tema 10: upravljanje rizikom (iso/iec 27005)
Post on 22-Jan-2016
158 Views
Preview:
DESCRIPTION
TRANSCRIPT
Tema 10:UPRAVLJANJE RIZIKOM
(ISO/IEC 27005)
DEFINISANJE
KONTEKSTA ZA ANALIZU RIZIKADocent dr Gojko Grubor
OSNOVI BEZBEDNOSTI I ZAŠTITE IKTS
04/21/23 UNIVERZITET SINGIDUNUM - FPI
2
CILJ
• Razumeti:• koncept bezbednosnog rizika
• vrste metoda za upravljanje/procenu rizikaKvalitativneKvantitativne
• vrste modela za upravljanje rizikom
04/21/23 UNIVERZITET SINGIDUNUM - FPI
3
KLJUČNI TERMINI
• Rizik
• Upravljanje rizikom
• Analiza (procena) rizika
• Kvantitativna metoda
• Kvalitativna metoda
• Model upravljanja rizikom
Šta je bezbednosni rizik?
• A = Pv + R+ In (ili +Po) ‚ Pv-poverljivost, R-raspoloživost, In-integritet, Po-pouzdanost/ iskoristivost
• V = DxKxTrxIsxZa D-detektibilnost, K -korisnost, Tr -trajnost, Is -iskoristivost, Za –zaštićenost
T=T1+T2+...+T8= T Rr = AxVx T Rrp= (Rr/Mz) x Ut = ((AxVx T)/Mz) x Ut - nivo preostalog rizika • mere zaštite – Mz (k/z: osnovne, poboljšane) • uticaj-Ut = AxTixTfxTv ≡ OGG
5
Pristup proceni b. rizika
Povećati bezbednost= smanjiti faktore rizika
Rizik = Ranjivost * Pretnja* Uticaj
= * *Admin
6
Pristup proceni b. rizika
Zašto je ovo važno?
Motivacioni
Razlog zašto neko treba da uradi nešto
Problem
Indicira na šta se neko treba usmeriti
Katalizator
Nepredvidljiv događaj koji nas primorava da nešto uradimo
Iskorišćava ranjivostUzrokuje uticaj
Uticaj Ranjivost Pretnja
7
Pristup proceni b. rizika
Zašto je ovo važno?
• finansijski gubitak• gubitak ugledan• gubitak vremena• gubitak know -how• …
• Ljudske greške• nedostatak know-how• nedostatak intresa• zamor• …
• Tehničke ranjivosti• nepečovan OS• nepečovane aplikacije • otvorene mreže• WiFi Bluetooth• pogrešna konfiguracija sistema…
•Namerne pretnje• iznutra• izvana• fizičke• logičke
• Nenamerne pretnje• greške•kvarovi• …
Struktura znanja
Uticaj Ranjivost Pretnja
8
Ciljevi su:
nisu jednaki, ali su slični !!!!
Pristup proceni b. rizika
Građani ORGAdmin
9
Topologija:Pristup proceni b. rizika
Građani ORG Admin
Kontekst za analizu rizika
1. Osnovni parametri za upravljanje rizikom (A,V,T),
2. Definisanje obima i granica analize,
3. Uspostavljanje i organizacija tima za upravljanje rizikom,
4. Uspostavljanje strukture i procesa analize i procene rizika
Kvalitativne metode
Vrste: CCTA CRAMM, LAVA, RISKPAC, MARION, Buddy System, OCTAVE....
CRAMM: Faza 1- Identifikacija i evaluacija imovine (A) Faza 2- Procena T i V Faza 3 –Identifikacija, izbor k/z, provera Problem: održavanje ažurne baze podataka,
cena komponenti sistema zaštite
OCTAVE (Operationally Critical, Threat,
Asset, and Vulnerability Evaluation)
• nije moguće redukovati ili otkloniti sav rizik, • resursi za zaštitu uvek su ograničeni,• ne mogu se sprečiti svi napadi na sistem,• incidente treba prepoznati/neutralisati, sistem
oporaviti,• optimalno iskoristiti resurse za preživljavanje
neophodnih funkcija IKTS i organizacije, • koristi tri kataloga informacija:
1. kritične imovine (A), 2. pretnji (T) i ranjivosti (V)3. prakse zaštite.
