ISO 27005-Analiza ryzyka
Norma ISO/IEC 27005:2018
Szacowanie ryzyka w Systemie zarządzania bezpieczeństwem informacji wg ISO/IEC 27001:2005.
Praktyczny przewodnik
Jaka jest rzeczywista rola i znaczenie procesu szacowania ryzyka podczas tworzenia i utrzymywania systemu bezpieczeństwa informacji w organizacji? Czy należy go przeprowadzić tylko dlatego, że jest on wymagany przez standard ISO/IEC 27001:2017?
Organizacja, która decyduje się na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) oraz na jego certyfikację przez akredytowane jednostki certyfikujące, musi zapewnić zgodność tego systemu z wymaganiami normy, którą w chwili obecnej jest ISO/IEC 27001:2017. Jednym z kluczowych jej wymagań jest przeprowadzenie procesu szacowania ryzyka. W dalszej części opracowania znajduje się opis metodyki szacowania ryzyka, która jest wykorzystywana w funkcjonujących i certyfikowanych systemach zarządzania bezpieczeństwem informacji, zgodnych z ISO/IEC 27001:2017 i została pozytywnie oceniona przez audytorów jednostek certyfikujących.
Podstawowe pojęcia
Bezpieczeństwo informacji | zachowanie poufności, integralności i dostępności informacji, czyli informacja nie jest ujawniana osobom nieupoważnionym, jest ona dokładna i kompletna oraz dostępna i użyteczna na żądanie upoważnionego personelu |
Szacowanie ryzyka | całościowy proces analizy i oceny ryzyka |
Ryzyko | potencjalna sytuacja, w której określone zagrożenie wykorzysta podatność aktywów lub grupy aktywów powodując w ten sposób szkodę dla organizacji |
Aktyw | wszystko to, co ma wartość dla organizacji |
Elementy szacowania ryzyka
Standard ISO/IEC 27001 nie zawiera szczegółowych wymagań, określających jak powinien wyglądać proces szacowania ryzyka. W normie zostały umieszczone zalecenia – elementy, które należy wziąć pod uwagę. Są nimi aktywa, ich wartość, potencjalne zagrożenia, prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywu na zagrożenie, wpływ zagrożenia na bezpieczeństwo aktywu oraz stosowane zabezpieczenia.
Elementem, który nie jest wymagany wprost przez normę, ale sprawdził się w praktyce, jest wprowadzenie pojęcia zasób (inaczej: miejsce przetwarzania). W organizacji wykorzystywane są różne systemy informatyczne, ale zainstalowane są one na jednym serwerze. Owe systemy informatyczne wraz z danymi możemy potraktować jako aktywa, natomiast serwer będzie zasobem. Z tak zaprojektowanej analizy możemy uzyskać informację, że o ile każdy z w/w aktywów ma swoją wartość, to wartość zasobu, na którym znajdują się te aktywa jest dużo wyższa, ponieważ jest sumą wartości aktywów znajdujących się na nim. W związku z tym nie musimy zabezpieczać każdego z tych systemów oddzielnie, tylko np. skupić swoją uwagę na zabezpieczeniach serwera.
Kroki szacowania ryzyka
Krok 1 – Identyfikacja aktywów
Kluczowym elementem procesu szacowania ryzyka są aktywa. Oznacza to, że należy przeprowadzić inwentaryzację aktywów organizacji i określić ich wartość dla organizacji. Podczas określania wartości aktywu należy rozważyć, jaki wpływ na funkcjonowanie organizacji będzie miała jego utrata, awaria lub inne problemy z nim związane. Im większy wpływ tym większa wartość aktywu. Wartość najlepiej oceniać z punktu widzenia znaczenia dla biznesu i wyrażać w pieniądzu, ale ponieważ w przypadku takich aktywów jak wizerunek firmy czy też wiedza pracowników trudno jest określić ich wartość kwotowo, możemy przyjąć inny sposób oceny wartości – względną ocenę istotności aktywu w stosunku do pozostałych aktywów. Stosując skalę np. czterostopniową, ważne jest określenie znaczenia poszczególnych wystąpień.
