Wartośd aktywów w analizie ryzyka bezpieczeostwa informacji

Wartośd aktywów w analizie ryzyka
bezpieczeostwa informacji
Spis treści
I Wstęp .................................................................................................................................................... 2
II. W jakim celu określa się wartośd aktywów? ....................................................................................... 2
III. Wartościowanie aktywów .................................................................................................................. 3
IV. Powiązanie istotności informacji z zasobami ..................................................................................... 4
V. Przykładowy algorytm postępowania w procesie wartościowaniu aktywów wspierających ............. 5
VI. Podsumowanie ................................................................................................................................... 6
Strona
1
Biografia .................................................................................................................................................. 6
I Wstęp
Organizacje tworzone są przez grupy ludzi, pełniących określone role, z przypisanymi
odpowiedzialnościami. Ludzie tworząc wzajemne związki realizują zadania. Zadania te składają się na
proces organizacyjny, który aby zachodził potrzebuje aktywów – informacji. Ludzie, wykorzystując
aktywa wspierające (często wykorzystywanym synonimem jest określenie „zasoby”), przetwarzają
informacje i realizują zdania w ramach konkretnego procesu.
W ten sposób wiele niezależnych oraz zależnych (najczęściej) od siebie procesów generuje wyniki,
które składają się na wytwarzany produkt lub dostarczaną przez organizację usługę.
Procesy i informacje zalicza się do aktywów głównych. Ludzi, środki przetwarzania informacji oraz
inne zasoby istotne z punktu widzenia przetwarzania informacji (np. budynki) zalicza się do aktywów
wspierających. Na rysunku nr 1 zobrazowano wzajemne związki pomiędzy poszczególnymi
elementami składającymi się na określoną organizację, realizującą wyznaczone cele biznesowe.
Rys. 1. Wzajemne relacje pomiędzy elementami składającymi się na organizację
Strona
Wartośd aktywów jest jednym z podstawowych parametrów branym pod uwagę w procesie analizy
ryzyka. Bez względu na kontekst wykonywania analizy ryzyka (kontekst bezpieczeostw informacji,
kontekst ciągłości działania organizacji) szacując ryzyko należy określid wartośd wykorzystywanych
w procesach aktywów (zasobów) i zdefiniowad sposób ich wartościowania. Wartośd
zidentyfikowanego ryzyka jest proporcjonalna do wartości zasobu, z którym to ryzyko jest związane
[1] tzn. im bardziej wartościowy jest dany zasób, tym większe może byd prawdopodobieostwo
materializacji danego scenariusza (np. z punktu widzenia potencjalnych korzyści
2
II. W jakim celu określa się wartość aktywów?
prawdopodobieostwo ataku hakera na bazę danych zawierającą numery kart kredytowych jest
większe niż na bazę danych zawierającą informacje o pracownikach danej organizacji) lub/oraz tym
większe skutki mogą zaistnied w wyniku materializacji scenariusza (np. utrata poufności numerów
kart kredytowych może doprowadzid do wielomilionowych strat dla banku, na które mogą składad się
np. kary, odpływ klientów).
Określenie wartości aktywów jest więc istotne z punktu widzenia szacowanych skutków materializacji
danego ryzyka.
III. Wartościowanie aktywów
Wartościowanie aktywów nie jest sprawą prostą, szczególnie w obliczu różnorodności aktywów [2],
które wchodzą w zakres systemu zarządzania bezpieczeostwem informacji. Wyróżnia się różne grupy
aktywów podlegających inwentaryzacji [2]. Do aktywów głównych zalicza się procesy organizacyjne
oraz informacje. Do aktywów wspierających można zaliczyd takie grupy aktywów jak:







sprzęt,
oprogramowanie,
sied,
personel,
siedziba,
usługi świadczone na rzecz organizacji,
struktury organizacyjne.
Określając wartośd aktywów można brad pod uwagę wiele różnych składowych. Najważniejsze z nich
to:




