Forelesning 13
-
Upload
callum-rocha -
Category
Documents
-
view
41 -
download
3
description
Transcript of Forelesning 13
31.03.2003 HiØ forelesning 13 1
Forelesning 13
Risikoanalyser
31.03.2003 HiØ forelesning 13 2
Hvorfor risikoanalyser• Må kunne ha tillit til at
– HMS ivaretas på en tilfredsstillende måte (som medarbeider og omgivelse)
– materielle verdier beskyttes (som eier og medarbeider – og kunde
– virksomhetens økonomi og omdømme ivaretas (eier og medarbeider – og kunde)
• Hvordan skal ledelse fortjene tillit?– Ved å ha en formening om hva slags ulykker, uhell, feil, svikt eller kriminelle
handlinger som kan medføre skade på mennesker, miljø, materielle verdier, økonomiske tap eller tap av omdømme.
– Gjøre bevisste valg av tiltak for å unngå, hindre eller redusere omfanget av slike hendelser.
• Risikoanalyser er grunnlaget for å kunne gjøre bevisste valg
• I tillegg stilles det krav fra myndighetene om gjennomføring av risikoanalyser eller risikovurderinger;
31.03.2003 HiØ forelesning 13 3
Lover og forskrifter• Personopplysningsloven
– Datatilsynet kan gi pålegg om sikring av personopplysninger og herunder fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger.
• Personopplysningsforskriften – Forskriften pålegger at det skal gjennomføres risikovurdering(er), og at sikkerhetstiltak skal innføres for å
håndtere risiko.
• Beskyttelsesinstruksen – Tempestrisikovurdering (når påkrevd)
• Helseregisterloven – krav om å gjennomføre risikovurdering som grunnlag for å avklare behov for tiltak, og videre at det
må etableres et styringssystem for informasjonssikkerhetsarbeidet
• Beredskapsforskriften for kraftforsyningen – Det gis rom for å oppfylle funksjonskravene på måter enhetene selv mener er mest effektivt, basert
på gjennomførte sårbarhets- og risikoanalyser. – plikter eieren av anlegget å utføre nødvendige risiko- og sårbarhetsanalyser og gjennomføre aktuelle
mottiltak og klargjøre beredskap for å håndtere ekstraordinære situasjoner.
• Lov om Schengen informasjonssystem (SIS-loven) – krav om å gjennomføre risikovurdering som grunnlag for å avklare behov for tiltak, og videre at det
må etableres et styringssystem for informasjonssikkerhetsarbeidet.
• SIS-forskriften – Forskriften pålegger at det skal gjennomføres risikovurdering(er) og at sikkerhetstiltak skal innføres
for å håndtere risiko.
31.03.2003 HiØ forelesning 13 4
Risiko og sikkerhet• Risiko kan uttrykke
– Mulighet for gevinst – på Lotto, børs osv., også kalt spekulativ risiko;
– Mulighet for tap (av verdier, helse, liv, ..);– Vi skal kun befatte oss med muligheten for tap.
• En uønsket hendelse er en hendelse eller tilstand som kan medføre skade på mennesker, miljø og materielle verdier.
• Risikobegrepet uttrykker en antagelse om hvor stor sannsynlighet det er for at en uønsket hendelse skal inntreffe og skadens størrelse eller omfang.
31.03.2003 HiØ forelesning 13 5
Risiko = Sannsynlighet * Konsekvens
SannsynlighetellerMulighet
Konsekvens
Akseptabelrisiko
Uakseptabelrisiko
Akseptkriterium
31.03.2003 HiØ forelesning 13 6
Risikoanalyse
• Systematisk fremgangsmåte for å beskrive og beregne risiko.
• Hensikt– Gi en oversikt over de farer som eksisterer
(trusselidentifikasjon);
– Gi retningslinjer for prioritering av risikoreduserende tiltak som å
• unngå skade (redusere sannsynligheten eller muligheten for);
• redusere omfanget av en allerede påført skade (konsekvensreduksjon);
– Være et verktøy som hjelper en å avgjøre når sikkerheten er ”god nok”;
31.03.2003 HiØ forelesning 13 7
Modell
OK ”Skadet”
Under”angrep”1
p
1-p
1
Hvordan forlenge tiden i tilstand OK
Hvordan øke sannsynlighetenfor å avvise angrep, eller redusere sannsynligheten for at angrep skal lykkes.