Tabela 1. Istotność aktywu
Bardzo duża | utrata lub naruszenie bezpieczeństwa aktywu powoduje przerwanie procesów biznesowych |
Znacząca | utrata lub naruszenie bezpieczeństwa aktywu może mieć wpływ na realizację procesów biznesowych |
Średnia | utrata lub naruszenie bezpieczeństwa aktywu powoduje utrudnienia w normalnym funkcjonowaniu procesu biznesowego |
Pomijalna | utrata lub naruszenie bezpieczeństwa aktywu nie ma wpływu na funkcjonowanie procesu biznesowego |
gdzie pozycja „Bardzo duża” oznacza najwyższą istotność, a „Pomijalna” – najniższą istotność
Liczebność zasobów/ilość miejsc przetwarzania informacji może mieć wpływ na bezpieczeństwo aktywu. Jeśli chronimy aktyw przed utratą poufności, to w im większej ilości zasobów/miejsc przetwarzania ten aktyw się znajduje, tym wyższe jest ryzyko ujawnienia informacji. W przypadku aktywów, które powinny być dostępne, zwiększenie ilości miejsc, gdzie one się znajdują wpływa na zwiększenie ich dostępności. Omawiana metodyka wymaga określenia ilości zasobów/miejsc przetwarzania, na których analizowany aktyw się znajduje oraz określenie wpływu tej ilości na podatność aktywu – czy zwiększenie ilości zwiększa podatność aktywu, czy zmniejsza, czy też nie ma wpływu.
Krok 2 – Identyfikacja zagrożeń
Chcąc zabezpieczyć nasze aktywa lub zasoby, należy wiedzieć, przed czym, czyli jakie zagrożenia mogą wystąpić w przypadku konkretnego aktywu. Dobrą praktyką jest wskazywanie przede wszystkim rzeczywistych zagrożeń – tzn. takich, które mogą wystąpić i występują w organizacji (konkretne awarie, braki zasilania, „wypaplanie” informacji, kradzież), a nie tylko takich, które łatwo wymienić (zamach terrorystyczny, zrzut paliwa przez lądujące awaryjnie samoloty – tam gdzie nie ma lotniska) itp. Z punktu widzenia kompletności szacowania ryzyka powinna być brana pod uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych) – ale należy pamiętać, że istotnym elementem procesu analizy ryzyka jest możliwość uzyskania aktualnych i miarodajnych wyników. Zbyt rozbudowana analiza – o mniej istotne elementy – może spowodować, że w momencie jej zakończenia już będzie nieaktualna.
Listy przykładowych zagrożeń lub grup zagrożeń znajdują się w pozycjach od 3 do 5 Literatury.
Krok 3 – Określenie prawdopodobieństwa
Nie wszystkie zagrożenia występują tak samo często, stąd wprowadzone zostało pojęcie prawdopodobieństwa wystąpienia zagrożenia. Awarie urządzeń, czy brak zasilania są na pewno częstsze niż pożary czy zrzuty paliwa przez lądujące awaryjnie samoloty. Jakie przyjąć stopniowanie określania prawdopodobieństwa, to oczywiście zależy od struktury organizacji, jej branży i wielkości. Dobrą praktyką, która sprawdziła się w czasie szacowania ryzyka w prowadzonych przeze mnie wdrożeniach SZBI w firmach rynku MSP (małe i średnie przedsiębiorstwa – do 500 zatrudnionych), jest stosowanie skali nie większej niż 3-stopniowa, np: Wysokie, Średnie, Pomijalne, gdzie:
Tabela 2. Prawdopodobieństwo wystąpienia zagrożenia
Wysokie | występuje się często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością |
Średnie | wystąpiło w ostatnim roku lub zdarza się nieregularnie |
Pomijalne | nie wystąpiło ani razu w ciągu ostatniego roku |
gdzie prawdopodobieństwo „Wysokie” oznacza najwyższe prawdopodobieństwo, a „Pomijalne” – najniższe.
