Metodyka szacowania ryzyka bezpieczeństwa łańcucha dostaw

Metodyka szacowania ryzyka
Wydanie 4
Strona 1 z 11
Opracował:
Mirosław Stańczykowski
Zatwierdził:
Marek Tarnowski
Data wydania:
05-12-2008
Metodyka szacowania ryzyka
bezpieczeństwa łańcucha dostaw
Szacowanie ryzyka
1/11
Metodyka szacowania ryzyka
Wydanie 4
Strona 2 z 11
Opracował:
Mirosław Stańczykowski
Zatwierdził:
Marek Tarnowski
Data wydania:
05-12-2008
Szacowanie ryzyka
Praktyczny przewodnik
Podstawowe pojęcia
Szacowanie ryzyka
całościowy proces analizy i oceny ryzyka
Ryzyko
prawdopodobieństwo
wystąpienia
zagrożenia,
które,
wykorzystując
podatność(ci) aktywu, może doprowadzić do jego uszkodzenia lub zniszczenia.
Aktyw
wszystko to, co ma wartość dla organizacji
Elementy szacowania ryzyka
Poniżej zaprezentowane są elementy składowe ryzyk, które są brane pod uwagę w procesie
szacowania ryzyka. Są nimi aktywa, ich wartość, potencjalne zagrożenia, prawdopodobieństwa
wystąpienia tych zagrożeń, podatności aktywu na zagrożenie, wpływ zagrożenia na bezpieczeństwa
łańcucha dostaw oraz stosowane zabezpieczenia.
Wzajemne relacje pomiędzy poszczególnymi elementami obrazuje poniższy schemat:
Rysunek 1. Struktura analizy ryzyka (opracowanie własne)
Szacowanie ryzyka
2/11
Metodyka szacowania ryzyka
Wydanie 4
Strona 3 z 11
Opracował:
Mirosław Stańczykowski
Zatwierdził:
Marek Tarnowski
Data wydania:
05-12-2008
Kroki szacowania ryzyka
Krok 1 – Identyfikacja aktywów
Kluczowym elementem procesu szacowania ryzyka są aktywa. Oznacza to, że należy przeprowadzić
inwentaryzację aktywów organizacji i określić ich wartość dla organizacji. Podczas określania
wartości aktywu należy rozważyć, jaki wpływ na funkcjonowanie organizacji będzie miała jego utrata,
naruszenie, awaria lub inne problemy z nim związane. Im większy wpływ tym większa wartość
aktywu. Wartość najlepiej oceniać z punktu widzenia znaczenia dla zapewnienia ciągłości biznesu i
jego bezpieczeństwa. Wyniki najlepiej wyrażać w konkretnych wartościach finansowych, ale
ponieważ w przypadku takich aktywów jak wizerunek firmy czy też wiedza pracowników trudno jest
określić ich wartość kwotowo, możemy przyjąć inny sposób oceny wartości – względną ocenę
istotności aktywu w stosunku do pozostałych aktywów. Stosując skalę np. czterostopniową, ważne jest
określenie znaczenia poszczególnych wystąpień.
Tabela 1.
Bardzo duża
Istotność aktywu
utrata lub naruszenie bezpieczeństwa aktywu powoduje przerwanie ciągłości
procesów biznesowych
Znacząca
utrata lub naruszenie bezpieczeństwa aktywu może mieć wpływ na realizację
procesów biznesowych
Średnia
utrata lub naruszenie bezpieczeństwa aktywu powoduje utrudnienia w normalnym
funkcjonowaniu procesu biznesowego
Pomijalna
utrata lub naruszenie bezpieczeństwa aktywu nie ma wpływu na funkcjonowanie
procesu biznesowego
gdzie pozycja „Bardzo duża” oznacza najwyższą istotność, a „Pomijalna” – najniższą istotność.
Krok 2 – Identyfikacja zagroŜeń
Chcąc zabezpieczyć nasze aktywa, należy wiedzieć, przed czym chcemy je zabezpieczać, czyli jakie
zagrożenia mogą wystąpić w przypadku konkretnego aktywu. Dobrą praktyką jest wskazywanie
Szacowanie ryzyka
3/11
Metodyka szacowania ryzyka
Wydanie 4
Strona 4 z 11
Opracował:
Mirosław Stańczykowski
Zatwierdził:
Marek Tarnowski
Data wydania:
05-12-2008
przede wszystkim rzeczywistych zagrożeń – tzn. takich, które mogą wystąpić i występują w
organizacji (konkretne awarie, braki zasilania, kradzieże, napady, uszkodzenia, braki wymaganych
dokumentów, ludzie i ich kompetencje, wiedza, umiejętności, błędy itp), a nie tylko takich, które
łatwo wymienić (zamach terrorystyczny, zrzut paliwa przez lądujące awaryjnie samoloty - tam gdzie
nie ma lotniska) itp. Z punktu widzenia kompletności szacowania ryzyka powinna być brana pod
uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych), – ale należy pamiętać,
że istotnym elementem procesu analizy ryzyka jest możliwość uzyskania aktualnych i miarodajnych
wyników. Zbyt rozbudowana analiza – o mniej istotne elementy – może spowodować, że w momencie
jej zakończenia już będzie nieaktualna.