Hvordan redusere skadet-tiden ogskadeomfanget
31.03.2003 HiØ forelesning 13 8
Risikoanalyseprosessen
Hva er akseptabel
risiko?
Foreslå tiltak
Andre tiltakønskelig?
Risiko-vurdering
Frekvens-analyse
Konsekvens-analyse
Trussel-identifikasjon
Definere målog omfang
Akseptabelt?Nei
Ja
31.03.2003 HiØ forelesning 13 9
Risikomatrise
T1 T2 T6, T7
T3
T5 T4
Vanlig;Hvert år
Kan skje;1 gangper 10 år
Lite trolig;Mer enn10 år mellom hver gang
KritiskAlvorligMiddelsUbetydelig
1 MNOK 100 MNOK10 MNOK
Sannsynlighet;Mulighet
Konsekvens
Lav
Middels
Høy
31.03.2003 HiØ forelesning 13 10
Hvordan ?
• Ad hoc, ryggmargsfølelsen
• Sjekklister (finnes div. verktøy)
• Kvalitative analyser
• Kvantitative analyser
31.03.2003 HiØ forelesning 13 11
ObjektbeskrivelseHva skal analyseres (avgrensning)
• Div. verktøy (ISAP oa.) – Innbyr til stor detaljgrad
– Liten hjelp til analytisk nedbryting
• ”Analytisk”– Starte analysen på et
overordnet og grovt nivå
– Benytte standard tegneverktøy
– Metode som ved utvikling
Inn Ut
Av interesse: Informasjonstyper, lokasjoner, systemer, kommunikasjonskanaler
31.03.2003 HiØ forelesning 13 12
Trusselidentifikasjon
• Sjekklistebasert (når listene blir lange....)
• Hazid (Hazard Identification), Strukturert idedugnad
Del analyseobjektet i delobjekter
JaDokumenter trusler, konsekvenser og årsaker.
Velg et delobjekt
Bruk alle ledeord i tur og orden. Er det mulig at det kan oppstå avvik/trusler?
Nei
Trenger mer informasjonSkriv ned
Del analyseobjektet i delobjekter
JaDokumenter trusler, konsekvenser og årsaker.
JaDokumenter trusler, konsekvenser og årsaker.
Velg et delobjekt
Bruk alle ledeord i tur og orden. Er det mulig at det kan oppstå avvik/trusler?
Nei
Trenger mer informasjonSkriv ned
Våre ledeord:• Avsløring• Manipulasjon• Stanse/Forhindre
31.03.2003 HiØ forelesning 13 13
Hazop-skjema
Tilstede: Dato:
Objekt:
Id Ledeord: Trussel Årsak Konsekvens
1 Avsløring Avsløre rot-passord til server
Lyttet på LAN-segment fra åpen ftp-server i ”lytte”-modus
Tilgang til alle data på server.
Kan misbruke alle ressurser.
31.03.2003 HiØ forelesning 13 14
Fordeler ved å starte ”overordnet”
• Lavere kompleksitet i første analyse, uten at viktige aspekter blir utelatt;
• Analyse på detaljnivå blir målrettet og mer effektiv;
• Rask etablering av et ”trusselbilde”;• Godt tilpasset utviklingsprosjekter;• Hendelseskjedene gir grunnlag for å velge de mest
effektive tiltakene.