Krok 4 – Określenie podatności
Jeśli wiemy już, co chronimy (aktywa), dlaczego (istotność), przed czym (zagrożenia), to należy jeszcze określić słabe strony naszych aktywów tzn. cechy i/lub właściwości aktywu, które mogą zostać wykorzystane przez zagrożenie. Papier chronimy przez spaleniem, ponieważ nie jest odporny na ogień – wprost przeciwnie – jest podatny na spalenie. Po co określać podatności? Jeśli z analizy ryzyka uzyskamy wynik, że ryzykownym aktywem jest np. budynek, a zagrożeniem ulewna burza – to przy wskazanej podatności „niedrożna kanalizacja deszczowa” otrzymujemy wyraźną sugestię, że należy wdrożyć zabezpieczenia związane z możliwością podtopienia budynku z powodu niedrożnej kanalizacji, np. okresowe udrażnianie/przegląd owej kanalizacji.
Listy przykładowych podatności znajdują się w pozycjach od 3 do 5 Literatury.
Krok 5 –Określenie wpływu zagrożenia a poziom zabezpieczeń
Ostatnimi elementami domykającymi analizę są kwestie związane z oceną wpływu zagrożenia na poufność, integralność i dostępność (cechy bezpieczeństwa informacji, wymagane przez normę) oraz określenie poziomu wdrożonych zabezpieczeń.
Tabela 3. Wpływ/skutek wystąpienia zagrożenia
(na Poufność, Integralność, Dostępność)
Krytyczny | wystąpienie zagrożenia powoduje wystąpienia efektu biznesowego, wysoki koszt, utrata wizerunku firmy, brak możliwości realizacji zadań |
Średni | wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże utrudnienie w pracy |
Pomijalny | wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny |
Nie dotyczy | Wystąpienie zagrożenia nie ma wpływu na aktyw |
gdzie wpływ „Krytyczny” oznacza najwyższą wartość (największy wpływ), a „Pomijalny” – najniższą wartość (najmniejszy wpływ);
Tabela 4. Poziom zabezpieczeń
Wysoki | występujące zabezpieczenie chroni skutecznie przed znanymi zagrożeniami |
Średni | występują częściowe zabezpieczenia, które chronią tylko wybrane obszary lub nie są w pełni skuteczne |
Niski | praktycznie brak jest jakichkolwiek zabezpieczeń lub są one nieskuteczne |
Nie dotyczy | Wystąpienie zagrożenia nie ma wpływu na aktyw |
gdzie poziom „Wysoki” oznacza najwyższą wartość (najwyższy poziom zabezpieczeń), a „Pomijalny” – najniższą wartość (najniższy poziom zabezpieczeń);
Krok 6 – Określenie ryzyka szczątkowego
Ryzyko aktywu wskazuje nam na ile obawiamy się realnej utraty bezpieczeństwa tego aktywu na tle pozostałych aktywów w sytuacji, kiedy nie stosujemy jeszcze żadnych zabezpieczeń. Lista aktywów, posortowana wg ich ryzyk, stanowi podstawę do określenia, jakie zabezpieczenia powinny być wybrane w celu ochrony najbardziej ryzykownych aktywów.
W celu uzyskania porównywalnych ze sobą ryzyk aktywów, należy ustalić sposób ich obliczania. Żeby móc obliczyć ich wartość należy podstawić do poniższego wzoru wartości liczbowe przypisane do poszczególnych pozycji. Wielkości nie są istotne, ważna jest ich powtarzalność.
Ryzyko aktywu jest obliczane wg następującego wzoru:
Ra = E(Wa x Pwz)
gdzie:
Ra – ryzyko aktywu
Wa – wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności), rozumiany jako;
Wa =Sp((Wp + Wi +Wd)*LZ*Wpd)
gdzie:
Sp – suma wg podatności
Wp – wpływ zagrożenia na poufność
Wi – wpływ zagrożenia na integralność
Wd – wpływ zagrożenia na dostępność
LZ – liczebność zasobu/ilość miejsc przetwarzania
Wpd – wpływ liczebności na podatność
Po wyborze i wdrożeniu zabezpieczeń należy ponownie przeprowadzić szacowanie ryzyka, ale już z uwzględnieniem poziomów zabezpieczeń, jakie wg nas zostały zapewnione dzięki wdrożonym zabezpieczeniom – są to ryzyka szczątkowe.