OCTAVE i drugi metodi evaluacije rizika
OCTAVE Drugi tipovi evaluacije
evaluacija organizacije (ne samo IKTS) evaluacija IKT sistema
pažnja usmerena na praksu zaštite pažnja usmerena na tehnologiju zaštite
strategijska pitanja taktička pitanja
samo-vođena metodologija vođena od strane eksperta (skupa)
adaptivna za većinu organizacija specifična za svaku organizaciju
uravnotežuje: operativni rizik, praksu
zaštite i tehnologiju zaštite
Metod OCTAVE
Analitički tim:identifikuje objekte organizacije
• usmerava analizu rizika na kritične objekte (KO)
• razmatra pretnje i ranjivosti (proceduralne i tehnološke) KO
evaluira faktore rizika u operativnom kontekstu planira strategiju zaštite na bazi prakse zaštite
Trofazni metod evaluacije
• Faza 1: Identifikacija i izrada profila pretnji (T)
• Faza 2: Analiza ranjivosti (V)• Faza 3: Planiranje i razvoj strategije i
plana zaštite
Kriterijumi metoda OCTAVE
• Zahtevi metoda ugrađeni u skup kriterijuma: – principa (npr. samo-vođenja) – atributa (različiti kvaliteti ili karakteristike procesa
evaluacije)– izlaznih rezultata (očekivani rezultati svake faze i
procesa evaluacije)
• Razvijena dva metoda: – OCTAVE metod (za srednje i velike organizacije) i– OCTAVE –S metod (za male organizacije)
OCTAVE poboljšanje prakse zaštite
• planira implementaciju strategije zaštite kroz detaljne akcione planove (dnevne, nedeljne, mesečne,..),
• monitoriše dinamika sprovođenja i efektivnost realizacije akcionih planova
• kontroliše varijacije i preduzima odgovarajuće korektivne aktivnosti.
• OCTAVE metod je evaluacioni, a ne neprekidni proces• proces upravljanja rizikom definisan je i zatvoren:
– planiranje, implementacija, kontrola i korekcija sistema zaštite.
1.Osnovni parametri za upravljanje rizikom
(ISO-27005)
a. izbor odgovarajućeg pristupa za procenu rizika
b. uspostavljanje kriterijuma za evaluaciju rizika
c. uspostavljanje kriterijuma za procenu verovatnoće uticaja,
d. uspostavljanje kriterijuma za prihvatanje i tretman rizika
e. određivanje potencijalno raspoloživih resursa
a. Izbor odgovarajućeg pristupa za procenu rizika
• Formalna metodologija za analizu rizika (ISO/IEC TR 13335-3, ISO/IEC 27005),
• Interaktivna programska aplikacija (HESTIA, CRAMM, COBRA, vsRISK, RA2…),
• OCTAVE (Organizational Critical Treats Assessment and and Vulnerability Estimation), analiza kritičnih faktora rizika,
• BAR-brza analiza kritičnih faktora rizika
Kvantitativni metodi
Metodi rentabiliteta (cost-benefit) Atributi rizika:
– Vrednost informacione imovine – A – Verovatnoća realizacije pretnji – Tv– Ranjivost informacione imovine – V
OGG (očekivani godišnj igubici)= Tv x A Vrste: NIST, IBM, vlade SAD/FIPS 65 ,
RISKCALC, BDSS, RISKWATCH...
