrednost za organizaciju, a može se vrednovati više od nabavne vrednosti, ili očekivane, ili marketinške vrednosti. Gubici ili destrukcija ove imovine može imati veoma ozbiljan uticaj na poslovanje.
Drugi 2Ova informaciona imovina je veoma vredna za poslovne procese, a gubitak ili destrukcija ove imovine može imati ozbiljan uticaj na poslovanje.
8
Nivo (A) Estimacija Definicija
Treći 3Ovo je važna informaciona imovina koja se može zameniti tamo gde njeni gubici ili destrukcija mogu imati ozbiljan i neposredan uticaj na profitabilno poslovanje.
Četvrti 4 Ovo je zamenljiva informaciona imovina, a pošto su troškovi zamene relativno visoki biće samo srednji uticaj na ukupno poslovanje.
Najniži 5 Ovo je informaciona imovina koja nema stvarnu ekonomsku cenu u poslovnim procesima i može se lako zameniti uz minimalne troškove.
Identifikacija i estimacija ranjivosti: Ranjivost je sve ono što napadač može iskoristiti za dobijanje određene prednosti u odnosu na infomacionu imovinu organizacije. U ovoj fazi se identifikuju ranjivosti koje procenjeni izvori pretnji mogu iskoristiti i naneti štetu informacionoj imovini i poslovnim procesima organizacije. Ranjivosti mogu biti: organizacione, procesa i procedura, upravljanja, personala, fizičkog okruženja, arhitekture i konfiguracije IKTS, hardversk-softverske ili komunikacione opreme. Postojanje ranjivosti samo po sebi ne nanosi štetu. Potrebno je da postoji pretnja koja je može iskoristiti. Ranjivost koja nema odgovarajuću pretnju i ne može se iskoristiti ne zahteva implementaciju kontrola zaštite, ali se mora prepoznati i monitorisati na promene. Ranjivost može biti i pogrešno implementirana ili nekorektno korišćena kontrola zaštite, ali i vezana za atribut objekta imovine koji nije inherentno namenjen za korisničku upotrebu. Na primer, EEPROM (Electronically Erasable Programmable Read Only Memory), namenjena za lako brisanje i zamenu uskladištene informacije, osetljiva je na moguću neovlašćenu destrukciju podataka. Prema ISO/IEC 27005 uobičajena taksonomija ranjivosti IKTS je na: okruženje i infrastrukturu, hardver, softver, komunikacije, dokumentaciju, personal, procedure i opšte primenljive ranjivosti. Tipični parovi ranjivosti/pretnja i primeri skale gradacije za estimaciju, prema ISO/IEC 27005, dati su u Prilogu B.Ranjivost informacione imovine (V) može se odrediti estimacijom više faktora koji utiču posredno ili neposredno na vrednost ovog parametra. Kako uticaj ovih relativno nezavisnih pojedinačnih faktora na vrednost parametra V ima značajan stepen neodređenosti, ovi se faktori množe, što daje bolju aproksimaciju vrednosti V:
V = DxKxTrxIsxZa (3.3)gde su: D-detektibilnost, K -korisnost, Tr -trajnost, Is -iskoristivost, Za –zaštićenost.Relevantni težinski faktori ranjivosti objekata informacione imovine procenuju se, sa aspekta agenta pretnje, u odnosu na atribute D, K, Tr, Is i Za. Težinske faktore treba procenjivati i računati za svaku poznatu tačku ranjivosti u odnosu na ove atribute. Primer upitnika za procenu ranjivosti na osnovu pet navedenih atributa, sa aspekta zaštite poverljivosti informacija, poređanih po prioritetima od najznačajnijeg (1) do najmanje značajnog (5), a procenjivanih na osnovu odgovora na postavljena pitanja, prikazan je u Tabeli 3.5, [18].
Tabela T. 3.5 Primer procene relevantnih faktora ranjivosti
Atributi ranjivosti sistema Procena ranjivosti–V
(1) Vidljivost (D)Verovatnoća da kompetentan agent pretnje postane svestan vrednosti informacije i da može pristupiti ovim informacijama.
(2) Korisnost (Ko) Verovatnoća da agent pretnje uvidi korisnost informacije, da će informacija zadovoljiti neku zainteresovanu (konkurenciju).
(3) Trajnost (Tr) Datum iza koga informacija više neće biti korisna napadaču i mogućnost korišćenja informacije pre toga datuma.
