Zarządzanie ryzykiem w bezpieczeństwie informacji

Komentarze

Transkrypt

Zarządzanie ryzykiem w bezpieczeństwie informacji
Zarządzanie ryzykiem w bezpieczeństwie
informacji
Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą
popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora
prywatnego. Z jednej strony, wychodzące w ostatnim czasie przepisy prawa, takie jak
Zarządzanie Ministra Sprawiedliwości w sprawie wprowadzenia Polityki Bezpieczeństwa
Informacji czy Rozporządzenie Rady Ministrów w sprawie Krajowych Ramy
Interoperacyjności, nakładają obowiązek stosowania wybranych mechanizmów
bezpieczeństwa przez wskazane podmioty. Z drugiej strony, rosnąca świadomość w
zakresie potrzeby ochrony informacji, szczególnie tych dotyczących know-how, danych
osobowych czy też danych Klientów, przyczynia się podjęcia decyzji o wdrożeniu systemu
zarządzania bezpieczeństwem informacji w organizacji. Bez względu na powód tej
decyzji, niezbędnym elementem każdego systemu oraz polityki bezpieczeństwa jest
wdrożenie procesu związanego z zarządzaniem ryzykiem bezpieczeństwa informacji.
Proces zarządzania ryzykiem w kontekście bezpieczeństwa informacji jest zbliżony
do innych modeli zarządzania ryzykiem realizowanych m.in. w ramach systemu
zarządzania ryzykiem w oparciu o wymagania normy ISO 310000, COSO II, kontroli
zarządczej, systemu przeciwdziałania zagrożeniom korupcyjnym, czy systemu
zarządzania ciągłością działania. Jednak występują w nim pewne elementy
charakterystyczne, które należy uwzględnić, na etapie wdrażania tego procesu lub w
przypadku integracji podejścia do zarządzania ryzykiem wynikającym z ISO/IEC 27001 z
innymi już funkcjonującym w organizacji wymaganiami. Szczegółowe zalecenia oraz
rekomendacje dotyczące zarządzania ryzykiem w bezpieczeństwie informacji zostały
opisane w normie ISO/IEC 27005.
To, co istotne dla każdego podejścia do zarządzania ryzykiem, to traktowanie tego
elementu, jako jednego z procesów organizacji, a nie pojedynczego etapu w ramach
realizowanego projektu wdrożenia systemu lub polityki. O skutecznym zarządzaniu
ryzykiem w organizacji można mówić tylko i wyłączenie w sytuacji, gdy podejmowane są
działania związane z ciągłym monitorowaniem i analizą ryzyk oraz z reagowaniem na
zmieniające się warunki otoczenia w kontekście identyfikacji nowych zagrożeń i
podatności.
Charakterystycznym
aspektem
zarządzania
ryzykiem
związanym
z
bezpieczeństwem informacji jest ukierunkowanie całego procesu na identyfikację
czynników mających wpływ na ochronę informacji oraz aktywów, na których informacje
te są przetwarzane. Jednak przed przystąpieniem do całego procesu szacowania ryzyka,
należy określić wymagania, jakie organizacja zamierza spełnić w kontekście ochrony
przetwarzanych informacji. W celu zidentyfikowania potrzeb organizacyjnych odnośnie
wymogów bezpieczeństwa informacji oraz aby stworzyć efektywny system zarządzania
bezpieczeństwem informacji, niezbędne jest wdrożenie systemowego podejścia do
zarządzania ryzykiem bezpieczeństwa informacji. Należy pamiętać, aby podejście to było
dopasowane do warunków panujących w organizacji oraz aby było jednakowe podczas
całego procesu zarządzania ryzykiem.
