Zarządzanie ryzykiem w bezpieczeństwie informacji
Transkrypt
Zarządzanie ryzykiem w bezpieczeństwie informacji
Zarządzanie ryzykiem w bezpieczeństwie informacji Systemy zarządzania bezpieczeństwem informacji zyskują coraz większą popularność, zarówno wśród jednostek administracji publicznej jak i firm z sektora prywatnego. Z jednej strony, wychodzące w ostatnim czasie przepisy prawa, takie jak Zarządzanie Ministra Sprawiedliwości w sprawie wprowadzenia Polityki Bezpieczeństwa Informacji czy Rozporządzenie Rady Ministrów w sprawie Krajowych Ramy Interoperacyjności, nakładają obowiązek stosowania wybranych mechanizmów bezpieczeństwa przez wskazane podmioty. Z drugiej strony, rosnąca świadomość w zakresie potrzeby ochrony informacji, szczególnie tych dotyczących know-how, danych osobowych czy też danych Klientów, przyczynia się podjęcia decyzji o wdrożeniu systemu zarządzania bezpieczeństwem informacji w organizacji. Bez względu na powód tej decyzji, niezbędnym elementem każdego systemu oraz polityki bezpieczeństwa jest wdrożenie procesu związanego z zarządzaniem ryzykiem bezpieczeństwa informacji. Proces zarządzania ryzykiem w kontekście bezpieczeństwa informacji jest zbliżony do innych modeli zarządzania ryzykiem realizowanych m.in. w ramach systemu zarządzania ryzykiem w oparciu o wymagania normy ISO 310000, COSO II, kontroli zarządczej, systemu przeciwdziałania zagrożeniom korupcyjnym, czy systemu zarządzania ciągłością działania. Jednak występują w nim pewne elementy charakterystyczne, które należy uwzględnić, na etapie wdrażania tego procesu lub w przypadku integracji podejścia do zarządzania ryzykiem wynikającym z ISO/IEC 27001 z innymi już funkcjonującym w organizacji wymaganiami. Szczegółowe zalecenia oraz rekomendacje dotyczące zarządzania ryzykiem w bezpieczeństwie informacji zostały opisane w normie ISO/IEC 27005. To, co istotne dla każdego podejścia do zarządzania ryzykiem, to traktowanie tego elementu, jako jednego z procesów organizacji, a nie pojedynczego etapu w ramach realizowanego projektu wdrożenia systemu lub polityki. O skutecznym zarządzaniu ryzykiem w organizacji można mówić tylko i wyłączenie w sytuacji, gdy podejmowane są działania związane z ciągłym monitorowaniem i analizą ryzyk oraz z reagowaniem na zmieniające się warunki otoczenia w kontekście identyfikacji nowych zagrożeń i podatności. Charakterystycznym aspektem zarządzania ryzykiem związanym z bezpieczeństwem informacji jest ukierunkowanie całego procesu na identyfikację czynników mających wpływ na ochronę informacji oraz aktywów, na których informacje te są przetwarzane. Jednak przed przystąpieniem do całego procesu szacowania ryzyka, należy określić wymagania, jakie organizacja zamierza spełnić w kontekście ochrony przetwarzanych informacji. W celu zidentyfikowania potrzeb organizacyjnych odnośnie wymogów bezpieczeństwa informacji oraz aby stworzyć efektywny system zarządzania bezpieczeństwem informacji, niezbędne jest wdrożenie systemowego podejścia do zarządzania ryzykiem bezpieczeństwa informacji. Należy pamiętać, aby podejście to było dopasowane do warunków panujących w organizacji oraz aby było jednakowe podczas całego procesu zarządzania ryzykiem. Rysunek 1 Proces zarządzania ryzykiem w bezpieczeostwie informacji (na podstawie ISO/IEC 27005:2010) Proces zarządzania ryzykiem związanym z