Analiza ryzyka zgodna z ISO 27001 SZPITAL

Transkrypt

Analiza ryzyka zgodna z ISO 27001
SZPITAL
Bieńkowski Mikołaj (s6020)
Domański Jakub (s4711)
Graczyk Hubert (s6215)
Kwit Przemysław (s6190)
17 czerwca 2013
Spis treści
1 Mapowanie zasobów . .
1.1 Informacje . . . . . .
1.2 Oprogramowanie . .
1.3 Urządzenia usługowe
1.4 Zasoby fizyczne . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
2
2
2
3
3
2 Opis zagrożeń dla zasobów . . . . .
2.1 Informacje . . . . . . . . . . . . .
2.2 Oprogramowanie . . . . . . . . .
2.3 Zasoby fizyczne . . . . . . . . . .
2.4 Urządzenia usługowe . . . . . . .
2.5 Dodatkowe niewymienione zasoby
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
4
4
5
6
7
8
3 Szacowanie ryzyka . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.1 Określenie możliwości wystąpienia zagrożeń wg. NIST . . . . . .
3.2 Określenie poziomu podatności skutków zagrożeń według NIST
3.3 Macierz ryzyka według NIST . . . . . . . . . . . . . . . . . . . .
3.4 Poziom bezpieczeństwa według NIST . . . . . . . . . . . . . . .
3.5 Ocena ryzyka . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3.6 Definiowanie poziomów ryzyka . . . . . . . . . . . . . . . . . . .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
11
11
11
12
12
13
13
4 Wnioski . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
5 Uwagi do raportu . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
6 Korespondencja z klientem . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
6.1 Pytanie 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
1
Rozdział 1
Mapowanie zasobów
W związku z brakiem identyfikatorów nazw zasobów, w celu ułatwienia dalszych prac
zastosowaliśmy następujące, własne, mapowania.
1.1
Informacje
Nazwa zasobu
Baza danych pacjentów
Terminarz wizyt
Baza danych wystawionych recept
Baza danych wystawionych rachunków
Baza danych przeprowadzonych zabiegów
Baza danych historii rozmów telefonicznych z klientami
Baza danych historii opieki nad pacjentami
1.2
Identyfikator
zasobu
I1
I2
I3
I4
I5
I6
I7
Oprogramowanie
Nazwa zasobu
Serwer aplikacji firmy ds. rejestracji
Serwer wykrywania włamań na WEB Serw
Serwer archiwizacji danych
MS Windows 7 Enterprise Edition
Norton AntyVirus 2013
MS Windows SQL Serwer
2
Identyfikator
zasobu
O1
O2
O3
O4
O5
O6
1.3
Urządzenia usługowe
Nazwa zasobu
Firewall Cisco ASA5525X Firewall Edition
Routery Cisco 3945 with 3 onboard GE
Switche core’oweWSC3750 X48PS
Switche dostępowe WSC2960 S48LPDL
SerweryDell PowerEdge R720 z VMware 5
Macierze EMC VNX5100
1.4
Identyfikator
zasobu
Z1
Z2
Z3
Z4
Z5
Z6
Zasoby fizyczne
Nazwa zasobu
Identyfikator
zasobu
U1
U2
U3
U4
U5
U6
Agregat prądotwórczy
Klimatyzacja serwerowni
Panele słoneczne
Oczyszczacz powietrza
Klimatyzacja / ogrzewanie
Wentylacja szpitala
3
Rozdział 2
Opis zagrożeń dla zasobów
Braki i uwagi ogólne:
1. W chwili uszkodzenia switcha na którymkolwiek z pięter infrastruktura sieci na
danym piętrze i piętrach poniższych straci połączenie.
2. Drukarki sieciowe są niewymienione w liscie zasobów, a znajdują się na schemacie.