31.03.2003 HiØ forelesning 13 15
Eksternt
Internt
KontekstHva omfattes av analysen
Hva er grensesnittene mot omgivelsene
Det som analyseres
Leveranser Status/Alarmer
Autentiserings-informasjon
Faktura-grunnlag
Statistikk Status/Alarmer
31.03.2003 HiØ forelesning 13 16
CIA Hazop
Bevisst avsløring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk
Bevisst manipulasjon av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk
Bevisst forhindring av tjenesteleveranser, status, autentiseringsinfo, fakturagrunnlag, statistikk
Ved å starte med fokus på sluttkonsekvenser, kan man begrense detaljanalyser til essensielle områder og sikre best det man er mest
avhengig av (risikostyring)
Det som analyseres
Leveranser
Faktura-grunnlag
Autentiserings-informasjon
Status/Alarmer
Statistikk
Status/Alarmer
Internt
31.03.2003 HiØ forelesning 13 17
Sluttkonsekvenser
Manipulert statusinformasjon (somkunde skal motta)
Misfornøyde kunder fordi oppgittstatus ikke overensstemmer medopplevd kvalitet
Refusjonskrav (ikke berettigede) Unødvendig feilretting Forsinket feilretting
Avsløring av autentiseringsinfo Innbrudd
Avsløring av kundens informasjon Kan være lovbrudd Kan medføre tap for kunde og
krav mot leverandør Omdømmesvikt
Det som analyseres
Leveranser
Faktura-grunnlag
Autentiserings-informasjon
Status/Alarmer
Statistikk
Status/Alarmer
Internt
31.03.2003 HiØ forelesning 13 18
Arkitekturbeskrivelse som grunnlag for årsaksanalyse
Domene A
Domene B
Domene C
31.03.2003 HiØ forelesning 13 19
ÅrsaksanalyseT1
Avsløring av autentiseringsinfo
Og
Eller
I hjem På internett I lokalnett På server
Sniffer på PC Kikke overskuldra
Elektromagnetiskstråling
Lagret i PC
2 3
4 56 7
1
31.03.2003 HiØ forelesning 13 20
Årsaksanalyse forts.1
I aksessnettetpå hjem-siden
I aksessnettpå jobb-siden
Hos ISP .....
89 10
Tilgang tiltransm.medium
Besittelytteutstyr
Ha nødv.kompetanse
31.03.2003 HiØ forelesning 13 21
Hendelseskjeder
Faktura
Oppsett av samtale
Prosesskontroll
Takstinfo
Målinger
1. Hvilken skade kan analyseobjektet påføre sine omgivelser?
Mulige konsekvenser
2. Hva er de mulige årsakene?
Årsaker og ”hendelseskjeder”
31.03.2003 HiØ forelesning 13 22
Risiko
• Hvor sannsynlig er det at trusselen manifesteres?– Forsikringsselskapene samler statistikk innenfor sine
områder. Brukes for å beregne premier. – Dårlig med tilgjengelig og egnet statistikk for
datasikkerhetsbrudd
• Hvor store vil i så fall konsekvensene være?– Tall for gjenanskaffelse av utstyr finnes;– Tap som følge av stans i tjeneste kan anslås;– Tap som følge av omdømmetap vanskelig å beregne;– Tapt tilgjengelighet lettere å beregne enn avsløring og
manipulasjon.
31.03.2003 HiØ forelesning 13 23
Risikomatrise – resultat av kvalitativ analyse
T1 T2 T6, T7
T3
T5 T4
Vanlig;Hvert år
Kan skje;1 gangper 10 år
Lite trolig;Mer enn10 år mellom hver gang
KritiskAlvorligMiddelsUbetydelig
1 MNOK 100 MNOK10 MNOK
Sannsynlighet;Mulighet
Konsekvens
Lav
Middels
Høy
31.03.2003 HiØ forelesning 13 24
Kvalitative analyse
• Fordeler– Enkle beregninger (om beregninger i det hele tatt)– Ikke påkrevet å fastsette kroneverdier– Ikke påkrevet å kvantifisere trusselfrekvenser– Enkelt å involvere ”ikke-kvalifisert” personale– Gjennomføring og rapportering kan gjøres fleksibelt
• Ulemper– Den subjektive natur iom. mangel på objektive
målinger og redskaper for å utføre slike målinger– Resultatene hviler fullsetndig på kvaliteten i gruppen
som gjennomfører analysen– Dårlig grunnlag for kost-/nytteanalyser av tiltak
31.03.2003 HiØ forelesning 13 25
Sjekklister (1)• Kan kontrollere tilstedeværelsen av ”noe”.
– fysiske enheter, mekanismer, organisasjonselementer, rutiner osv.
– Viktighet av det enkelte element kan vektes/gis poeng og sårbarhet kan tolkes ut av høye/lave poengsummer.
• Manglende hindringer eller barrierer gir høy sårbarhet. Man kan velge å avlede høy sannsynlighet fra høy sårbarhet;
• Manglende beredskapsplaner/øvelser/avtaler medfører større konsekvenser dersom noe skjer.
• Sjekklister er best når de er tilpasset den enkelte virksomhet. Til en viss grad må det kunne lages bransjeløsninger og løsninger for områder (enkelte aktiviteter/systemer innenfor bedriften) som er felles for flere.
