UPRAVLJANJE SIGURNOSNIM RIZICIMA -...
75
SVEUČILIŠTE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA DIPLOMSKI RAD br. 1625 UPRAVLJANJE SIGURNOSNIM RIZICIMA Marinjo Zorčec Zagreb, listopad 2006.
Transcript of UPRAVLJANJE SIGURNOSNIM RIZICIMA -...
SVEUČILIŠTE U ZAGREBU FAKULTET ELEKTROTEHNIKE I RAČUNARSTVA
DIPLOMSKI RAD br. 1625
UPRAVLJANJE SIGURNOSNIM RIZICIMA
Marinjo Zorčec
Zagreb, listopad 2006.
Zahvaljujem doc. dr. sc. Marinu Golubu
na stručnom vodstvu
Sažetak Svaka organizacija koja se služi informatičkim tehnologijama ima problema sa sigurnošću
informacija. Ovaj rad opisuje problematiku i mogućnost unapređenja sigurnosti informatičkog
sustava upravljanjem sigurnosnim rizikom. Upravljanje rizikom je proces identifikacije rizika,
procjene rizika i poduzimanje određenih koraka u svrhu smanjenja rizika do određene granice.
Abstract Every organisation which are use information technology have problem with information
system security. This thesis descrbes the problem of security risk assessment and possibilites for
improving information system security using risk managment. Risk managment is the process of
identifying risk, assessing risk, and taking steps to reduce risk to an acceptable level.
Sadržaj
1. Uvod................................................................................................................................... 1 2. Sigurnosne prijetnje............................................................................................................ 2
2.1 Ugrožavanje sigurnosti............................................................................................... 3 2.2 Sigurnosni rizik .......................................................................................................... 5
3. Metode za procjenu rizika .................................................................................................. 7 3.1 NIST-ov pristup.......................................................................................................... 7
3.1.1 Sustavna identifikacija i klasifikacija................................................................. 9 3.1.1.1 Prikupljanje tehničkih podataka ............................................................... 10
3.1.2 Identifikacija prijetnji ....................................................................................... 10 3.1.2.1 Motivacija i akcije .................................................................................... 11
3.1.3 Identifikacija ranjivosti .................................................................................... 12 3.1.3.1 Testiranje sigurnosti sustava .................................................................... 13
3.1.4 Analiza postojećih kontrola.............................................................................. 13 3.1.4.1 Kontrolne metode..................................................................................... 13
3.1.5 Vjerojatnosti pojave neželjenih događaja ........................................................ 14 3.1.6 Analiza posljedica ............................................................................................ 14 3.1.7 Određivanje rizika ............................................................................................ 16
3.1.7.1 Matrica razine rizika................................................................................. 16 3.1.8 Preporuka kontrola za umanjivanje rizika........................................................ 17 3.1.9 Dokumentacija ................................................................................................. 17
3.2 CRAMM................................................................................................................... 18 3.3 COBRA .................................................................................................................... 19 3.4 RuSecure .................................................................................................................. 20 3.5 OCTAVE.................................................................................................................. 22 3.6 COBIT...................................................................................................................... 23 3.7 Druge metode i tehnike primjenjive kod procjene rizika sigurnosti ........................ 24
3.7.1 Popis za provjeru (Check sheet) ....................................................................... 24 3.7.2 Anketa/Intervju................................................................................................. 25
3.7.2.1 Procjena rizika uz pomoć anketnog upitnika ........................................... 25 3.7.3 Brainstorming/tehnika normirane grupe .......................................................... 27 3.7.4 Analiza "Što - Ako".......................................................................................... 27
3.7.4.1 Primjer "Što - Ako" analize u procjeni rizika........................................... 27 3.7.5 Annual Loss Expectancy ( ALE ) .................................................................... 28
3.7.5.1 Proračun rizika sigurnosti metodom ALE................................................ 29 3.8 Kvalitativne i kvantitativne metode za analizu rizika .............................................. 30
3.8.1 Kvantitativni pristup......................................................................................... 30 3.8.2 Kvalitativni pristup........................................................................................... 31
3.8.2.1 Metoda 1 – matrica predefiniranih vrijednosti ......................................... 31 3.8.2.2 Metoda 2 – rangiranje prijetnji prema procjeni rizika.............................. 32 3.8.2.3 Metoda 3 – procjena vjerojatnosti ostvarenja i mogućih posljedica ........ 33 3.8.2.4 Metoda 4 – odvajanje prihvatljivih i neprihvatljivih rizika...................... 34 3.8.2.5 Kratki osvrt na opisane pristupe za kvalitativnu procjenu rizika ............. 35 3.8.2.6 Modificirana metoda za kvalitativnu procjenu rizika .............................. 35
4. Opcije za smanjenje rizika ............................................................................................... 37 4.1 Rukovanjem rizicima ............................................................................................... 37
4.1.1 Određivanje prioriteta akcija ............................................................................ 38 4.1.2 Evaluacija preporučenih sigurnosnih kontrola................................................. 39 4.1.3 Provedba analize isplativosti (dobiveno/uloženo)............................................ 39
4.1.4 Odabir sigurnosnih kontrola............................................................................. 39 4.1.5 Dodjeljivanje odgovornosti .............................................................................. 40 4.1.6 Razrada plana za implementaciju sigurnosnih kontrola................................... 40 4.1.7 Implementacija odabranih kontrola.................................................................. 40
4.2 Norma ISO/IEC 17799............................................................................................. 42 4.2.1 Norma ISO 17799:2005 ................................................................................... 42 4.2.2 Struktura norme................................................................................................ 44
4.2.2.1 Sigurnosna politika................................................................................... 45 4.2.2.2 Organiziranje informacijske sigurnosti .................................................... 46 4.2.2.3 Upravljanje resursima .............................................................................. 46 4.2.2.4 Sigurnost ljudskih resursa ........................................................................ 47 4.2.2.5 Fizička sigurnost ...................................................................................... 47 4.2.2.6 Upravljanje komunikacijama i operacijama............................................. 48 4.2.2.7 Kontrola pristupa...................................................................................... 49 4.2.2.8 Nabava, razvoj i održavanje informacijskih sustava................................ 50 4.2.2.9 Upravljanje sigurnosnim incidentima ...................................................... 51 4.2.2.10 Upravljanje kontinuitetom poslovnih procesa.......................................... 51 4.2.2.11 Usklađenost sa zakonskim i drugim propisima........................................ 51
5. Kontrole zaštite ................................................................................................................ 52 5.1 Upravljačke kontrole ................................................................................................ 52 5.2 Logičke kontrole ...................................................................................................... 52 5.3 Fizičke kontrole........................................................................................................ 53
6. Primjer procjene rizika ..................................................................................................... 54 6.1 Uvod ......................................................................................................................... 54 6.2 RuSecure metoda...................................................................................................... 54 6.3 ALE metoda ............................................................................................................. 56 6.4 Procjena.................................................................................................................... 56
6.4.1 Popis imovine................................................................................................... 57 6.4.1.1 Popis nematerijalne imovine .................................................................... 57 6.4.1.2 Popis materijalne imovine........................................................................ 57
6.4.2 Procjena vrijednosti materijalne i nematerijalne imovine................................ 58 6.4.3 Procjena prijetnji i njihov utjecaj na imovinu .................................................. 60 6.4.4 Procjena učestalosti i mogućnosti nastanka incidenta...................................... 61
6.5 Rezultati procjene..................................................................................................... 61 6.5.1 RuSecure .......................................................................................................... 61 6.5.2 ALE .................................................................................................................. 64 6.5.3 Predložena rješenja za unapređenje sigurnosti informatičkog sustava ............ 66
7. Zaključak.......................................................................................................................... 68 8. Literatura .......................................................................................................................... 69
1
1. Uvod Sigurnost informacijskih sustava se vrlo često zanemaruje. Često se nude polovična rješenja koja se odnose na pojedine dijelove informacijskog sustava (IT sustav), dok se drugi elementi zanemaruju. Izvjesno je međutim, da je sigurnost cijelog sustava uvijek proporcionalna sigurnosti njegove najslabije točke. Stoga postoji sve veća potreba za kvalitetno riješenim i pouzdanim sustavom upravljanja sigurnošću unutar organizacije koji pridonosi uspješnom obavljanju poslovnih zadataka. U današnje vrijeme, kada računalno-komunikacijska infrastruktura predstavlja okosnicu svih modernih tvrtki i organizacija, proces upravljanja sigurnosnim rizikom igra vrlo važnu ulogu u procesu zaštite informacijskih resursa i poslovnih procesa. Za proces upravljanja sigurnosnim rizikom može se reći da predstavlja temelj izgradnje sigurne i pouzdane informatičke infrastrukture. Identifikacija kritičnih dijelova sustava i određivanje pripadajućih sigurnosnih rizika, proces je koji omogućuje kvalitetnije i ekonomičnije donošenje odluka vezanih uz unapređenje i poboljšanje sigurnosti. Bez kvalitetnog planiranja i analiza vrlo je teško razviti i implementirati siguran informatički sustav. U ovom radu opisani su osnovni ciljevi i ideje procesa upravljanja rizicima sigurnosti, načini njegovog provođenja, te tipični problemi koji se javljaju u ovom području. Upravljanje rizikom je proces identifikacije rizika, procjena rizika i poduzimanje određenih koraka za smanjenje rizika na određenu razinu. Ovaj rad daje temelj za razvitak djelotvornog programa upravljanja rizikom, sadrži definicije i praktične smjernice potrebne za procjenu i ublažavanje rizika u IT sustavima. Kao konačan rezultat je pomoć organizaciji kod obavljanja poslovnih zadataka. Organizacije mogu nadograditi ili smanjiti sveobuhvatni postupak predložen u ovom dokumentu i izgraditi sebi svoju strategiju upravljana rizikom. Svrha upravljanja rizicima je omogućavanje organizacijama (tvrtkama) ispunjenje svojih poslovnih zadaća pomoću sigurnijeg IT sustava u smislu pohrane, razvoja ili isporučivanja organizacijskim informacija, omogućavajući vodstvu izradu dobrih strategija upravljanja rizicima i opravdati izdatke koji su dio IT proračuna.
2
2. Sigurnosne prijetnje
Prijetnja je svaki događaj koji može poništiti ili smanjiti učinkovitost sustava, odnosno ograničiti ili onemogućiti ispunjenje cilja sustava ili procesa. Sigurnosni zahtjevi ovise o vrsti informacija koje želimo štititi [1]. Po važnosti sigurnosne zaštite može se načiniti približni redoslijed informacijskih sustava.
� vojni informacijski sustavi, � bankovni informacijski sustavi, � zdravstveni informacijski sustavi, � informacijski sustavi državnih institucija, � informacijski sustavi osiguravajućih organizacija, � poslovni informacijski sustavi i sl.
Ugrožavanje sigurnosti računalnih sustava moguće je klasificirati na razne načine. Jedan od mogućih podjela je i sljedeća :
A. zaštita od vanjskih utjecaja, B. zaštita ostvarena sučeljem prema korisniku, C. unutarnji zaštitni mehanizmi i D. komunikacijski zaštitni mehanizmi.
A. Zaštita od vanjskih utjecaja
Vanjski utjecaji obuhvaćaju :
� mehaničko uništenje naprava, � oštećenje nastalo elementarnim nepogodama (poplava, potres, požar...) i � krađu uređaja i medija na kojima su pohranjene informacije.
Zaštitne mjere protiv ovakvih napada su najčešće ograničavanje pristupa prostorijama u kojima su smještene naprave te čuvanje kopija informacija na različitim sigurnim mjestima. Organizirana stražarska služba smije dopustiti pristup samo povjerljivim ovlaštenim osobama. B. Zaštita ostvarena sučeljem prema korisniku Sučelje prema korisniku mora biti izvedeno tako da se kroz njega omogući uporaba računala samo ovlaštenim i ne dopušta korištenje neovlaštenim osobama. Samo ovlaštene osobe smiju upotrebljavati računalni sustav. One moraju unaprijed biti ovlaštene za pojedini način uporabe računalnog sustava. Korisnik se prilikom pristupa računalu predstavlja postupkom identifikacije. Računalni sustav mora provesti postupak identifikacije, taj se postupak zove autentifikacijom. Pri tome se mora utvrditi autentičnost samo jedne strane tj. korisnika. Korisnik ne mora provjeravati identitet računala. C. Unutarnji zaštitni mehanizmi Kada korisnik prođe postupak autentifikacije on se nalazi "unutar" računalnog sustava i može početi sa svojim radom. Unutarnji zaštitni mehanizmi pojedinom korisniku moraju omogućiti pristup do onih sredstava za koje on ima dopuštene ovlasti. Mehanizmi dopuštanja pristupa pojedinim sredstvima naziva se autorizacijom pristupa.
3
D. Komunikacijski zaštitni mehanizmi
U distribuiranim računalnim sustavima informacije se prenose raznovrsnim otvorenim i nesigurnim komunikacijskim kanalima. Pristup do tih putova se ne može fizički zaštititi, prema tome treba podleći drugim zaštitnim mjerama te se pokazuje da je najdjelotvornija zaštita poruka njihovo kriptiranje.
2.1 Ugrožavanje sigurnosti Pojedine vrste napada uzrokuju različite oblike narušavanja sigurnosti. Najbolji prikaz je pomoću modela. U normalnim (slika 2.1.) uvjetima komunikacijski kanal prenosi nesmetano informacije iz izvorišta ka odredištu.
Slika 2.1. Ispravni komunikacijski kanal
Prisluškivanje
Najjednostavniji način napada na sigurnost je prisluškivanje (slika 2.2.) ili presretanje. Ovo je pasiva napad jer uljez ne djeluje aktivno na informaciju.
Slika 2.2. Prisluškivanje
Prisluškivanjem se djeluje na povjerljivost odnosno tajnost informacije. U ostalim napadima uljez mora djelovati na informaciju te se oni zovu aktivnim napadima. Prekidanje
Uljez može djelovati tako da prekine komunikacijski (slika 2.3.) kanal između izvorišta i odredišta.
4
Slika 2.3. Prekidanje
Prekidanjem se narušava raspoloživost.
Promjena sadržaja poruka
Uljez može prekinuti komunikacijski kanal i lažno se predstavljajući kao izvorište promijeniti sadržaj poruke (slika 2.4.).
Slika 2.4. Promjena sadržaja poruka
Promjena sadržaja narušava besprijekornost ili integritet. Izmišljanje poruka
Uljez može uspostaviti komunikacijski kanal s odredištem i lažno se predstavljajući kao izvor slati izmišljene poruke (slika 2.5.).
Slika 2.5. Izmišljanje poruka
Izmišljanje poruka narušava, kao i promjena sadržaja, besprijekornost ili integritet informacija. Na temelju opisanih mogućih napada na sigurnost proizlazi sa se sigurnost računalnih sustava zasniva na ispunjavanju tri osnovna sigurnosna zahtjeva, a to su povjerljivost, raspoloživost i integritet.
5
2.2 Sigurnosni rizik Sigurnosni rizik definira se kao mogućnost realizacije nekog neželjenog događaja. Neželjeni događaj može utjecati na :
� povjerljivost (eng. confidentiality), � integriteta (eng. integrity) i � raspoloživost (eng. availability) informacijskih resursa.
Povjerljivost se odnosi na zaštitu određenih sadržaja, odnosno informacija od bilo kakvog namjernog ili nenamjernog otkrivanja neovlaštenim osobama. Integritet mora osigurati konzistentnost informacija i onemogućiti bilo kakve neovlaštene promjene sadržaja. Konačno, pojam raspoloživosti podrazumijeva da su sve relevantne informacije, u za to vremenski prihvatljivom terminu, raspoložive odgovarajućim subjektima. Bilo koji od ovih zahtjeva može biti kompromitiran na razne načine; bilo namjernom ili nenamjernom ljudskom pogreškom, bilo zbog nedostataka i kvarova opreme i aplikacija ili zbog drugih izvanrednih događaja. Osim osnovnih zahtjeva koje proces upravljanja sigurnošću sustava mora osigurati valja spomenuti i pojmove koji su usko vezani uz implementaciju sigurnosnih kontrola a to su :
� identifikacija, � autentifikacija, � autorizacija, � zaštita i � mogućnost praćenja.
Kao što je i ranije opisano identifikacija podrazumijeva predstavljanje korisnika unutar sustava, dok kroz proces autentifikacije korisnik mora dokazati svoj identitet. Autorizacijom se korisniku odobrava ili zabranjuje pristup odnosno korištenje određenih resursa unutar sustava. Pod pojmom informacijskim resursima podrazumijeva se sva ona sredstva koja organizacija koristi u svrhu ostvarivanja svojih poslovnih ciljeva, to su sklopovlje, programi, ljudski resursi i podaci. Najvažniji i prvi korak kod upravljanja rizicima je identifikacija odnosno klasifikacija informacijskih resursa te se prema tome određuje koji resursi zahtijevaju kakav tretman sa stanovišta sigurnosti. Neadekvatna klasifikacija resursa može cijeli proces odvesti u krivom smjeru, čime se gubi njegov značaj i smisao. Upravljanjem rizikom (eng. Risk Managment) je relativno nova disciplina u području IT sustava, koja je proizašla iz potrebe standardizacije i formalizacijom postupka vezanih uz upravljanje sigurnošću. Proces upravljanja rizicima je identifikacija onih čimbenika koji mogu negativno utjecati na povjerljivost, integritet i raspoloživost informacijskih resursa, kao i njihova analiza u smislu vrednovanja pojedinih resursa i troškova njihove zaštite. Kao krajnji korak procesa je poduzimanje odgovarajućih zaštitnih mjera koje će identificirani sigurnosni rizik sveti na prihvatljivu razinu, u skladu sa poslovnim ciljevima organizacije. U kojoj mjeri i na kojim mjestima će se pristupiti smanjenju sigurnosnog rizika ovisi o odlukama menadžmenta, kao one funkcije koja ima mogućnost donošenja odluka i pravo raspolaganja nad budžetom organizacije. Prema sigurnosnom riziku moguće se odnositi na nekoliko načina. Moguće ga je prihvatiti onakvim kakvim je, moguće je pristupiti njegovom smanjivanu do određene razine, implementacijom odgovarajućih sigurnosnih kontrola, a moguće ga je ignorirati odnosno prebaciti u drugu organizaciju.
6
Proces upravljanja rizicima sastoji se od tri faze :
� procjena rizika (eng. Risk Assessment), � umanjivanje rizika (eng. Risk Mitigation) i � ispitivanje i analiza (eng. Evaluation and Assessment).
7
3. Metode za procjenu rizika
3.1 NIST-ov pristup Procjena rizika (eng. Risk Assessment) je prva faza upravljanja sigurnosnim rizicima. Cijeli proces upravljanja sigurnosnim rizikom uključuje identifikaciju, analizu i uklanjanja rizika, kao i periodičko ispitivanje, dok je proces procjene rizika isključivo vezan uz konkretno određivanje sigurnosnog rizika, vezan uz pojedini resurs. Organizacije koriste proces procjene rizika da odrede veličinu potencijalnih prijetnji i da rizik uklope u svoj IT sustav. Analiza svih ranjivosti i prijetnji, vjerojatnost realizacije rizika i moguće posljedice kao i analiza troškova/koristi (eng. cost/benefit) uključeni su u ovaj proces. Rezultati provedenog postupka procjene rizika daju se na uvid menadžmentu organizacije, kao i podaci koji su neophodni za donošenje odluka vezanih uz ulaganje u sigurnosna rješenja i proizvodnje. Na temelju tih podataka menadžment organizacije odlučuje o tehnikama upravljanja rizikom (prihvaćenje, odbacivanje, smanjenje... ). Proces procjene rizika je vrlo složen i najbolje ga mogu provoditi stručnjaci sa iskustvom i koji dobro poznaju sustav za koji rade procjenu rizika [10] [13].
Proces procjene rizika sastoji se od devet koraka :
Korak 1: Sustavna identifikacija i klasifikacija (eng. Asset Identification);
Korak 2 : Identifikacija prijetnji (eng. Threat Identification);
Korak 3: Identifikacija ranjivosti (eng. Vulnerability Identification);
Korak 4: Analiza postojećih kontrola (eng. Control Analysis);
Korak 5: Vjerojatnosti pojave neželjenih događaja (eng. Likelihood Determination);
Korak 6: Analiza posljedica (eng. Impact Analysis);
Korak 7: Određivanje rizika (eng. Risk Determination);
Korak 8: Preporuka kontrola za umanjivanje rizika (eng. Control Recommendation);
Korak 9: Dokumentacija (Rezultati (eng. Result Documentation)).
Koraci 2, 3, 4 i 6 se mogu odvijati paralelno nakon što je završen korak 1. Slika 3.1. prikazuje slijed faza u procjeni rizika.