Krok 3 – Określenie prawdopodobieństwa
Nie wszystkie zagrożenia występują tak samo często, stąd wprowadzone zostało pojęcie
prawdopodobieństwa wystąpienia zagrożenia. Awarie urządzeń, czy brak zasilania są na pewno
częstsze niż pożary czy zrzuty paliwa przez lądujące awaryjnie samoloty. Jakie przyjąć stopniowanie
określania prawdopodobieństwa, to oczywiście zależy od struktury organizacji, jej branży i wielkości.
Dobrą praktyką, która sprawdziła się w czasie szacowania ryzyka w prowadzonych wdrożeniach
w firmach rynku MSP (małe i średnie przedsiębiorstwa), jest stosowanie skali nie większej niż
3-stopniowa, np: Wysokie, Średnie, Pomijalne, gdzie:
Tabela 2.
Prawdopodobieństwo wystąpienia zagrożenia
Wysokie
występuje często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością lub
jest bardzo prawdopodobne
Średnie
wystąpiło w ostatnim roku lub zdarza się nieregularnie lub jest prawdopodobne
Pomijalne
nie wystąpiło ani razu w ciągu ostatniego roku lub jest nieprawdopodobne
gdzie prawdopodobieństwo „Wysokie” oznacza najwyższe prawdopodobieństwo, a „Pomijalne” –
najniższe.
Szacowanie ryzyka
4/11
Metodyka szacowania ryzyka
Wydanie 4
Strona 5 z 11
Opracował:
Mirosław Stańczykowski
Zatwierdził:
Marek Tarnowski
Data wydania:
05-12-2008
Krok 4 – Określenie podatności
Jeśli wiemy już, co chronimy (aktywa), dlaczego (istotność), przed czym (zagrożenia), to należy
jeszcze określić słabe strony naszych aktywów tzn. cechy i/lub właściwości aktywu, które mogą
zostać wykorzystane przez zagrożenie. Papier chronimy przez spaleniem, ponieważ nie jest odporny
na ogień – wprost przeciwnie - jest podatny na spalenie. Konkretne urządzenie jest zagrożone
wystąpieniem awarii, ponieważ pracuje 24 h na dobę (podatność – ciągła praca) lub w trudnych
warunkach (podatność – trudne warunki pracy: zapylenie, inne). Po co określać podatności? Jeśli
z analizy ryzyka uzyskamy wynik, że ryzykownym aktywem jest np. budynek, a zagrożeniem ulewna
burza – to przy wskazanej podatności „niedrożna kanalizacja deszczowa” otrzymujemy wyraźną
sugestię, że należy wdrożyć zabezpieczenia związane z możliwością podtopienia budynku z powodu
niedrożnej kanalizacji, np. okresowe udrażnianie/przegląd owej kanalizacji.
Krok 5 –Określenie wpływu zagroŜenia a poziom zabezpieczeń
Ostatnimi elementami domykającymi analizę są kwestie związane z oceną wpływu zagrożenia na
aktyw oraz określenie poziomu wdrożonych zabezpieczeń.
Tabela 3.
Krytyczny
Wpływ/skutek wystąpienia zagrożenia
wystąpienie zagrożenia powoduje wystąpienia efektu biznesowego, wysoki
koszt, utrata wizerunku firmy, brak możliwości realizacji zadań
Średni
wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże
utrudnienie w pracy
Pomijalny
wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego
lub jest on marginalny
Nie dotyczy
Wystąpienie zagrożenia nie ma wpływu na aktywo
gdzie wpływ „Krytyczny” oznacza najwyższą wartość (największy wpływ), a „Nie dotyczy” –
najniższą wartość (najmniejszy wpływ);
Szacowanie ryzyka
5/11
Metodyka szacowania ryzyka
Wydanie 4
Tabela 4.