31.03.2003 HiØ forelesning 13 26
Sjekkliste – et eksempel
Autentisering Verdi Vekt-tall
Total-sum
Krav A
Krav B
Kommentarer
Er alle brukere entydig identifiserbare
2 1 2
Fellesbruker 2 1 2
Passordvalg 2 2 2
Skifte av passord 1 2 2
Kompromitering av passord
2 1 2
Innlogging arbeidsstasjoner
2 1 2
Totalsum autentisering
31.03.2003 HiØ forelesning 13 27
Sjekkliste - verdiskala
Autentisering VERDI 1 VERDI 2 VERDI 3 VERDI 4 VERDI 5
Er alle brukere entydig identifisert
Ja Alle med klart behov
Noen er identifisert
Noen få er identifisert
Ingen
Fellesbruker Finnes ikke eller finnes og er godkjent av sikkerhetssjef og revurderes årlig
Begrenset antall fellesbrukere godkjent av sikkerhetssjef
Stort antall fellesbrukere godkjent
Noen fellesbrukere, ikke godkjent
Mange fellesbrukere, ikke godkjent
Passordvalg Passord sterkere enn kravene
Passord i henhold til krav
Noen svake passord
Mange svake passord
Ingen passord
Skifte av passord Passord skiftes oftere enn kravene
Passord skiftes i henhold til kravene
Ikke alle passord skiftes i henhold til krav
Bare noen få passord skiftes i henhold til kravene
Ingen skifte av passord
Kompromitering av passord Alle kompromiterte passord skiftes umiddelbart
De fleste passord skiftes ved kompromitering
Noen passord skiftes ved kompromitering
Noen få skifter passord ved kompromitering.
Passorskifte uavhengig av kompromitering
Innlogging arbeidsstasjoner Individuelle brukere. Beskyttet overføring av passord
Gruppebrukere med tilsvarende passord beskyttelse
Individuelle brukere, ingen passord beskyttelse
Samme passord for alle brukere, ingen kontroll med passordskifte
Innlogging uten passord
31.03.2003 HiØ forelesning 13 28
Sjekklister (2) • Fordeler
– Tar relativt kort tid å gjennomføre (er billig); – Kan involvere mange ved f.eks. Spørreskjemaer (papir eller på nett); – Man slipper kompliserte og ”dyre” analyser; – Minimumskrav / sikkerhetsprofil – det er mulig å måle/kontrollere
virksomhetens sikringsnivå opp mot egne minimumskrav, bransjekrav, myndighetskrav el. Forskjellige deler av en virksomhet kan sammenliknes;
– Kan raskt finne svakheter – og gjøre noe med dem; – Summerer opp erfaringene til flere. Data fra forskjellige deler av egen
virksomhet og på tvers av flere virksomheter kan gjøres sammenliknbare;
• Ulemper– Forutsetter at ”One size fits all” mellom enheter innenfor en virksomhet og
mellom virksomheter; – Kan risikere å sette inn beskyttelse på ”feil sted”; – Kan risikere å sette inn for mye eller for lite sikring i forhold til virksomhetens
”egentlige” behov.
• Sjekklister er i større grad et verktøy for revisjon og oppfølging enn for risikoanalyser
• Lokale tilpasninger i en sjekkliste/revisjonsverktøy kan med fordel gjøres etter en forutgående risikoanalyse.
31.03.2003 HiØ forelesning 13 29
Kvantitative analyser
• Fordeler– Baseres på objektive målinger
– Kost-/nyttebetraktninger er essensielle
– Resultatene kan uttrykkes i et ledelsesspesifikt språk (kroner, prosenter, sannsynligheter)
• Ulemper– Beregningene kan være komplekse
– Betydelig forarbeide med innsamling og validering av ”måledata”
31.03.2003 HiØ forelesning 13 30
Kvantitative analyser - variant
• Baseres på Bayesisk eller Subjektivistisk statistikk
• Man blander ny subjektiv informasjon med kjent objektiv informasjon
• Baserer vurderinger – Mindre på historiske data
– Og mer på subjektive vurderinger om fremtidige aktiviteter og hendelser basert på erfaring, innsikt og magefølelse
– Benyttet bl.a. ved at man i en analyse av GSM-nettet blandet• Objektive data om trafikkmengde gjennom et punkt
• Med subjektive data om forventet tid til hendelse og antatt reetableringstid.