b. Kriterijumi za evaluaciju bezbednosnog rizika za informacije
1. Tipični, ali ne svi:– legalni i normativni zahtevi i ugovorne obaveze,– operativne i poslovne posledice ne-raspoloživosti
informacija i servisa,– operativne i poslovne posledice gubitka poverljivosti
informacija i servisa,– operativne i poslovne posledice gubitka integriteta
informacija i servisa,– operativne i poslovne posledice gubitka raspoloživosti
informacija i servisa,– percepcija kupaca, klijenata i partnera i negativan uticaj na
reputaciju, konkurentnost i poslovanje…
c i d. Uspostavljanje kriterijuma za procenu verovatnoće uticaja,
prihvatanje i tretman rizika
• Uspostavljanje kriterijuma zasniva se na: – operativnim, tehničkim, finansijskim, legalnim, normativnim,
socijalnim ili drugim kriterijumima,– zavise od interne politike organizacije, poslovnih ciljeva i
interesa relevantnih učesnika,– mogući su višestruki kriterijumi (npr, normativne, zakonske,
ugovorne obaveze bez obzira na procenjeni nivo rizika),
• Tretman rizika zavisi od:– odluke da li je faktor rizika, ispod ili iznad predefinisanog
praga prihvatljivosti,– mogući su i različiti nivoi praga prihvatanja rizika u istoj
organizaciji,…
f. Određivanje potencijalno raspoloživih resursa
• izbor tima za ublažavanje (tretman) i upravljanje rizikom u organizaciji,
• izbor kontrola zaštite,
• implementacija kontrola zaštite,
• sertifikacija i akreditacija sistema zaštite.
2. Definisanje obima i granica procesa upravljanja rizikom
a. Obim procesa upravljanja rizikom
b. Granice procesa upravljanja rizikom
a. Obim procesa upravljanja rizikom
– strateški i kratkoročni poslovni ciljevi organizacije, procesi i strategije,
– politika zaštite organizacije,
– legalni i normativni zahtevi,
– oblast primene, npr., sa definisanjem sistema ili granica geografske lokacije,
– opravdanje za isključivanje nekog objekta iz obima procesa upravljanja rizikom.
b. Granice procesa upravljanja rizikom
• poslovne ciljeve i politike,
• informacionu imovinu IKT sistema,
• ljude (zaposlene, partnere, podugovorače, spoljne saradnike, klijente…)
• fizičko okruženje (zgrade i druge objekte),
• društveno-kulturološko okruženje,
• poslovni procesi i aktivnosti…
3. Uspostavljanje i organizacija tima za upravljanje rizikom
• identifikacija i analiza relevantnih učesnika • izbor lidera tima • izbor članova tima iz org.: izvršnih menadžera,
praktičara poznavaoca poslovnih procesa, pravnika, informatičara – admnistratora sistema i mreža, specijalista zaštite
• definisanje uloga i odgovornosti svih učesnika,• uspostavljanje zahtevanih odnosa i komunikacije
između učesnika i organizacije kao i drugih projekata i aktivnosti.
4. Uspostavljanje strukture procesa analize i procene rizika
1.4.1. Komunikacija u procesu procene rizika
• članova Tima za procenu rizika sa relevantnim internim i eksternim učesnicima u svakoj fazi,
• razumevanja procesa procene rizika za sve članove tima (cilj komunikacije):
– sakupljanje informacija za identifikaciju faktora rizika,– analizu toka informacija za izbegavanje ili redukciju
bezbednosnih incidenata,– konsultacije za poboljšavanje međusobnog
razumevanja procesa upravljanja rizikom kod relevantnih učesnika,
– plan komunikacije pitanja koja se odnose na sam proces i upravljanja procesom treba razviti u ranoj fazi procesa procene rizika.