8
Slika 3.1. Faze u procjeni rizika po metodi NIST
9
Određivanje sigurnosnog rizika zahtijeva provođenje svih koraka u procesu procjene rizika. Sigurnosni rizika možemo izraziti kao funkciju ovisnu o tri parametra : prijetnja, ranjivost i vrijednost resursa.
Rizik = f (Prijetnja, Ranjivost, Vrijednost resursa)
Što je sustav neke organizacije više izložen prijetnjama, što je veći broj ranjivosti i što je resurs značajniji za poslovanje organizacije, to je i sigurnosni rizik veći. Resurse možemo razmatrati na dva načina kao vrijednost resursa u novcima i kao potencijalni gubitak za organizaciju u slučaju gubitka ili neraspoloživosti resursa.
3.1.1 Sustavna identifikacija i klasifikacija Prvi korak kod procjene rizika u IT sustavima je definiranje domene djelovanja. Ovaj korak obuhvaća identifikaciju i klasifikaciju informatičkih resursa. Identifikacija rizika u IT sustavu zahtijeva dobro shvaćanje okruženja u kojem radi sustav, sa druge strane potrebno je identificirati sve resurse koji predstavljaju značaj za organizaciju te im pridijeliti odgovarajuću novčanu vrijednost, ako je to moguće.
Osobe ili osoba koje vode procjenu rizika moraju prikupiti sistemski povezane informacije koje se dijele na :
� sklopovlje, � programe, � sustavno sučelje (unutarnje i vanjske veze), � podaci i informacije, � osoblje koje upravlja i koristi IT sustav, � kritični dio sustava i kritični podaci i � osjetljivi dio sustava i podataka.
Dodatne informacije povezane sa operacijskim okruženjem IT sustava i pripadajući podaci :
� Funkcijski zahtjevi IT sustava. � Korisnici sustava ( korisnici koji daju tehničku podršku i aplikacijski korisnici koji
IT sustav koriste radi poslovnih funkcija ). � Sigurnosna politika u IT sustavima (organizacijska politika, industrijska praksa...). � Sigurnosna topologija mreže. � Trenutna topologija mreže. � Sigurnost pohranjenih informacija, raspoloživost podatka , integritet i tajnost. � Curenje informacija kroz IT sustav (sučelja). � Tehničke kontrole korištene u TI sustavu (enkripcijske metode, pristupne kontrole,
kontrole provjere.... ). � Metode upravljanja IT sustavom (pravila ponašanja u informatičkom sustavu,
sigurnosni plan). � Radne kontrole korištene u IT sustavu (osobna sigurnost, backup, korištenje
logiranja, mogućnost povrataka i oporavka podataka, pohrana na vanjske medije...). � Vanjski utjecaji na IT sustav (kontrola vlažnosti, voda, onečišćenje, temperatura i
kemijski utjecaji).
Sustavske informacije ne mogu se izvesti iz dizajna ili dokumentacije zahtjeva. Za sustav koji je u razvoju potrebno je definirati ključna sigurnosna pravila i svojstva za budući sustav. Dokumentacija o dizajnu i sigurnosni plan sustava daju korisne informacije o sigurnosti IT sustava koji se razvija.
10
3.1.1.1 Prikupljanje tehničkih podataka Niz tehnika, odnosno kombinacije, mogu se koristiti u prikupljanju važnih informacija za IT sustave, koriste se sljedeće tehnike :
� Anketa, osobe koje rade procjenu rizika moraju napraviti anketu upravljanja i plan kontrolnih operacija koristeći postojeći IT sustava. Anketa mora biti razumljiva tehničkom i ne-tehničkom osoblju koji su dizajnirali ili potpomogli u razvoju IT sustavu.
� On-site intervju, razgovori sa osobljem za potporu IT sustava i vodstvom na mjestu gdje se nalazi sustav mogu omogućiti osobama za procjenu rizika da skupe korisne informacije o IT sustavu, kako sustav djeluje u poslovanju. On-site razmatranja isto tako omogućuju osoblju za procjenu rizika da opažaju i prikupljaju informacije o fizičkom okruženju i operacijskoj sigurnosti IT sustava. Za sustave koji su u fazi dizajna praksa je prikupljanje podataka face-to-face koji omogućuje predviđanje fizičkog okruženja u kojem će raditi IT sustav.
� Dokumenti o strategiji. Dokumentacija politike (zakonski dokumenti, direktive), dokumentacija sustava (vodič kroz sustav, administracija sustava, dizajn sustava i potrebita dokumentacija, prikupljena dokumentacija) i dokumentacija o sigurnosnim
elementima (izvještaji o prijašnjim stanjima sustava, izvješće o procjeni rizika, rezultati testiranja sustava, plan sigurnosti sustava, sigurnosna politika), može dati dobre informacije o sigurnosnim kontrolama koje se mogu iskoristiti za planiranje IT sustava. Analiza napada na poslovanje organizacije daje informacije uz sustav i osjetljive i važne podatke.
� Alati za automatsko skeniranje sustava. Profesionalne aktivne metode mogu biti od koristi za uspješno prikupljanje informacija o sustavu. Npr., alat za mrežno skeniranje može identificirati servise koji se pokreću od većine korisnika na mreži i mogu vrlo brzo izgraditi osobni profil kod ciljanog IT sustava.
3.1.2 Identifikacija prijetnji
Pod sigurnosnim prijetnjama (eng. threat) smatraju se svi oni događaji koji se mogu negativno odraziti na integritet, povjerljivost i raspoloživost resursa. Cilj ovog postupka je identifikacija izvora mogućih prijetnji i pribaviti listu prijetnji koji se mogu primijeniti na postojeći IT sustav i time ugroziti poslovanje organizacije. Izvor prijetnji se definira kao okolnosti ili događaji koji mogu prouzrokovati štetu u IT sustavu.
Izvore prijetnje možemo podijeliti na dva dijela :
� Namjerne – to su oni izvori koji ciljano iskorištavaju nedostatke u sustavu u svrhu neovlaštenog pristupa povjerljivim podacima. U ovu skupinu najčešće spadaju ljudi te razni štetni programi (crvi, virusi...) i sl.
� Nenamjerne- to su izvori koji slučajno iskorištavaju ranjivost sustava, najčešće prirodne nepogode kao što si požari, poplave, udari groma ...
Kod identifikacije prijetnji vrlo je važno napraviti iscrpnu listu svih onih prijetnji, namjernih i nenamjernih, koji predstavljaju potencijalnu opasnost za informatički sustav. Kod pravljenja liste vrlo često od koristi mogu biti razgovori sa administratorima sustava ili ostalim osobljem, koje je svakodnevno u kontaktu sa komponentama sustava. Da bi upotpunili listu i imali uvid u moguće napade od velike koristi je lista ranijih incidenata i ostalih događaja te motiva koji mogu biti podloga za provođenje napada, lokacija na kojoj se nalaze informatički resursi te ostali faktori koji mogu negativno utjecati na sustav.
11
Neke od prijetnji sa kojima se svakodnevno susrećemo su i:
� neovlašteni korisnici, � virusi, crvi, trojanski konji... � krađa, � greške u programiranju, namjerne i nenamjerne, � industrijska špijunaža i � neispravno rukovanje resursima.
Za svaku identifikaciju prijetnji potrebno je odrediti povezanost sa resursima organizacije te motiv koji stoji iza napada. Što je detaljnija lista prijetnji to je lakše povezati sigurnosni rizika sa odgovarajućim resursom.
3.1.2.1 Motivacija i akcije Ljudska motiviranost i sredstva za obavljanje napada predstavljaju ozbiljan izvor prijetnji. Tablica 3.1. prikazuje opći pregled ljudskih napada, njihove motive i metode kojima se koriste da bi ispunili namjeru. Ove informacije su vrlo korisne za analizu organizacije gdje su ljudi izvor prijetnji te daje osnove za suzbijanje napada.
Tablica 3.1. Ljudske prijetnje : izvor prijetnje, motivacija i akcije
Izvori prijetnji Motiv Akcije Haker, craker � Izazov
� Ego � Pobuna
� Hakiranje � Socijalni inženjering � Upad sustav � Neautoriziran pristup sustavu
Kompjuterski kriminal � Uništenje informacija � Ilegalno otkrivanje podataka � Novčani dobitak � Ilegalna izmjena podataka
� Kompjuterski kriminal Neovlaštene radnje
(presretanje informacija, lažno predstavljanje...)
� Podmetanje informacija � Ometanje, ulaženje u sustav
Teroristi � Uništavanje informacija � Ucjene � Izrabljivanje � Osveta
� Bombaški napadi � Rat informacijama � Probijanje u sustav � Uplitanje u sustav
Poslovna špijunaža (kompanije, inozemne vlade i sl.)
� Prednost u poslovanju � Ekonomska špijunaža � Korist
� Ekonomsko iskorištavanje � Krađa informacija � Upad u privatnost � Neautorizirani upadi u sustav
Insiders (upućena osoba) (nezadovoljstvo, zlonamjernost, nemarnost....)
� Radoznalost � Ego � Snalažljivost � Novac � Osveta � Namjerne greške i propusti
� Napad na djelatnike � Ucjena � Brisanje podataka � Prijevare i krađe � Presretanje � Sabotaž
12
3.1.3 Identifikacija ranjivosti Pod pojmom ranjivosti (eng.Vulnerability), smatraju se svi propusti i slabosti u sustavu sigurnosti koji omogućuje provođenje neovlaštenih aktivnosti. Ranjivost se najčešće povezuje sa propustima u programskom kodu, no mogući su i mnogi drugi primjeri, kao što su površno implementirana fizička sigurnost, nedovoljno poznavanje i neprikladan izbor tehnologija i alata, propusti u dizajnu sustava, propusti u implementaciji i održavanju sustava i sl. Bez adekvatne analize ranjivosti, gotovo je nemoguće pouzdano odrediti sigurnosni rizik. Sigurnosni rizik ovisno o karakteru ranjivosti možemo klasificirati kao veći ili manji. Kada govorimo o procjeni rizika vrlo je važno da se ranjivost analizira u kombinaciji sa identificiranim prijetnjama, budući da su ova dva parametra usko vezana. Ukoliko ne postoji prijetnja koja bi mogla iskoristiti ranjivost tada ne postoji sigurnosni rizik. Sama logika nas navodi na to da tamo gdje nema rizika nema smisla ulagati u zaštitna sredstva, implementiraju se samo ona zaštitna sredstva koja će biti opravdana i smislena u pogledu zaštite poslovnih ciljeva organizacije.
Tablica 3.2. prikazuje neke od ranjivosti za IT sustav:
Tablica 3.2. Neke od ranjivosti IT sustava
Ranjivost Prijetnja Akcije prijetnje Krajnji djelatnički ID nije uklonjen iz sustava
Krajnji djelatnici Biranje unutar organizacijske mreže i pristup povjerljivim podacima
Kompanijski vatrozid omogućava ulazni telnet, i guest ID je omogućen na XYZ server
Neautorizirani korisnici (hakeri, kompjuterski kriminal, teroristi)
Korištenje telneta za XYZ server i pregledavanje sistemskih datoteka sa guest ID
Proizvođač je uočio propust u sigurnosnom dizajnu, ali nova zakrpa nije ugrađena
Neautorizirani korisnici (hakeri, nezadovoljni radnici, terorizam, kompjuterski kriminal)
Dobivanje neautoriziranog pristupa osjetljivim sistemskim datotekama baziranih na poznatim sistemskim ranjivostima
Centar podataka koristi vodene mlaznice za suzbijanje požara (ne-premočive tkanine za zaštitu opreme nisu primjene u prostoriji )
Vatra, nemarno osoblje Vodene mlaznice ugrađene u centar podataka
Nekontrolirano korištenje modema
Neovlašteni korisnici, bivši i nezadovoljni radnici, virusi , crvi...
Neovlašten upad u sustav, dostupnost osjetljivim podacima...
Kod identifikacije sustavne ranjivosti treba naznačiti tipove ranjivosti, oni se razlikuju od prirode IT sustava i faze u kojoj je on u SDLC (eng. System Development Life Cycle) :
� Ako je IT još nije dizajniran, ispitivanje ranjivosti treba fokusirati na sigurnosnu politiku organizacije, planirane sigurnosne postupke i definicije zahtjeva nad sustavom te proizvođačevu razvojnu sigurnosnu analizu proizvoda.
� Ako je IT sustav u fazi implementacije, identifikacija ranjivosti je proširena i uključuje više specifičnih informacija, kao opis značenja planirane sigurnosti u dokumentaciji dizajna sigurnosti i rezultati testiranja i ocjene sustava.
13
� Sustav u radu, proces identifikacije ranjivosti treba uključivati analize obilježja IT sustava i sigurnosne kontrole, tehnike i postupke koji se koriste u zaštiti sustava.
3.1.3.1 Testiranje sigurnosti sustava Testiranje sustava može biti korisno za uspješnu identifikaciju sustavne ranjivosti, ovisno o kritičnim točkama IT sustava i dostupnim resursima (dostupne tehnologije, stručno osoblje koje obavlja test....)
Test metode uključuju :
� Alate za automatsko skeniranje ranjivosti. � Sigurnosne testove i vrednovanja. � Testiranje upada u sustav.
Alati za automatsko skeniranje ranjivosti koriste metodu koja skenira korisnike mreže na poznate ranjive servise (FTP protokol, prosljeđivanje elektroničke pošte...). Međutim, treba uzeti u obzir da alati za automatsko skeniranje ne mogu pokazati realne ranjivosti u sklopu okruženja u kojem se nalazi IT sustav. Npr. većina alata ne uzima u obzir okolinu i uvijete u kojima radi IT sustav. Neke od značajki ranjivosti kod programa za automatsko skeniranje mogu se konfigurirati tako da bude osjetljiv na pojedina okruženja pa prema tome takva testna metoda može proizvesti lažnu stvarnost i time dati krive rezultate. ST&E je tehnika koja se može upotrijebiti u identifikaciji ranjivosti kroz proces procjene ranjivosti, ona uključuje razvoj i izvršenje testnog plana. Svrha testiranja sigurnosti sustava je testiranje efikasnosti ugrađenih sigurnosnih kontrola u IT sustav. Cilj je da primijenjene kontrole zadovoljavaju sigurnosnu politiku organizacije ili industrijskih standarda. Testiranje upada u sustav koristan je kod dopune izvještaja sigurnosnih kontrola koji daje drugačije aspekte sigurnosti IT sustava. Kada se radi o procjeni rizika test upada je koristan kod procjene sposobnosti da se IT sustav odupre namjernim pokušajima zaobilažena sigurnosnog sustava. Rezultati ovog testiranja pomažu kod identifikacije sistemske ranjivosti.
3.1.4 Analiza postojećih kontrola Cilj ove kontrole je analiza kontrola koje su implementirane ili se planiraju implementirati u svrhu zaštite informacijskog sustava. Da bi se mogla kvalitetno odrediti vjerojatnost iskorištenja pojedine ranjivosti od strane prijetnji potrebno je razmotriti sve postojeće sigurnosne kontrole koje su ugrađene u sustavu. Ako je kvalitetno implementirana zaštita vrlo je mala vjerojatnost da će se određena slabost ili nedostatak iskoristiti i ugroziti rad informatičkog sustava. Sustavi koji barataju sa osjetljivim podacima (brojevi kreditnih kartica, obračuni plača, osobni podaci...) puno su zanimljiviji neovlaštenim korisnicima nego sustavi koji rukuju sa manje povjerljivim podacima.
3.1.4.1 Kontrolne metode Sigurnosne kontrole mogu biti tehničke i ne-tehničke prirode. Pod tehničkim sigurnosnim kontrolama smatraju se one kontrole koje su ugrađene u obliku sklopovlja, programa ili nekog sličnog rješenja npr. mehanizmi kontrole pristupa, antivirusna zaštita, kriptografske metode, mehanizmi za detekciju upada i sl. Ne-tehničke kontrole su kontrole poput sigurnosne politike, preporuke i procedure koje se najčešće prenose usmenim putem i stječu se iskustvom.
14
Kontrolne kategorije za tehničke i ne-tehničke metode možemo dalje klasificirati na :
� Preventivne (eng. Prevention) – ona rješenja koje djeluju preventivno, onemogućavaju pokušaje kršenja sigurnosne politike i uključuju kontrole kao što su provedba pristupa, enkripciju i autentifikaciju.
� Detekcijske (eng. Detection) – kontrole odnosno sustavi koji omogućavaju detekciju neovlaštenih aktivnosti (alati za provjeru integriteta, i sl.)
� Reakcijske (eng. Reaction) – mehanizmi koji pomažu pri reakciji na detektiranim neovlaštenim akcijama (forenzičke analize, i sl.)
3.1.5 Vjerojatnosti pojave neželjenih događaja
U ovom koraku određujemo vjerojatnost iskorištenja pojedine ranjivosti od strane pripadajućih sigurnosnih prijetnji.
Kod utvrđivanje vjerojatnosti potrebno je uzeti u obzir barem sljedeće čimbenike :
� motivaciju i sposobnost izvora prijetnji, � značajke određene ranjivosti i � postojanje i djelotvornost postojećih kontrola.
Vjerojatnost iskorištavanja ranjivosti od strane određenih prijetnji najbolje je izraziti skalom : npr. visoki, srednji i niski stupanj, pri čemu svaki od definiranih stupnjeva ima svoj značaj. Tablica 3.3. prikazuje primjer jedne takve podjele, s time da se može definirati i preciznija podjela, ovisno o primjeni i potrebama.
Tablica 3.3. Vjerojatnost pojave neželjenih događaja Vjerojatnost Opis
Visoka Izvor prijetnje je jako motiviran za iskorištenje ranjivosti s obzirom do dolaska do povjerljivih informacija. Postojeće sigurnosne kontrole su nedovoljne ili preslabe za učinkovitu zaštitu sustava
Srednja Izvor prijetnje je djelomično motiviran i sposoban, ali sigurnosne kontrole su dostatne da uspješno spriječe izvršenje napada.
Niska Izostanak motivacije ili sposobnosti . Sigurnosne kontrole su dovoljno jake da odbiju svaki napad.
3.1.6 Analiza posljedica
Analiza posljedica je procjena negativnog učinka koji bi mogao nastati ukoliko prijetnja uspješno iskoristi ranjivost. Prilikom provođenja ovog koraka potrebno je voditi računa o sljedećim elementima :
� svrha resursa, � kritičnost resursa (značaj za organizaciju) i � osjetljivost podataka i resursa.
Navedene informacije moguće je dobiti iz analize utjecaja na poslovanje, klasifikacije informacija te prikupljanjem informacija od zaposlenika i ostalih izvora. Budući da je vlasnik resursa ili podataka najodgovorniji u pogledu određivanja njihove osjetljivosti ili kritičnosti, intervju sa korisnicima i administratorima sustava su od velike pomoći. Na temelju ovih informacija potrebno je procijeniti negativan učinak nekog neželjenog događaja. Negativan
15
učinak događaja moguće je opisati kao narušavanje funkcionalnosti ili gubitak odnosno narušavanje bili kojeg temeljnog načela informacijskog sustava ili kombinacije tih načela (integritet, povjerljivost, raspoloživost). Analiza gubitaka vrlo je složen proces. Osim materijalnih gubitaka u obliku novca, u obzir je potrebno uzeti i druge čimbenike, kao što su gubitak povjerenja javnosti, gubitak kredibiliteta i sl. Potencijalne gubitke moguće je rangirati u nekoliko skupina od kojih svaki ima svoj značaj (tablica 3.4.).
Tablica 3.4. Gubici nastali iskorištenjem ranjivosti
Gubitak Opis
Visok
Iskorištenjem ranjivosti može rezultirati : � Trajnim gubitkom ili uništenjem resursa � Ozbiljnim ugrožavanjem ljudi (smrt, povrede i sl.) � Ozbiljnim negativnim utjecajem na poslovanje organizacije
Srednji
Iskorištenjem ranjivosti može rezultirati : � Djelomičnim gubitkom ili uništenjem resursa � Djelomično ugrožavanje ljudi � Djelomičnim negativnim utjecajem na poslovanje organizacije
Nizak Iskorištenjem ranjivosti može rezultirati :
� Lakšim oštećenjem resursa � Primjetno narušavanje poslovanja organizacije
Prilikom analize gubitaka potrebno je razmotriti nedostatke i prednosti kvantitativne, odnosno kvalitativne analize. U principu se radi o dva različita principa koji imaju identičan cilj, ali se razlikuju po prikazu rezultata. Kod kvalitativne procjene rizik se procjenjuje iskustveno, odnosno opisno, za razliku od kvantitativne procjene kod koje se rizik opisuje numerički (financijski).