Ryzyko szczątkowe natomiast obliczane jest wg następującego wzoru:
Rsa = Wsa x Pwz
gdzie:
Rsa – ryzyko szczątkowe
Wsa – wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności oraz zastosowanych zabezpieczeń);
Wa =Sp((Wp/Zp + Wi/Zi +Wd/Zd)*LZ*Wpd);
gdzie:
Zp – poziom zabezpieczeń przed wpływem zagrożenia na poufność
Zi – poziom zabezpieczeń przed wpływem zagrożenia na integralność
Zd – poziom zabezpieczeń przed wpływem zagrożenia na dostępność
W efekcie uzyskujemy ryzyka szczątkowe aktywów, dla których kierownictwo organizacji określa i akceptuje poziom „ryzyka akceptowalnego” jako ustaloną wartość ryzyka, poniżej którego ryzyka aktywów zostają uznane za akceptowalne.
Norma ISO/IEC 27005:2018
Szacowanie ryzyka w Systemie zarządzania bezpieczeństwem informacji wg ISO/IEC 27001:2005.
Praktyczny przewodnik
Jaka jest rzeczywista rola i znaczenie procesu szacowania ryzyka podczas tworzenia i utrzymywania systemu bezpieczeństwa informacji w organizacji? Czy należy go przeprowadzić tylko dlatego, że jest on wymagany przez standard ISO/IEC 27001:2017?
Organizacja, która decyduje się na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) oraz na jego certyfikację przez akredytowane jednostki certyfikujące, musi zapewnić zgodność tego systemu z wymaganiami normy, którą w chwili obecnej jest ISO/IEC 27001:2017. Jednym z kluczowych jej wymagań jest przeprowadzenie procesu szacowania ryzyka. W dalszej części opracowania znajduje się opis metodyki szacowania ryzyka, która jest wykorzystywana w funkcjonujących i certyfikowanych systemach zarządzania bezpieczeństwem informacji, zgodnych z ISO/IEC 27001:2017 i została pozytywnie oceniona przez audytorów jednostek certyfikujących.
Podstawowe pojęcia
Bezpieczeństwo informacji | zachowanie poufności, integralności i dostępności informacji, czyli informacja nie jest ujawniana osobom nieupoważnionym, jest ona dokładna i kompletna oraz dostępna i użyteczna na żądanie upoważnionego personelu |
Szacowanie ryzyka | całościowy proces analizy i oceny ryzyka |
Ryzyko | potencjalna sytuacja, w której określone zagrożenie wykorzysta podatność aktywów lub grupy aktywów powodując w ten sposób szkodę dla organizacji |
Aktyw | wszystko to, co ma wartość dla organizacji |
Elementy szacowania ryzyka
Standard ISO/IEC 27001 nie zawiera szczegółowych wymagań, określających jak powinien wyglądać proces szacowania ryzyka. W normie zostały umieszczone zalecenia – elementy, które należy wziąć pod uwagę. Są nimi aktywa, ich wartość, potencjalne zagrożenia, prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywu na zagrożenie, wpływ zagrożenia na bezpieczeństwo aktywu oraz stosowane zabezpieczenia.
Elementem, który nie jest wymagany wprost przez normę, ale sprawdził się w praktyce, jest wprowadzenie pojęcia zasób (inaczej: miejsce przetwarzania). W organizacji wykorzystywane są różne systemy informatyczne, ale zainstalowane są one na jednym serwerze. Owe systemy informatyczne wraz z danymi możemy potraktować jako aktywa, natomiast serwer będzie zasobem. Z tak zaprojektowanej analizy możemy uzyskać informację, że o ile każdy z w/w aktywów ma swoją wartość, to wartość zasobu, na którym znajdują się te aktywa jest dużo wyższa, ponieważ jest sumą wartości aktywów znajdujących się na nim. W związku z tym nie musimy zabezpieczać każdego z tych systemów oddzielnie, tylko np. skupić swoją uwagę na zabezpieczeniach serwera.