Rysunek 1 Proces zarządzania ryzykiem w bezpieczeostwie informacji (na
podstawie ISO/IEC 27005:2010)
Proces zarządzania ryzykiem związanym z bezpieczeństwem informacji należy
zaprojektować tak, aby zapewniał:
 identyfikowanie zagrożeń dla przetwarzanych informacji;
 oszacowanie ryzyk w kategoriach konsekwencji dla funkcjonowania biznesowego
oraz prawdopodobieństwa wystąpienia zagrożeń;
 odpowiednie przedstawienie oraz zrozumienie prawdopodobieństwa oraz
konsekwencji materializacji ryzyk;
 ustanowienie priorytetów dotyczących postępowania z ryzykiem;
 wprowadzanie priorytetowych działań mających na celu redukcję ryzyk;
 zaangażowanie kierownictwa podczas podejmowania decyzji związanych z
zarządzaniem ryzykiem oraz bieżące informowanie go o postępach realizowanych
działań minimalizujących;
 monitorowanie i regularne przeglądanie ryzyk oraz procesu zarządzania nimi;
 kształcenie pracowników w zakresie ryzyk oraz działań mających na celu obniżenie
poziomu prawdopodobieństwa ich wystąpienia.
Podchodząc do analizy ryzyka, należy zapoznać się z definicjami wykorzystywanymi w
normie ISO/IEC 27001, ponieważ w zależności od przyjętego standardu te same pojęcia
mogą mieć nieco inne znaczenie. Podstawowym terminem jest definicja ryzyka, które w
normie jest rozumiane jako Kombinacja prawdopodobieństwa i skutku wystąpienia
danego negatywnego zdarzenia. Często uważane za tożsame są pojęcia analizy i
szacowania ryzyka. Tymczasem norma definiuje analizę ryzyka jako systematyczne
korzystanie z informacji w celu zidentyfikowania źródeł i parametrów ryzyka. Natomiast
szacowanie ryzyka jest całościowym procesem analizy ryzyka i oceny ryzyka. Równie
ważnym jest zapamiętanie definicji zasobu, jako istotnego, z punktu widzenia
bezpieczeństwa informacji, elementu objętego ochroną, gdyż definicja ta podkreśla
ukierunkowanie całego procesu zarządzania ryzykiem na ochronę przetwarzanych
informacji.
Proces zarządzania ryzykiem można podzielić na osiem głównych etapów, które
układają się w zamkniętą pętlę. Pętla ta jest każdorazowo uruchamiana w przypadku
wystąpienia istotnych zmian w organizacji mających wpływ na bezpieczeństwo informacji
lub podczas wcześniej ustalanych terminów ponownego przeglądu ryzyk.
Pierwszym krokiem jest wyznaczenie kontekstu strategicznego, organizacyjnego oraz
związanego z zarządzaniem ryzykiem. Na tym etapie dokonuje się opracowania tzw.
metodyki zarządzania ryzykiem, w której są określane wszystkie istotne zasady
dotyczące całego prosu, w celu zapewnienia jego powtarzalności i zagwarantowania, że
wyniki szacowania ryzyka są porównywalne na przestrzeni czasu. Na tym etapie określa
się również odpowiedzialności w zakresie zarządzania ryzykiem, ze szczególnym
uwzględnieniem roli kierownictwa w etapie określenia kryteriów akceptacji ryzyka.
Kolejnym etapem jest identyfikacja ryzyk, która polega na określeniu przyczyn i
sposobu materializacji niepożądanych incydentów. Obejmuje identyfikowanie aktywów,
zagrożeń, podatności i potencjalnych następstw zidentyfikowanych incydentów. Podczas
inwentaryzacji aktywów, należy pamiętać, że aktywa to nie tylko oprogramowanie i
sprzęt, ale również ludzie, lokalizacje i technologie. Ważne, aby w trakcie identyfikacji do
każdego aktywa przypisać jego właściciela. Kolejnym krokiem jest określenie zagrożeń
dla zidentyfikowanych aktywów. Norma ISO/IEC 27005 identyfikuje różne przyczyny
zagrożeń. Zagrożenia mogą się zmaterializować w wyniku działań celowych,
przypadkowych lub pochodzenia środowiskowego. Do typowych zagrożeń uwzględnianych
w procesie szacowania ryzyka można zaliczyć: pożar, zalanie, zanieczyszczenie,
wypadek, zniszczenie urządzeń lub wyposażenia, kradzież, przeciążenie systemu, czy
awarię zasilania. Do zmaterializowania zagrożeń przyczyniają się podatności, dlatego je
również należy identyfikować, aby później móc podejmować odpowiednie decyzje na
etapie estymacji ryzyka. Jako przykłady identyfikowanych podatności można wskazać:
brak okresowej konserwacji urządzeń, brak szkoleń z zakresu bezpieczeństwa,
umiejscowienie w pobliżu obszaru zagrożonego powodzią, brak mechanizmów
uwierzytelniania.