(4) Iskoristivost (Is)Mogućnost upotrebe informacije na vreme i na način koji su kritični za vlasnika informacije. Potreba za dodatne informacije da bi napadač iskoristio postojeće, stekao prednost ili ugrozio vlasnika.
9
Atributi ranjivosti sistema Procena ranjivosti–V
(5) Zaštićenost (Za)
Postojanje dokumentovane politike zaštite poslovnih tajni ili intelektualne svojine. Pristup korisnika informacijama ograničen u skladu sa politikom zaštite. Korisnici su potpisali sporazum o neotkrivanju informacija NDA (Non Disclosure Agreement).
Svakom odgovoru u T. 3.5 pripisuje se jedan od ponuđenih težinskih faktora primenjene metrike (1–5; 1–10; nizak, srednji, visok itd.) onako kako ih procenjuju vlasnici objekata (menadžeri). Ranjivost objekata IKT sistema često je teško procenjivati pre incidenta, jer u suštini najčešće napad potvrđuje da li postoji ranjivost u hardveru, softveru, poslovnim procesima i ljudima. U ovom procesu pored liste pitanja za glavne atribute parametra ranjivosti u T 3.5, obavezno treba ispitati sledeće tačake ranjivosti: nedostatak ili neadekvatnost politike, standarda i procedura; nedostatak ili neadekvatnost obuke; loše definisane uloge i odgovornosti, dodeljeni nalozi i ovlašćenja; poznate greške sistemskog/ aplikativnog softvera; nestabilnost OS i veliki broj pristupnih tačaka računarskoj mreži; mogućnost fizičkog pristupa prostorijama sa računarima/serverima i dr.Ukupna vrednost V može se odrediti estimacijom pojedinačnih faktora na sličan način kao i parametra A. Za razliku od aditivnih komponenti vrednosti A, ukupne vrednosti ranjivosti V se multipliciraju, na primer, ako ima 20 računarskih sistema sa po 15 ranjivih tačaka, onda je ukupna ranjivost IKT sistema: V=20x15=300.U procesu estimacije ranjivosti, treba procenjivati ranjivosti po svim glavnim atributima za svaku tačku ranjivosti, a zavisno od zahtevane dubine analize rizika, moguće je primeniti metod analize rizika procesa rada, funkcionalnih celina, kritičnih objekata ili strukturni metod brze analize rizika (BAR), [25].
Osnovni proaktivni metod za procenu ranjivosti IKTS podrazumeva testiranje i uključuje automatizovani alat za skeniranje ranjivosti (RS/RM), bezbednosno testiranje i evaluacija–STE (Security Testing and Evaluation) i testiranje na proboj. Metod skeniranja je pouzdan za kontrolu ranjivosti, ali može proizvesti lažne pozitive. Proces STE efektivnosti kontrola zaštite u operativnom okruženju vrši se u procesu sertifikacije i akreditacije sistema (C&A). Testiranje na proboj proverava mogućnost zaobilaženja kontrola zaštite sa aspekta izvora pretnji (etički haking).
Identifikacija i estimacija pretnji: Pretnja (T) je potencijalna šteta za informacionu imovinu organizacije. Postoji više taksonomija pretnji. Standard ISO/IEC 27005 deli pretnje na prirodne (E) ili humane(H) i namerne (D) ili slučajne(A).Realna pretnja je najčešće kombinacija ovih izvora i dinamički se menja u vremenu. U kontekstu i obimu analize i procene rizika treba identifikovati sve relevantne pretnje. Zatim, za svaku individualnu pretnju treba identifikovati izvor pretnje i proceniti verovatnoću realizacije-frekvenciju pojave i intenzitet. Za ovu procenu dovoljno je koristiti skalu gradacije: N, S, V.
Kako za neki poslovni sistem, menadžeri i zaposleni najbolje poznaju pretnje, ulazne veličine za procenu pretnji treba obezbediti od: vlasnika ili korisnika objekta imovine, odeljenja za upravljanje ljudskim resursima, izvršnih menadžera, IKT specijalista, specijalista zaštite i dr. (pravnik, npr.), statistički podaci i taksonomije pretnji iz baza znanja. Upotreba taksonomije pretnji je korisna, ali treba uzimati u obzir dinamiku promena kombinovanih pretnji zbog promena poslovanja, tehnologija, okruženja, malicioznih kodova itd. Primeri taksonomija pretnji i skala gradacije za procenu pretnji, prema standardima ISO/IEC 27005 i NIST SP 800-30 dati su u Prilogu A.