bezpieczeństwem informacji należy zaprojektować tak, aby zapewniał: identyfikowanie zagrożeń dla przetwarzanych informacji; oszacowanie ryzyk w kategoriach konsekwencji dla funkcjonowania biznesowego oraz prawdopodobieństwa wystąpienia zagrożeń; odpowiednie przedstawienie oraz zrozumienie prawdopodobieństwa oraz konsekwencji materializacji ryzyk; ustanowienie priorytetów dotyczących postępowania z ryzykiem; wprowadzanie priorytetowych działań mających na celu redukcję ryzyk; zaangażowanie kierownictwa podczas podejmowania decyzji związanych z zarządzaniem ryzykiem oraz bieżące informowanie go o postępach realizowanych działań minimalizujących; monitorowanie i regularne przeglądanie ryzyk oraz procesu zarządzania nimi; kształcenie pracowników w zakresie ryzyk oraz działań mających na celu obniżenie poziomu prawdopodobieństwa ich wystąpienia. Podchodząc do analizy ryzyka, należy zapoznać się z definicjami wykorzystywanymi w normie ISO/IEC 27001, ponieważ w zależności od przyjętego standardu te same pojęcia mogą mieć nieco inne znaczenie. Podstawowym terminem jest definicja ryzyka, które w normie jest rozumiane jako Kombinacja prawdopodobieństwa i skutku wystąpienia danego negatywnego zdarzenia. Często uważane za tożsame są pojęcia analizy i szacowania ryzyka. Tymczasem norma definiuje analizę ryzyka jako systematyczne korzystanie z informacji w celu zidentyfikowania źródeł i parametrów ryzyka. Natomiast szacowanie ryzyka jest całościowym procesem analizy ryzyka i oceny ryzyka. Równie ważnym jest zapamiętanie definicji zasobu, jako istotnego, z punktu widzenia bezpieczeństwa informacji, elementu objętego ochroną, gdyż definicja ta podkreśla ukierunkowanie całego procesu zarządzania ryzykiem na ochronę przetwarzanych informacji. Proces zarządzania ryzykiem można podzielić na osiem głównych etapów, które układają się w zamkniętą pętlę. Pętla ta jest każdorazowo uruchamiana w przypadku wystąpienia istotnych zmian w organizacji mających wpływ na bezpieczeństwo informacji lub podczas wcześniej ustalanych terminów ponownego przeglądu ryzyk. Pierwszym krokiem jest wyznaczenie kontekstu strategicznego, organizacyjnego oraz związanego z zarządzaniem ryzykiem. Na tym etapie dokonuje się opracowania tzw. metodyki zarządzania ryzykiem, w której są określane wszystkie istotne zasady dotyczące całego prosu, w celu zapewnienia jego powtarzalności i zagwarantowania, że wyniki szacowania ryzyka są porównywalne na przestrzeni czasu. Na tym etapie określa się również odpowiedzialności w zakresie zarządzania ryzykiem, ze szczególnym uwzględnieniem roli kierownictwa w etapie określenia kryteriów akceptacji ryzyka. Kolejnym etapem jest identyfikacja ryzyk, która polega na określeniu przyczyn i sposobu materializacji niepożądanych incydentów. Obejmuje identyfikowanie aktywów, zagrożeń, podatności i potencjalnych następstw zidentyfikowanych incydentów. Podczas inwentaryzacji aktywów, należy pamiętać, że aktywa to nie tylko oprogramowanie i sprzęt, ale również ludzie, lokalizacje i technologie. Ważne, aby w trakcie identyfikacji do każdego aktywa przypisać jego właściciela. Kolejnym krokiem jest określenie zagrożeń dla zidentyfikowanych aktywów. Norma ISO/IEC 27005 identyfikuje różne przyczyny zagrożeń. Zagrożenia mogą się zmaterializować w wyniku działań celowych, przypadkowych lub pochodzenia środowiskowego. Do