1.4.2. Procedura za upravljanje rizikom
• Ciljevi:– da prenese stav organizacije prema zaštiti
informacija– da smanji potencijalni uticaj proboja sistema zaštite
• Namena:– da obezbedi sigurnost upravljanja rizikom org.– da sakuplja informacije o riziku za svaku procenu
rizika– da izbegne proboje sistema zaštite zbog
nerazumevanja relevantnih učesnika i donosioca odluka
1.4.3. Monitoring i revizija procesa upravljanja rizikom IS
• Monitoring:
–identifikuje promene okruženja
–identifikuje promene u IKT sistemu
–identifikuje faktore rizika u ranoj fazi,
–inicira regularnu reviziju svih (pod)procesa upravljanja rizikom i kad se dogode glavne promene
1.4.3. Monitoring i revizija procesa upravljanja rizikom IS
• Cilj revizije:– odrediti da li je procena faktora rizika još uvek
relevantna, – ako nije preduzeti korektivne akcije, uključujući
redefinisanje:• konteksta,• kriterijuma za evaluaciju rizika,• pristupa i metodologije za procenu rizika,• pristupa i opcija tretmana rizika,• metoda komunikacije u procesu procene rizika,• pristupa i analize rezultata monitoringa rizika
1.4.3. Monitoring i revizija procesa upravljanja rizikom IS
• Predmet revizije:– legalni okvir i kontekst upravljanja rizikom,– kontekst konkurencije/potencijalnih napadača,– kriterijumi za evaluaciju rizika,– kategorizacija i vrednovanje imovine (A),– prag za odlučivanje o tretmanu rizika
(prihvatljiv/neprihvatljiv rizik),– vrednovanje troškova kontrola zaštite za
ublažavanje rizika
1.4.4. Proces procene rizika (Risk assessment)
a. Analiza rizika: – identifikacija i– estimacija
b. Evaluacija rizika
a. Analiza faktora rizika (zašto i kako može nastati)
Identifikacija: – sveobuhvatna, struktuirana, – faktora rizika koje treba tretirati, pod i izvan kontrole
organizacije– imovine, pretnji, ranjivosti, (verovatnoće pojave,
frekvencije, intenziteta) i uticaja (poslovnih posledica, štete) ili verovatnoće da će pretnja/e iskoristiti ranjivost/i,
– neprihvatljivih posledica (faktora rizika),– metoda za identifikaciju faktora rizika:
• ček liste, intervjui, sistemska analiza i sistem inženjerske tehnike
Izlaz 1: Inventar (vrednosti) informacione imovine ISIzlaz 2: Taksonomija relevantnih pretnji za ISIzlaz 3: Taksonomija relevantnih ranjivosti sistema IS
a. Analiza faktora rizika, (zašto i kako može nastati)
Estimacija:– Kvantitativna aproksimacija, statistička, numerička,
uključuje faktor neodređenosti rizika - u novčanim vrednostima
– Kvalitativna aproksimacija, uključuje faktor neodređenosti rizika – nizak (N), srednji (S), visok (V)
– Estimacija parametara za procenu rizika: • Vrednosti imovine - A: N, S, V ; • Pretnji -T: N. S, V; • Ranjivosti - V: N, S, V
– Relativni rizik - Rr= AxVxT (ili Rr=A+V+T)– Relativni preostali rizik - Rpr = (AxVxT)/Mz,
• Mz - efektivnosti postojećih/implementiranih kontrola zaštite
a. Analiza faktora rizika, (zašto i kako može nastati)
Estimacija (1):• Uticaj – A
– posledica, šteta, gubici - procenjuje se na bazi potencijalne štete zbog gubitka poverljivosti, raspoloživosti i integriteta informacija (ISO1335-1)
– izražava se kroz vrednost imovine (A) za organizaciju • Ranjivost sistema - V• Verovatnoća događaja pretnje –Tp:
– verovatnoća da će pretnja/e iskoristiti ranjivost/i LANE– estimacija A,V,T: N (nizak), S (srednji), V (visok),
• Prihvatljivi relativni rizik-Rpr = TpxA• Estimacija Rpr: N, S, V• Rpr faktori sa N-uticajem:
– mogu se isključiti, ali ih treba navesti u Listi rizika (demonstrira se kompletnost procene rizika),
– uvek treba implementirati neke kontrole za reviziju (auditing) faktora rizika procenjenih sa niskim uticajem (N),
b. Evaluacija rizika
• priprema za izradu Plana tretmana rizika, • razmatranje/izbor kriterijuma za evaluaciju rizika• priprema procene rizika na bazi strogo utvrđenih kriterijuma,
uključujući:– bezbednosne kriterijume,– značaj poslovnog procesa podržanog određenom informacionom
imovinom,– potrebu tretmana rizika,– potrebu preduzimanja hitnih aktivnosti za tretman rizika,– komparaciju nivoa estimacije faktora rizika sa pre-definisanim
kriterijumima (rezultatima prethodne procene rizika),
Izlaz 1: Lista prioriteta faktora neprihvatljivog rizika i Izlaz 2: Lista prihvatljivih faktora rizika
(prihvaćenih i sa N uticajem).