Kvantitativni pristup temelji se na korištenju egzaktnih numeričkih vrijednosti. U tom slučaju, parametrima za izračun rizika nastoje se odrediti točne vrijednosti. Vrijednost resursa određuje se u novcima. Iako se kvantitativnim prikazom dobivaju apsolutne vrijednosti ovaj način nije pogodan iz više razloga. Prvi razlog je taj što se vrijednosti resursa određuju iz knjigovodstvenih zapisa, što uopće ne mora predstavljati pravu vrijednost resursa za pojedini poslovni proces. Drugi problem je određivanje faktora izloženosti koji se koji se izražava u postotku gubitka vrijednosti resursa u slučaju ostvarenja pojedine prijetnje. Faktor izloženosti je u većini slučajeva praktički nemoguće odrediti, ponekad čak ni približno.
Kvalitativni pristup ne koristi apsolutne vrijednosti parametara, kvalitativno evaluira njihov utjecaj na rizik. Kod ovog pristupa važnu ulogu ima iskustvo, stručnost i nadasve sposobnost osobe koje provode proces procjene rizika. Za razliku od kvantitativnog pristupa, u ovom slučaju, baratamo sa relativnim vrijednostima umjesto apsolutnim. Glavni problem kod ove analize je subjektivnost, koja u velikoj mjeri utječe na odluke u poduzimanju koraka zaštite informatičkog sustava.
Iskustvo je pokazalo da se najbolji rezultati dobivaju korištenjem kombinacije obaju pristupa pri čemu se pokušava što više iskoristiti prednosti svakog od njih.
Prilikom procjene gubitaka vrlo se često uzimaju u obzir i sljedeći faktori kao što su:
� učestalost napada na sustav, � aproksimativni troškovi u slučaju realizacije neženjenih događaja i sl.
16
3.1.7 Određivanje rizika Svrha ovog koraka je procjena rizika kojem je izložen informatički sustav. Rizik je potrebno odrediti za sve parove prijetnja/ranjivost, pri čemu treba uzeti u obzir sljedeće :
� vjerojatnost iskorištavanja ranjivosti od propadajuće prijetnje, � posljedice u slučaju uspješne realizacije napada i � kvaliteta i efikasnost planiranih ili ugrađenih sigurnosnih kontrola.
3.1.7.1 Matrica razine rizika Za određivanje i analizu sigurnosnog rizika poželjno je kreirati matricu sigurnog rizika. Razina rizika utvrđuje se množenjem ocjene koja je dodijeljena vjerojatnosti da izvor prijetnje iskoristi ranjivost s ocjenom učinka neželjenog događaja , pri čemu se uzima u obzir postojeće ili planirane sigurnosne kontrole. Razine sigurnosnog rizika najlakše je odrediti na temelju podataka i tablica koje su proizašle iz : analize vjerojatnosti realizacije i analize potencijalnih gubitaka. Na temelju ovih podataka kreira se matrica rizika koja će opisivati različite razine sigurnosnog rizika prisutne u sustavu. Najčešće je to matrica 3x3, no ovisno o sustavu i željenoj zrnatosti, na nekim mjestima susrećemo i matrice tipa 4x4 i 5x5 gdje se onda osim velikog, srednjeg i niskog rizika definiraju i pojmovi npr. iznimno visokog, vrlo visokog i vrlo niskog rizika. Primjer u tablici 3.5. jest matrica vjerojatnosti da izvor prijetnje iskoristi ranjivost (velika, srednja, mala) i učinka (velikog, srednjeg, malog), koja prikazuje kako se računa ukupna razina rizika.
Npr. :
� Ocjena vjerojatnosti da izvor prijetnje iskoristi ranjivost koja se pripisuje svakoj razini vjerojatnosti prijetnje jest 1.0 za veliku, 0.5 za srednju i 0.1 za nisku ;
� Ocjena učinka koja se dodjeljuje svakoj razini učinka jest 100 za veliku, 50 za srednju i 10 za nisku.
Tablica 3.5. Matrica rizika
Učinak (Gubici) Vjerojatnost realizacije napada Niski(10) Srednji(50) Visoki(100)
Visoka (1.0) Nizak
10 × 1.0=10 Srednji
50 × 1.0 = 50 Visok
100 × 1.0 = 100
Srednja (0.5) Nizak
10 × 0.5 = 5 Srednji
50 × 0.5 = 25
Srednji 100 × 0.5 = 50
Niska (0.1) Nizak
10 × 0.1 = 1 Nizak
50 × 0.1 = 5 Nizak
100 × 0.1 = 10
Tablica 3.6. opisuje razine rizika prikazane u tablici 3.5. Ljestvica rizika s pripadajućim ocjenama predstavlja stupanj ili razinu rizika kojem si izloženi resursi informacijskog sustava ako je iskorištena određena ranjivost. Stupanj ili razina rizika određuje aktivnosti koje bi se trebale poduzeti.
17
Tablica 3.6. Razine rizika
Razina rizika Opis rizika i aktivnosti koje je potrebno poduzeti
Visok rizik 50-100
Ako je rizik procijenjen kao velik, nužno je hitno provođenje mjera za smanjenje rizika. Postojeći sustav može nastaviti raditi, ali potrebno je u što kraćem roku sastaviti plan provođenja mjera te odrediti prioritete i rokove
Srednji rizik 10-50 Ako je rizik procijenjen kao srednji , nužno je provođenje mjera za smanjenje rizika. Potrebno je sastaviti plan provođenja mjera kako bi se one provele u razumnom roku.
Nizak rizik 1-10 Ako je rizik procijenjen kao nizak, potrebno je utvrditi je li nužno provođenje sigurnosnih mjera ili se rizik može prihvatiti.
3.1.8 Preporuka kontrola za umanjivanje rizika Preporučene sigurnosne mjere su jedan od rezultata procesa procjene rizika. Cilj ovog koraka je analiza mogućih načina zaštite u svrhu smanjenja rizika, odnosno njegovog svođenja na prihvatljivu razinu. Prilikom predlaganja mjera za smanjenje ili otklanjanje utvrđenih rizika treba uzeti u obzir, između ostalog, sljedeće čimbenike :
� pouzdanost i efikasnost preporučenih kontrola, � troškovi implementacije i održavanja, � utjecaj na poslovne procese, � utjecaj na temeljna načela informacijskog sustava, � pravna ograničenja, � sigurnosna politika organizacije i sl.
Preporuke za implementaciju sigurnosnih kontrola mogu se promatrati kao krajnji rezultat procesa procjene rizika i kao ulaz za sljedeću fazu koja uključuje analizu i evaluaciju danih preporuka te njihovu implementaciju prema prioritetu i mogućnostima organizacije. Nakon cost/benefit analize (analiza troškova/koristi) će se implementirati samo one sigurnosne mjere koje će se pokazati isplativim i opravdanim. Pri tome je potrebno analizirati i ostale faktore koji utječu na funkcionalnost, ostvarljivost i isplativost sigurnosnih kontrola.
3.1.9 Dokumentacija Procjena rizika je gotova (izvor prijetnje i ranjivosti identificirane, utvrđen rizik i pružana odgovarajuća kontrola) potrebno je dokumentirati rezultate u obliku formalnog izvješća. Prilikom izrade dokumentacije treba imati na umu da se ona predaje menadžmentu organizacije, koje na iznesenih rezultata donosi odluku koji će se rizik smanjiti i na koji način, a koji će se prihvatiti.
Izvještaj bi trebao biti:
� jasan i pregledan, � jednostavan za interpretaciju, � prilagođen menadžmentu, � sadržavati tablice i grafove i sl.
Smanjenje rizika uključuje određivanje prioriteta, procjenu, odabir i provođenje adekvatnih zaštitnih mjera za smanjenje rizika (predloženih u sklopu procesa procjene rizika) s obzirom
18
na učestalost pojave neželjenih događaja. Budući da je uklanjanje svih rizika kojima je izložen informatički sustav gotovo nemoguće, organizacije bi trebale poduzeti sve mjere kako bi smanjile rizik na odgovarajuću razinu provođenjem adekvatnih mjera zaštite. Na koji način i u kojoj mjeri smanjiti rizik ovisi o menadžmentu organizacije i donosi se na temelju detaljne evaluacije ponuđenih rješenja. Cilj je da se implementiraju ona rješenja koja su financijski najprihvatljivija, ona koja će rezultirati što kvalitetnijim i što pouzdanijim sigurnosnim kontrolama, s minimalnim utjecajem na poslovanje organizacije.
3.2 CRAMM Metoda CRAMM oblikovana je u skladu s politikom Vlade Velike Britanije da se strategija izbjegavanja rizika zamijeni strategijom upravljanja rizikom. Proces je procjene usklađen sa normom BS ISO/IEC 17799:2000, odnosno dopunjena verzije BS ISO/IEC 17799:2005 koja se može koristiti kao pomoć pri usklađivanju sa zahtjevima tog standarda. Iako je metoda CRAMM prvenstveno napravljena za procjenu rizik državnih sustav, isto tako se može upotrijebiti u tržišnim organizacijama [4] [14].
Koristi se za podršku :
� Procjenu rizika i sigurnosti informatičkog sustava. � Identifikaciju sigurnosnih zahtjeva prema BS ISO/IEC 17799. � Identifikaciju zahtjeva neprekidnog poslovanja i mogućih rješenja unapređenja
informatičkog sustava.
Procjena rizika CRAMM-om provodi se u tri osnovne etape :
� identifikacija i vrednovanje imovine (fizičke, programa, podataka i pomoćne imovine koja čini informatički sustav),
� procjena prijetnja i ranjivosti (virusa, pogrešaka na opremi i programima, terorizma, ljudskih pogrešaka i sl.) i
� izbor i preporuka mjera zaštite (izračunava razinu trenutačnog rizika).
Procjena je uglavnom kvantitativna iako su za neke kategorije poslovne imovine (fizičku) podržane i mogućnosti kvalitativne procjene. Kvalitativni se pokazatelji kvantificiraju određenim ljestvicama i unaprijed zadanom raspodjelom jačine specifičnom za pojedine elemente metrike rizika. Za podršku zadacima procjene rizika koriste se različite pomoćne metode pri čemu su od velike koristi programski alati. To su u prvom redu strukturirani upitnici i intervjui. Njihova je upotreba izrazita u fazi prikupljanja podataka (prijetnje, vrijednosti imovine, ranjivosti i sl.).
Slika 3.2. Funkcija rizika po metodi CRAMM
19
Kod određivanja prijetnji podržano je i modeliranje i određivanje međuzavisnosti prijetnja te utjecaja na poslovne procese. Obrada podataka je automatizirana i nevidljiva korisniku te je moguća jedino uz pomoć programskih alata. No, osoba koja radi procjenu rizika može mijenjanjem ulaznih varijabli promatrati konačne rezultate i tako dobiti uvid o djelovanju čimbenika rizika. Intenziteti procjenjivanih objekata (imovina, prijetnje i sl.) procjenjuju se kroz niz intrevjua i anketa s vlasnicima imovine, korisnicima, tehničkim osobljem i voditeljima odjela. Primjena programskih alata nije obavezna, ali znatno ubrzava proces procjene rizika.
Slika 3.3. Osnovni koraci metode CRAMM
Mogući nedostaci metode njena je cijena i potreba angažiranja konzultantske tvrtke bar u početnoj fazi procjene.
3.3 COBRA Metoda COBRA (eng. Consultative, Objective and Bi-functional Risk Analysis), proizvod je tvrtke C&A Systems Security Ltd. i u prvom je redu oblikovana za pomoć i podršku poslovnim organizacijama koje uvode kriterije norme BS ISO/IEC 17799. Sastoji se od niza uputa za procjenu informatičkog sustava i alata koji se isporučuje u obliku programskog paketa. Kao izvor podataka potrebnih za procjenu rizika sigurnosti metoda COBRA isključivo primjenjuje standardne oblike strukturiranih upitnika koji se ispunjavaju na računalu. Upitnici se stvaraju na temelju modularne i prilagodljive baze znanja. Na isti se način prikupljaju svi elementi metrike rizika i izrađuju izvješća koja upućuju na nedostatke i moguća rješenja [4] [14].
Metodom COBRA procjena rizika sigurnosti sastoji se od tri osnovna koraka :
� izgradnja upitnika – na temelju ponuđenih modula izgrađuju se potrebiti upitnici za procjenu rizika za ciljane sustave i podsustave u organizaciji,
� procjena rizika – podaci prikupljeni od strane uposlenika temelj su za procjenu i � izrada izvješća – primjenjuje se za prikupljanje rezultata procjene, izvješća su
jednostavna, ali dugačka i nepregledna, malo je mogućnosti upravljanja oblicima izvješća.
U izvješćima se detaljno upozorava na pojedinačne i skupne nedostatke koji su utvrđeni na temelju zahtjeva za pojedino područje. Za svaku skupinu kriterija COBRA nudi oblikovane
20
upitnike koji se nakon ispunjenja ispituju i mjere. Svako se područje sigurnosti može prilagoditi potrebama zahvaljujući promjenljivosti baze koja omogućava uspostavu potpuno novih kriterija. COBRA sadrži biblioteku protumjera i preporuka zaštite. Slabe točke kod metode COBRA su vizualno neprivlačno sučelje, slaba strukturiranost, nepreglednost i dugotrajnost procesa procjene rizika te ograničene mogućnosti prilagođavanja izvješća.
3.4 RuSecure RuSecure metoda također nastaje kao podrška procjeni rizika prema normi BS ISO/IEC 17799. Metoda sa zasniva na normi BS 7799 i u potpunosti zadovoljava njene kriterije. Metoda se sastoji od upita u obliku priručnika koji savjetuje procjenitelja o svim pitanjima vezanim uz proces procjene rizika informatičkog sustava. Upute sa sastoje od praktičnih savjeta o provedbi pojedine etape procesa procjene rizika i obrazlaže ključne uvjete koje treba ostvariti pri izgradnji sustava upravljanja sigurnošću. Temeljna osobina ove metode je jednostavnost i relativno niska cijena koja je ipak određena skromnim mogućnostima. Pozitivna osobina je preglednost koraka i jednostavno navođenje kroz etape procesa (slika 3.4.) te prikaz procjene razumljiv neupućenom korisniku. Metrika rizika sigurnosti uključuje ranjivost, vrednovanje imovine, prijetnje, utjecaj prijetnje na imovinu, mogućnost djelovanja prijetnji, učestalost djelovanja, a sve se veličine izražavaju kvalitativno, a mjernim ljestvicama se prilagođavaju u veličine koje su pogodne za numeričko prikazivanje rezultata [4] [14].
Prednosti i mane RuSecure metode :
Prednosti : � Preglednost i strukturiranost kriterija. � Jednostavnost. � Nije potrebno posebno predznanje. � Brzina provedbe. � Podrška BS ISO/IEC normi. � Cijena.
Nedostaci :
� Potpuno manualna metoda. � Nema podrške programskog alata. � Nepreciznost. � Necjelovitost.
21
Slika 3.4. Koraci procjene rizika po metodi RuSecure
22
3.5 OCTAVE Upute za OCTAVE Method Implementation Guide sastoji se od 13 dijelova kojim se do detalja upoznaje s metodom i načinom njenog usvajanja. Čine ih niz smjernica za prikupljanje, analiziranje, organiziranje, procjenu, interpretaciju i sintezu rezultata na temelju kojih mogu biti razvijene strategije za smanjenje rizika u informatičkom sustavu. Te su upute jedne od najsadržajnijih uputa o procjeni rizika sigurnosti informatičkog sustava. OCTAVE gleda na rizik kao na funkciju imovine informatičkog sustava i njene vrijednosti koja je važna za poslovanje, prijetnja koje ugrožavaju informatički sustav i ranjivosti koje izlažu imovinu sustava prijetnjama. Iako je osnovni subjekt metode OCTAVE nematerijalna imovina informatičkog sustava, može se primjenjivati i prilagoditi na procjenu rizika materijalne imovine [4] [14] [25].
RIZIK = IMOVINA × PRIJETNJA × RANJIVOST
OCTAVE metode u praksi se uvodi u organizacije tako da se osnivaju radionice u kojima radni timovi uvježbavaju postupke metode OCTAVE i na primjerima i stvarnim situacijama uče uvoditi metodu u svoju okolinu. Postupak se provodi u tri etape :
� određivanje kritične imovine i prijetnje toj imovini, � određivanje organizacijskih i tehnoloških ranjivosti i � razvoj strategije zaštite i izbjegavanje rizika za podršku poslovanju.
U trećoj je fazi sadržano modeliranje izvora rizika, određuje se djelovanje prijetnji na kritičnu imovinu, elementi informatičkog sustava se povezuju s izvorima rizika, a profilom prijetnja se opisuju moguća djelovanja prijetnja i posljedica tog djelovanja (otkrivanje, promjena, gubitak/uništenje, prekid).
Slika 3.5. Koraci metode OCTAVE
23
OCTAVE eksplicitno ne definira vjerojatnosti. Temelj razmatranja rizika je planiranje scenarija. Kad se definiraju prijetnje, analizom scenarija izbacuju se nevažne prijetnje. Time se neizravno procjenjuje vjerojatnost i uvodi binarno (0, 1) ili opisno (vjerojatno, nevjerojatno) vrednovanje. Zato se za svaku prijetnju i kritičnu imovinu utvrđuje mogući scenarij. Nakon utvrđivanja scenarija nesreća utvrđuju moguće strategije zaštite. Pretpostavka je da su relativno jednake vjerojatnosti ostvarivanja svih potencijalno opasnih scenarija. Način tumačenja vjerojatnosti u OCTAVE metodi je jedinstven i temelji se na sljedećem mišljenju :
� općenito su podaci o učestalosti prijetnji šturi i loši pa je analiza vjerojatnosti loša i vremenski zahtjevna,
� rasterećenost vjerojatnosti osigurava bolje razumijevanje scenarija nesreća i pronalaženje rješenja i
� tradicionalne tehnike određivanja vjerojatnosti nisu dobre.
OCTAVE je strateška i analitička metoda. Prvenstveno je stvorena za velike sustave, iako se može prilagoditi potrebama i manjih organizacija. U načelu je to kvalitativna metoda. Važno je napomenuti da su kriteriji OCTAVE otvoreni standard pa mogu biti predmet interesa i nastanka novih metoda.
3.6 COBIT Svrha je COBIT-a upoznati menadžere IT-a s upravljačkim modelom koji pomaže razumijevanje i upravljanja rizikom vezanim u IT. COBIT pomaže pri svladavanju razlika poslovnih rizika, kontrolnih potreba i tehničkih pitanja. To je kontrolni model koji zadovoljava potrebe upravljanja IT-om i osigurava cjelovitost informacija i drugih elemenata informacijskog sustava. Okosnica COBIT metode (slika 3.6.) razvijena je na rezultatima mnogobrojnih rasprava i iskustva mnogobrojnih stručnjaka iz područja sigurnosti, a temelj metode su svjetski standardi. Metoda COBIT objavljena je u 6 dijelova koji zajedno s programskim alatom čine jedinstven okvir i metodu procjene rizika. Osim osnovne verzije postoji i metoda COBIT Quick start koja je namijenjena manjim poslovnim organizacijama gdje IT nije tako kritičan za poslovanje. U središtu zanimanja osnovne metode COBIT veliki su sustavi s dnevno intenzivnom i raspodijeljenom obradom podataka [4] [14].
Slika 3.6. Princip i ideja metode COBIT
24
COBIT-om se žele uskladiti poslovni ciljevi i IT tako da ta međusobna veza donosi rezultate. Metoda je strukturirana u 34 IT procesa podijeljena u 4 kategorije (slika 3.7.), uspostava ravnoteže u organizaciji postiže se zadovoljavanjem kategorija.
Slika 3.7. Koraci metode COBIT
Treba istaknuti da je COBIT metoda otvorena što znači da se može koristiti i prilagođavati individualnim potrebama te da može poslužiti kao temelj detaljnije procjene po nekoj drugoj metodi procjene rizika. Metoda COBIT ne stavlja u prvi plan procjenu rizika već se više bazira na usklađivanje IT-a s poslovnim ciljevima.
3.7 Druge metode i tehnike primjenjive kod procjene rizika sigurnosti Istraživanje je pokazalo da se osim cjelovitih metoda za procjenu rizika koristi i niz pomoćnih metoda i tehnika koje primjenu nalaze unutar cjelovitih pristupa za procjenu rizika ali i individualno za rješavanje određenih problema veznih za procjenu rizika. Ponekad su i temelj cjelovitim metodama i pristupima procjene rizika sigurnosti, a njihovim se kombinacijama može doći do kvalitetnih podataka i oblikovati čak vlastito polazište pri procjeni rizika. U ovom poglavlju su dane samo neke od pomoćnih metoda i tehnika jer svakim danom nastaju nove metode i tehnike.