typowych zagrożeń uwzględnianych w procesie szacowania ryzyka można zaliczyć: pożar, zalanie, zanieczyszczenie, wypadek, zniszczenie urządzeń lub wyposażenia, kradzież, przeciążenie systemu, czy awarię zasilania. Do zmaterializowania zagrożeń przyczyniają się podatności, dlatego je również należy identyfikować, aby później móc podejmować odpowiednie decyzje na etapie estymacji ryzyka. Jako przykłady identyfikowanych podatności można wskazać: brak okresowej konserwacji urządzeń, brak szkoleń z zakresu bezpieczeństwa, umiejscowienie w pobliżu obszaru zagrożonego powodzią, brak mechanizmów uwierzytelniania. Następnym krokiem jest wykonanie estymacji ryzyka. Danymi wejściowymi do tego etapu są prawdopodobieństwo incydentu oraz jego konsekwencje. Analiza ta odbywa się w kontekście istniejących zabezpieczeń oraz prawdopodobieństwa zmaterializowania się incydentów. Podczas szacowania prawdopodobieństwa materializacji ryzyka należy wziąć pod uwagę: odpowiednie statystki prawdopodobieństwa zagrożeń, w przypadku zagrożeń spowodowanych celowym działaniem – motywy oraz możliwości, w przypadku zagrożeń spowodowanych przypadkowym działaniem – czynniki środowiskowe oraz czynniki wpływające na błędy ludzkie oraz nieprawidłowe działanie urządzeń, podatności, funkcjonujące zabezpieczenia. Analizując skutki wystąpienia ryzyka należy rozważyć zarówno konsekwencje bezpośrednie, takie jak np. koszt wymiany lub naprawy utraconych aktywów, jak i konsekwencje pośrednie, będące trudne do oszacowania, do których można zaliczyć: utratę wizerunku oraz koszty utraconych możliwości. Ostatnim etapem szacowania ryzyka jest dokonanie jego oceny. W tym kroku dokonuje się porównania wyznaczonych poziomów ryzyka z ustalonymi kryteriami oraz nadaje się priorytety poszczególnym ryzykom. Nie jest to nic innego jak przyporządkowanie ryzyk do danej grupy. W zależności od przyjętej metodyki, zazwyczaj ryzyka są dzielone na niskie, średnie i wysokie. Wynikiem tego etapu powinna być lista ryzyk wytypowanych do podjęcia działań redukujących ich wartość do akceptowalnego poziomu. Uwzględniając kryteria oceny ryzyka, dla wyznaczonych ryzyk, należy określić odpowiednie postępowanie. Na etapie opracowaniu planu zarządzania ryzykiem, najczęściej przyjmuje się jedną z czterech możliwości. Najpowszechniejszą ze wszystkich strategii reagowania na ryzyko jest jego redukcja, czyli obniżenie poziomu ryzyka poprzez wybór zabezpieczeń w sposób pozwalający na zaakceptowanie ryzyka szczątkowego. W przypadku wdrażania systemu zarządzania bezpieczeństwem informacji zgodnego z ISO/IEC 27001, na tym etapie obowiązkowo należy rozważać zabezpieczenia z Załącznika A normy, ale organizacja może również wybrać zabezpieczenia spoza niego. Ważną kwestią jest, aby podczas wdrażania zabezpieczeń wziąć pod uwagę ograniczenia czasowe, finansowe, techniczne oraz organizacyjne. Drugim możliwym rozwiązanie jest przeniesienie ryzyka. Jest to opcja wybierana dla średnich i dużych wartości ryzyka. Najczęściej przeniesienie ryzyka polega na ubezpieczeniu się od jakiegoś zdarzenia lub scedowanie skutków ryzyka na kontrahenta (np. podwykonawcę). Inną opcją postępowanie z ryzykiem jest jego akceptacja, czyli świadoma decyzja osób zarządzających ryzykiem, by nie wprowadzać żadnych zmian w działaniu i procesach związanych z wystąpieniem danego niekorzystnego