Estimacija vrednosti parametra T u fazi analize rizika, daje najbolju aproksimaciju za procenu rizika kao kombinacija dinamički promenljivih pretnji - å T:
T=T1+T2+...+T8= å T (3.4)
10
Za analizu rizika prihvatljiva je taksonomija kombinovanih pretnji (å T ) u odnosu na posledice uticaja (štetne-Št, neškodljive-Nš), izvore nastanka (iznutra-Un, spolja-Va) i način izvođenja (sofisticirane-So, nesofisticirane-Ns), koja daje ukupno 23=8 različitih kombinacija pretnji. Primeri za svaku od 8 kombinovanih tipova pretnje dati su u Tabeli 3.4.Tabela T. 3.4 Primeri tipova kombinovanih pretnji
Pretnja -T Opis i/ili primerŠt So Un Aktivnosti nezadovoljnog sistem administratoraŠt Ns Un, Aktivnosti nezadovoljnog zaposlenog (ne-administratora)
Nš So UnAktivnosti znatiželjnog administratora (STE izveštaj poslednjih ranjivosti)Slučajno oštećenje od strane administratora (brisanje datoteke korisnika)
Nš Ns Un Aktivnosti znatiželjnog korisnika (pogađanje pasvorda)Slučajno oštećenje od strane znatiželjnog korisnika (brisanje datoteke)
Št So Va Industrijska špijunaža; aktivnosti veštog osvetoljubivog napadača
Št Ns VaAktivnosti napadača ograničenih sposobnosti, ali jako zainteresovanih za specifične objekte (e-mail spam ili trial-and-error napadi)
Nš So Va Aktivnosti veštog, odlučnog i znatiželjnog korisnika (čovek vs. mašina )
Nš Ns Va Aktivnosti znatiželjnog korisnika ("šta/kako ovo radi?").Nenamerna aktivnost koja se može interpretirati kao maliciozna
Proračun težinskih faktora za verovatnoću pojave bezbednosnog incidenta potrebno je izvršiti za svaki objekat sistema. Iako svaka organizacija bira sama svoj sistem ponderisanja, moguća je primena sledećih kriterijuma (Tabela 3.7):
Tabela T. 3.7 Proračun težinskih faktora za verovatnoću pojave incidenta
Nivo Težinski faktor Definicija
Vrlo visok 1 Pretnja ima vrlo visoku verovatnoću događanja, sve dok se ne primene korektivne aktivnosti.
Visok 2 Pretnja ima visoku verovatnoću događanja, ako nisu primenjene korektivne akcije.
Srednji 3 Pretnja ima umerenu verovatnoću događanja.
Nizak 4 Smatra se da je rizik od događanja ove pretnje vrlo nizak.
Vrlo nizak 5 Postoji vrlo niska verovatnoća da će se ovaj incident dogoditi.
Proračun težinske faktore intenziteta potencijalnih pretnji potrebno je izvršiti za svaki informacioni objekat sistema. Iako svaka organizacija bira sama svoj sistem ponderisanja, korisni su sledeći kriterijumi za izbor težinskih faktora za ponderisanje intenziteta potencijalnih pretnji (Tabela 3.5):Tabela T.1.5 Kriterijumi za ponderisanje intenziteta potencijalnih pretnji
Nivo uticajaTežinski faktor
Definicija
Eliminiše 1 Posledica je potpuno uništenje objekata i organizacija se teško može oporaviti. Incidenti su teški za kontrolu i zaštitu.
Razoran 2Incidenti mogu biti razorni i bez neposrednog i adekvatnog odgovora potpuno uništiti objekte. Dovode do značajnih finansijskih gubitaka i gubitka javnog ugleda.
11
Kritičan 3Incidenti od kojih se organizacija može oporaviti dobrim upravljanjem incidentom i implementacijom odgovarajućih mera zaštite. Dovode do srednjih gubitaka i neprijatnosti.
Kontrolisan 4Uticaj incidenta je verovatno kratkoročan i može se kontrolisati. Sa pravom zaštitom i odgovorom, uticaj može bit smanjen na minorne neprijatnosti i minimalne troškove.