3.7.1 Popis za provjeru (Check sheet) Check sheet popis je obrazac (tablični ili grafički) koji se često koristi kao alat za prikupljanje i mjerenje podataka. To je jednostavna forma u koju se zapisuje koliko se često događa neka radnja, akcija ili postupak. Ako je Check sheet popis tablični onda se povećanje učestalosti uvećava za jediničnu numeričku mjeru ili se stanje promatrane pojave označava u binarnom sustavu (da/ne, 0/1, +/- i sl.). Ako pak se promatra grafički onda se trenutačna razina označava na grafikonu kao točka koja se povezuje s prethodnom vrijednošću ili crtica koje označavaju jediničnu vrijednost. Check sheet popis za provjeru vrlo je korisna tehnika za prikupljanje kvantitativnih podatak i praćenje performansi sustava. Može se koristiti dvojako :
� kao tehnika za prikupljanje podatka (tablično) i � kao tehnika za otkrivanje problema (grafičko).
U procjeni rizika sigurnosti te metode se preporučuju pri utvrđivanju broja nesreći, nesigurnih radnji, učestalosti korištenja ili prikupljanja bilo kojih drugih kvantitativnih podataka. Zbog širokog područja primjene uz anketu/intervju to je najčešće korištena tehnika. Pri otkrivanju problema, popis za provjeru je jedan od najjednostavnijih i najpreglednijih tehnika za koje
25
nije potrebno iskustvo i specijalističko znanje. Pri oblikovanju popisa treba obratiti pažnju na dvije stvari :
� izbor vremenskog razdoblja potrebnog za prikupljanje podataka i � oblikovanje preglednog i jednostavnog oblika popisa s odgovarajućim mjestima
unosa.
Tablični prikaz koristi se za vrlo detaljne kvantitativne analize i čini se primjerenom za analizu ljudskih pogrešaka. Kao velika pomoć može biti anketi ili intervju, a ispunjava je sam vršilac radnje u određeno vrijeme ili periodički. Njen osnovni nedostatak je u tome što se može koristiti za utvrđivanje samo kvantitativnih osobina. Pozitivna osobina je u tome što precizno određuje utvrđena mjesta mjerenja. Grafički oblici popisa za provjeru korisni su pri utvrđivanju odstupanja od utvrđenih granica i mjerenja. Prikazuju slučajne ili konstantne promjene u procesu na temelju kojih se mogu otkriti potencijalni problemi ili mjesta na kojima treba poboljšati sustav.
Grafički oblici se primjenjuju za :
� utvrđivanje razlike između uobičajene i utvrđene vrijednosti, � procjenu učinkovitosti promjena na poboljšanje i � informiranje o osobinama procesa tijekom njegova trajanja.
Kod njihova oblikovanja preporučuje se u obrazac uključiti i upozoravajuće i akcijske graničnike koji pomažu u otkrivanju mjesta i vremena problema i omogućuje brzi pristup problematici [14].
3.7.2 Anketa/Intervju Anketa i intervju najčešće su korištene metode za prikupljanje podataka o svojstvima sustava. Spominju se u svim prikazanim metodama procjene rizika i temeljni su instrument za utvrđivanje osobina sustava. U današnje vrijeme anketiranje se sve češće provodi primjenom suvremenih tehnologija koje ubrzavaju i olakšavaju anketiranje (telefon, e-mail, web i sl.). Anketa se može provesti u obliku intervjua uz pomoć anketara, izravno ili putem telefona, kada anketirana osoba sama unosi pismene odgovore u anketni upitnik. Ako je procjena rizika podržana programskim alatom, anketa se obično provodi pomoću računala. Ako želimo koristi intervju ili anketu, treba pripremiti pitanja i ispitanike te vrijeme ispitivanja. Odgovorima se želi dobiti mišljenje o procesima koji ugrožavaju sigurnost sustava, načinu rada, stavovima korisnika i sl. Kod procjene rizika anketom se utvrđuje i sigurnosna politika i praksa te podudarnost sa zahtjevima normi[14].
3.7.2.1 Procjena rizika uz pomoć anketnog upitnika Primjer : organizacija provodi procjenu rizika od neovlaštenog upada u računalni sustav unutar organizacije. U tu svrhu treba odrediti dosadašnja iskustva u zaštiti od napada. Da bi se prikupili podaci o trenutačnom stanju treba ispitati zaposlenike i proučiti postojeću operativnu dokumentaciju. Ispitivanje treba provesti brzo i u obliku pitanja, ali omogućiti zaposlenicima slobodno izražavanje. Najpogodnije prikupljanje podataka je metoda ankete (slika 3.8.).
26
Slika 3.8. Primjer anketnog upitnika
27
3.7.3 Brainstorming/tehnika normirane grupe Brainstorming je tehnika u kojoj sudionici skupine iznose ideje u slobodnoj atmosferi. Problem se iznosi na ploču, a sudionici iznose jednu po jednu ideju. Vođa skupine vodi sastanak i potiče članove na razmišljanje. Inačica ove metode je brainwriting pri kojoj se ideje umjesto usmeno iznose pismeno. Napisani se prijedlozi skupljaju i iznose na ploči. Nakon toga se može ponoviti prikupljanje ideja. Tehnika normirane grupe je u prvo fazi slična brainwriting-u . I tu se ideje zapisuju na papir, sakupljaju i zapisuju na ploču. Nakon toga slijedi rasprava o prijedlozima, rangiranjima po kvaliteti, te konačna odluka. Tehnike brainstorming, brainwriting i tehnika normirane grupe u procjeni rizika se koriste onda kada nema načina za utvrđivanje stvarnih parametara neke pojave, kako je npr. uzorak pojave rizika ili veličina rizika. Njihova je primjena najkorisnija kod otkrivanja problema i utvrđivanje mogućnosti njegova rješavanja kao što su utvrđivanje potencijalnih rizika, prijetnja , ali i kod utvrđivanja osobina onih pojava o kojima nama drugih izvora, npr. učestalost događaja prijetnja. Iako subjektivan proces, objektivnost mu daju sudionici koji raspravljaju o problemu i iznose ideje [14].
3.7.4 Analiza "Što - Ako" "Što - Ako" analiza je grafička tehnika koja se temelji na individualnom ili skupnom brainstorming-u. Sastoji se od :
� strukturiranja pitanja o potencijalnim događajima koji mogu prerasti u nesreće ili potaknuti sigurnosne probleme i
� utvrđivanja odgovarajućih sigurnosnih mjera prema utvrđenim problemima.
Radi se o tehnici izrade scenarija potencijalnih nesreća koju skupina stručnjaka utvrđuje i rješava isključivo na temelju iskustva, a grafičko strukturirani scenarij i utvrđivanje uzročno-posljedičnih veza olakšava izradu scenarija i otkrivanja mogućih opasnosti. "Što- Ako" analiza često se koriti u metodama procjene rizika, odlikuje ju sustavnost i relativno labava struktura, provodi se pojedinačno za svaki sustav ili aktivnost. Provodi se u više timova koji su odgovorni za pojedine dijelove sustava. Rezultat "Što- Ako" analize je popis opasnosti i potrebitih mjera zaštite. Rizik se utvrđuje utvrđivanjem relativnog odnosa između postojećih i potrebnih sigurnosnih kontrola [14].
U ograničenja "Što- Ako" analize ubrajaju se :
� mogućnost predviđanja problema – jer se temelji na znanju procjenitelja, � poteškoće pri početnom otkrivanju problema – može se riješiti nekom od metoda za
otkrivanje problema i � može se primijeniti samo s kvalitativnim podacima.
3.7.4.1 Primjer "Što - Ako" analize u procjeni rizika Primjer: Menadžment u organizaciji donio je zaključak da su najvažnija imovina sami zaposlenici. Radi smanjenja rizika za ljudski potencijal odlučeno je sprovesti procjenu rizika za pojedina kritična mjesta. Zbog nepotpunog poznavanja oblika prijetnje koje ugrožavaju kadrove kao ni način njihova smanjenja potrebna je tehnika koja omogućava razvoj događaja u obliku scenarija, a koja istovremeno strukturira problem i omogućuje pronalaženje rješenja. Upravo je "Što - Ako" analiza za rješavanje problema. Problem se rješava u nekoliko osnovnih koraka. Prvi korak analize odnosi se na definiciju promatranog sustava. Drugi korak
28
definira problem koji želimo riješiti analizom. Treći korak utvrđeni problem raščlanjuje na manje dijelove. U četvrtom se stvaraju hipotetička "Što - Ako" pitanja za svaki dio promatranog sustava. Ta su pitanja temelj daljnjih procjena kojim stručnjaci odgovaraju na postavljeno pitanje i pokušavaju riješiti problem. Kao konačan ishod dobije se rezultat u obliku tablice 3.7. koja sadrži niz preporuka za smanjenje rizika i popis potrebnih kontrola zaštite.
Tablica 3.7. "Što - Ako" analiza u procjeni rizika
Što - Ako Uvjet pojave Posljedice Mjere zaštite Preporuke Zaposlenik zatraži prekid radnog odnosa. Zaposlenik zaprijeti odlaskom iz firme.
Zaposlenik je dobio bolju ponudu. Zaposlenik je nezadovoljan uvjetima rada.
Zaposlenik odlazi u drugu konkurentnu firmu i odaje poslovne tajne. Znanja zaposlenika važna su za rad tvrtke pa je poslovni proces izgubio na neprekidnosti.
Ugovor o obvezatnom trajanju radnog odnosa. Onemogućiti zapošljavanje u trajanju od 5 godina nakon svojevoljnog prekida radnog odnosa. Posebno stimuliranje kritičnih zaposlenika. Trajni i tajni ugovori o plaćama.
Razviti jasnu sigurnosnu politiku, mjere i strategije zaštite. Pratiti aktivnosti mlađih zaposlenika. Financijski stimulirati vrijedne zaposlenike. Definirati posebne stavke u ugovoru o zaposlenju.
3.7.5 Annual Loss Expectancy ( ALE ) Metoda ALE standard je na području kvantitativne procjene rizika. U vrijeme njezinog nastanka osnovno su područje procjene rizika sigurnosti bila područja prirodnih i tehničkih nesreća te njihovo djelovanje na materijalnu imovinu, upravo zbog toga metoda nije primjenjiva na nematerijalnu imovinu informatičkog sustava. Zbog ovog ograničenja metoda ALE je izgubila na povjerenju. Usto procjena pa ALE metodi iziskuje dosta vremena zbog potrebnih proračuna, ali pojavom računala metoda je zaživjela i danas je sadržana u nekim metodama procjene rizika. No, osnovni je nedostatak nemogućnost procjene kvalitativne imovine. Temeljno je u metodi Annual Loss Expectancy da ona kombinira veličinu potencijalnog gubitka i vjerojatnost gubitka. Dobiveni iznos gubitka koristi se kao temelj za mjere zaštite troškova koji iz toga proizlaze [14]. Funkcija po kojoj se utvrđuje ALE glasi :
i
n
i
i FOIALE ∑=
=
1
)(
pri čemu su :
� {Oi, ... , On}= skup opasnih pojava, � I (Oi) = utjecaj pojave u financijskim veličinama,
29
� Fi = učestalost pojave.
3.7.5.1 Proračun rizika sigurnosti metodom ALE
Da bi pobliže objasnili ALE metodu najbolji način je to napravit na konkretnom slučaju.
Primjer : U poslovnoj organizaciji je utvrđeno da je jedna od najjačih prijetnja požar. Na temelju prijetnje trebamo odrediti procjenu rizika sigurnosti za računalnu opremu, tj. treba kvantitativno odrediti kolika je opasnost i kolika su potreban ulaganja u zaštitu, tablica 3.8.
Tablica 3.8. Popis imovine i pripadne financijske vrijednosti
Imovina
Fizičko oštećenje, uništenje ili krađa opreme
Fizičko oštećenje, uništenje ili krađa informacija
Ometanje ili prestanak rada servisa
Odgoda u primitku informacija
Neovlaštena promjena informacija
Umetanje lažnih podataka UKUPNO
Računala 40 000 40 000 Ostala oprema (telefoni, printeri...)
10 000 10 000
Papirnati dokumenti 15 000 2000 20 000 40 000 77 000
Dokumenti u elektroničkom obliku
10 000 1500 20 000 60 000 91 500
planovi 6000 700 15 000 40 000 61 700 kalkulacije 4000 800 5000 20 000 29 800
Proces 1 10 000 10 000 Proces 2 5000 5000 Proces 3 6000 6000 Financijski se gubici otkrivaju za :
� informacije – metodama koje omogućuju kombiniranu procjenu (kvantitativno/kvalitativno),
� opremu – financijsko izražavanje i � procese – procjena troška vremenske odgode, prekida i obnove njihova rada kao i
financijski gubici koji iz toga proizlaze.
Vjerojatnost je teže otkriti, ona se otkriva tako da se analiziraju utjecaji temperature na imovinu (jako zapaljive, zapaljive, slabo zapaljive, nezapaljive i sl.) i mogućnosti njenog zapaljenja ili oštećenja od povišene temperature. Uz sve to treba analizirati i postojeću protupožarnu zaštitu. Na kraju se analiziraju i povijesni podaci i dosadašnja iskustva. Na temelju navedenih faktora određuje se mogućnost nastanka požara. U procjeni gubitaka potrebno je i definirati nekoliko razina požara, totalni požar, jaka vatra, manje zapaljenje.
30
Tablica 3.9. Rezultat ALE procjene rizika Manje zapaljenje Jaka vatra Totalni požar UKUPNO
Vjerojatnost 0,15 0,1 0,05 Računala 6000 4000 2000 12000 Ostala oprema (telefoni, printeri...) 1500 1000 500 3000
Papirnati dokumenti 11 550 7700 3850 23100 Dokumenti u elektroničkom obliku
13725 9150 4575 27450
planovi 9255 6170 3085 18510 kalkulacije 4470 2980 1490 8940
Proces 1 1500 1000 500 3000 Proces 2 750 500 250 1500 Proces 3 900 600 300 1800
UKUPNO 49650 33100 16550 99300 Prema tablici 3.9 se jasno određuje kritična imovina, tj. imovina na kojoj bi nastali najveći gubici. Pokazatelj gubitaka je pokazatelj rizika pa je to osnova i za potrebne mjere smanjenje rizika. Ovakav pristup je koristan i zbog toga što procjenitelj neposredno vidi kolika su potrebna ulaganja u zaštitu koja ne smiju biti veća od potencijalnih gubitaka.
3.8 Kvalitativne i kvantitativne metode za analizu rizika U poglavlju 3.1.6 opisani su osnovni pristupi pojedinih metoda za analizu rizika. Da bi bolje razumjeli problematiku definirat ćemo osnovne pojmove. Kad se govori o informacijskoj sigurnosti, rizik (R) za pojedini resurs procjenjuje se procjenom njegove vrijednosti (eng.
Asset Value - AV), ranjivosti tog resursa (eng. Vulneravility - V), prijetnji koje mogu iskoristiti te ranjivosti (eng. Threat - T), vjerojatnosti ostvarenja prijetnji (eng. Probability - P) i posljedicama (eng. Impact - I) koje se mogu dogoditi ukoliko se određena prijetnja ostvari. Dakle rizik je funkcija koja ovisi o navedenim varijablama [16].
R = f (AV, V, T, P, I)
3.8.1 Kvantitativni pristup Kao što je već rečeno radi se o pristupu koji koristi egzaktne numeričke vrijednosti, tj. vrijednosti resursa prikazuju se u novčanim jedinicama. Ranjivost, prijetnje i posljedice u ovom se slučaju promatraju kao tzv. faktor izloženosti (EF) koji se izražava u postotku gubitka vrijednosti resursa u slučaju realizacije pojedinih prijetnji. Vjerojatnost, koja isto tako ovisi o ranjivosti i prijetnjama, se obično promatra u zadanom vremenskom intervalu, pa se u skladu sa tim i provodi kvantifikacija rizika za taj vremenski period.
R = AV × EF I, V, T × P V, T (1)
Npr. za resurs koji ima vrijednost od 100 000 kn, faktor izloženosti od 10 % i vjerojatnost od 0,05 u godinu dana rizik se može izračunati po formuli (1)
R =100 000×0.1×0.05 = 500 kn /god
Pozitivna stvar u ovom pristupu je što se na kraju analize dobiju konkretne vrijednosti izražene u novcu. No ovaj pristup nije adekvatan iz više razloga. Kao prvi, novčana vrijednost
31
resursa obično se određuje na temelju knjigovodstvene vrijednosti, što ne mora predstavljati pravu vrijednost resursa zbog zastarjelosti podataka ili nekih drugih razloga. Drugi problem kod ovog pristupa je problem određivanja faktora izloženosti informatičkog sustava, kojeg je u većini slučajeva praktički nemoguće odrediti. Upitno je i određivanje vjerojatnosti koju je prilično teško odrediti čak i slučajevima gdje se mogu pronaći statistički podaci te ono može dovesti do dodatnih unosa pogreške u procjenu rizika. Na osnovi spomenutih činjenica može se zaključiti da kvantitativan pristup u procjeni rizika nije prikladan, jer egzaktne numeričke vrijednosti dobivene kao rezultat procjene rizika nisu pouzdane zbog nepouzdanosti svih parametara koji se koriste za izračun.
3.8.2 Kvalitativni pristup Za razliku od kvantitativnog pristupa, kvalitativni pristup procjeni rizika ne koristi apsolutne vrijednosti parametara, nego kvalitativno uzima njihov utjecaj na rizik. Ovaj pristup zahtjeva iskustvo, stručnost i nadasve sposobnost osobe koja pristupa procjeni rizika. Procjena se provodi kvalitativno, no zbog lakše baratanje sa podacima oni se kvantificiraju. Za razliku od kvantitativnog pristupa, u ovom slučaju, tako dobivene numeričke vrijednosti nisu apsolutne već su relativne. Osim subjektivnosti kod ovakvog pristupa, te samim time i glavni uzrok nepouzdanosti, dodatan faktor koji može utjecati na pouzdanost rezultata je metoda kvantifikacije subjektivno procijenjenih parametara. Postoji priličan broj pristupa kvalitativnoj procjeni rizika. Ovaj rad obrađuje četiri metode koje se najčešće koriste. Svaka od metoda koristi neke od parametara navedenih u formuli :
R = f (AV, V, T, P, I)
Metode se razlikuju prema parametrima koje koriste, te prema načinu njihove kvantifikacije.
3.8.2.1 Metoda 1 – matrica predefiniranih vrijednosti Ova metoda za procjenu rizika koristi tri parametra: vrijednost resursa, prijetnje i ranjivosti. Svaki od tih parametara promatra se u odnosu na moguće posljedice, dok se prijetnje promatraju u odnosu na odgovarajuće ranjivosti R. Svi parametri se kvantificiraju proizvoljno prema vlastitim potrebama.
),,( ,,, PVIPII TVAVfR =
Za određivanje vrijednosti resursa koristi numeričke vrijednosti u rasponu od 0 (mala) do 4 (vrlo velika), dok se za kvantifikaciju ranjivosti i prijetnji koristi raspon od 0 (niska razina) do 2 (visoka razina). Razina rizika se određuje sumom vrijednosti parametara u navedenoj formuli :
TVAVR ++=
Tablica 3.10 prikazuje matricu predefiniranih vrijednosti.
32
Tablica 3.10. Matrica predefiniranih vrijednosti
Prijetnja 0 1 2 Ranjivost 0 1 2 0 1 2 0 1 2
0 0 1 2 1 2 3 2 3 4 1 1 2 3 2 3 4 3 4 5 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7
Vrijednost resursa
4 4 5 6 5 6 7 6 7 8 Na temelju definiranih vrijednosti mogu se izračunati minimalne i maksimalne vrijednosti procijenjenog rizika.
8
0
=++=
=++=
MAXMAXMAXMAX
MINMINMINMIN
TVAVR
TVAVR
Procijenjeni rizik može poprimiti sve cjelobrojne vrijednosti između RMIN i RMAX uključujući i minimalnu i maksimalnu vrijednost. Korištenje matrice predefiniranih vrijednosti omogućava proizvoljno rangiranje rizika prema njihovoj vrijednosti no ne prioritizira veće rizike. Kao još jedan nedostatak je što metoda eksplicitno ne koristi moguće posljedice i vjerojatnosti ostvarenja. Posljedice se implicitno koriste za procjenu veličina svih parametara, a vrijednosti prijetnji i ranjivosti trebale bi na neki način odgovarati vjerojatnosti realizacije pojedinih događaja. Praksa zahtijeva promatranje parove ranjivosti/prijetnje, pa je stoga određivanje vrijednosti za jedan i drugi parametar prilično dvojbeno.
3.8.2.2 Metoda 2 – rangiranje prijetnji prema procjeni rizika Kod ove metode funkcija rizika ovisi samo o dva parametra : utjecaj na resurs (vrijednost resursa) i vjerojatnost ostvarenja prijetnje. Implicitno se podrazumijeva da je utjecaj na resurs ekvivalentan vrijednosti resursa, dok se prijetnje promatraju u odnosu na odgovarajuće ranjivosti. Funkcija rizika (R) na taj način postaje ovisna o više parametara.