Następnym krokiem jest wykonanie estymacji ryzyka. Danymi wejściowymi do tego
etapu są prawdopodobieństwo incydentu oraz jego konsekwencje. Analiza ta odbywa się
w kontekście istniejących zabezpieczeń oraz prawdopodobieństwa zmaterializowania się
incydentów. Podczas szacowania prawdopodobieństwa materializacji ryzyka należy wziąć
pod uwagę:
 odpowiednie statystki prawdopodobieństwa zagrożeń,
w przypadku zagrożeń spowodowanych celowym działaniem – motywy oraz
możliwości,
 w przypadku zagrożeń spowodowanych przypadkowym działaniem – czynniki
środowiskowe oraz czynniki wpływające na błędy ludzkie oraz nieprawidłowe
działanie urządzeń,
 podatności,
 funkcjonujące zabezpieczenia.
Analizując skutki wystąpienia ryzyka należy rozważyć zarówno konsekwencje
bezpośrednie, takie jak np. koszt wymiany lub naprawy utraconych aktywów, jak i
konsekwencje pośrednie, będące trudne do oszacowania, do których można zaliczyć:
utratę wizerunku oraz koszty utraconych możliwości.

Ostatnim etapem szacowania ryzyka jest dokonanie jego oceny. W tym kroku
dokonuje się porównania wyznaczonych poziomów ryzyka z ustalonymi kryteriami oraz
nadaje się priorytety poszczególnym ryzykom. Nie jest to nic innego jak
przyporządkowanie ryzyk do danej grupy. W zależności od przyjętej metodyki, zazwyczaj
ryzyka są dzielone na niskie, średnie i wysokie. Wynikiem tego etapu powinna być lista
ryzyk wytypowanych do podjęcia działań redukujących ich wartość do akceptowalnego
poziomu.
Uwzględniając kryteria oceny ryzyka, dla wyznaczonych ryzyk, należy określić
odpowiednie postępowanie. Na etapie opracowaniu planu zarządzania ryzykiem,
najczęściej przyjmuje się jedną z czterech możliwości. Najpowszechniejszą ze wszystkich
strategii reagowania na ryzyko jest jego redukcja, czyli obniżenie poziomu ryzyka
poprzez wybór zabezpieczeń w sposób pozwalający na zaakceptowanie ryzyka
szczątkowego. W przypadku wdrażania systemu zarządzania bezpieczeństwem informacji
zgodnego z ISO/IEC 27001, na tym etapie obowiązkowo należy rozważać zabezpieczenia
z Załącznika A normy, ale organizacja może również wybrać zabezpieczenia spoza niego.
Ważną kwestią jest, aby podczas wdrażania zabezpieczeń wziąć pod uwagę ograniczenia
czasowe, finansowe, techniczne oraz organizacyjne. Drugim możliwym rozwiązanie jest
przeniesienie ryzyka. Jest to opcja wybierana dla średnich i dużych wartości ryzyka.
Najczęściej przeniesienie ryzyka polega na ubezpieczeniu się od jakiegoś zdarzenia lub
scedowanie skutków ryzyka na kontrahenta (np. podwykonawcę). Inną opcją
postępowanie z ryzykiem jest jego akceptacja, czyli świadoma decyzja osób
zarządzających ryzykiem, by nie wprowadzać żadnych zmian w działaniu i procesach
związanych z wystąpieniem danego niekorzystnego zjawiska oraz przyjęcie wszelkich
konsekwencji wynikających z ewentualnego wystąpienia niekorzystnego zjawiska.