rodzaj informacji przetwarzanych przez aktywa,
znaczenie aktywów w kontekście realizacji procesów,
wartośd odtworzenia aktywów (wartośd zakupu),
wartośd dostarczenia aktywów zastępczych.
Do większości środków przetwarzania informacji można przypisad wartośd finansową - wiadomo ile
kosztuje dany zasób lub jakie nakłady należy ponieśd, aby go zastąpid. Jednak nie wszystkie aktywa
mogą zostad zwartościowane w tak oczywisty sposób. Dla przykładu sposób nadania wartości
aktywom będącym pochodną ustanowienia w organizacji określonych struktur organizacyjnych (np.
rola administratora bezpieczeostwa informacji) nie jest już taki oczywisty w każdym przypadku.
Strona
Wartośd aktywów może też byd określana poprzez skutki, które zaistnieją w wyniku materializacji
danego scenariusza ryzyka dotyczącego określonego zasobu. W takim przypadku może się okazad, że
utrata poufności określonej informacji („zasób niematerialny”) przewyższy w konsekwencji fizyczną
utratę zasobów np. naruszenie poufności kluczowej informacji (opracowana innowacyjna
technologia) spowoduje utratę potencjalnych korzyści wyrażoną w setkach milionów złotych, podczas
3
Wartościując aktywa można posłużyd się metodami ilościowymi oraz jakościowymi. W praktyce
wykorzystuje się metody mieszane, w których poszczególne wartości cząstkowe składają się na
wypadkową wartośd zasobu.
gdy fizyczne zniszczenie Centrum Przetwarzania Danych i czasowa niedostępnośd określonych
aplikacji biznesowych (utrata dostępności informacji) przełoży się na mniejszą, kilkunastomilionową
stratę, na którą złożą się koszty związane z odtworzeniem infrastruktury sprzętowej oraz straty
wynikające z czasowego zatrzymania produkcji bądź nieświadczenia usługi. Na pierwszy rzut oka
drugi przypadek wydawałby się o wiele gorszy w skutkach, gdyż tracone są aktualnie posiadane
aktywa, a nie potencjalnie utracone korzyści.
Mając na uwadze powyższe, z punktu widzenia poszczególnych atrybutów bezpieczeostwa informacji
(poufnośd/integralnośd/dostępnośd) nadawanie wartości temu samemu zasobowi może byd
odmienne. Inaczej będziemy wartościowad zasób rozważając zagrożenie doprowadzające do utraty
poufności informacji na nim przetwarzanych (w tym przypadku znaczenie będzie miała istotnośd
informacji, której poufnośd zostaje naruszona), a inaczej zwartościujemy ten sam zasób rozważając
zagrożenie doprowadzające do utraty dostępności informacji w wyniku np. zniszczenia serwera i
braku dostępu do krytycznej aplikacji biznesowej (w tym przypadku należałoby rozważyd nie tylko
istotnośd informacji, ale również wartośd odtworzenia/zastąpienia serwera). Podsumowując - analiza
wartości aktywów poprzez szacowanie skutków może odbywad się w obrębie konkretnego
scenariusza ryzyka.
IV. Powiązanie istotności informacji z zasobami
Ponieważ analiza ryzyka w bezpieczeostwie informacji wykonywana jest w obrębie
zinwentaryzowanych aktywów, należy zidentyfikowad w których aktywach wspierających
przetwarzane są określone informacje (aktywa główne) oraz jaki ostatecznie wpływ ma dany zasób
na proces organizacyjny, a tym samym na realizację celów biznesowych organizacji.
W celu powiązania istotności informacji oraz zasobów można zastosowad następujące podejście
opisane poniżej.
Procesy jako aktywa główne do funkcjonowania potrzebują informacji (również aktywa główne) oraz
szeregu aktywów wspierających (zasobów). Informacje przetwarzane są przez zasoby (lub inaczej „w
zasobach”). Zarówno informacje jak i zasoby wspierają realizację procesów. Na rysunku nr 2
zobrazowano kierunek przenikania istotności informacyjnej pomiędzy aktywami.
Funkcjonowanie procesów organizacyjnych niezbędnych do wytworzenia produktów lub dostarczania
określonych usług dla klientów zależy od zasobów. Pojedyncze zasoby mogą wspierad pojedyncze
procesy lub całe grupy procesów. W związku z tym wartośd danego zasobu zależy od liczby procesów,
które są przez niego wspierane. Oprócz samej liczby wspieranych przez zasób procesów należy
uwzględnid również krytycznośd wspieranych procesów. Dane o krytyczności procesów można
uzyskad wykonując analizę wpływu na biznes (ang. Business Impact Analisys).
Strona
4
Ostatecznie na wartośd danego zasobu wpływają istotnośd informacji przetwarzanych przez dany
zasób oraz liczba i istotnośd poszczególnych procesów przez ten zasób wspieranych.
Rys.2. Zobrazowanie przenikania wartości pomiędzy aktywami
V. Przykładowy algorytm postępowania w procesie wartościowaniu aktywów
wspierających
Organizacje, które chcą określid wartośd swoich aktywów mogą zastosowad poniższy algorytm
działania (zobrazowany dodatkowo na rysunku nr 3):
5
zdefiniowad i opisad procesy organizacyjne (aktywa główne),
zidentyfikowad i sklasyfikowad informacje (aktywa główne),
zidentyfikowad i zinwentaryzowad aktywa wspierające (zasoby),
wskazad, które procesy i w jakim stopniu zależą od zasobu,
wskazad które informacje są przetwarzane przez zasoby,
wyliczyd wartośd (znaczenie) zasobu,
przeprowadzid analizę ryzyka w odniesieniu do zasobów.
Strona
a)
b)
c)
d)
e)
f)
g)
Rys. 3. Przykładowy algorytm wyliczenia wartości zasobów na potrzeby analizy ryzyka
VI. Podsumowanie
Wartościując zasoby na potrzeby analizy ryzyka bezpieczeostwa informacji można stosowad różne
podejścia. Ważne jest, aby pracownicy poszczególnych organizacji opracowali i stworzyli taką metodę
postępowania w tym procesie, która:




jest zrozumiała dla przedstawicieli organizacji,
jest dostosowana do aktualnego poziomu dojrzałości systemu ochrony informacji
funkcjonującego w organizacji,
uwzględnia istotnośd informacji oraz znaczenie zasobów w kontekście funkcjonowania
procesów,
jest możliwa do zastosowania w praktyce tzn. organizacja jest w stanie zebrad i przetworzyd
potrzebne dane niezbędne do wyliczenia wartości zasobów.
Biografia
1 - Pr PN - I -13335-1 Technika informatyczna. Wytyczne do zarządzania bezpieczeostwem systemów
informatycznych. Pojęcia i modele bezpieczeostwa systemów informatycznych
Autor: Marek Abramczyk, CISA, CRISC, CISSP, LA ISO27001
6
23.09.2011 Poznao
Strona
2 – ISO/IEC 27005:2008 Technika informatyczna. Techniki bezpieczeostwa. Zarządzanie ryzykiem
w bezpieczeostwie informacji