Zakładamy że drukarki sieciowe mają ID U 7
3. Brak informacji o zastosowanym w macierzach systemie RAID.
4. W obecnej konfiguracji macierze dysków są zbędne. Dyski są umieszczone bezpośrednio w serwerze.
5. Na diagramie struktury teleinformatycznej brak umieszczonych urządzeń usługowych co utrudnia identyfikacje zagrożeń.
6. Komputery są niewymienione w liście zasobów, a znajdują się na schemacie. Zakładamy, że komputery mają ID Z 7
2.1
Informacje
Id zas.
I1
Zagrożenie
Uzyskanie danych osobowych klienta przesyłanych w procesie
I2
Zmiana terminów wizyt
spotkań pacjentów
Podatność
Skutek
Id zagr.
Urządzenia sieciowe - Poufność
ZAG 1
atak typu „APR spoof” + man in the middle - brak kontroli protokołu APR
Brak
aktualnych Integralność ZAG 2
sygnatur złośliwego
oprogramowania
Kontynuacja na następnej stronie
4
Id zas.
I3
I4
I5
I6
I7
2.2
Kontynuacja z poprzedniej strony
Zagrożenie
Podatność
Zafałszowanie
infor- Urządzenia sieciowe macji
dotyczących atak typu „APR spowystawionych recept of” + man in the mid- skutek: problemy dle - brak kontroli proz urzędem skarbo- tokołu APR
wym,
niezgodność
przychodów szpitala
Zmienione dane (zafał- Urządzenia sieciowe szowane) na fakturze atak typu „APR spow procesie przesyłania of” + man in the middanych do faktury
dle - brak kontroli protokołu APR
Uzyskanie konta admi- Atak słownikowy z
nistratora w serwerze sieci wewnętrznej na
bazy danych przepro- konto roota
wadzonych
zabiegów
- skutek : ujawnienie
historii przeprowadzonych zabiegów
bazy danych przepro- konto roota
wadzonych rozmów telefonicznych - skutek:
utrata poufnych danych
bazy danych pacjentów konto roota
- skutek : ujawnienie historii pacjentów szpitala
Skutek
Id zagr.
Integralność ZAG 3
Poufność
ZAG 6
Poufność
ZAG 7
Oprogramowanie
Id zas.
O1
Zagrożenie
Uzyskanie
danych
osobowych
pacjentów przesyłanych w
procesie
Podatność
Skutek
Id zagr.
Urządzenia sieciowe - Poufność
ZAG 8
atak typu „APR spoof” + man in the middle - brak kontroli protokołu APR
5
Id zas.
O2
O3
O4
O5
O6
2.3
Zagrożenie
Podatność
Uzyskanie dostępu do Systemy teleinformakonta administratora - tyczne – system użytskutek: wyłączenie za- kowe – atak słownikobezpieczeń, przekłama- wy z sieci wewnętrznej
nie serwera
na konto roota
Uzyskanie dostępu do Systemy teleinformakonta administratora - tyczne – system użytskutek: wyłączenie za- kowe – atak słownikobezpieczeń, przekłama- wy z sieci wewnętrznej
nie serwera
na konto roota
Podatność na wirusy Brak
aktualizacji
- skutek: kradzież da- oprogramowania
nych, przejęcie kontroli,
odmowa działania
aktualizacji
odmowa działania
aktualizacji
odmowa działania
Skutek
Poufność
Id zagr.
ZAG 9
Poufność
ZAG 10
Poufność
ZAG 11
Poufność
ZAG 12
Poufność
ZAG 13
Zasoby fizyczne
Id zas.
Z1
Zagrożenie
Modyfikacja konfiguracji firewalla z sieci wewnętrznej
Z2
Modyfikacja konfiguracji routera sieci internet
lub wewnętrznej
Z3
Modyfikacja konfiguracji switcha z sieci wewnętrznej
Z4
Modyfikacja konfiguracji switcha z sieci wewnętrznej
Podatność
Skutek
Id zagr.
Systemy teleinforma- Poufność
ZAG 14