Kroki szacowania ryzyka
Krok 1 – Identyfikacja aktywów
Kluczowym elementem procesu szacowania ryzyka są aktywa. Oznacza to, że należy przeprowadzić inwentaryzację aktywów organizacji i określić ich wartość dla organizacji. Podczas określania wartości aktywu należy rozważyć, jaki wpływ na funkcjonowanie organizacji będzie miała jego utrata, awaria lub inne problemy z nim związane. Im większy wpływ tym większa wartość aktywu. Wartość najlepiej oceniać z punktu widzenia znaczenia dla biznesu i wyrażać w pieniądzu, ale ponieważ w przypadku takich aktywów jak wizerunek firmy czy też wiedza pracowników trudno jest określić ich wartość kwotowo, możemy przyjąć inny sposób oceny wartości – względną ocenę istotności aktywu w stosunku do pozostałych aktywów. Stosując skalę np. czterostopniową, ważne jest określenie znaczenia poszczególnych wystąpień.
Tabela 1. Istotność aktywu
Bardzo duża | utrata lub naruszenie bezpieczeństwa aktywu powoduje przerwanie procesów biznesowych |
Znacząca | utrata lub naruszenie bezpieczeństwa aktywu może mieć wpływ na realizację procesów biznesowych |
Średnia | utrata lub naruszenie bezpieczeństwa aktywu powoduje utrudnienia w normalnym funkcjonowaniu procesu biznesowego |
Pomijalna | utrata lub naruszenie bezpieczeństwa aktywu nie ma wpływu na funkcjonowanie procesu biznesowego |
gdzie pozycja „Bardzo duża” oznacza najwyższą istotność, a „Pomijalna” – najniższą istotność
Liczebność zasobów/ilość miejsc przetwarzania informacji może mieć wpływ na bezpieczeństwo aktywu. Jeśli chronimy aktyw przed utratą poufności, to w im większej ilości zasobów/miejsc przetwarzania ten aktyw się znajduje, tym wyższe jest ryzyko ujawnienia informacji. W przypadku aktywów, które powinny być dostępne, zwiększenie ilości miejsc, gdzie one się znajdują wpływa na zwiększenie ich dostępności. Omawiana metodyka wymaga określenia ilości zasobów/miejsc przetwarzania, na których analizowany aktyw się znajduje oraz określenie wpływu tej ilości na podatność aktywu – czy zwiększenie ilości zwiększa podatność aktywu, czy zmniejsza, czy też nie ma wpływu.
Krok 2 – Identyfikacja zagrożeń
Chcąc zabezpieczyć nasze aktywa lub zasoby, należy wiedzieć, przed czym, czyli jakie zagrożenia mogą wystąpić w przypadku konkretnego aktywu. Dobrą praktyką jest wskazywanie przede wszystkim rzeczywistych zagrożeń – tzn. takich, które mogą wystąpić i występują w organizacji (konkretne awarie, braki zasilania, „wypaplanie” informacji, kradzież), a nie tylko takich, które łatwo wymienić (zamach terrorystyczny, zrzut paliwa przez lądujące awaryjnie samoloty – tam gdzie nie ma lotniska) itp. Z punktu widzenia kompletności szacowania ryzyka powinna być brana pod uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych) – ale należy pamiętać, że istotnym elementem procesu analizy ryzyka jest możliwość uzyskania aktualnych i miarodajnych wyników. Zbyt rozbudowana analiza – o mniej istotne elementy – może spowodować, że w momencie jej zakończenia już będzie nieaktualna.
Listy przykładowych zagrożeń lub grup zagrożeń znajdują się w pozycjach od 3 do 5 Literatury.