Iritirajući 5 Incidenti su obično beznačajni i izazivaju samo lokalnu iritaciju. Merama zaštite treba ih izbeći ili kontrolisati.
Generalno, težinske faktore izvora pretnji treba kategoristi od najvećih do najmanjih, npr., pretnje od ljudi imaju veće težinske vrednosti od prirodnih događaja.Proračun težinskih faktora frekvencije pojave pretnje (realizacije pretnje-napada, incidnta) potrebno je izvršiti za svaki informacioni objekat. Iako svaka organizacija bira sama svoj sistem ponderisanja, korisni su sledeći kriterijumi (Tabela T. 3.6):
Tabela T. 3.6 Proračun težinskih faktora frekvencije pojave incidenta
Nivo Težnski faktor Definicija
Vrlo visok 1 Frekvencija incidenta je vrlo visoka, a incident može biti razoran za proizvodnju ili servise.
Visok 2 Frekvencija incidenta je visoka i može se ponoviti.
Srednji 3 Incident se potencijalno može prilično često dogoditi, ali normalno nije predvidiv.
Nizak 4 Incident ima nisku frekvenciju pojavljivanja i smatra se da nije ponovljiv; ne bi trebalo biti više od 1 incidenta u 1 radnom ciklusu.
Vrlo nizak 5 Ovaj incident se smatra vrlo retkim i periodičnim.
Za proračun se mogu koristiti i statistički elementi za alternativnu procenu verovatnoće pretnje–incidenta za najveći broj tipova poznatih potencijalnih pretnji, mereni statističkom verovatnoćom od 0–1 ili numeričkim, kvalitativnim težinskim faktorima od 0–5 i primeri kvalitativnog merenja, ponderisanja i različite kvalitativne metode proračuna stepena neodređenosti pretnji – verovatnoće i intenziteta događaja, prikazani u tabelama 1. do 7. (Prilog D- U PRILOGU III 2F.U PRILOGU III 2G navedeni su bezbednosni kriterijumi za korišćenje u proceni ranjivosti sistema u oblasti upravljačkih, operativnih i tehničkih kontrola. Izlaz iz procesa procene ranjivosti je kontrolna lista bezbednosnih zahteva za bezbednosne popravke identifikovanih ranjivosti(Tabela1). U Tabeli 2. nbrojane su ključne ranjivosti IKT sistema OSI modela arhitekture, sa predlogom osnovnih servisa i kontrola (mera) zaštite od iskorišćavanja navedenih ranjivosti.
Estimacija uticaja pretnji na ranjivosti sistema: Uticaj (Ut) je mera efekata i negativnih posledica koje na informacionu imovinu/poslovanje može izvršiti neki napad (realizovana pretnja). Uticaj je posledica verovatnoće da će neka pretnja/e iskoristiti neku/e ranjivost/i. Uticaj se može ostvariti samo ako postoji, [23]:
Izvor slučajne pretnje: događaj/incident unutar perimetra bezbednosnog rizika i ranjivost koju ta pretnja može iskoristiti i/ili
12
Izvor namerne pretnje: stimulacija napadača (motivacija, odlučnost, resursi, sposobnost, prilika), atraktivnost imovine, incident unutar perimetra bezbednosnog rizika i ranjivost koju ta pretnja može iskoristiti.
Standard ISO/IEC 27005 razmatra samo operativne, trenutne (ne i potencijalne) posledice utcaja. Operativni uticaj može biti direktan ili indirektan. Direktan uticaj je, na primer, gubitak finansijske vrednost zamene izgubljene/dela imovine, troškovi akvizicije, konfigurisanja i instalacije nove imovine ili bekapa, troškovi suspendovanih operacija zbog incidenta dok se ne obezbedi(e) servis(i) imovine, uticaj koji ima rezultat proboj sistema zaštite itd. Indirektan uticaj su troškovi opcija (finansijski resursi, potrebni za popravku imovine koja se može koristiti bilo gde u organizaciji), troškovi prekida operacija, potencijalne zloupotrebe informacija zbog proboja sistema zaštite, povrede normativnih i statutarnih obaveza, povreda etičkog kodeksa poslovanja itd.Za estimaciju uticaja treba odrditi težinski faktor intenziteta tog uticaja na pojedinačne objekte imovine, pri čemu treba razmatrati prednosti i nedostatke kvantitativnih i kvalitativnih metoda merenja za procenu nivoa uticaja. Glavna prednost kvalitativne analize uticaja je u određivanju prioritetnih faktora rizika i identifikacija zona ranjivosti koje neposredno treba otklanjati. Nedostatak kvalitativne analize uticaja rizika je u tome što ne obezbeđuje specifične kvantitativne mere i procenu odnosa troškovi–korist (cost–benefit) preporučenih kontrola zaštite. Glavna prednost kvantitativnih metoda analize uticaja rizika je što obezbeđuje merenje uticaja i cost–benefit analizu preporučenih kontrola zaštite. Nedostatak ovih metoda je, zavisno od izbora numeričkih opsega faktora ponderacije, nejasnost i česta potreba kvalitativne interpretacije rezultata.Primer kvalitativne procene i određivanja težinskih faktora uticaja rizika, koji obuhvata komponente vrednosti objekata–A, intenzitet pretnje–Ti, frekvenciju pretnje–Tf i verovatnoću pretnje–Tv prikazan je u Tabeli 3.7.