),( ,, TVTAV PIfR =
Kao i prethodna metoda i ovdje se definiraju rasponi vrijednosti za utjecaj (vrijednost resursa ) i vjerojatnost ostvarenja prijetnje. Moguće vrijednosti su u rasponu od 1 (mala) do 5 (vrlo velika). Razinu rizika određuje produkt tih dvaju parametra :
PIR ×=
Tablica 3.11. prikazuje matricu za procjenu rizika dobivenu na opisani način, zajedno sa rangiranim prijetnjama.
33
Tablica 3.11. Matrica rangiranih vrijednosti prema riziku
Utjecaj (vrijednost)
Vjerojatnost ostvarenja Rizik Rangiranje
prijetnji
Prijetnja A 5 2 10 2 Prijetnja B 2 4 8 3
Prijetnja C 3 5 15 1 Prijetnja D 1 3 3 5
Prijetnja E 4 1 4 4 Prijetnja F 2 4 8 3
Na temelju formule PIR ×= i raspona definiranih vrijednosti mogu se izračunati minimalna i maksimalna vrijednost procijenjenog rizika.
25
1
=×=
=×=
MAXMAXMAX
MINMINMIN
PIR
PIR
Procijenjeni rizik može poprimiti cjelobrojne vrijednosti između MINR i MAXR sa uključenim i
ovim vrijednostima, isključujući proste brojeve izvan raspona vrijednosti i njihove višekratnike. Rangiranje prijetnji procjenom rizika omogućava njihovu prioritizaciju u kasnijem postupku upravljanja rizikom. Nedostatak ove metode je što se za procjenu rizika koriste samo dva parametra , koji su implicitno funkcije više varijabli. Drugi nedostatak je u tome što ova metoda izjednačava vrijednosti resursa i mogućnosti utjecaja na resurs, što u nekim slučajevima nije točno.
3.8.2.3 Metoda 3 – procjena vjerojatnosti ostvarenja i mogućih posljedica Kod ove metode postupak procjene rizika provodi se u dva koraka. Prvo se definira vrijednost resursa koja se bazira na potencijalnim posljedicama u slučaju ostvarenja neke prijetnje. Nakon čega se na temelju ranjivosti i prijetnji određuje vjerojatnost ostvarenja (P).
),( TVfP =
Kao rezultat dobijemo rizik (R) kao kombinaciju vrijednosti resursa i vjerojatnosti ostvarenja prijetnji.
),( ,, TITV AVPfR =
Za određivanje vrijednosti resursa koristi se raspon od 0 (mala) do 4 (vrlo velika), a raspon od 0 (mala) do 2 (velika) koristimo za određivanje ozbiljnosti ranjivosti i prijetnji. Vjerojatnost ostvarenja (P) računa se kao suma procijenjenih veličina ranjivosti i prijetnji.
TVP +=
Rizik (R) se računa kao suma vrijednosti resursa i vjerojatnosti ostvarenja prijetnji.
TVAVPAVR ++=+=
Tablica 3.12. prikazuje matricu za određivanje vjerojatnosti ostvarenja prijetnje. Na temelju poznatih vjerojatnosti ostvarenja i poznatu vrijednost resursa, rizik se procjenjuje kroz definiranu matricu, tablica 3.13.
34
Tablica 3.12. Određivanje vjerojatnosti ostvarenja prijetnje
Prijetnja 0 1 2
Ranjivost 0 1 2 0 1 2 0 1 2
Vjerojatnost ostvarenja 0 1 2 1 2 3 2 3 4
Tablica 3.13. Matrica za procjenu rizika
Vrijednost resursa
Vjerojatnost ostvarenja
0 1 2 3 4
0 0 1 2 3 4 1 1 2 3 4 5 2 2 3 4 5 6 3 3 4 5 6 7 4 4 5 6 7 8
Procjenom vjerojatnosti ostvarenja prijetnji i moguće štete, omogućava se rangiranje rizika prema potencijalnim vrijednostima. Nedostatak ove metode je problematična nezavisna procjena razine prijetnje i rizika.
3.8.2.4 Metoda 4 – odvajanje prihvatljivih i neprihvatljivih rizika Kod ove metode rizik se procjenjuje u binarnom sustavu, kao prihvatljiv (0) ili neprihvatljiv (1). Način procjene rizika je vrlo sličan metodi 3, jednino je matrica procijenjenih vrijednosti u binarnom sustavu vrijednosti, tablica 3.14.
Tablica 3.14. Matrica prihvatljivog i neprihvatljivog rizika
Vrijednost resursa
Vjerojatnost ostvarenja
0 1 2 3 4
0 0 0 0 0 1 1 0 0 0 1 1 2 0 0 1 1 1 3 0 1 1 1 1 4 1 1 1 1 1
1
0
=
=
MAX
MIN
R
R
35
Ova metoda predstavlja varijaciju metode 3, procjena vrijednosti ostvarenja prijetnje i mogućih posljedica, ili metode 1, matrica predefiniranih vrijednosti, te tako nasljeđuje prednosti i nedostatke tih metoda.
3.8.2.5 Kratki osvrt na opisane pristupe za kvalitativnu procjenu rizika Nepostojanje konkretnih financijskih vrijednosti u procjeni rizika, može ali ne mora biti nedostatak u kvalitativnom pristupu, pošto se financijska analiza može provesti i kroz kasniji postupak upravljanja rizikom. Najveći nedostatak kvalitativne procjene rizika je u tome što se procjeni pristupa sa subjektivnog stajališta. Uz pretpostavku da manji broj parametara koji se moraju subjektivno odrediti proporcionalno umanjuju nepouzdanost rezultata kod procjene rizika, metoda 2 koja rizik procjenjuje na temelju svega dvije eksplicitne vrijednosti mogla bi se smatrati najpouzdanijom. Međutim treba uzeti u obzira da su parametri za procjenu rizika međusobno povezani, odnosno da se u opisanim metodama promatraju kao implicitne funkcije drugih parametara, pa se iz toga može utvrditi da baš te implicitne funkcije, pogotovo kad su ovisne o više varijabli, najviše utječu na nesigurnosti rezultata. Kod metode 2 oba parametra su implicitne funkcije sa više parametara, što ima veliki utjecaj na pouzdanost rezultata. Pozitivna strana ove metode je što se rizik procjenjuje kao produkt parametara, što kao rezultat daje pogodnu distribuciju vrijednosti, ta na taj način omogućava finije određivanje granica prihvatljivog ili neprihvatljivog rizika tj. jasniju prioritizaciju u procesu tretiranja rizika. Metoda 4 je kombinacija metoda 1 ili 3, te se neće podrobnije razmatrati. Metode 1 i 3 daju formalno iste rezultate procjene rizika. Metodi 3 možemo dati malu prednost u odnosu na metodu 1 zbog činjenice da se vjerojatnost ostvarenja prijetnje procjenjuje na temelju prijetnji i ranjivosti, kod metode 1 je to uključeno u samu procjenu razina ranjivosti i prijetnji. Kao što je već prije istaknuto, problem kod obje metode je u tome što se razina ranjivosti i prijetnji promatraju nezavisno, pošto je pouzdana nezavisna procjena tih vrijednosti iskustveno vrlo teška.
3.8.2.6 Modificirana metoda za kvalitativnu procjenu rizika Iz prethodnih razmatranja može se zaključiti da svaka od navedenih metoda ima određene nedostatke koji mogu uzrokovati nepouzdanost rezultata procjene rizika. Zbog toga se predlaže korištenje modificirane metode za procjenu rizika koja koristi dobra, a odbacuje loša svojstva opisanih metoda.
1. Pretpostavke modificirane metode za kvalitativnu procjenu rizika :
� svakom resursu se pridjeljuje vrijednost, � ranjivost za svaki resurs postoji ili ne postoji, � prijetnja i ranjivost su zavisni parametri (ako postoji ranjivost sustava onda
postoji barem jedna prijetnja koja je može iskoristiti), � prijetnja ima vjerojatnost ostvarenja koja ovisi o okolnostima i � prijetnja ima moguće posljedice čija veličina ovisi i o okolnostima u kojim se
sustav nalazi.
2. Procjena rizika :
Na temelju prethodnih pretpostavki rizik se može prikazati kao funkcija :
)(),,,( VfTIPAVfR TT ==
Uočimo da su svi parametri funkcija najviše jedne varijable, što osigurava jednoznačnost i jednostavnost interpretacije.
36
Rizik se definira sljedećom funkcijom :
TT IPAVR ∗∗=
Raspon vrijednosti koje svaki od parametara može poprimiti je proizvoljan, radi jednostavnosti i moguće usporedbe sa drugim metodama koristi se skala od 5 vrijednosti za vrijednost resursa, te skale od 3 vrijednosti za vjerojatnost ostvarenja prijetnji i moguće posljedice. U odnosu na metodu 1 ovdje vrijednosti počinju od 1 zbog uklanjanja mogućih nul vrijednosti. Tablica 3.15. prikazuje matricu za procjenu rizika.
Tablica 3.15. Matrica za procjenu rizika
Vjerojatnost 1 2 3 Prijetnja
Posljedica 1 2 3 1 2 3 1 2 3
1 1 2 3 2 4 6 3 6 9
2 2 4 6 4 8 12 6 12 18
3 3 6 9 6 12 18 9 18 27
4 4 8 12 8 16 24 12 24 36
Vrijednost resursa
5 5 10 15 10 20 30 15 30 45
Na temelju predloženih raspona vrijednosti mogu se prema formuli TT IPAVR ∗∗=
Izračunati minimalna i maksimalne vrijednosti procijenjenog rizika.
45**
1**
==
==
MAXMAXMAXMAX
MINMINMINMIN
TVAVR
TVAVR
Procijenjeni rizik može poprimiti vrijednosti između MINR i MAXR , uključujući i njih,
isključujući proste brojeve izvan raspona vrijednosti parametara i njihove višekratnike.
37
4. Opcije za smanjenje rizika Smanjenje rizika identificiranih u procesu procjene rizika može se postići na sljedeće načine :
� Smanjenje rizika – pristup koji podrazumijeva implementaciju odgovarajućih sigurnosnih kontrola koje smanjuju identificirani rizik.
� Prenošenje rizika – u ovom slučaju se rizik i troškovi u slučaju njegove realizacije prenose na drugu organizaciju
� Prihvaćanje rizika – postupak kojim se identificirani rizik prihvaća kao takav bez implementacije ikakvih sigurnosnih kontrola. Ovaj pristup se primjenjuje ukoliko cost/benefit analize pokažu da je veći trošak ulagati u zaštitu resursa, nego što predstavlja njegov gubitak. Odluka o prihvaćanju rizika predstavlja veliku odgovornost i redovito zahtijeva pismeno izvješće o tome tko je odgovoran i zašto nisu implementirane nikakve sigurnosne kontrole.
� Odbacivanje rizika – postupak koji podrazumijeva zanemarivanje sigurnosnog rizika. Svjesno ignoriranje rizika u nadi da on nikad neće biti realiziran potpuno je neprihvatljivo i ne smije se provoditi ni u kojem slučaju.
Koji od postupaka primijeniti ovisi o menadžmentu organizacije. Nakon implementacije sigurnosnih kontrola ostaje rizik kojeg nazivamo rezidualnim rizikom, on podrazumijeva sve one prijetnje i ranjivosti za koje se smatra da ne zahtijevaju dodatni tretman u pogledu smanjenja postojećeg rizika. Rezidualni rizika nastaje kao posljedica cost/benefit analize kojom je ustanovljeno da su troškovi implementacije sigurnosnih kontrola veći od troškova u slučaju uspješne realizacije prijetnje [10] [13] [23].
Rezidualni rizik = Inicijalni rizik – Implementirane kontrole
4.1 Rukovanjem rizicima Kao što je već spomenuto, prilikom implementacije sigurnosnih kontrola potrebno je držati se nekoliko pravila :
� Rizik uklanjati prema prioritetu. � Implementirati ona rješenja koja su financijski najprihvatljivija, koja rezultiraju što
efikasnijim i pouzdanijim kontrolama sa minimalnim utjecajem na poslovanje organizacije.
Smanjivanje rizika trebalo bi obuhvatiti sljedeće radnje :
Korak 1 : Određivanje prioriteta akcija
Korak 2 : Evaluacija preporučenih sigurnosnih kontrola
Korak 3 : Provedba analize isplativosti (dobiveno/uloženo)
Korak 4 : Odabir sigurnosnih kontrola
Korak 5 : Dodjeljivanje odgovornosti
Korak 6 : Razrada plana za implementaciju sigurnosnih kontrola
Korak 7 : Implementacija odabranih kontrola
Slika 4.1. prikazuje faze koje su potrebne za smanjenje rizika.
38
Slika 4.1. Koraci za smanjenje rizika
4.1.1 Određivanje prioriteta akcija Prioriteti provođenja aktivnosti određuju se na temelju razina rizika sadržanih u ljestvici rizika i u izvješću o procjeni rizika. Na mjestima na kojima je identificiran sigurnosni rizik visoke razine, neprihvatljiv u pogledu izvršenja poslovnih ciljeva organizacije, potrebno je prvo krenuti sa provođenjem sigurnosnih kontrola za reduciranje rizika. Određivanje liste prioriteta posebno je važan korak kako bi se sigurnosni rizik uklonio sa onih mjesta gdje je najpotrebnije i koja imaju najveću važnost za funkcioniranje organizacije. Neprikladan odabir aktivnosti, prilikom implementacije sigurnosnih kontrola, može kritične komponente sustava nepotrebno dugo izlagati različitim prijetnjama. Upravo zbog tog razloga je vrlo važno da se kao prvi korak umanjivanja sigurnosnog rizika napravi lista prioritetnih zadataka, kojim će se definirati redoslijed uklanjanja sigurnosnog rizika prema kritičnosti.
Rezultat : popis aktivnosti ocjenjenih prema prioritetima
39
4.1.2 Evaluacija preporučenih sigurnosnih kontrola U ovom koraku potrebno je detaljno analizirati preporučene kontrole koje su dobivene kao rezultat osmog koraka u procesu procjene rizika (Korak 8: Preporuka kontrola za umanjivanje rizika (eng. Control Recommendation)). Neke od preporuka mogu biti zbog određenih razloga neprikladne ili neizvedive za pojedinu organizaciju ili informacijski sustav. Ograničenja koja se javljaju mogu biti različite prirode; od onih ne-tehničkih, tehničkih, pa do pravnih kao što su zakonske regulative. Cilj ovog koraka je odabrati najprikladnije mjere kako bi se rizik smanjio na prihvatljivu razinu. Prilikom odabira sigurnosnih kontrola treba uzeti u obzir kompatibilnost sa ranijim rješenjima, edukaciju korisnika, poslovne ciljeve , u kolikoj se mjeri umanjuje rizika implementacijom preporučenih kontrola i sl.
Rezultat : popis prikladnih mjera
4.1.3 Provedba analize isplativosti (dobiveno/uloženo) Analiza isplativosti prikladnih mjera provodi se kako bi se olakšalo donošenje odluka i utvrdila isplativost provođenja navedenih mjera. Svrha takve analize jest utvrđivanje mjera čiji će troškovi provođenja biti opravdani smanjenjem rizika na prihvatljivu razinu. Kao i kod procjene rizika, cost/benefit (uloženo/dobiveno) analiza može biti kvalitativna i kvantitativna. Bez obzira o kojoj se vrsti analize radi cilj je isti : pokazati da se implementacijom odgovarajućih sigurnosnih kontrola isplati u odnosu na potencijalne gubitke u slučaju realizacije pojedinog rizika. Prilikom razmatranja mogućih novih sigurnosnih kontrola u okviru analize dobivenog uloženog treba razmotriti sljedeće :
� analiza utjecaja novih kontrola na poslovanje organizacije, � analiza posljedica u slučaju NE implementiranja preporučenih sigurnosnih kontrola, � procjena troškova implementacije, � troškovi sklopovlja i programa, � troškovi uvođenja nove sigurnosne politike, � troškovi zapošljavanja novog osoblja za rukovanje sustavom, � troškovi edukacije, � troškovi održavanja....
Rezultat : izvješće o analizi isplativosti koja opisuje troškove i prednosti provođenja
sigurnosnih mjera ili razloge zbog kojih sigurnosne mjere nisu isplative
4.1.4 Odabir sigurnosnih kontrola Na temelju rezultata analize isplativosti (cost/benefit) menadžment donosi konačnu odluku o implementaciji najisplativijih i najefikasnijih kontrola.
Rezultat : popis odabranih sigurnosnih mjera za smanjenje rizika
40
4.1.5 Dodjeljivanje odgovornosti Svrha ovog koraka je odabir osoba (zaposlenika, vanjskih suradnika i sl.) koje raspolažu određenim znanjima i vještinama potrebnim za provođenje odabranih sigurnosnih mjera te dodjeljivanje odgovornosti za provođenje mjera. Za uspješnu realizaciju ciljeva podjela odgovornosti moraju biti što jasnija.
Rezultat : popis dodijeljenih odgovornosti vezanih uz implementaciju odabranih
sigurnosnih mjera
4.1.6 Razrada plana za implementaciju sigurnosnih kontrola Nakon odabranih kontrola potrebno je razraditi temeljiti plan koji će omogućiti njihovu implementaciju. Provođenje odabranih mjera ostvaruje se uvođenjem novih ili izmjenom postojećih kontrola. Plan treba minimalno sadržavati :
� rizike (pripadne parove ranjivost-prijetnja) i pripadajuće nivoe rizika (rezultat izvješća o procjeni rizika),
� predložene mjere (rezultat izvješća o predloženim mjerama za smanjene rizika), � prioritetne akcije, � odabrane mjere (na temelju popisa odabranih mjera za smanjenje rizika), � resurse potrebne za implementaciju odabranih sigurnosnih kontrola, � datum početka implementacije, � datum završetka implementacije i � popis odgovornih osoba.
Rezultat : plan provođenja odabranih mjera
4.1.7 Implementacija odabranih kontrola Ovaj korak podrazumijeva sam postupak implementacije sigurnosnih kontrola. Njihova implementacija sigurnosni rizik smanjuje rizik na određenu razinu pri čemu ostaje rezidualni rizik (slika 4.2.), za kojeg su analize pokazale sa ga se ne isplati uklanjati. Implementacijom novih ili poboljšanje postojećih kontrola rizik može biti umanjen na sljedeći način :
� eliminacijom ranjivosti u sustavu, � smanjenje motiviranosti napadača i � smanjenje potencijalnih gubitaka u slučaju realizacije napada.
41
Slika 4.2. Rezidualni rizik
42
4.2 Norma ISO/IEC 17799 U cilju kompletne zaštite informacijskih sustava definirane su različite norme kojima se na različite načine nastoje obuhvatiti kompletni sustavi za upravljanje sigurnošću, ili neki njegovi aspekti. Među svim normama, na međunarodnom planu ipak se najviše prihvaća ISO17799/BS7799, što se ponajviše odnosi na Europu i Japan, a donekle i Australiju. Razlog prihvaćenosti ove norme jest što osigurava fleksibilnost, definira upravljački okvir, a ne zadire u konkretnu tehničku implementaciju, što je čini primjenjivom u organizacijama različitih tehničkih sustava, iz različitih sektora te različitih veličina. Prva inačica ISO 17799 norme je iz 2000 godine koja je bila prva međunarodna (ISO) norma vezana uz upravljanje informacijskom sigurnošću, koncepti definirani u tom dokumentu postali su široko prihvaćenima, tako da je za opis i razumijevanje novije verzije ISO 17799:2005 norme prvo potrebno opisati njegovu prethodnu inačicu [6] [8] [11] [17].
4.2.1 Norma ISO 17799:2005 Osnovni elementi informacijske sigurnosti koje ISO17799:2005 definira prikazani su na slici 4.3. :
Slika 4.3. Osnovni elementi informacijske sigurnosti
Pojmovi raspoloživosti, integriteta i povjerljivosti detaljnije su opisani u poglavlju 2.2. Osim toga, ISO 17799:2005 definira i pojmove procjene rizika, kao i upravljanja rizikom. Norma u uvodnom dijelu donosi i kritične faktore uspjeha za implementaciju sustava za upravljanje informacijskom sigurnosti:
� sigurnosna politika, ciljevi i aktivnosti koji odražavaju poslovne ciljeve, � pristup implementaciji sustava za upravljanje sigurnošću koji odgovara
organizacijskoj kulturi, � podrška uprave, � razumijevanje sigurnosnih zahtjeva, procjena rizika i upravljanje rizikom, � efikasno prezentiranje sigurnosti upravi i zaposlenicima,
43
� distribucija svih relevantnih dokumenata, � osiguranje odgovarajuće naobrazbe i � balansiran sustav za mjerenje i evaluaciju sustava sigurnosti, te njegovo
unapređivanje.