Krok 3 – Określenie prawdopodobieństwa
Nie wszystkie zagrożenia występują tak samo często, stąd wprowadzone zostało pojęcie prawdopodobieństwa wystąpienia zagrożenia. Awarie urządzeń, czy brak zasilania są na pewno częstsze niż pożary czy zrzuty paliwa przez lądujące awaryjnie samoloty. Jakie przyjąć stopniowanie określania prawdopodobieństwa, to oczywiście zależy od struktury organizacji, jej branży i wielkości. Dobrą praktyką, która sprawdziła się w czasie szacowania ryzyka w prowadzonych przeze mnie wdrożeniach SZBI w firmach rynku MSP (małe i średnie przedsiębiorstwa – do 500 zatrudnionych), jest stosowanie skali nie większej niż 3-stopniowa, np: Wysokie, Średnie, Pomijalne, gdzie:
Tabela 2. Prawdopodobieństwo wystąpienia zagrożenia
Wysokie | występuje się często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością |
Średnie | wystąpiło w ostatnim roku lub zdarza się nieregularnie |
Pomijalne | nie wystąpiło ani razu w ciągu ostatniego roku |
gdzie prawdopodobieństwo „Wysokie” oznacza najwyższe prawdopodobieństwo, a „Pomijalne” – najniższe.
Krok 4 – Określenie podatności
Jeśli wiemy już, co chronimy (aktywa), dlaczego (istotność), przed czym (zagrożenia), to należy jeszcze określić słabe strony naszych aktywów tzn. cechy i/lub właściwości aktywu, które mogą zostać wykorzystane przez zagrożenie. Papier chronimy przez spaleniem, ponieważ nie jest odporny na ogień – wprost przeciwnie – jest podatny na spalenie. Po co określać podatności? Jeśli z analizy ryzyka uzyskamy wynik, że ryzykownym aktywem jest np. budynek, a zagrożeniem ulewna burza – to przy wskazanej podatności „niedrożna kanalizacja deszczowa” otrzymujemy wyraźną sugestię, że należy wdrożyć zabezpieczenia związane z możliwością podtopienia budynku z powodu niedrożnej kanalizacji, np. okresowe udrażnianie/przegląd owej kanalizacji.
Listy przykładowych podatności znajdują się w pozycjach od 3 do 5 Literatury.
Krok 5 –Określenie wpływu zagrożenia a poziom zabezpieczeń
Ostatnimi elementami domykającymi analizę są kwestie związane z oceną wpływu zagrożenia na poufność, integralność i dostępność (cechy bezpieczeństwa informacji, wymagane przez normę) oraz określenie poziomu wdrożonych zabezpieczeń.
Tabela 3. Wpływ/skutek wystąpienia zagrożenia
(na Poufność, Integralność, Dostępność)
Krytyczny | wystąpienie zagrożenia powoduje wystąpienia efektu biznesowego, wysoki koszt, utrata wizerunku firmy, brak możliwości realizacji zadań |
Średni | wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże utrudnienie w pracy |
Pomijalny | wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny |
Nie dotyczy | Wystąpienie zagrożenia nie ma wpływu na aktyw |
gdzie wpływ „Krytyczny” oznacza najwyższą wartość (największy wpływ), a „Pomijalny” – najniższą wartość (najmniejszy wpływ);
Tabela 4. Poziom zabezpieczeń
Wysoki | występujące zabezpieczenie chroni skutecznie przed znanymi zagrożeniami |
Średni | występują częściowe zabezpieczenia, które chronią tylko wybrane obszary lub nie są w pełni skuteczne |
Niski | praktycznie brak jest jakichkolwiek zabezpieczeń lub są one nieskuteczne |
Nie dotyczy | Wystąpienie zagrożenia nie ma wpływu na aktyw |
gdzie poziom „Wysoki” oznacza najwyższą wartość (najwyższy poziom zabezpieczeń), a „Pomijalny” – najniższą wartość (najniższy poziom zabezpieczeń);
Krok 6 – Określenie ryzyka szczątkowego
Ryzyko aktywu wskazuje nam na ile obawiamy się realnej utraty bezpieczeństwa tego aktywu na tle pozostałych aktywów w sytuacji, kiedy nie stosujemy jeszcze żadnych zabezpieczeń. Lista aktywów, posortowana wg ich ryzyk, stanowi podstawę do określenia, jakie zabezpieczenia powinny być wybrane w celu ochrony najbardziej ryzykownych aktywów.