Tabela T. 3.7 Komponente za određivanje težinskih faktora uticaja rizika
Komponente uticaja rizika Težinski faktori
Vrednost objekta – A 1 – 5 (1 je najveći)
Intenzitet potencijalne pretnje – Ti 1 – 5 (1 je najveći)
Frekvencija potencijalne pretnje – Tf 1 – 5 (1 je najveći)
Verovatnoća pretnje – Tv 1 – 5 (1 je najveći)
Za proračun ukupnog težinskog faktora uticaja rizika potrebno je množiti komponentu uticaja rizika jednu sa drugom, da bi se smanjio efekat neodređenosti na tačnost rezultata. Ako se uzme u obzir da su frekvencija i intenzitet pretnji nerelevantni, ako se pretnja ne dogodi, uticaj se približno određuje kao faktor množenja vrednosti imovine i verovatnoće pojave pretnji:
Ut = A x Ti x Tf x Tv≈AxTv (3.5)Na isti način se preostali relativni rizik može odrediti pojdnostavljenom relacijom:
Rr=AxPu (3.6)gde je A – vrednost imovine, a Pu - verovatnoća uticaja ili da će ∑T iskoristiti V.U ovoj kvalitativnoj estimaciji što je manji rezultat, to je veći uticaj faktora rizika. Najveći uticaj faktora rizika u ovoj estimaciji je 1, a najmanji – 625. Glavni menadžer određuje kriterijume prihvatljivosti rizika i prioritete ublažavanja. Na primer:
1. V – (visok), svaki faktor rizika R: 1 < R < 200; svaki faktor rizika R< 50 je vrlo kritičan i zahteva trenutno ispitivanje i reagovanje;
2. S – (srednji), svaki faktor rizika R: 200 < R < 4003. N - (nizak), svaki faktor rizika –R: 400 < R < 625
13
Faza evaluacije faktora rizika je procena rizika na bazi strogo utvrđenih kriterijuma predefinisanih u fazi definisanja parametara za upravljanje rizikom (Određivanje konteksta za procenu rizika), a obuhvata aktivnosti kao što su:
priprema za izradu Plana tretmana rizika, razmatranje/selekcija predefinisanih kriterijuma za evaluaciju rizika, uključujući bezbednosne
kriterijume, značaj poslovnog procesa kojeg podržava informaciona imovina, zahtevi menadžmenta za tretman rizika, zahtevi za preduzimanje hitnih akcija, poređenje nivoa estimacije faktora rizika sa predefinisanim kriterijumima za evaluaciju (npr.,
rezultatima prethodne procene rizika) i rangiranje faktora rizika po prioritetu za tretman (ublažavanje.
U ovoj fazi faktore rizika procenjene kao niske - N, treba smatrati prihvatljivim i moguće je da menadžment/vlasnik sistema ne zahteva tretman ovih faktora rizika. Faktore rizika procenjene kao srednje-S i visoke-V treba tretirati, pri čemu faktore sa visokim uticajem tretirati prioritetno.
Ukupan relativni rizik – Rr za informacionu imovinu organizacije, određuje se na bazi evaluacije faktora rizika, kojih za neku prosečnu organizaciju može biti na hiljade (zavisno od dubine procene rizika), na prihvatljive (P) i neprihvatljive (N) faktore rizika. Predefinisane kriterijume P i N faktora rizika (u fazi definisanja konteksta za procenu rizika) određuje menadžment, a definitivno ih potvrđuje potpisivanjem dokumenta Izjava o primenljivosti-SOA (Statement of Aplicability), kojim menadžment prihvata predložene kontrole zaštite za tretman rizika, kao i preostali relativni rizik – Rpr.