Čitava norma, osim dva uvodna poglavlja, bazirana je na 10 sigurnosnih kategorija kojima se nastoji pokriti sve aspekte informacijske sigurnosti:
1. Sigurnosna politika (eng. Security Policy);
2. Organizacijska sigurnost (eng. Organizational Security);
3. Klasifikacija i upravljanje resursima (eng. Asset Classification and Control);
4. Osobna sigurnost (eng. Personnel Security);
5. Fizička sigurnost (eng. Physical and Environmental Security);
6. Upravljanje komunikacijama i operacijama (eng. Communications and Operations);
7. Kontrola pristupa (eng. Access Control);
8. Razvoj i održavanje sustava (eng. Systems Development and Maintenance);
9. Upravljanje kontinuitetom poslovnih procesa (eng. Business Continuity
Management);
10. Usklađenost sa zakonskim i drugim propisima (eng. Compliance).
Svaka od navedenih 10 sigurnosnih kategorija definira sigurnosne ciljeve koje treba ispuniti (eng. control objectives), te kontrole (eng. controls) koje se mogu primijeniti za ispunjenje tih ciljeva. Norma ukupno definira 36, odnosno 37 ciljeva i 127 mogućih kontrola za njihovo ispunjavanje. Obzirom da su se tehnologije, ali i ukupni pogled na informacijsku sigurnost mijenjali, norma je u nekim svojim dijelovima postala nedostatna, bez obzira što ni u jednom svom dijelu ne definira tehnološke zahtjeve, već samo koncepte sigurnosti, te je njezina revizija postala nužna, pa tako nastaje nova norma ISO17799:2005.
Pojmovi i definicije :
� resurs (eng. asset) – ono što ima vrijednost za organizaciju, � kontrola (eng. control)– načini upravljanja rizicima, što podrazumijeva politike,
procedure, upute, organizacijske strukture koje mogu biti administrativne, tehničke, upravljače ili pravne,
� uputa (eng. guideline) – opis koji pojašnjava što i kako treba činiti da se postignu ciljevi definirani politikama,
� sustavi za obradu informacija (eng. information processing facilities) – svaki sustav koji služi za obradu informacija,
� informacijska sigurnost (eng. information security) – uključuje tri osnovna elementa sigurnosti (povjerljivost, integritet i raspoloživost), a također može uključivati i druge elemente kao što su autentičnost, mogućnost praćenja, neporecivost i pouzdanost.
� sigurnosni događaj (eng. information security event) – svaki događaj koji može indicirati narušavanje sigurnosne politike,
� sigurnosni incident (eng. information security incident) – jedan ili više sigurnosnih događaja koji mogu narušiti poslovanje i ugroziti informacijsku sigurnost,
� politika (eng. policy) – opća namjera i usmjerenje formalno oblikovano od uprave,
44
� rizik (eng. risk) – kombinacija (produkt) vjerojatnosti nekog događaja i njegovih posljedica,
� analiza rizika (eng. risk analysis) – sistematično korištenje relevantnih izvora da bi se procijenio rizik,
� vrednovanje rizika (eng. risk evaluation) – proces usporedbe procijenjenih rizika obzirom na dane kriterije, a u cilju određivanja ozbiljnosti rizika,
� procjena rizika (eng. risk assessment) – proces analize i vrednovanja rizika, � upravljanje rizikom (eng. risk management) – koordinirane aktivnosti koje imaju cilj
usmjeravati organizacijske aktivnosti i osigurati kontrolu rizika; upravljanje rizikom tipično uključuje procjenu rizika, umanjivanje rizika, prihvaćanje rizika i komunikaciju,
� umanjivanje rizika (eng. risk treatment) – proces odabira i implementacije mjera za umanjivanje rizika,
� treća strana (eng. third party) – osoba ili organizacija neovisna od strana koje rješavaju neko pitanje,
� prijetnja (eng. threat) – potencijalni uzrok neželjenog događaja koji može rezultirati štetom za sustav ili organizaciju,
� ranjivost (eng. vulnerability) – ranjivost resursa ili grupe resursa koja može biti iskorištena od strane prijetnji.
4.2.2 Struktura norme ISO 17799:2005 strukturiran je slično kao i njegova inačica iz 2000. godine. Za razliku od prethodne inačice, norma definira 11 glavnih sigurnosnih kategorija u odnosu na ranijih 10:
1. Sigurnosna politika (eng. Security Policy);
2. Organiziranje informacijske sigurnosti (eng. Organizing Information Security);
3. Upravljanje resursima (eng. Asset Management);
4. Sigurnost ljudskih resursa (eng. Human Resources Security);
5. Fizička sigurnost (eng. Physical and Environmental Security);
6. Upravljanje komunikacijama i operacijama (eng. Communications and Operations
Management);
7. Kontrola pristupa (eng. Access Control);
8. Nabava, razvoj i održavanje informacijskih sustava (eng. Information Systems
Acquisition, Development and Maintenance);
9. Upravljanje sigurnosnim incidentima (eng. Information Security Incident
Management);
10. Upravljanje kontinuitetom poslovnih procesa (eng. Business Continuity Management);
11. Usklađenost sa zakonskim i drugim propisima (eng. Compliance).
45
Slika 4.4. prikazuje sličnosti i razlike stare i nove inačice ISO norme.
Slika 4.4. Usporedba ISO 17799 :2000 i ISO 17799 :2005 U suštini, sigurnosne kategorije koje su postojale u prethodnoj inačici norme su dopunjene, a nekima su, u skladu s tim dopunama, izmijenjeni nazivi. Jedina značajna dopuna sigurnosnih kategorija odnosi se na upravljanje sigurnosnim incidentima, koja u prethodnoj inačici norme nije postojala. Nova inačica norme zadržava definiciju sigurnosnih ciljeva i kontrola, no dodaje i dva nova elementa : upute za implementaciju (eng. implementation guidance) i općenitu kategoriju "ostalih informacija" koja sadrži dodatne informacije koje mogu biti relevantne za pojedinu kontrolu.
4.2.2.1 Sigurnosna politika Sigurnosna politika predstavlja temelj za implementaciju informacijske sigurnosti unutar neke organizacije. Sigurnosna politika je hijerarhijski strukturirani dokument koji se sastoji od više međusobno povezanih elemenata. Osnovni elementi globalnog dokumenta sigurnosne politike su :
� politike, � standardi, � preporuke i � procedure.
46
Cilj ove kontrole je dati smjernice za upravljanje informacijskom sigurnošću u skladu s poslovnim zahtjevima organizacije i relevantnim zakonima i propisima. Uprava definira jasnu sigurnosnu politiku koja je usklađena sa ciljevima organizacije i koja pruža potporu informacijskoj sigurnosti na svim razinama organizacije.
4.2.2.2 Organiziranje informacijske sigurnosti Ova kategorija obuhvaća upravljanje informatičkom sigurnošću unutar i van organizacije.
A . Upravljanje informacijskom sigurnošću unutar organizacije
Kako bi se ostvario odgovarajući stupanj informacijske sigurnosti unutar organizacije potrebno je izraditi okvir za inicijalizaciju i kontrolu implementacije informacijske sigurnosti. Uprava treba odobriti sigurnosnu politiku, dodijeliti sigurnosne uloge i koordinirati implementacijom sigurnosnih mehanizama. Često je korisno surađivati sa specijalistima na području računalne sigurnosti izvan organizacije i poticati multidisciplinarni pristup računalnoj sigurnosti.
B . Upravljanje informacijskom sigurnošću unutar organizacije.
Upravljati sigurnošću informacija i sredstava za obradu informacija kojima pristupaju vanjski suradnici. Na informacijsku sigurnost organizacije ne smiju utjecati proizvodi i usluge koje pružaju vanjski suradnici. Svaki pristup informacijama od strane vanjskih suradnika treba biti kontroliran. U svakoj organizaciji u kojoj postoji suradnja s vanjskim strankama, provodi se procjena rizika da bi se utvrdili sigurnosni zahtjevi takve suradnje. U dogovoru s vanjskim suradnicima potrebno je uvesti odgovarajuće kontrole.
4.2.2.3 Upravljanje resursima
Kategorija upravljanje resursima podijeljena je na dva dijela :
A. Odgovornost za imovinu i B. Klasifikacija informacija
A. Odgovornost za imovinu
Cilj je postići i održati prikladnu razinu zaštite organizacijske imovine. Svako sredstvo treba imati nominalnog vlasnika koji će odgovarati za njega. Vlasnici trebaju biti imenovani za svu imovinu, kao i za održavanje upotrijebljenih kontrola. Implementaciju kontrola vlasnik može dodijeliti nekom delegatu, ali on i dalje ostaje odgovoran za zaštitu imovine. Norma naglašava da se moraju identificirati SVI informacijski resursi, a nakon toga izdvojiti lista BITNIH informacijskih resursa. Norma prepoznaje i eksplicitno definira nove kategorije resursa:
� ljude, � njihovo znanje, � stručnost i kvalifikacije � image i � reputaciju organizacije.
B. Klasifikacija informacija
Treba osigurati prikladnu razinu zaštite informacija. Informacije se klasificiraju da bi se odredila potreba, prioritet i očekivani stupanj zaštite prilikom korištenja informacija. Informacije imaju varijabilan stupanj osjetljivosti i kritičnosti. Neke informacije zahtijevaju dodatnu razinu zaštite. Klasifikacijska shema se upotrebljava za definiranje prikladne razine zaštite.
47
4.2.2.4 Sigurnost ljudskih resursa Pod sigurnosnim normama vezanim uz ljudske resurse podrazumijeva se sigurnosna provjera osoblja kao predradnja dodjeljivanju ovlaštenja u obavljanju poslova. Osobe koje po svojim ovlaštenjima imaju pristup informacijama koje su klasificirane kao povjerljivo moraju biti provjerene na odgovarajući način prije nego li im se omogući pristup takvim informacijama. Sigurnosna provjera osoblja treba se provoditi i u slučaju kada osoba ima zaduženja koja uključuju tehničke operacije ili održavanje komunikacijskih i informacijskih sustava, a sadrže klasificirane informacije. Postupak treba biti oblikovan tako da se osiguraju provjere zadovoljava li pojedinac slijedeće kriterije:
� neupitnu lojalnost i � diskreciju i integritet pri rukovanju klasificiranim informacijama.
Lojalnost, povjerljivost, pouzdanost i vjerodostojnost karakteristike su pojedinca kojem se može dati ovlaštenje za pristup povjerljivim informacijama, a da to ne predstavlja neprihvatljiv rizik za sigurnost informacija. Posebnu pažnju treba posvetiti procedurama koje propisuju temeljitu provjeru osoba koje:
� imaju pristup strogo povjerljivim informacijama, � obavljaju poslove koje uključuju konstantan pristup većem broju tajnih informacija
i � izvršavaju dužnosti koje zahtijevaju pristup kritičkim komunikacijskim ili
informacijskim sustavima te imaju mogućnost ostvariti neovlašten pristup velikom broju klasificiranih informacija ili mogu nanijeti veliku štetu svojim akcijama ili tehničkom sabotažom.
Sve ustanove, tijela i servisi koji rukuju klasificiranim informacijama ili održavaju kritične komunikacijske i informacijske sustave moraju održavati zapise o sigurnosnoj provjeri osoblja te ovlaštenjima koja su dodijeljena pojedincu. Sve osobe na funkcijama koje omogućuju pristup klasificiranim informacijama trebaju biti detaljno upućene u posao koji obavljaju. Upute se trebaju ponavljati u određenim vremenskim intervalima kako bi se osigurala sigurnost provođenja procedura za izvršenje posla. Preporučljivo je uključiti proceduru prema kojoj je osoblje dužno vlastoručnim potpisom potvrditi potpuno razumijevanju sigurnosnih odredbi koji se odnose na obavljanje poslova. Dužnost uprave je nadgledati osoblje koje ima pristup klasificiranim informacijama te pristup kritičnim komunikacijskim ili informacijskim sustavima. Također, uprava mora nadgledati i podnositi izvješća o svakom incidentu ili uočenim ranjivostima.
4.2.2.5 Fizička sigurnost Fizička sigurnost obuhvaća primjenu fizičkih i tehničkih mjera zaštite na mjestima, u zgradama i prostorima koji zahtijevaju zaštitu od gubitaka ili kompromitacije povjerljivih informacija. Uloga ovih mjera je sprječavanje nedopuštenog i nasilnog ulaska neovlaštenih osoba, te odvraćanje, otkrivanje i reagiranje na djelovanje neovlaštenih osoba. Mjere fizičke sigurnosti obuhvaćaju i zaštitu informacija (infrastrukture) uslijed prirodnih pojava (požara, poplave, potresa, oluje), ali i brigu oko osiguranja adekvatnih uvjeta (temperatura, vlaga, neprekidno napajanje, zračenje) i odabira pozicije prostorija. Definiranje obima fizičkih i tehničkih mjera zaštite treba biti usklađeno sa stupnjem tajnosti podataka, vjerojatnošću prijetnje i količinom informacija koje se moraju zaštititi. U prostorima u kojima se rukuje povjerljivim podacima utvrđuju se načela klasifikacije prostora na sigurnosne zone i administrativne zone. Fizička sigurnost provodi se ugradnjom fizičkih prepreka, sustava za
48
otkrivanje neovlaštenog pristupa te sustava za kontrolu ulaska i izlaska. Fizička sigurnost provodi se nadalje angažiranjem stražarske službe te vršenjem pretresa, pratnje i nadzora posjetitelja. Iako samo donekle promijenjenog imena, ova kategorija značajno je promijenjena. U prethodnoj inačici norme toj kategoriji (Osobna sigurnost) bili su definirani ciljevi sigurnosti u definiciji poslova (eng. Security in job definition and resourcing), obuci korisnika (eng. User training) i ponašanju u slučaju sigurnosnih incidenata (eng. Responding
to security incidents). Nova inačica norme sigurnosne ciljeve i odgovarajuće kontrole definira kronološki:
� Prije zapošljavanja (eng. Prior to employment). � Tijekom radnog odnosa (eng. During employment). � Prestanak radnog odnosa (eng. Termination or change of employment).
Ciljevi koji se odnose na trajanje radnog odnosa i prestanak radnog odnosa, dodane su kontrole koje se odnose na odgovornost uprave, odgovornosti pri prestanku radnog odnosa, vraćanje resursa i uklanjanje prava pristupa. Može se uočiti da je norma uvažila primjere iz prakse, gdje se pokazuje da pri prestanku ili prekidu radnog odnosa sigurnosni zahtjevi uglavnom nisu sagledani u potpunosti. To se posebno se odnosi na uklanjanje prava pristupa informacijskim sustavima [22].
4.2.2.6 Upravljanje komunikacijama i operacijama Upravljanje komunikacijama i operacijama najopsežnija je kategorija nove inačice norme. Od sigurnosnih ciljeva iz prethodne inačice norme uz određene promjene zadržani su sljedeći:
� Operativna odgovornost i procedure (eng. Operational procedures and
responsibilities). Cilj je osigurati ispravno i sigurno djelovanje resursa u obradi informacija. Potrebno je utemeljiti odgovornosti i procedure za upravljanje i rad informacijskih sredstava. To uključuje razvoj prikladnih operativnih procedura. Razdvajanje dužnosti se uvodi kad je to prikladno kako bi se reducirao rizik od zanemarivanja ili namjerne zlouporabe sustava..
� Planiranje novih sustava (eng. System planning and acceptance). Zadatak ove kontrole je minimizirati rizik od kvarova sustava. Prije planiranja i priprema za izgradnju novog sustava potrebno je prikupiti adekvatne resurse i kapacitete kako bi se mogao početi izgrađivati sustav potrebitih performansi. Jedan od zahtjeva koji se nalaže za buduće sustave uključuje smanjenje rizika od preopterećenja sustava.
� Zaštita od zlonamjernih programa (eng. Protection against malicious software). Cilj je zaštititi integritet programa i informacija. Predostrožnost je potrebna za prevenciju i detekciju zloćudnog koda te neautoriziranig prenosivog koda. Programi i resursi za obradu informacija su ranjivi na zloćudne kodove, mrežne crve, Trojanski konji i logičke bombe. Korisnici bi trebali biti upoznati sa opasnostima zloćudnog koda, a menađeri bi trebali, gdje je potrebno, uvesti kontrole za prevenciju, detekciju i uklanjanje zloćudnih kodova i nadgledati prenosive kodove.
� Zaštita od zlonamjernog i mobilnog koda (eng. Protection against maliciousand
mobile code). Cilj je zaštititi integritet informacija i programske opreme. Mjere opreza služe za prevenciju i detekciju zloćudnog koda i neautoriziranog mobilnog koda. Informacije i informacijska sredstva su ranjivi na pojave zloćudnog koda poput virusa, mrežnih crvi, trojanskih konja i logičkih bombi. Korisnici moraju biti svjesni opasnosti od zloćudnog koda. Menadžeri trebaju, gdje je to moguće, uvesti kontrole za prevenciju, detekciju i uklanjanje zloćudnog i mobilnog koda.
� Zaštita mrežne infrastrukture informacijskog sustava (eng. Network management – u staroj inačici, Network security management u novoj inačici). Cilj ove kontrole je
49
zaštita informacija u mrežama te osigurati pripadnu infrastrukturu. Upravljanje sigurnošću mreža zahtjeva pažljivo razmatranje toka podataka, legalnih implikacija, nadzor i zaštitu. Često su potrebno dodatne kontrole da bi se zaštitile osjetljive informacije koje prolaze kroz javne mreže.
� Sigurnost i rukovanje medijima (eng. Media handling). Kontrola kojoj je temeljna zadaća zaštita od neovlaštenih otkrivanja, modificiranja, premještanja ili uništavanja medija pohrane informacija. Mediji moraju biti kontrolirani i fizički zaštićeni, te moraju biti definirani postupci zaštite dokumenata, računalnih medija (diskova, vanjskih memorija ....), ulazno/izlaznih informacija i sistemskih dokumenata od neovlaštenog otkrivanja, modificiranja, premještanja i uništenja.
Osim navedenih ciljeva iz prethodne inačice norme, nova norma definira ciljeve koje stara norma nije poznavala u tom obliku:
� Upravljanje vanjskim sustavima (eng. External facilities management). Cilj je implementirati i očuvati odgovarajuću razinu sigurnosti informacija i servisa isporučenih od strane vanjskog sustava.
� Sigurna pohrana podataka (eng. Back-up).Cilj je osigurati integritet i raspoloživost informacija informacijskih sredstava. Potrebno je utemeljiti rutinske procedure za implementaciju dogovorene politike sigurnosnih kopija i strategije za stvaranje kopija podataka i testiranje njihova obnavljanja u realnom vremenu.
� Razmjena informacija (eng. Exchange of information). Cilj ove kontrole je sačuvati sigurnost informacija i programa izmijenjenih unutar organizacije i sa bilo kojim vanjskim subjektom. Takva razmjena informacija i programa treba se bazirati na formalnoj politici razmjene i mora biti suglasna sa bilo kojim relevantnim zakonom. Procedure i standardi moraju biti postavljeni tako da štite informacije i sadrže fizičku zaštitu kod prijenosa pomoću raznih medija (cd, dvd, usb-stick, vanski diskovi i sl.).
� Elektroničko poslovanje (eng. Electronic commerce services). Temeljna zadaća ove kontrole je osigurati sigurnost u elektroničkom poslovanju te osigurati raspoloživost poslovnih procesa. Potrebno je osigurati sigurno on-line poslovanje i korištenje elektroničkih povezanih usluga. Važna pretpostavka takvih sustava je integritet i raspoloživost informacija u elektroničkom obliku koje su dostupne na javnim sustavima.
� Nadgledanje sustava (eng. Monitoring). Zadaća ove kontrole je detekcije neovlaštenih aktivnosti u sustavu. Svaki sustav bi trebao detektirati i bilježiti sve aktivnosti u sustavu. Datoteke sa zapisima o korištenju sustava i greškama sustava se upotrebljavaju kako bi se identificirali problemi informacijskog sustava. Nadzor sustava služi za provjeru efektivnosti kontrola i verifikaciju usklađenosti s modelom sigurnosne politike.
4.2.2.7 Kontrola pristupa Kontrola pristupa štiti mrežu, opremu i podatke od neovlaštenog pristupa ili zlouporabe. Također, brine o sigurnosti i privatnosti svih korisnika na mreži. Cilj je uspostaviti nužne razine kontrole nad pristupam korisnika informatičkom sustavu.
Osnovne faze pri tome mogu biti :
� kontrola pristupa sadržaju (informacijama), � prevencija neautoriziranog pristupa, � osiguranje sklopovlja (mrežni resursi i sl.) od neovlaštenog pristupa,
50
� sustavi otkrivanja neovlaštenih aktivnosti (npr. neuspješni pokušaji pristupa sustavu), donošenje procedura obrade takvih događaja i pravila dokumentiranja uz primjereno izvješćivanje ciljanim korisnicima i
� sigurnost sadržaja pri daljinskom pristupu.