W celu uzyskania porównywalnych ze sobą ryzyk aktywów, należy ustalić sposób ich obliczania. Żeby móc obliczyć ich wartość należy podstawić do poniższego wzoru wartości liczbowe przypisane do poszczególnych pozycji. Wielkości nie są istotne, ważna jest ich powtarzalność.
Ryzyko aktywu jest obliczane wg następującego wzoru:
Ra = E(Wa x Pwz)
gdzie:
> Ra – ryzyko aktywu
> Wa – wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności), rozumiany jako;
Wa =Sp((Wp + Wi +Wd)*LZ*Wpd)
gdzie:
> Sp – suma wg podatności
> Wp – wpływ zagrożenia na poufność
> Wi – wpływ zagrożenia na integralność
> Wd – wpływ zagrożenia na dostępność
> LZ – liczebność zasobu/ilość miejsc przetwarzania
> Wpd – wpływ liczebności na podatność
Po wyborze i wdrożeniu zabezpieczeń należy ponownie przeprowadzić szacowanie ryzyka, ale już z uwzględnieniem poziomów zabezpieczeń, jakie wg nas zostały zapewnione dzięki wdrożonym zabezpieczeniom – są to ryzyka szczątkowe.
Ryzyko szczątkowe natomiast obliczane jest wg następującego wzoru:
Rsa = Wsa x Pwz
gdzie:
> Rsa – ryzyko szczątkowe
> Wsa – wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności oraz zastosowanych zabezpieczeń);
Wa =Sp((Wp/Zp + Wi/Zi +Wd/Zd)*LZ*Wpd);
gdzie:
> Zp – poziom zabezpieczeń przed wpływem zagrożenia na poufność
> Zi – poziom zabezpieczeń przed wpływem zagrożenia na integralność
> Zd – poziom zabezpieczeń przed wpływem zagrożenia na dostępność
W efekcie uzyskujemy ryzyka szczątkowe aktywów, dla których kierownictwo organizacji określa i akceptuje poziom „ryzyka akceptowalnego” jako ustaloną wartość ryzyka, poniżej którego ryzyka aktywów zostają uznane za akceptowalne.
Norma ISO/IEC 27005:2018
Szacowanie ryzyka w Systemie zarządzania bezpieczeństwem informacji wg ISO/IEC 27001:2005.
Praktyczny przewodnik
Jaka jest rzeczywista rola i znaczenie procesu szacowania ryzyka podczas tworzenia i utrzymywania systemu bezpieczeństwa informacji w organizacji? Czy należy go przeprowadzić tylko dlatego, że jest on wymagany przez standard ISO/IEC 27001:2017?
Organizacja, która decyduje się na wdrożenie systemu zarządzania bezpieczeństwem informacji (SZBI) oraz na jego certyfikację przez akredytowane jednostki certyfikujące, musi zapewnić zgodność tego systemu z wymaganiami normy, którą w chwili obecnej jest ISO/IEC 27001:2017. Jednym z kluczowych jej wymagań jest przeprowadzenie procesu szacowania ryzyka. W dalszej części opracowania znajduje się opis metodyki szacowania ryzyka, która jest wykorzystywana w funkcjonujących i certyfikowanych systemach zarządzania bezpieczeństwem informacji, zgodnych z ISO/IEC 27001:2017 i została pozytywnie oceniona przez audytorów jednostek certyfikujących.