Izlazne veličine u fazi evaluacije faktora rizika su prioriteti za tretman rizika i to:
Izlaz 1: Lista prioriteta faktora neprihvatljivog rizika iIzlaz 1: Lista prihvatljivih faktora rizika (prihvaćenih i sa N uticajem).
Estimacija faktora preostalog rizika: Rizik koji ostaje posle implementacije novih ili poboljšanih kontrola zaštite naziva se preostali relativni rizik – Rrp. To znači da ni jedan IKTS nije oslobođen rizika i da sve implementirane kontrole ne eliminišu u potpunosti odnosne faktore rizika. Nivo Rrp može se analizirati kao iznos redukovanog rizika uvođenjem novih, poboljšanih kontrola zaštite u odnosu na procenu uticaja pretnji. Implementacija novih i poboljšanih kontrola zaštite može smanjiti rizik eliminisanjem nekih ranjivosti, dodavanjem kontrola zaštite i smanjenjem veličine negativnog uticaja. Kako je rizik identifikovan prema tipu specifičnih objekata i ranjivosti sistem će imati jednu vrednost rizika po jednoj tački ranjivosti koju pretnja iskoristi, a svaka ranjivost će imati jednu vrednost rizika po objektu na koji utiče. Ne postoji egzaktna matematička relacija za kvantitativan proračun relativnog preostalog rizika–Rrp koji nameće u datoj situaciji kombinovana pretnja–åT na ranjivost objekta–V sa implementiranim merama (kontrolama) zaštite–Mz za ublažavanje rizika. Proces procene rizika daje dva rezultata: preostali relativni rizik bez učešća mera zaštite–Rrp i prihvaćeni preostali rizik sa merama zaštite–Rpp. Približno se nivo preostalog relativnog rizika sa merama zaštite–Rpp može proračunati iz jednačine, , (Sl.3.4), [18]:
14
Sl. 3.4 Implementirane kontrole zaštite i preostali rizik–Rrp
Rpp= ((AxVx åT)/Mz) x Ut (3.7)Uticaj pretnje–Ut na sistem posle uspešnog napada zavisi od vrednosti objekta napada. Kako raste A, raste i Ut, odnosno, raste i nivo Rpp, a na porast nivoa faktora rizika direktno utiču kombinovane pretnje–åT i ranjivosti sistema–V. Mere zaštite– Mz smanjuju nivo Rpp.Posle implementacije kontrola zaštite za tretman (ublažavanje) rizika, efektivnost uvođenja mera zaštite – Emz može se proračunati formulom:
Emz= (Rpr–Rpp)/Rpr (3.8)
15
Temeljita procena faktora rizika je kamen temeljac razvoja programa i plana rentabilnog sistema zaštite. U plan zaštite korisno je ubaciti kvantitativne parametre - ukupne troškove zaštite, koji na preostalom nivou rizika–Rpr treba da budu optimalni, odnosno, jednaki ili manji od ukupno očekivanih godišnjih gubitaka – OGG, koji mogu nastati ako se ne primene predviđene mere zaštite-Mz. OGG treba da budu manji od ukupnog preostalog relativnog rizika–Rpr izraženog u novčanoj vrednosti. Ovakva vrednost Rpr najčešće se predlaže menadžmentu, kao vrednost prihvatljivog nivoa ukupnog preostalog rizika–Rpp. Kako je vrednost OGG jednaka vrednosti uticaja–Ut izraženoj u novčanim jedinicama, OGG se mogu proceniti sličnom iskustvenom relacijom, [22]:
OGG = Tv x Ar (3.9)gde je:Tv– verovatnoća da će se neka pretnja materijalizovati u datoj godini, aAr– relativna vrednost određene imovine na koju se pretnja odnosi.