Wybranie tej opcji, zgodnie z normą ISO/IEC 27001: 2005 wymaga, aby zaakceptowanie
ryzyk, było przeprowadzone w sposób świadomy i obiektywny, przy założeniu, że jasno
spełniają warunki wyznaczone w polityce organizacji oraz kryteria akceptowania ryzyk.
Ostatnią możliwą strategią reagowania na ryzyko jest jego unikanie, które polega na
modyfikacji działań w celu zlikwidowania lub zmniejszenia ryzyka. Przykładem może być
zmiana lokalizacji na bezpieczną w przypadku, gdy obecny teren jest zagrożony klęskami
żywiołowymi. Jest to rozwiązanie stosowane w przypadku, gdy zidentyfikowane ryzyka są
zbyt wysokie lub koszt wdrożenia nie jest adekwatny do zysków.
Rysunek 2 Działanie postępowania z ryzykiem (na podstawie ISO/IEC 27005:2010)
Po opracowaniu planów postępowania z ryzykiem, należy dokonać ponownej
akceptacji tzw. ryzyk szczątkowych, czyli ryzyk z uwzględnienie zastosowanych
mechanizmów ochrony.
W przypadku, gdy szacowana wartość ryzyka nie jest
satysfakcjonująca, należy zaplanować dodatkowe zabezpieczenia lub wybrać inną opcję
postępowania z ryzykiem. Etap szacowania ryzyka może mieć wiele iteracji,
przeprowadzanych do momentu spełnienia wcześniej przyjętych kryteriów akceptacji
ryzyka.
Stałym elementem procesu zarządzania ryzykiem jest informowanie uczestników
procesu o aktualnym jego statusie. Informowanie to powinno zapewnić zrozumienie
procesu zarządzania ryzykiem przez wszystkie osoby biorące w nim udział oraz przez
inne strony zainteresowane. Ważne, aby każdy był świadomy swojej roli i wiedział, za
jakie odpowiada zadania. Umożliwi to sprawną realizację działań związanych z
identyfikacją, szacowaniem oraz wdrażaniem planów postępowania z ryzykiem.
Równie ważnym elementem procesu, o którym nie można zapomnieć, jest
monitorowanie i przegląd ryzyk. Monitorowanie powinno zapewnić, że wszystkie nowe
ryzyka i ich czynniki zostaną zidentyfikowane w odpowiednim czasie, który umożliwi ich
analizę i przyjęcie adekwatnego postępowania. Zalecane do monitorowania czynniki
ryzyka obejmują m.in. informacje o nowych aktywach, zagrożeniach, podatnościach oraz
incydentach związanych z bezpieczeństwem informacji. W przypadku zidentyfikowania
zmiany jakiegokolwiek z czynników mających wpływ na ryzyko, powinno się dokonać
ponownego przeglądu ryzyk oraz zaktualizowania ich wartości, jeżeli zostanie to uznane
za zasadne. Poza przeglądem ryzyk rekomendowane jest monitorowanie i przeglądanie
całego procesu zarządzania ryzykiem. Szczególnie w przypadku zmian organizacyjnych,
wymagań biznesowych lub środowiska zewnętrznego, może się okazać, że obecnie
przyjęta metodyka zarządzania ryzykiem będzie nie adekwatna i nieskuteczna. Dlatego
aby nie dopuścić do takiej sytuacji, w regularnych odstępach czasu oraz po każdej
istotnej zmianie, należy dokonać przeglądu procesu zarzadzania ryzykiem i rozważyć
ewentualne możliwości jego usprawnienia.
autor: Iga Stróżyk
konsultant Departamentu Bezpieczeństwa i Usług IT w PBSG Sp. z o.o.
Bibliografia:
PN ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji. Wymagania.
PN-ISO/IEC 27005:2010 Zarządzanie ryzykiem w bezpieczeństwie informacji
Zarządzanie Ryzykiem Korporacyjnym - Zintegrowana Struktura Ramowa - COSO II, PIKW i PIB,
Warszawa 2007

Podobne dokumenty