tyczne – system operacyjny – brak aktualizacji firmwaru
ZAG 15
ZAG 16
ZAG 17
6
Id zas.
Z5
2.4
U3
U4
U5
U6
Id zagr.
ZAG 18
Urządzenia usługowe
Id zas.
U1
U2
Zagrożenie
Podatność
Skutek
Uzyskanie konta admi- Systemy teleinforma- Poufność
nistratora na serwerze, tyczne – system użytataki z sieci wewnętrz- kowe – atak słownikonej
wy z sieci wewnętrznej
na konto roota
Zagrożenie
Restart wszystkich serwerów
Podgrzewanie się urządzeń w serwerowni
Podatność
System zasilania - nagły spadek mocy
System wentylacji /
klimatyzacji - awaria
klimatyzatora / wentylatora
Uszkodzenia
mecha- Uszkodzenie fizyczne
niczne
w wyniku zjawisk pogodowych (silne wiatry, grad)
Uszkodzony filtr
Zanieczyszczenie może spowodować zniszczenie filtru.
Uszkodzenie
mecha- Uszkodzenie fizyczne
niczne klimatyzatora
w wyniku zjawisk pogodowych (silne wiatry, grad, zamarznięcie wymiennika)
Rozprzestrzenie
się Poprzez
przewody
bakterii / skażenia
wentylacyjne możliwe
jest przenoszenie się
zarazków/ materiałów
skażonych
7
Skutek
Id zagr.
Dostępność ZAG 20
2.5
Dodatkowe niewymienione zasoby
Id zas.
U7
Brak
Zagrożenie
Uzyskanie dostępu do
drukarek poprzez sieć
Wi-Fi
Podatność
Skutek
Id zagr.
Podłączając się po- Dostępność ZAG 26
przez Wi-Fi do sieci każdy użytkownik
ma dostęp do drukarki - brak informacji o
jakiejkolwiek ochronie
przed użyciem drukarki sieciowej (np. hasło)
Brak wykwalifikowanej W systemie informa- Integralność ZAG 27
kadry w szpitalu w tycznym szpitala brak
chwili zdarzenia.
jest
jakiegokolwiek
systemu umożliwiającego synchronizację
zwolnień/urlopów
lekarzy. Możliwe jest
więc, że podczas zdarzenia (np. wypadek
samochodowy)
w
szpitalu nie będzie
lekarza, który mógłby
udzielić
natychmiastowej pomocy (np
operacji).
8
Id zas.
Brak
Brak
Zagrożenie
Podatność
Skutek
Id zagr.
Wysłanie karetki pod W systemie teleinfor- Integralność ZAG 28
zły adres.
matycznym szpitala
brak jest systemu
umożliwiającego nagrywanie
rozmów.
W chwili stresowej
dyspozytor
może
zapomnieć gdzie miał
wysłać pomoc i brak
takiego systemu uniemożliwi mu szybką
reakcję. Dodatkowo
w systemie brak jakiejkolwiek informacji
o zastosowanych telefonach - nie wiemy
czy dyspozytor w
takiej sytuacji mógłby
oddzwonić na numer
osoby
wzywającej
pomoc (może nie mieć
danego numeru).
Brak systemu monito- Brak informacji o Poufność
ZAG 29
rującego
jakimkolwiek systemie
monitorującym. Urządzenia takie mogłyby
być wykorzystane do
monitoringu np sali
operacyjnej - w chwili
wypadku można by
było stwierdzić czy
kadra
zareagowała
zgodnie z obowiązującym ich prawem.
Kamery
mogłyby
być także umieszczone nad pokojami
z lekami, przez co
zmalałoby
ryzyko
wykradnięcia leków.
9
Id zas.
Z7
Zagrożenie
Podatność
Skutek
Id zagr.
Brak osoby odpowie- W
chwili
awarii Integralność ZAG 30
dzialnej za jeden z komputera brak jest
głównych zasobów - osoby, która zajełaby
komputery
się naprawą danej
szkody. W chwili
jednoczesnej
dużej
awarii
(przepięcie
w
układzie
elektrycznym szpitala co
spowoduje przepalenie
kilku
komputerów)
niemożliwe
będzie
zapisywanie nowych
pacjentów,
bądź