4.2.2.8 Nabava, razvoj i održavanje informacijskih sustava Ova kategorija obuhvaća :
A. Sigurnosni zahtjevi i informatičkom sustavu, B. Ispravna obrada u aplikacijama, C. Kriptografske kontrole, D. Sigurnost u sistemskim datotekama, E. Sigurnost u razvoju i pomičnim procesima, F. Upravljanje tehničkim ranjivostima.
A. Sigurnosni zahtjevi i informatičkom sustavu
Omogućiti integraciju sigurnosti u informacijske sustave. Informacijski sustavi uključuju operativne sustave, infrastrukture, poslovne aplikacije, gotove proizvode i usluge i razvijene aplikacije. Dizajn i implementacija informacijskih sustava koji podupiru poslovne aktivnosti može biti od presudne važnosti za sigurnost. Sigurnosni zahtjevi trebaju biti definirani prije razvoja i implementacije informacijskog sustava.
B. Ispravna obrada u aplikacijama
Spriječiti greške, gubitak i neautoriziranu modifikaciju ili zlouporabu informacija u aplikacijama. U aplikacije je potrebno ugraditi kontrole kako bi se osigurala ispravna obrada informacija. Kontrole trebaju validirati unesene podatke, te kontrolirati internu obradu i izlazne podatke. Dodatne kontrole mogu biti potrebne za sustave koji obrađuju, ili imaju utjecaj na osjetljive i kritične informacije. Takve kontrole se trebaju zasnivati na sigurnosnim zahtjevima i procjeni rizika.
C. Kriptografske kontrole
Osigurati povjerljivost, autentičnost i integritet informacija kriptografskim metodama. Potrebno je razviti politiku razvoja i uporabe kriptografskih kontrola. Upravljanje kriptografskim ključevima je nužno kako bi se podržale kriptografske tehnike.
D. Sigurnost u sistemskim datotekama
Zaštititi sustavske datoteke. Pristup sustavskim datotekama i izvornom kodu programa treba biti kontroliran, a IT projekti i uz njih vezane aktivnosti trebaju biti izvedeni na siguran način. Osjetljivi podaci se ne bi smjeli izlagati u testnim okruženjima.
E. Sigurnost u razvoju i pomičnim procesima
Cilj je održati sigurnost aplikacijskih sustavskih programa i informacija. Potrebno je kontrolirati projekt i pripadno razvojno okruženje. Menadžeri koji su odgovorni za aplikacijske sustave, trebaju biti odgovorni i za sigurnost projekta i pripadnog okruženja. Trebaju osigurati da su predložene sustavske promjene provjerene i da ne kompromitiraju sigurnost sustava niti operativnog okruženja.
51
F. Upravljanje tehničkim ranjivostima
Smanjiti rizik od eksploatacije objavljenih tehničkih ranjivosti. Upravljanje tehničkim ranjivostima treba biti obavljano sustavno i efikasno. Upravljanje tehničkim ranjivostima uključuje operativne sustave i sve druge aplikacije koje su u uporabi.
4.2.2.9 Upravljanje sigurnosnim incidentima Osigurati da se sigurnosne slabosti i incidenti povezani s informacijskim sustavima uoče pravovremeno kako bi se na vrijeme poduzele odgovarajuće mjere. Potrebno je utemeljiti formalne procedure za prijavljivanje incidenata. Svi zaposlenici, ugovornici i ostali korisnici trebaju poznavati procedure za prijavljivanje različitih tipova incidenata koji mogu imati utjecaja na sigurnost imovine organizacije.
4.2.2.10 Upravljanje kontinuitetom poslovnih procesa Suprostaviti se prekidima poslovnih aktivnosti i zaštititi kritične poslovne procese od utjecaja kvarova u informacijskim sustavima ili katastrofa. Proces upravljanja poslovnim kontinuitetom treba implementirati kako bi se minimizirao utjecaj na organizaciju u slučaju gubitka imovine. Ovaj proces identificira kritične poslovne procese i integrira informacijsku sigurnost u poslovne aktivnosti. Predmet analize na utjecaj poslovanja bi trebale biti katastrofe, sigurnosni propusti, nedostupnost usluga i sl. Potrebno je razviti i implementirati plan poslovnog kontinuiteta kako bi se osigurao kontinuiete poslovnih operacija. Upravljanje poslovnim kontinuitetom treba uključivati kontrole za identifikaciju i smanjivanje rizika, kao dodatak općenitim procesima procjene rizika, te osigurati da su informacije potrebne za poslovne procese lako dostupne.
4.2.2.11 Usklađenost sa zakonskim i drugim propisima Izbjeći kršenje zakona, statuta i ugovornih obveza ili bilo kakvih sigurnosnih zahtjeva. Dizajn, operativnost, korištenje i upravljanje informacijskim sustavom može biti predmet zakonskih ili ugovornih zahtjeva. Potrebno je zatražiti savjetovanje zakonskog savjetnika organizacije ili kvalificiranih odvjetnika. Zakonski zahtjevi su različiti u pojedinim zemljama i mogu varirati za informacije koje se stvaraju u jednoj državi i prenose u drugu (tj. međunarodni prijenos podataka).
52
5. Kontrole zaštite Provođenje odabranih sigurnosnih kontrola za smanjenje rizika ostvaruje se uvođenjem novih ili izmjenom postojećih kontrola. Kontrole možemo podijeliti na tri kategorije : upravljačke, logičke (tehničke) i fizičke. Kako je već prije spomenuto informacijski sustav je siguran koliko je siguran njegov najranjiviji dio, nužan je slojevit pristup u izgradnji sigurnosne infrastukture, koji uključuje različite kombinacije upravljačkih, logičkih i fizičkih kontrola. Korištenjem navedenih kategorija značajno se smanjuje rizik od narušavanja temeljnih načela informacijskog sustava [23]. Kontrole možemo podijeliti i prema njihovim ulogama na kontrole :
� prevencije, � odvraćanje, � otkrivanja, � ograničavanja, � korigiranja, � oporavka, � nadzora i � osvješćivanja.
5.1 Upravljačke kontrole Upravljačke kontrole se provode donošenjem i primjenom internih pravila radi osiguranja funkcionalnosti i sigurnosti te očuvanja temeljnih načela informacijskog sustava organizacije. Primjeri upravljačkih kontrola :
� Dodjeljivanje odgovornosti. � Razvijanje i održavanje sigurnosne politike. � Uvođenje sigurnosne kontrole zaposlenika (razdvajanje dužnosti, dodjeljivanje prava
korištenja informacijskog sustava samo do razine koja je nužno potrebna za izvršenje radnih obaveza, dodjeljivanje posebnih dozvola i sl.).
� Provođenje izobrazbe te podizanje razine svijesti o rizicima u informatičkom sustavu kako bi se osiguralo da korisnici sustava budu upoznati s njima .
� Provođenje periodične revizije informatičkog sustava. � Provođenje testiranja. � Provođenje periodičnih nadzora i provjera djelotvornosti kontrola.
5.2 Logičke kontrole Logičke kontrole su kontrole nad programskim i sklopovskim komponentama informacijskog sustava. Primjeri logičkih kontrola :
� Programske i sklopovske kontrole za utvrđivanje autentičnosti, autorizaciju, provođenje obavezne kontrole pristupa te osiguravanje neporecivosti radnja, zaštićenosti komunikacijskih kanala i povjerljivost transakcija.
� Kontrola pristupa informacijskom sustavu kao što su : kombinacija korisničkih imena i zaporki, PKI infrastrukture, biometrijske kontrole, autentifikacija pomoću "pametne kartice" i sl.
� Uporaba kriptografskih metoda u svrhu zaštite informacija u postupku njihovog prijenosa kroz telekomunikacijske mreže , te za vrijeme njihove pohrane.
53
� Upotreba sistemskih i operativnih zapisa kako bi se bilježile aktivnosti koje su učinjene unutar telekomunikacijske mreže, na mrežnim uređajima ili na pojedinim računalima.
� Upotreba usmjernika, preklopnika, vatrozida i ostalih mrežnih komponenata u svrhu kontrole pristupa mrežnim resursima te izdvajanja i zaštita pojedinih segmenata unutar mreže.
� Upotreba metoda za otkrivanje neovlaštenog pristupa i radnja na informacijskom sustavu.
� Upotreba metoda za otkrivanje pogrešaka u podacima i narušavanja njihova integriteta.
� Metode otkrivanja, sprječavanja širenja i uništavanje zločudnog koda.
5.3 Fizičke kontrole Fizičke kontrole štite i osiguravaju resurse informacijskog sustava od neovlaštenog fizičkog pristupa, krađa, fizičkih oštećenja ili uništenja. Fizičke kontrole trebaju pružati potporu upravljačkim i logičkim kontrolama i zajednički djelovati kako bi se rizik informacijskog sustava sveo na prihvatljivu razinu. Fizičke kontrole mogu biti :
� Metode fizičke zaštite opipljive imovine (osobna računala, poslužitelji, mrežni uređaji, kabeli i sl. ) od neovlaštenog pristupa.
� Mehanizmi nadzora okoline (videonadzor, detektori pokreta, alarmi i sl.). � Biometrijske kontrole pristupa informacijskim resursima. � Kontrola vlažnosti, dima, temperature i sl. � Fizičko odvajanje osjetljivih dijelova sustava. � Mehanizmi osiguravanja pričuvnog napajanja električnom energijom (sustavi za
neprekidno napajanje električnom energijom, generatori ...).
54
6. Primjer procjene rizika
6.1 Uvod Ovim primjerom se želi prikazati na koji način se utvrđuje sigurnosni rizik u informatičkom sustavu. Zbog toga se izrađuje snimka stanja postojeće sigurnosti, utvrđuju rizična mjesta te predlaže daljini postupak za unapređenje sigurnosti. Ograničenja u procjeni su dostupnost podataka, no ipak rezultati daju pregled sigurnosne situacije i temelj su buduće cjelovite procjene rizika. Procjena rizika provodi se nad dijelom zamišljene tvrtke koji se bavi projektiranjem i proizvodnjom automatiziranih strojeva za obradu metala. Dio nad kojim će se provesti procjena rizika je informatički sustav tvrtke koji se bavi projektiranjem proizvoda i poslovanjem tvrtke. U procjeni rizika korištene su dvije poznate metode procjene rizika : RuSecure i ALE. Obje metode prilagođene su u odnosu na originalne da bi se procjena prilagodila potrebama i mogućnostima. RuSecure metoda koristi se za kvalitativnu procjenu nematerijalne poslovne imovine, a ALE metoda korištena je za procjenu materijalne imovine. Predmet : Procjena rizika sigurnosti informatičkog sustava
Objekt procjene : Kritične poslovne informacije
Način procjene : RuSecure metoda (prilagođena sustavu za koji se procjenjuje rizik)
ALE metoda (modificirana)
6.2 RuSecure metoda Metrika procjene rizika sastoji se od četiri elementa čiji produkt daje vrijednost rizika. Intenzitet rizika mjeri se za svaku informacijsku imovinu i u odnosu na svaku prijetnju za tu imovinu.
R = V × S × F × P
gdje su : Tablica 6.1. Metrika metode RuSecure
Elementi za procjenu rizika Rang intenziteta
V – vrijednost informacijske imovine 1- 5 (5 najveće) S – utjecaj prijetnje na imovinu 1- 5 (5 najveće) F – učestalost pojave incidenta 1- 5 (5 najveće) P – mogućnost nastanka incidenta 1- 5 (5 najveće)
Kvalitativni intenzitet metrike rizika metode RuSecure
Tablica 6.2. Intenzitet rizika metode RuSecure
Razina Vrijednost Vrlo visoka 5 Visoka 4 Srednja 3 Niska 2 Vrlo niska 1
55
Opisi intenziteta elemenata metrike rizika po metodi RuSecure
Tablica 6.3. Opisi intenziteta metode RuSecure
Kvalitativno Kvantitativno Opis
Procjena mogućnosti ostvarenja prijetnje ( P )
Vrlo visoka 5 Ostvarenje prijetnja vrlo je moguće osim ako su poduzete korektivne mjere.
Visoka 4 Mogućnost ostvarenja prijetnje je velika osim ako nisu poduzete korektivne mjere.
Srednja 3 Postoji mogućnost da se prijetnja ostvari. Niska 2 Rizik ostvarenja prijetnje je mala.
Vrlo niska 1 Vrlo je mala vjerojatnost da će se prijetnja ostvariti.
Učestalost incidenta sigurnosti ( F )
Vrlo visoka 5 Učestalost nesreće sigurnosti je vrlo visoka i može biti razorna za organizaciju.
Visoka 4 Razina učestalosti nesreće sigurnosti je visoka i može se smatrati ponavljajućom.
Srednja 3 Nesreća sigurnosti se događa povremeno ali se ne može izraziti kao redovita.
Niska 2 Razina učestalosti je niska i ne ponavlja se. Vrlo niska 1 Razina učestalosti je vrlo niska i može se uzeti kao rijetka.
Razine jakosti posljedica prijetnji sigurnosti ( S )
Potpuna 5 Posljedice za organizaciju su nepopravljive. Najopasnije prijetnje koje je vrlo teško kontrolirati.
Razorna 4 Incident može biti razoran, postoji mogućnost nastanka bitnih financijskih gubitaka.
Kritična 3
Od takvih se incidenata organizacija može oporaviti, a pažljivim odabirom i implementacijom kontrola zaštite može se trošak smanjiti na prihvatljivu mjeru, a informacije obnoviti.
Može se kontrolirati
2 Incidenti ima kratkoročni karakter i može se pravim protumjerama kontrolirati. Utjecaj prijetnje je minimalna, a time i troškovi koji nastaju.
Zanemariva 1 Mjerama zaštite prijetnje se izbjegavaju. Prijetnje nemaju nikakav utjecaj na organizaciju.
56
Tablica 6.3. Opisi intenziteta metode RuSecure, nastavak
Kvalitativno Kvantitativno Opis
Vrijednost informacijske imovine(informacije) ( V )
Vrlo vrijedna 5 Najvrjednija imovina, gubitak te imovine ima višestruki utjecaj na poslovnu organizaciju.
Vrijedna 4 Imovina je posebno vrijedna za poslovanje i njihovo uništenje može imati ozbiljne posljedice na poslovnu organizaciju.
Srednje vrijedna
3 To je važna imovina koja je zamjenjiva ali nastaju znatni troškovi. Gubitak ima srednje-ozbiljne posljedice.
Malo vrijedna 2 Imovina je zamjenjiva pri čemu nastaju troškovi. Njihov gubitak ima mali utjecaj na poslovanje organizacije.
Vrlo malo vrijedna
1 Imovina nema ekonomsku vrijednost niti vrijednost za proces poslovanja, može se zamijeniti sa minimalnim troškovima.
6.3 ALE metoda ALE metoda primijenjena je kod procjene rizika za materijalnu imovinu kod koje je moguće provesti kvantitativnu procjenu. Vrijednost rizika dobivena je kombiniranjem vrijednosti potencijalnog gubitka i vjerojatnost gubitka. Funkcija po kojoj se utvrđuje ALE glasi :
i
n
i
i FOIALE ∑=
=
1
)(
Elementi metrike ALE metode su :
� utjecaj pojave u novčanoj vrijednosti )( iOI - rang intenziteta 0 – n ,
� učestalost pojave Fi – rang intenziteta 0 – 1 (1 najveći).
Produkt vjerojatnosti i potencijalnog gubitka za sve prijetnje iznos su očekivanog gubitka. Ta veličina upućuje na maksimalni mogući gubitak koji može nastati za poslovnu organizaciju, te troškovi zaštite nikad ne smiju prijeći tu granicu financijskog iznosa.
6.4 Procjena Procjena je provedena kroz sljedeće korake :
1. utvrđivanje materijalne i nematerijalne imovine, 2. utvrđivanje vrijednosti materijale i nematerijalne imovine, 3. utvrđivanje prijetnja i snage njihova djelovanja na imovinu, 4. utvrđivanje rizika.
57
6.4.1 Popis imovine
6.4.1.1 Popis nematerijalne imovine
Tablica 6.4. Popis nematerijalne imovine
Rb. Naziv informacijske imovine Opis 1. Narudžbe Narudžbe za proizvodnju 2. Knjiga modela Popis proizvoda sa svim specifikacijama 3. Baza nacrta proizvoda Zapis o nacrtima svih proizvoda 4. Promet maloprodaje Nabava, prodaja, skladište maloprodaje 5. Fakture Ispostavljeni računi naručitelju 6. Nalozi za isporuku Nalozi za isporuku gotovih proizvoda 7. ISO dokumentacija Dokumentacija zahtijevana od ISO standarda 8. Kadrovska evidencija Evidencija o zaposlenicima 9. Planovi Kratkoročni i dugoročni planovi proizvodnje i prodaje
6.4.1.2 Popis materijalne imovine Osnova za utvrđivanje kritične materijalne imovine popis je kritične imovine (informacija) iz prethodnog poglavlja. Na temelju tih podataka utvrđeno je mjesto njihove pohrane/obrade koji radi svoje funkcije također imaju kritičnu važnost za poslovanje. Podaci o kritičnoj materijalnoj imovini koriste se za procjenu rizika ALE metodom.
Tablica 6.5. Popis materijalne imovine
Rb. Mjesto pohrane
kritičnih informacija/poslužitelj
Zaštita
1. PRIMERGY
Protupožarna, fizička, programska zaštita, kontrola pristupa autorizacijom
2. PRIMERGY
Protupožarna, fizička, programska zaštita, kontrola pristupa autorizacijom
3. PROLIANT
Protupožarna, fizička, programska zaštita, kontrola pristupa autorizacijom
4. SQL-NT
Protupožarna, fizička, programska zaštita, kontrola pristupa autorizacijom
5. SQL-NT
Protupožarna, fizička, programska zaštita, kontrola pristupa autorizacijom
6. PROLIANT
Protupožarna, fizička, programska zaštita, kontrola pristupa autorizacijom
7. X-ISO
Protupožarna, fizička, programska zaštita, kontrola pristupa autorizacijom
8. PROLIANT
Protupožarna, fizička, programska zaštita, kontrola pristupa autorizacijom
9. X-ISO
Protupožarna, fizička, programska zaštita, kontrola pristupa autorizacijom
58
6.4.2 Procjena vrijednosti materijalne i nematerijalne imovine Kod procjene materijalne imovine nije bilo poteškoća s obzirom da za njih postoje jasni knjigovodstveni podaci. Procjena nematerijalne imovine nešto je složena i uvelike ovisi o osobi koja radi procjenu pa postoji velika opasnost da postane subjektivna. S obzirom na to, procjena je raščlanjena na nekoliko osnovnih komponenata vrijednosti koje nematerijalna imovina može imati :
� vrijednost za poslovnu organizaciju, � vrijednost za druge poslovne organizacije, � trošak obnove imovine, � vremensko trajanje imovine.
Na taj je način objektivnije vrednovanje nematerijalne imovine. Komponente su vrednovane kroz sljedeći upitnik :
1. Što se događa kada nemamo tu informaciju
- niša posebno (1) - neki procesi kasne ali ništa kritično (2) - njen je nedostatak primjetan ali nadoknadiv (3) - bez informacije dolazi do nepotrebnih novih troškova (4) - prijeti veći zastoj i krive odluke (5)
2. Koliko košta da se informacija zamijeni ili ponovno stvori
- zanemarivo malo (1) - troškovi postoje ali su mali (2) - nastaju znatni troškovi (3) - troškovi se jedva podnose (4) - nepodnošljivo veliki troškovi (5)
3. Što se događa ako suparnik ima tu informaciju
- ništa (1) - suparnik ima nebitnu informaciju o našem poduzeću (2) - suparnik ima uvid u naše bitne poslovne procese (3) - suparnik može dostići poduzeće (4) - suparnik stiče konkurentnu prednost (5)
4. Obveza čuvanja informacija i posljedice za organizaciju ako se izgubi
- ne postoji (1) - potrebno je kratkotrajno čuvanje informacija (2) - organizacija treba čuvati informacije ali u svezi toga nema predviđenih
posljedica (3) - čuvanje informacija je obavezno i poduzeće može snositi sankcije (4) - čuvanje informacija je obavezno, a sankcije su stroge (5)
5. Koliko dugo treba čuvati informacije
- do mjesec dana (1) - 1 godina (2) - 5 godina (3) - 10 godina (4) - više od 10 godina (5)
59
6. Opada li vrijednost informacije s vremenom
- vrlo brzo (1) - brzo (2) - nakon 1 godine (3) - nakon nekoliko godina (4) - ne opada (5)
Prema odgovorima na upitnik svaka je informacija procijenjena, a dobiveni bodovi normalizirani su i zamijenjeni intenzitetima koje zahtijeva metrika rizika metode RuSecure. Vrijednost materijalne imovine utvrđuje se pregledom knjigovodstvene dokumentacije, a koristi se za procjenu rizika ALE metodom.