Strona 6 z 11
Opracował:
Mirosław Stańczykowski
Zatwierdził:
Marek Tarnowski
Data wydania:
05-12-2008
Poziom zabezpieczeń
Wysoki
występujące zabezpieczenie chroni skutecznie przed wskazanymi zagrożeniami
Średni
występują częściowe zabezpieczenia, które chronią tylko wybrane obszary lub
nie są w pełni skuteczne.
Niski
praktycznie brak jest jakichkolwiek zabezpieczeń lub są one nieskuteczne
Nie dotyczy
Wystąpienie zagrożenia nie ma wpływu na aktywo
gdzie poziom „Wysoki” oznacza najwyższą wartość (najwyższy poziom zabezpieczeń), a „Nie
dotyczy” – najniższą wartość (najniższy poziom zabezpieczeń);
Krok 6 – Określenie ryzyka szczątkowego
Ryzyko aktywu wskazuje nam na ile obawiamy się realnej utraty bezpieczeństwa tego aktywu na tle
pozostałych aktywów w sytuacji, kiedy nie stosujemy jeszcze żadnych zabezpieczeń. Lista aktywów,
posortowana wg ich ryzyk, stanowi podstawę do określenia, jakie zabezpieczenia powinny być
wybrane w celu ochrony najbardziej ryzykownych aktywów.
W celu uzyskania porównywalnych ze sobą ryzyk aktywów, należy ustalić sposób ich obliczania.
Żeby móc obliczyć ich wartość należy podstawić do poniższego wzoru wartości liczbowe przypisane
do poszczególnych pozycji. Wielkości nie są istotne, ważna jest ich powtarzalność.
Ryzyko aktywu jest obliczane wg następującego wzoru:
Ra = Σ(Wa x Pwz)
gdzie:
Ra – ryzyko aktywu
Wa – wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu,
jego zagrożeń, podatności), rozumiany jako;
Wa =Σp(W *Wpd)
gdzie:
Szacowanie ryzyka
6/11
Metodyka szacowania ryzyka
Wydanie 4
Strona 7 z 11
Opracował:
Mirosław Stańczykowski
Zatwierdził:
Marek Tarnowski
Data wydania:
05-12-2008
Σp – suma wg podatności
W - wpływ zagrożenia na biznes
Pwz – prawdopodobieństwo wystąpienia zagrożenia
Po wyborze i wdrożeniu zabezpieczeń należy ponownie przeprowadzić szacowanie ryzyka, ale już
z uwzględnieniem poziomów zabezpieczeń, jakie wg nas zostały zapewnione dzięki wdrożonym
zabezpieczeniom – są to ryzyka szczątkowe.
Ryzyko szczątkowe natomiast obliczane jest wg następującego wzoru:
Rsa = Wsa x Pwz
gdzie:
Rsa – ryzyko szczątkowe
Wsa – wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu,
jego zagrożeń, podatności oraz zastosowanych zabezpieczeń);
Wa =Σp(W/Z *Wpd);
gdzie:
Z – poziom zabezpieczeń przed wpływem zagrożenia
W efekcie uzyskujemy ryzyka szczątkowe aktywów, dla których kierownictwo organizacji określa
i akceptuje poziom „ryzyka akceptowalnego” jako ustaloną wartość ryzyka, poniżej którego ryzyka
aktywów zostają uznane za akceptowalne.
Szacowanie ryzyka
7/11
Strona 8 z 11
Opracował:
Mirosław Stańczykowski
Zatwierdził:
Marek Tarnowski
Data wydania:
05-12-2008
Metodyka szacowania ryzyka
Wydanie 4
1. Wynik szacowania ryzyka
Ryzyko szczątkowe
Ryzyka szczątkowe aktywów
Poziom ryzyka akceptowalnego
Aktyw 1
Aktyw 2
Aktyw 3
Aktyw 4
Aktyw 5
Aktyw 6
Aktyw 7
Aktyw 8
Aktywa
Określenie poziomu ryzyka akceptowalnego w zasadzie kończy etap szacowania ryzyka, kolejnym
krokiem jest przygotowanie planów, mających na celu obniżenie ryzyk szczątkowych aktywów,
których ryzyko szczątkowe jest większe od ustalonej wartości ryzyka akceptowalnego.
Zestawienie aktywów wg ryzyka (bez zabezpieczeń) wyznacza nam listę aktywów najbardziej
ryzykownych dla organizacji – tzw. stan „0”. Na podstawie tej listy powinno się dobierać odpowiednie
zabezpieczenia (uwzględniając istniejące), natomiast na podstawie ryzyk szczątkowych przygotować
plan postępowania z ryzykiem.