sprawdzanie historii
leczenia pacjenta.
10
Rozdział 3
Szacowanie ryzyka
3.1
Określenie możliwości wystąpienia zagrożeń wg.
NIST
1. Poziom wysoki (1) - Czynnik o wysokiej motywacji, posiadający potencjał do
dużego rażenia, zabezpieczenia mające chronić przed wykorzystaniem podatności są
niesktuczne.
2. Poziom średni (0,5) - Czynnik sprawczy o średniej motywacji, posiadający możliwości, zabezpieczenia są w stanie skutecznie przecistawić się wykorzystaniu podatności.
3. Poziom niski (0,1) - Czynnik niski nie posiada motywacji lubnie posiada wystarczającego potencjału rażeni. Zabezpieczenia są skuteczne albo przynajmniej spełniają swoje zadania
3.2
Określenie poziomu podatności skutków zagrożeń według NIST
1. Poziom bardzo wysoki (100) - Wykorzystanie podatności może:
• spowodować najwyższe możliwe straty dla ważnych zasobów
• zakłócić realizację ciągłości funkcjonowania
• wstrzymać realizację ciągłości funkcjonowania
• zaszkodzić w dużym stopniu reputacji szpitala
• spowodować utratę życia
• spowodować utratę zdrowia
2. Poziom wysoki (75)
3. Poziom średni (50) - Wykorzystanie podatności może:
• spowodować duże straty w zakresie ważnych zasobów
• zakłócić realizację celów organizacji
11
• zaszkodzić interesom
• zaszkodzić reputacji szpitala
• spowodować utratę zdrowia
4. Poziom niski (30) - Wykorzystanie podatności może:
• spowodować stratę niektórych ważnych zasobów
• zakłócić w sposób zauważalny realizację celów szpitala
• wpłynąć negatywnie na reputację szpitala
• wpłynąć negatywnie na interesy szpitala
5. Poziom bardzo niski (10)
3.3
Macierz ryzyka według NIST
Możliwe
zagrożenie
wysokie (1)
Średnie (0.5)
Poziom
bardzo
niski (10)
1 × 10 = 10
0, 5×10 = 5
Niskie (0.1)
0, 1×10 = 1
3.4
Poziom niski (30)
Poziom
średni
(50)
1 × 30 = 30 1 × 50 = 50
0, 5 × 30 = 0, 5 × 50 =
15
25
0, 1×30 = 3 0, 1×50 = 5
Poziom
wysoki
(75)
1 × 75 = 75
0, 5 × 75 =
37,5
0, 1 × 75 =
7,5
Poziom bardzo wysoki
(100)
1×100 = 100
0, 5 × 100 =
50
0, 1 × 100 =
10
Poziom bezpieczeństwa według NIST
• Poziom wysoki
Następuje silna potrzeba redukcji działań korygujących, wdrożenia systemu zabezpieczeń. System mógłby działać dalej jednak plan bezpieczeństwa / zabezpieczeń
powinien być wdrożony w trybie natychmiastowym.
• Poziom średni
Działania korygujące są konieczne. System mógłby działać dalej jednak plan bezpieczeństwa / zabezpieczeń powinien być wdrożony w rozsądnym przedziale czasowym.
• Poziom niski
Osoba odpowiedzialna za bezpieczeństwo systemu powinna niezwłoczenie podjąć decyzję o podjęciu działań korygujących ewentualnie akceptacji ryzyka o dopuszczeniu
systemu do eksploatacji.
12
3.5
3.6
Ocena ryzyka
Zagrożenie
Waga szkody
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
ZAG
100
100
100
50
100
25
100
100
100
100
100
100
100
50
50
50
50
100
75
75
50
75
75
100
10
100
100
50
50
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
20
21
22
23
24
25
26
27
28
29
30
Możliwość wystąpienia szkody
0,1
0,1
0,1
0,1
0,1
0,1
0,1
0,1
0,1
0,1
0,5
0,5
0,5
0,1
0,1
0,1
0,1
0,1
0,1
0,5
0,1
0.1
0,5
0,1
1
0,5
0,1
0,5
0,1