Primer: Lokalna mreža IKTS ima 20 PC po ceni od 540 Eu po komadu. Očekuju se po 1 potpuni prekid rada, upad u sistem i krađa podataka godišnje (T=1). Primenom formule (3.9) biće: OGG= 1x (20 x 540) = 10.800 Eu, pa su sve primenjene kontrole zaštite za sprečavanje ove procenjene štete rentabilne, ako im cena ne prelazi OGG.U praksi zaštite retko se koristi kompletna formalna metodologija za analizu i procenu rizika. Razvijeni su brojni skraćeni metodi za analizi rizika (OCTAVE, BAR) koji su praktičniji i brže dovode do prihvatljivih rezultata, [18]. Procena bezbednosnog rizika: Rezultati procene rizika koriste se za identifikaciju opcija za tretman rizika i dokumentuju se u Politici zaštite i Planu tretmana rizika. Generalno za identifikaciju rizika u fazi procene mogu se koristiti različite tehnike: Brainstorming ili brza analiza rizika (BAR), Upitnik ili izjava o osetljivosti (IoO), Identifikovanje poslovnih procesa i opis internih/eksternih faktora koji mogu uticati na ove procese, Industrijski benchmarking, Analiza scenarija napada (incidenata), Procena rizika, Ispitivanje incidenata, revizija (audit), Studija HAZOP (hazard & operativnost) itd. Za generičku procenu opšteg operativnog rizika razvijene se tri ključne metodologije: procene rizika odozdo na gore, sveobuhvatne analize i procene rizika i procene rizika odozgo na dole.
Procena rizika odozdo na gore uključuje: istraživanje tržišta, predviđanje trenda, testiranje tržišta, istraživanje i razvoj i analizu uticaja na poslovanje. Sveobuhvatna analiza rizika obuhvata brojne faze i aktivnosti kao što su: modelovanje zavisnosti, SWOT analiza (snage, slabosti, prilike, pretnje), analiza drveta pretnji, planiranje kontinuiteta poslovanja (BCP), BPEST (biznis, politička, ekonomska, socijalna, tehnološka) analiza, modelovanje realnih opcija, odlučivanje na bazi stanja rizika i faktora neodređenosti, statističke implikacije, merenja glavnog trenda i faktora neodređenosti, PESTLE (Političko ekonomsko socijalno, tehničko i legalno) okruženje i dr. Procena rizika odozgo na dole uključuje tri glavne tehnike: analizu pretnji, analizu drveta grešaka i FMEA (Failure Mode & Effect Analysis) analizu.
U praksi zaštite IKTS, standard ISO/IEC 27005 diferencira četiri osnovna metoda za estimaciju rizika, koja se u osnovi zasnivaju na generičkoj metodologiji, ali imaju različite fokuse na parametre rizika i primenjuju različite estimacije, [ISO 20005]:
1. Metod matrice rizika sa predefinisanim vrednostima (ISO/IEC 13335-3);2. Metod merenja rizika rangiranjem pretnji prema rezultatima procene rizika; 3. Metod procene verovatnoće uticaja i mogućih posledica i4. Metod distinkcije između prihvatljivog i neprihvatljivog rizika.
16
Primeri proračuna rizika primenom ovih metoda dati su u Prilogu D.
Rezultat procene rizika je izjava o primenljivostri kontrola za ublažavanje rizika na prihvatljivi nivo SOA (Statement of aplicability) za poslovne ciljeve uz primenjene mere zaštite.
Izlaz: SOA - Izjava o primenljivosti kontrola zaštite,
Komercijalno su dostupne brojne interaktivne metodologije za procenu bezbednosnog rizika za informacionu imovinu organizacije. CRAMM metod je razvila engleska vladina agencija i koristi ga više od 40 država na najvišem nivou. Metod je skup, kompleksan za primenu, ali detaljan i pouzdan, [CRAMM]. OCTAVE metod procenjuje kritične faktore rizika za objekte informacione imovine kritične za poslovanje organizacije, [Ocatve]. Metod je samonavodeći i ne zahteva specijalistilka znanja, sveobuhvatan je, sistematičan i adaptivan na promene realne situacije. Za inicijalnu procenu rizika, kada organizacija nema kompletiran inventar informacione imovine, koristan je metod brze analize rizika (BAR) koji zahteva aktivno angažovanje menadžmenta i praktičara poslovnih procesa,[xy].