Sposób realizacji
Żeby wyniki analizy ryzyka były kompletne i obejmowały wszystkie rozpatrywane zagadnienia w
organizacji, powinny być przygotowywane przy współudziale osób reprezentujących wszystkie
obszary funkcjonowania organizacji, będące w analizowanym zakresie, np:
•
Zarządzanie firmą
•
Spedycja
Szacowanie ryzyka
8/11
Metodyka szacowania ryzyka
Wydanie 4
•
Finansowo-Księgowy
•
Zasoby ludzkie
•
IT
•
Ochrona fizyczna
•
Administracja
•
Dział Prawny itp.
Strona 9 z 11
Opracował:
Mirosław Stańczykowski
Zatwierdził:
Marek Tarnowski
Data wydania:
05-12-2008
Osoby reprezentujące poszczególne obszary (właściciele aktywów) są odpowiedzialne za
przygotowanie cząstkowym analiz ryzyka, obejmujących aktywa w swoim obszarze i przekazanie ich
do wskazanej osoby, która po scaleniu uzyska wyniki analizy dla całej organizacji.
Podsumowanie
Podsumowując, zadaniem procesu szacowania ryzyk aktywów jest wskazanie aktywów najbardziej
zagrożonych w firmie (miejsc o relatywnie wysokim prawdopodobieństwie zmaterializowania się
zagrożenia), dzięki czemu wiemy, którymi aktywami należy się zająć w pierwszej kolejności i
wdrożyć dla nich zabezpieczenia (fizyczne, techniczne lub organizacyjne). Wdrożenie zabezpieczeń
może wiązać się z koniecznością przeznaczenia dodatkowych funduszy na ten cel. Wyniki szacowania
są podstawą do uzasadnienia kierownictwu, dlaczego należy wydać pieniądze i dlaczego
zabezpieczamy właśnie te, a nie inne aktywa.
Poniższy schemat prezentuje całościowy proces zarządzania ryzykiem, gdzie identyfikacja aktywów i
zmian, oraz szacowanie ryzyka są jego częścią.
Szacowanie ryzyka
9/11
Strona 10 z 11
Opracował:
Mirosław Stańczykowski
Zatwierdził:
Marek Tarnowski
Data wydania:
05-12-2008
Metodyka szacowania ryzyka
Wydanie 4
2. Zarządzanie ryzykiem
Po wprowadzeniu zabezpieczeń ponownie szacujemy ryzyko (aktualizacji podlega poziom
zabezpieczeń) i ponownie otrzymujemy listę aktywów i ich ryzyk, które kierownictwo akceptuje, lub
też nie akceptuje i należy określić kolejne zabezpieczenia.
Jak często naleŜy przeprowadzać proces szacowania ryzyka?
Dobre praktyki sugerują przeprowadzanie przeglądu zarządzania nie rzadziej niż raz w roku, a
ponieważ wejściem na przegląd jest również raport z analizy ryzyka stąd w ten sposób określono
niezbędną minimalną częstotliwość aktualizacji ryzyk. Z drugiej jednak strony norma wskazuje
konieczność aktualizacji analizy po każdej zmianie, która może mieć wpływ na funkcjonujący system
zarządzania.
Wsparcie informatyczne
Podczas
przeprowadzania
procesu
szacowania
ryzyka
ułatwieniem
jest
wykorzystanie
oprogramowania wspomagającego szacowanie ze względu na ilość danych, które należy wziąć pod
uwagę. Przykładem takiego oprogramowania jest Certus Risk Analyzer firmy Centrum Doskonalenia
Zarządzania Meritum, dostępny w wersji demo (tzn. bez możliwości zapisu wyników pracy) pod
adresem http://www.centrum-doskonalenia.pl, którego zasady funkcjonowania są oparte o omawianą
w tym opracowaniu metodykę.
Szacowanie ryzyka
10/11
Metodyka szacowania ryzyka
Wydanie 4
Strona 11 z 11
Opracował:
Mirosław Stańczykowski
Zatwierdził:
Marek Tarnowski
Data wydania:
05-12-2008
Literatura
1. PN ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji, PKN, 2007
2. PN ISO/IEC 17799:2005 Praktyczne zasady zarządzania bezpieczeństwem informacji, PKN,
2007
3. ISO 28000:2007 „Specification for security management systems for the supply chain”, ISO
2007
4. ISO/IEC TR 13335 część 1 do 4 Wytyczne do zarządzania bezpieczeństwem systemów
informatycznych, PKN,
5. The Security Risk Management Guide, Microsoft Corporation, 2006
6. Threat and Risk Assessment Working Guide, Government of Canada, Communications
Security Establishment, 1999;
Szacowanie ryzyka
11/11