Wyliczone
ryzko
10
10
10
5
10
2,5
10
10
10
10
50
50
50
5
5
5
5
10
7,5
37,5
5
7,5
37,5
10
10
50
10
25
5
Definiowanie poziomów ryzyka
Poziom wysoki (51 - 100):
ZAG 11, ZAG 12, ZAG 13, ZAG 27
Poziom średni (11 - 50):
ZAG 21, ZAG 24, ZAG 29
Poziom niski (0 - 10):
ZAG 1, ZAG 2, ZAG 3, ZAG 4, ZAG 5, ZAG 6, ZAG 7, ZAG 8, ZAG 9, ZAG 10, ZAG 14,
ZAG 15, ZAG 16, ZAG 17, ZAG 18, ZAG 20, ZAG 22, ZAG 23, ZAG 25, ZAG 26, ZAG 28,
ZAG 30.
13
Rozdział 4
Wnioski
Ocena ryzyka wykryła trzy najgroźniejsze zagrożenia , które oznaczone są następująco:
ZAG 11, ZAG 12, ZAG 13, ZAG 27. Podatność na ataki wirusowe jest duża ze względu
na brak aktualizacji oprogramowania. Skutkiem może być wykradnięcie danych między
innymi: historia zabiegów, wydane recepty (zwłaszcza, które opierają na leki nie dostępne
bez recepty), baza i historia leczenia pacjentów co nie jest korzystne dla szpitala. Do tej
grupy groźnych zagrożeń również zalicza się brak wykwalifikowanej kadry w szpitalu w
chwili zdarzenia co spowodowane jest brakiem systemu do obsługi grafiku szpitala.
Do średnich zagrożeń zaliczamy jedynie dwa oznaczone następująco: ZAG 21, ZAG 24,
ZAG 29. Zagrożenia nie są niskiego poziomu więc im również należy poświęcić więcej uwagi
aby ich działanie nie przeszkodziło w funkcjonowaniu szpitala. Podgrzewanie się urządzeń
w serwerowni jest poważnym zagrożeniem , ponieważ niesie za sobą nieprzewidziane skutki tak samo klimatyzator , który powinien być niezawodny. Szpital jest miejscem gdzie
przechowywane są różne zasoby , które powinny mieć odpowiednią temperaturę i stosowne
miejsce przechowywania.
Osoba odpowiedzialna za bezpieczeństwo, agregująca dane powinna jak najszybciej
podjąć stosowne kroki w celu wyeliminowania powyższych zagrożeń.
14
Rozdział 5
Uwagi do raportu
• Brak identyfikatórów nazw: wprowadzono własną mapę.
• Wprowdzono dodatkowe zasoby, które są uwzględnione w tabeli zasobów jednak na
diagramie istnieją
15
Rozdział 6
Korespondencja z klientem
6.1
Pytanie 1
Nadawca: [email protected]
Odbiorca: [email protected]
Data: 13 czerwca 2013, 18:11
Temat: Pytanie macierze dyskowe - projekt Szpital ZMI
Treść pytania:
Witam,
Proszę o wyjaśnienie zawartości dokumentacji. Dyski twarde znajdują się bezpośrednio w
serwerze a nie w macierzy. Innymi słowy Macierz jest pusta. Czy tak jest w rzeczywistości
czy może jest to błąd w dokumentacji.
Proszę o wyjaśnienie.
Nadawca: [email protected]
Odbiorca: [email protected]
Data: 14 czerwca 2013, 17:13
Temat: Re: Pytanie macierze dyskowe - projekt Szpital ZMI
Odpowiedź:
Witam,
Dyski w serwerach zawierają dane systemu hosta (VMware), macierze zawierają dyski
z danymi maszyn wirtualnych i są podpięte do serwera za pośrednictwem switcha przez
iSCSI.
Z poważaniem
Tomasz Witkowski
16

Analiza ryzyka zgodna z ISO 27001 SZPITAL

Transkrypt

Podobne dokumenty

TERAPEUTA SCM-2 G-B

Zig- Zag – wszystko pod ręką. WertelOberfell

marmur zig zag brown

Zagęszczacz taśmowy typu PowerDrain L

FOODLUBE UNIVERSAL 2 Smar dla przemysłu spożywczego

Oznaczenia

3 treść zeszytu - Wydawnictwo IBL