Tablica 6.6. Procjena vrijednosti poslovne imovine
Rb. Nematerijalna imovina Vrijednost Materijalna imovina Vrijednost
1. Narudžbe 4 PRIMERGY 15000
2. Knjiga modela 5 PRIMERGY 15000
3. Baza nacrta proizvoda 5 PROLIANT 30000
4. Promet maloprodaje 3 SQL-NT 10000
5. Fakture 4 SQL-NT 10000
6. Nalozi za isporuku 2 PROLIANT 30000
7. ISO dokumentacija 4 X-ISO 5000
8. Kadrovska evidencija 4 PROLIANT 30000
9. Planovi 4 X-ISO 5000
60
6.4.3 Procjena prijetnji i njihov utjecaj na imovinu
Tablica 6.7. Vrsta prijetnji s ugroženom poslovnom imovinom
Rb. Vrsta prijetnji Popis ugrožene imovine
Oblik djelovanja
1-9 fizička sabotaža
1-9 elektronička sabotaža
1-9 otkrivanje informacija
1-9 krađa
1-9 špijunaža
1. Tehnološki kriminal
1-9 prijevara
1-9 neodgovarajuće procedure
1-9 loša klima
1-9 nemotiviranost 2. Organizacijske prijetnje
1-9 različitost opreme, nekompatibilnost
1-9 nestanak energija
1-9 kvar uređaja
1-9 krive postavke, nepravilan rad
1-9 preopterećenje opreme
3. Tehničke prijetnje
1-9 loša kvaliteta, mjeren operativni sustav
1-9 nepažnja
1-9 neznanje
4.
Ljudske prijetnje
1-9 nemar, nezanimanje
1-9 vatra, poplava, potres
1-9 bolest
1-9 klima 5. Utjecaj prirodnih sila
1-9 rat, građanski nemiri, protestni skupovi
Za svaku je skupinu prijetnji potrebno utvrditi na koju poslovnu imovinu djeluje kako bi se utvrdila potrebna zaštita. Utvrđeno ja da su sve kritične informacije potencijalno više-manje ugrožene od svih vrsta prijetnji pa je s toga pri razmatranju intenziteta djelovanja prijetnja na imovinu potrebno uzeti u obzir veliki broj opasnosti. Intenzitet posljedica na poslovnu imovinu prikazan je sljedećom tablicom (tablica 6.8.).
61
Tablica 6.8. Intenzitet posljedica
Rb. Naziv informacijske imovine Intenzitet posljedica 1. Narudžbe 1 2. Knjiga modela 4 3. Baza nacrta proizvoda 5 4. Promet maloprodaje 3 5. Fakture 2 6. Nalozi za isporuku 1 7. ISO dokumentacija 3 8. Kadrovska evidencija 3 9. Planovi 1
6.4.4 Procjena učestalosti i mogućnosti nastanka incidenta
U promatranoj poslovnoj organizaciji nije do sad sprovedeno nikakvo mjerenje koje bi se ticalo sigurnosti informatičkog sustava. Tako da ne postoje povijesni podaci o dosadašnjim incidentima i njihovim posljedicama ne temelju kojih bi se mogla provesti procjena. Zato je ova procjena temeljena isključivo na iskustvu procjenitelja. Tablica 6.9. prikazuje procjenu razine učestalosti incidenta.
Tablica 6.9. Procjena razine učestalosti i mogućnost nastanka incidenta
Rb. Naziv informacijske imovine Razina učestalosti
incidenta
Mogućnost nastanka incidenta
Naziv poslovne imovine
1. Narudžbe 1 2 PRIMERGY 2. Knjiga modela 2 2 PRIMERGY 3. Baza nacrta proizvoda 3 3 PROLIANT 4. Promet maloprodaje 2 4 SQL-NT 5. Fakture 2 2 SQL-NT 6. Nalozi za isporuku 1 2 PROLIANT 7. ISO dokumentacija 1 3 X-ISO 8. Kadrovska evidencija 2 3 PROLIANT 9. Planovi 2 4 X-ISO
6.5 Rezultati procjene
6.5.1 RuSecure Korištenjem funkcije metrike rizika i snimljenih podataka iz tablica 6.5 - 6.9 dobiveni su podaci koji su prikazani u tablici 6.10. Što je veći iznos produkta funkcije rizika to je rizik veći i obrnuto. Tako je pri RIRS = 1 najmanji rizik , a RIRS=625 najveći rizika.
62
Tablica 6.10. Iznosi pojedinačnih rizika RuSecure metode
Rb. Poslovna imovina Vrijednost Intenzitet posljedica
Mogućnost nastanka incidenta
Razina učestalosti incidenta
RIRS
1. Narudžbe 4 1 2 1 8
2. Knjiga modela 5 4 2 2 80
3. Baza nacrta proizvoda
5 5 3 3 225
5. Promet maloprodaje 3 3 4 2 72
5. Fakture 4 2 2 2 32
6. Nalozi za isporuku 2 1 2 1 4
7. ISO dokumentacija 4 3 3 1 36
8. Kadrovska evidencija 4 3 3 2 72
9. Planovi 4 1 4 2 32
Modificirana metoda dozvoljava RIRS < 50, a pri većim vrijednostima sugerira trenutno preispitivanje zaštite sustava. Iz tablice 6.10. je vidljivo da je rizika za "Knjiga modela" i "Baza nacrta proizvoda" najveći pa je potrebita hitna intervencija u svrhu smanjenja rizika na dopuštenu granicu. S obzirom na dvije najkritičnije informacije "Knjiga modela" i "Baza nacrta proizvoda" potrebno je utvrditi koje ih to konkretne prijetnje ugrožavaju. Iznos RIRS za knjigu modela i Bazu nacrta proizvoda nešto se razlikuje od prije utvrđenih iznosa (kod skupnog RIRS) ali to je stoga što je sveukupni iznos prijetnja sada raščlanjen na dijelove koji su pojedinačno manji (tablica 6.11.). U ovom slušaju alarmantno je pojavljivanje rizika koji je veći od 100. Za takve prijetnje i za imovinu koja je ugrožena potrebno je hitno sprovesti unapređenje postojećih mjera sigurnosti kako bi se umanjili potencijalni gubici. Podizanjem razine zaštite za promatranu imovinu smanjit će se rizik pa nakon implementacije zaštitnih sredstava potrebno ponovno provesti procjenu rizika. Ako će nova procjena pokazati manje vrijednosti od granične postignut je cilj, tj. rizik je smanjen.
63
Tablica 6.11. Utvrđivanje podataka za procjenu rizika kod najugroženije imovine
Knjiga modela
Baza nacrta proizvoda
Rb. Opis prijetnje koja djeluje na
kritična informacijska dobra Intenzitet posljedica
Mogućnost nastanka incidenta
Razina učestalosti incidenta
Intenzitet posljedica
Mogućnost nastanka incidenta
Razina učestalosti incidenta
RIRS knjiga modela
RIRS baza nacrta
proizvoda
1 fizička sabotaža 4 3 3 4 3 2 180 120
2 elektronička sabotaža 3 2 3 3 3 2 90 90 3 otkrivanje informacija 4 3 4 3 2 3 240 90
4 krađa 4 4 3 4 4 2 240 160
5 špijunaža 2 2 2 3 3 2 40 90
6 prijevara 3 3 2 3 2 3 90 90
7 neodgovarajuće procedure 2 2 3 3 3 3 60 135
8 loša klima 2 3 2 2 2 2 60 40
9 nemotiviranost 3 2 2 4 3 3 60 180
10 različitost opreme, nekompatibilnost 3 3 3 2 2 2 135 40
11 nestanak energija 2 3 3 3 2 2 90 60 12 kvar uređaja 4 4 3 4 3 3 240 180
13 krive postavke, nepravilan rad 2 2 3 3 3 2 60 90
14 preoterećenje opreme 3 3 2 2 3 2 90 60
15 loša kvaliteta, mjeren operativni sustav 3 3 2 2 2 2 90 40
16 nepažnja 3 2 2 3 2 3 60 90
17 neznanje 3 3 3 3 2 2 135 60
18 nemar, nezanimanje 2 2 3 3 3 3 60 135 19 vatra, poplava, potres 3 2 3 2 3 2 90 60
20 bolest 2 2 2 3 3 3 40 135
21 klima 2 3 2 2 2 2 60 40
22 rat, građanski nemiri, protestni skupovi 3 2 3 3 2 3 90 90
64
6.5.2 ALE Odgovor na pitanje kolika trebaju biti sredstava koja će se uložiti u unapređenje sigurnosti daje primjena metode ALE. Općenito je prihvaćena tvrdnja da troškovi zaštite ne smiju prelaziti potencijalne gubitke. Kod utvrđivanja mogućih gubitaka metodom ALE utvrdit će se maksimalni očekivani gubitak za najugroženiju imovinu, u našem slučaju knjiga modela i baza nacrta proizvoda. Za određivanje maksimalnog mogućeg gubitka izazvanog incidentom sigurnosti , a time i određivanje najvećeg ulaganja po metodi ALE potrebno je odrediti vrijednost tih ključnih informacija u financijskom smislu. Isto tako je potrebno odrediti učestalost nesreća za informacijsku imovinu i procijeniti mogućnost nastanaka incidenta. Vrijednost imovine dobije se tako da se procijene potencijalni direktnih i indirektnih troškova koji nastaju djelovanjem prijetnji (troškovi obnove informacije, gubici nastali krađom, troškovi nastali uslijed onemogućavanja korištenja informacijske imovine). Pokazalo se da su troškovi obnove (direktni gubici) znatni (tablica 6.12.).
Tablica 6.12. Direktni gubici nastali obnovom podataka
Obnova knjige modela Obnova baze nacrta proizvoda
19200 kn 38400 kn
20 dana * 8 sati * 3 uposlenika * 40 kn/radni sat 30 dana * 8 sati * 4 uposlenika * 40 kn/radni sat
Troškovi obnove = trajanje obnove × broj uposlenika × cijena radnog sata
Dnevni gubici koji nastaju radni nemogućnosti obavljanja poslovanja kad su informacije nedostupne (indirektni gubici, tablica 6.13.) procjenjuju se nemogućnošću izvršenja poslovnih obaveza i dužinom vremena čekanja.
Tablica 6.13. Indirektni gubici
Gubici/troškovi koji mogu nastati Knjiga modela Baza nacrta proizvoda
-zastoj nastao nepostojanjem informacija u kn/dan
20000 30000
-korist za druge subjekte koji koriste informaciju
10000 35000
-vrijeme cjelovite obnove podataka 20 dana 30 dana -broj uposlenika koje treba angažirati da bi se napravila cjelovita obnova baza
3 4
-cijena radnog sata osobe koja provodi obnovu podataka 40 kn/sat 40 kn/sat
Učestalost incidenta Knjiga modela Baza nacrta proizvoda
-pretpostavljena mogućnost nastanaka incidenta 10 % 5%
-apsolutni broj incidenata na godinu 10
1 201
65
Tablica 6.14. Gubici nastali zbog utjecaja na druge poslovne procese
Obnova knjige modela u kn Obnova baze proizvoda u kn
400000 900000 20000 kn * 20 dana 30000 kn * 30 dana
O kritičnim informacijama zavisi rad većeg broja uposlenika te postojanje većeg broja informacija posredno ili neposredno ovisi o kritičnim informacijama (tablica 6.14.). Takva ograničenja stvaraju velike dnevne gubitke u iznosu 20000 kn za knjigu modela i 30000 kn za bazu nacrta proizvoda, za ukupne gubitke treba iznos pomnožiti sa duljinom trajanja obnove. Uz ove gubitke u obzir moramo uzeti direktne financijske gubitke koji nastaju otuđivanjem ili otkrivanjem informacija koji se također zbrajaju sa ukupnim potencijalnim gubicima te financijska vrijednost opreme (sklopovlje).
Tablica 6.15. Rezultati procjene ALE metode
Rbr. Poslovna imovina Knjiga modela Baza nacrta proizvoda
1 trošak obnove imovine 19200 38400
2 indirektni trošak nastao nepostojanjem informacija 400000 900000
3 korist za druge subjekte koji koriste informaciju 10000 35000
4 financijska vrijednost opreme 15000 30000
5=1+2+3+4 Ukupni trošak 444200 1003400
6 izloženost imovine 10% 5%
7= 5 ×6 single Loss Expectancy (SLE) 44420 50170
8 očekivani broj djelovanja prijetnja 0,1 0,05
9 = 7 × 8 Annualized Loss Expectancy (ALE) 4442 2508,5
Iz tablice 6.15 je vidljivo da maksimalni jednogodišnji gubici za knjigu modela iznose 4442, a za bazu nacrta proizvoda 2508,5. Iz tih podataka možemo zaključiti da financijska sredstva za zaštitu tih resursa ne smiju prelaziti pojedinačni iznos. Slika 6.1. prikazuje preporučeno ulaganje u zaštitu imovine.
66
Slika 6.1. Preporučeno ulaganje u sigurnost
6.5.3 Predložena rješenja za unapređenje sigurnosti informatičkog sustava Ovdje se preporuča nekoliko osnovnih ideja, neke preuzete iz norme ISO/IEC 1779, koje bi pomogle kod unapređenja sigurnosti informatičkog sustava, a to su :
1. Definirati sigurnosnu politiku. 2. Odabrati tim stručnjaka koja bi kontrolirao, mjerio i unapređivao informatički sustav
u smislu sigurnosti. Takav tim bi trebala minimalno jednom u pola godine napraviti cijelu reviziju sustava i napraviti procjenu rizika. Tim bi trebao, ako je moguće, osmisliti neki sustav automatskog praćenja cijelog sustava.
3. Upravljanje imovinom, svaka značajnija imovina bi trebala imati svoje vlasnike ili vlasnika koji se brine i odgovara za nju.
4. Sigurnost i ljudski resursi, uposlenicima objasniti njihove zadaće i odgovornosti, edukacija o sigurnosti i važnost sigurnosti za poslovne procese.
5. Fizička zaštita i zaštita od okoline, prema normi uključuje kontrolu „Sigurno odlaganje opreme“ koja propisuje baratanje osjetljivim informacijama što je vrlo važna stavka kako bi se sačuvala tajnost.
6. Redovito raditi sigurnosne kopije, osigurati integritet i raspoloživost informacija i informatičkih sredstava.
7. Voditi dnevnike o aktivnostima korisnika, iznimkama, sigurnosnim događajima i sl. Dnevnici se mogu iskoristiti kod budućih istraga i nadzora kontrola.
8. Voditi dnevnika grešaka, greške treba zapisivati i poduzimati odgovarajuće mjere us vrhu smanjenja istih.
9. Voditi kontrolu pristupa sustavu, ovaj dio se odnosi na upravljanje lozinkama. Vrlo je važno upoznati uposlenika sa važnošću lozinki i ne otkrivanje istih kako bi se zaštitili povjerljivi podaci.
Ove smjernice bi trebale barem malo pomoći kod smanjenju rizika. Norma ISO/IEC 17799 propisuje stotinjak kontrola za smanjenje rizika, one se sve ne mogu uključiti u
67
sustav jer bi tada zaštita sustava vjerojatno koštala više nego sam sustav. Potrebno je pronaći one kontrole koje će zadovoljiti našu razinu rizika i omogućiti nesmetano poslovanje organizacije.
68
7. Zaključak Proces upravljanja sigurnosnim rizikom jedan je od temeljnih elemenata upravljanja sigurnošću informatičkog sustava. Osnovna i glavna zadaća je zaštiti sve poslovne resurse koji su važni u procesu poslovanja organizacije. Na temelju rezultata procjene rizika vodstvo organizacije odlučuje na koji način tretirati nastali rizik. Vrlo važna stavka kod procjene rizika je iskustvo i dostupna dokumentacija o sustavu nad kojim se radi procjena rizika, odnosno podaci koji govore o nastalim incidentima unutar sustava. Podaci o incidentima su vrlo korisni jer odmah znamo koji elementi sustava su najviše podložni napadajima pa možemo odmah početi sa implementacijom kontrola koje će smanjiti rizik od ponovnog napada. Kako bi se napravila „dobra “ procjena rizika treba kombinirati kvalitativne i kvantitativne metode. Iskustvo pokazuje da se koriste što je moguće više kvantitativne metode jer one daju konkretne novčane jedinice i nisu toliko subjektivne kao kvalitativne. Kod kvalitativnih metode dolazi do velikog izražaja iskustvo osobe koja radi procjenu rizika i takva procjena se u velikoj mjeri razlikuje od osobe do osobe, dok su kod kvantitativnih metoda te razlike male. U praktičnom dijelu rada je izrađena procjena rizika nad informatičkim sustavom zamišljene tvrtke, takva analiza može poslužiti kao jako dobra podloga kod procjene rizika stvarnih sustava. Svaki sustav ima svoje osobine pa se ne mogu dati konkretne smjernice kako procijeniti rizik za određeni sustav, ali se mogu dati smjernice i primjeri kako pristupiti problemu i procijeniti rizik u sustavu, što je i svrha ovog rada.
69
8. Literatura [1] Budin L., Predavanja iz predmeta Operacijski sustavi 2, Fakultet elektrotehnike i
računarstva Sveučilišta u Zagrebu, Zagreb 2003.
[2] Golub M., bilješke s predavanja i auditornih vježbi iz Operacijskih sustava 2, Zagreb
2004.
[3] Hadjina N., Zaštita i sigurnost informacijskih sustava, Zagreb 2004.
[4] Miroslav Baća, The risk assessment of information system security
University of Zagreb, Faculty of Organization and Informatics, Varaždin, Croatia
[5] Podizanje svijesti o informacijskoj sigurnosti,
http://www.cert.hr/documents.php?lang=hr&page=3
[6] ISO/IEC 17799:2005, http://www.cert.hr/documents.php?lang=hr&page=4
[7] Nacionalni program informacijske sigurnosti,
http://www.cert.hr/documents.php?lang=hr&page=6
[8] Upravljanje sigurnošću informacijskih sustava prema BS7799 standardu,
http://www.cert.hr/documents.php?lang=hr&page=12
[9] Upravljanje sigurnošću informacijskih sustava,
http://www.cert.hr/documents.php?lang=hr&page=12
[10] Upravljanje sigurnosnim rizicima,
http://www.cert.hr/documents.php?lang=hr&page=12
[11] Norma ISO/IEC 17799,
http://os2.zemris.fer.hr/ISMS/norme/2006_marijanovic/index.html
[12] Potreba za IT sigurnošću,
http://www.ca.com/offices/croatia/press/20050419_itsecurity_governance.htm
[13] G. Strneburner, A. Goguen and A. Feringa, Risk Managment Guide for Information
Technology System, NIST July 2002
[14] Mario Sajko, Usporedba metoda procjene rizika sigurnosnog informatičkog sustava,
Magistarski rad, Fakultet organizacije i informatike Varaždin, Varaždin 2004.
[15] Microsoft, The Security Risk Managment Guide, 2004.
[16] Hrvoje Šegudović, Prednosti i nedostaci metoda za kvalitativnu analizu rizika,MIPRO
2006. Opatija, p.p. 223-228, 2006.
[17] Information technology — Security techniques — Code of practice for information
security management BS ISO/IEC17799:2005 BS 7799-1:2005, British Standard
70
[18] Biljana Cerin, B.Sc.CS, Certified ISMS Auditor, ZIK d.o.o., Assessing and managing
information security risks
[19] Infigo, Prezentacija Upravljanje rizikom
[20] Damir Paladin, Informatička sigurnost u poduzećima srpanj 2005.
http://www.borea.hr/korisne_inf/index.asp
[21] Mario Spremić, Metode procjene (kvalitete) informacijskih sustava
[22] Središnji državni ured za e-Hrvatsku, Stručna skupina za informacijsku sigurnost
NACIONALNI PROGRAM INFORMACIJSKE SIGURNOSTI U REPUBLICI
HRVATSKOJ , Zagreb, ožujak 2005.
[23] HRVATSKA NARODNA BANAKA, Smjernice za upravljanje informacijskim
sustavom u cilju smanjenja operativnog rizika, ožujak 2006.
[24] Aco Dmitrović, Srce, Primjena sigurnosne politike , siječanj 2004.
[25] Christopher Alberts, Audrey Dorofee, James Stevens, Carol Woody
Introduction to the OCTAVE® Approach, August 2003
[26] Damjan Radičević Teched, Zagreb, prezentacija Procjena rizika
[27] B. D. Jenkins, Countermeasures, Inc., SECURITY RISK ANALYSIS
AND MANAGEMENT, 1998 Countermeasures, Inc
[28] Jack A. Jones, CISSP, CISM, CISA, An Introduction to Factor Analysis of Information
Risk (FAIR) Version 19