zjawiska oraz przyjęcie wszelkich konsekwencji wynikających z ewentualnego wystąpienia niekorzystnego zjawiska. Wybranie tej opcji, zgodnie z normą ISO/IEC 27001: 2005 wymaga, aby zaakceptowanie ryzyk, było przeprowadzone w sposób świadomy i obiektywny, przy założeniu, że jasno spełniają warunki wyznaczone w polityce organizacji oraz kryteria akceptowania ryzyk. Ostatnią możliwą strategią reagowania na ryzyko jest jego unikanie, które polega na modyfikacji działań w celu zlikwidowania lub zmniejszenia ryzyka. Przykładem może być zmiana lokalizacji na bezpieczną w przypadku, gdy obecny teren jest zagrożony klęskami żywiołowymi. Jest to rozwiązanie stosowane w przypadku, gdy zidentyfikowane ryzyka są zbyt wysokie lub koszt wdrożenia nie jest adekwatny do zysków. Rysunek 2 Działanie postępowania z ryzykiem (na podstawie ISO/IEC 27005:2010) Po opracowaniu planów postępowania z ryzykiem, należy dokonać ponownej akceptacji tzw. ryzyk szczątkowych, czyli ryzyk z uwzględnienie zastosowanych mechanizmów ochrony. W przypadku, gdy szacowana wartość ryzyka nie jest satysfakcjonująca, należy zaplanować dodatkowe zabezpieczenia lub wybrać inną opcję postępowania z ryzykiem. Etap szacowania ryzyka może mieć wiele iteracji, przeprowadzanych do momentu spełnienia wcześniej przyjętych kryteriów akceptacji ryzyka. Stałym elementem procesu zarządzania ryzykiem jest informowanie uczestników procesu o aktualnym jego statusie. Informowanie to powinno zapewnić zrozumienie procesu zarządzania ryzykiem przez wszystkie osoby biorące w nim udział oraz przez inne strony zainteresowane. Ważne, aby każdy był świadomy swojej roli i wiedział, za jakie odpowiada zadania. Umożliwi to sprawną realizację działań związanych z identyfikacją, szacowaniem oraz wdrażaniem planów postępowania z ryzykiem. Równie ważnym elementem procesu, o którym nie można zapomnieć, jest monitorowanie i przegląd ryzyk. Monitorowanie powinno zapewnić, że wszystkie nowe ryzyka i ich czynniki zostaną zidentyfikowane w odpowiednim czasie, który umożliwi ich analizę i przyjęcie adekwatnego postępowania. Zalecane do monitorowania czynniki ryzyka obejmują m.in. informacje o nowych aktywach, zagrożeniach, podatnościach oraz incydentach związanych z bezpieczeństwem informacji. W przypadku zidentyfikowania zmiany jakiegokolwiek z czynników mających wpływ na ryzyko, powinno się dokonać ponownego przeglądu ryzyk oraz zaktualizowania ich wartości, jeżeli zostanie to uznane za zasadne. Poza przeglądem ryzyk rekomendowane jest monitorowanie i przeglądanie całego procesu zarządzania ryzykiem. Szczególnie w przypadku zmian organizacyjnych, wymagań biznesowych lub środowiska zewnętrznego, może się okazać, że obecnie przyjęta metodyka zarządzania ryzykiem będzie nie adekwatna i nieskuteczna. Dlatego aby nie dopuścić do takiej sytuacji, w regularnych odstępach czasu oraz po każdej istotnej zmianie, należy dokonać przeglądu procesu zarzadzania ryzykiem i rozważyć ewentualne możliwości jego usprawnienia. autor: Iga Stróżyk konsultant Departamentu Bezpieczeństwa i Usług IT w PBSG Sp. z o.o. Bibliografia: PN ISO/IEC 27001:2007 Systemy zarządzania bezpieczeństwem informacji. Wymagania. PN-ISO/IEC 27005:2010 Zarządzanie ryzykiem w bezpieczeństwie informacji Zarządzanie Ryzykiem Korporacyjnym - Zintegrowana Struktura Ramowa - COSO II, PIKW i PIB, Warszawa 2007