REZIME
Upravljanje rizikom je proaktivno upravljanje sistemom zaštite. Procena rizika je metod za planiranje zaštite. Stohastička priroda pretnji, ranjivosti i evaluacija vrednosti imovine, problemi su koji otežavaju korišćenje analitičkih metoda u procesu analize i procene rizika. Procena pretnji ograničena je sa faktorom neodređenosti, jer ne znamo kada i kako će se neki štetan događaj desiti i kakvog će biti intenziteta. Procena rizika nije strogo naučni metod sa pozitivističkog aspekta, nego pre artefakt koji se koristi za kreiranje profesionalnih znanja.Drugi problem su kvalitativna i kvantitativna identifikacija i vrednovanje objekata informacione imovine, gde su podaci i informacije najznačajnije vrednosti. ‘Vrednost’ podataka može se dobiti samo indirektnim putem korišćenjem faktora ‘uticaja’ pretnji na ranjive tačke sistema (otkrivanje, modifikacija, neraspoloživost, destrukcija). Nemoguće je proceniti ove efekte bez specifičnog scenarija. Često je nemoguće napraviti evaluaciju materijalnih troškova gubitaka.Dinamička 'dimenzija' analize rizika je važna, jer se pretnje i iskoristive ranjivosti uvek menjaju. Ovo znači da se i nivoi zaštite moraju menjati tako da kompenzuju ove promene. U ovakvom procesu kontrole, procena rizika je model donošenja odluke koji pomaže upravnoj strukturi da planira sistem zaštite. Faktor promenljivosti unosi i unutrašnje i spoljno okruženje, pa je za upravljanje promenama potrebno neprekidno skeniranje specifičnih dogođaja u okruženju, Promene u sistemu mogu izazvati interni događaji (novi sistem aplikacija, novi zaposleni, nova odelenja i sl.) ili promene u životnom ciklusu sistema (revizija zahteva i dizajna, implementacija sistema, monitoring i periodična revizija itd.).Brojni metodi kvantitativne analize rizika imaju prednosti, jer svode svaku analizu rizika na novčanu vrednost. Kada je u pitanju gubitak života, nacionalnog interesa ili konkurentnosti na tržištu, treba primeniti kvalitativni metod procene značaja gubitaka umesto novčanih vrednosti. Sa procedurom koja određuje prioritete, kvantitativna analiza rizika ima problem memorisanja i akvizicije podataka. Generička metodologija procene rizika uključuje parametre vrednosti imovine (A), ranjivosti (V), pretnji (T), uticaja (U=T/V ili da će pretnje iskoristiti ranjivosti i naneti štetu imovini i poslovnim procesima). Faktori neodređenosti koje u procenu rizika unosi stohastička priroda pretnji i ranjivosti, kompenzuju se množenjem parametara rizika (umesto sabiranja) čime se dobije veći procenjeni rizik i zahteva bolji sistem zaštite.
Za procenu rizika razvijene su brojne tasonomije pretnji i ranjvosti koje mogu pomoći uz obavezno prilagođavanje kontekstu i okruženju procene rizika. Na principima generičke metodologije procene rizika, razvijena su četiri metoda sa različitim težištima u proceni rizika (ISO/IEC 27005): metod matrice rizika sa predefinisanim vrednostima (ISO/IEC 13335-3), metod merenja rizika rangiranjem pretnji prema rezultatima procene rizika, metod procene verovatnoće uticaja i mogućih posledica i metod distinkcije između prihvatljivog i neprihvatljivog rizika. Takođe, na raspolaganju su brojni pomoćni, inetraktivni alati za procenu bezbednosnog rizika, kao što aplikacije tipa COBRA, HESTIA,
17
RA2 itd. Dobar interaktivni (program–čovek) kvalitativni metod za analizu rizika je CRAMM, kojeg koristi više od 40 zemalja u svetu na nacionalnom nivou (za državne potrebe). Primena metoda nije jednostavna i zahteva dobru obuku analitičara. Metod OCTAVE je evaluacija bezbednosnog rizika organizacije fokusirana na rizik za kritične objekte imovine organizacije. Metod je sveobuhvatan, sistematičan, adaptivan promenama realne situacije i samonavodeći. Omogućava svim zaposlenim na svim nivoima organizacije da rade zajedno na identifikaciji i razumevanju faktora rizika i da donesu pravilne odluke za smanjenje rizika i sistem zaštite. Metod brze (brainstorming) analize rizika (BAR) omogućava brzu i efektivnu analizu glavnih faktora rizika, sa uključivanjem kapaciteta organizacije i bez potrebe posebnog angažovanja specijalista za analizu rizika.
18