1.4.5. Proces procene (assessment) bezbednosnog rizika IS
• Identifikovanje potencijalnih uticaja na poslovanje:– materijalne štete i negativni uticaji na poslovanje (reputaciju)
• Identifikovanje verovatnoće događanja bezbedno relevantnih incidenata (realizovanih štetnih napada),
• Incident može uticati na:– poslovanje, ljude, procese, informacije ili drugu imovinu,
• Na verovatnoću uticaja (izloženost - verovatnoću da će pretnja iskoristiti datu ranjivost) utiču:
– atraktivnost imovine za napadača,– stepen težine iskorišćenja ranjivosti,– motivacija napadača i – sposobnost napadača
1.4.5. Proces procene bezbednosnog rizika IS
• Rezultate procene rizika:– koristiti za identifikaciju opcija za tretman rizika i – dokumentovati u Politici zaštite i Planu tretmana rizika.
• rangirati faktore rizika po prioritetu tretmana-ublažavanja,• faktore rizika procenjene kao N-niske smatrati prihvatljivim i
moguće je da se tretman ovih faktora rizika ne zahteva,• faktori rizika procenjeni sa S-srednji i V-visoki treba da budu
tretirani (V- prioritetno), • rezultat procene, izjava o verovatnoći rizika za poslovne ciljeve
(SOA) • Izlaz: SOA - Izjava o primenljivosti (i/ili)
Izveštaj o proceni rizika
1.4.6. Plan tretmana rizika
• Razmotriti opseg opcija: – izbegavanje, transfer, prihvatanje, ublažavanje faktora rizika
• Priprema:– Plana tretmana rizika i Implementacije plana tretman rizika,
• Plan tretmana rizika:– obezbediti odluku menadžmenta o prihvatanju rizika (SOA),– identifikovati faktore rizika koji se izbegavaju, transferišu ili prihvataju– identifikovati izabrane opcije za tretman neprihvatljivih faktora rizika,– identifikovati kombinacije opcija za tretman rizika,– izabrati kontrole osnovne zaštite za ublažavanja faktora rizika izabranih
za ublažavanje
Izlaz: Plan tretmana rizika
1.4.7. Implementacija plana tretmana bezbednosnog rizika IS
• Rpr- preostali relativni rizik ostaje posle procesa tretmana:– uvek ga ima - uticaj nizak, tretman skup,
• Revizija Rpr posle tretmana:– prema kriterijumima za prihvatanje rizika u procesu C&A sistema
zaštite LANE,• Ako postoji faktor rizika sa neprihvatljivim nivoom uticaja posle revizije:
– treba ga ili prihvatiti ili ponovo procenjivati• Rezultati procesa tretmana i prihvatanja rizika su osnova za Plan
implementacije tretmana rizika:• akcije upravljanja, odgovornosti, prioriteti, dinamika, budžet,
očekivani izlazi, merenja performansi i proces revizije.• mehanizme za procenu nivoa implementacije na bazi kriterijuma
za ocenu performansi, individualnih odgovornosti i drugih ciljeva i monitorisanje kritičnih kontrolnih tačaka implementacije.
• Izlaz: Plan implementacije tretmana rizika ili (Plan sistema zaštite)
04/21/23 UNIVERZITET SINGIDUNUM - FPI
43
ZAKLJUČAK
1. Upravljanje rizikom redukuje faktore rizika na prihvatljivi nivo, implementacijom skupa kontrola opravdanog nivoa zaštite
2. Analiza rizika pomaže merenje rizika u IKT i definisanje kontrola zaštite za smanjenje faktora Rr
3. Kvantitativne metode svode Rr na novčanu vrednost
4. Kvalitativne metode obuhvataju neodređenost 5. Izbor: OCTAVE, CRAMM, ISO 27005
top related