Podstawowe pojęcia
Bezpieczeństwo informacji | zachowanie poufności, integralności i dostępności informacji, czyli informacja nie jest ujawniana osobom nieupoważnionym, jest ona dokładna i kompletna oraz dostępna i użyteczna na żądanie upoważnionego personelu |
Szacowanie ryzyka | całościowy proces analizy i oceny ryzyka |
Ryzyko | potencjalna sytuacja, w której określone zagrożenie wykorzysta podatność aktywów lub grupy aktywów powodując w ten sposób szkodę dla organizacji |
Aktyw | wszystko to, co ma wartość dla organizacji |
Elementy szacowania ryzyka
Standard ISO/IEC 27001 nie zawiera szczegółowych wymagań, określających jak powinien wyglądać proces szacowania ryzyka. W normie zostały umieszczone zalecenia – elementy, które należy wziąć pod uwagę. Są nimi aktywa, ich wartość, potencjalne zagrożenia, prawdopodobieństwa wystąpienia tych zagrożeń, podatności aktywu na zagrożenie, wpływ zagrożenia na bezpieczeństwo aktywu oraz stosowane zabezpieczenia.
Elementem, który nie jest wymagany wprost przez normę, ale sprawdził się w praktyce, jest wprowadzenie pojęcia zasób (inaczej: miejsce przetwarzania). W organizacji wykorzystywane są różne systemy informatyczne, ale zainstalowane są one na jednym serwerze. Owe systemy informatyczne wraz z danymi możemy potraktować jako aktywa, natomiast serwer będzie zasobem. Z tak zaprojektowanej analizy możemy uzyskać informację, że o ile każdy z w/w aktywów ma swoją wartość, to wartość zasobu, na którym znajdują się te aktywa jest dużo wyższa, ponieważ jest sumą wartości aktywów znajdujących się na nim. W związku z tym nie musimy zabezpieczać każdego z tych systemów oddzielnie, tylko np. skupić swoją uwagę na zabezpieczeniach serwera.
Kroki szacowania ryzyka
Krok 1 – Identyfikacja aktywów
Kluczowym elementem procesu szacowania ryzyka są aktywa. Oznacza to, że należy przeprowadzić inwentaryzację aktywów organizacji i określić ich wartość dla organizacji. Podczas określania wartości aktywu należy rozważyć, jaki wpływ na funkcjonowanie organizacji będzie miała jego utrata, awaria lub inne problemy z nim związane. Im większy wpływ tym większa wartość aktywu. Wartość najlepiej oceniać z punktu widzenia znaczenia dla biznesu i wyrażać w pieniądzu, ale ponieważ w przypadku takich aktywów jak wizerunek firmy czy też wiedza pracowników trudno jest określić ich wartość kwotowo, możemy przyjąć inny sposób oceny wartości – względną ocenę istotności aktywu w stosunku do pozostałych aktywów. Stosując skalę np. czterostopniową, ważne jest określenie znaczenia poszczególnych wystąpień.
Tabela 1. Istotność aktywu
Bardzo duża | utrata lub naruszenie bezpieczeństwa aktywu powoduje przerwanie procesów biznesowych |
Znacząca | utrata lub naruszenie bezpieczeństwa aktywu może mieć wpływ na realizację procesów biznesowych |
Średnia | utrata lub naruszenie bezpieczeństwa aktywu powoduje utrudnienia w normalnym funkcjonowaniu procesu biznesowego |
Pomijalna | utrata lub naruszenie bezpieczeństwa aktywu nie ma wpływu na funkcjonowanie procesu biznesowego |
gdzie pozycja „Bardzo duża” oznacza najwyższą istotność, a „Pomijalna” – najniższą istotność
Liczebność zasobów/ilość miejsc przetwarzania informacji może mieć wpływ na bezpieczeństwo aktywu. Jeśli chronimy aktyw przed utratą poufności, to w im większej ilości zasobów/miejsc przetwarzania ten aktyw się znajduje, tym wyższe jest ryzyko ujawnienia informacji. W przypadku aktywów, które powinny być dostępne, zwiększenie ilości miejsc, gdzie one się znajdują wpływa na zwiększenie ich dostępności. Omawiana metodyka wymaga określenia ilości zasobów/miejsc przetwarzania, na których analizowany aktyw się znajduje oraz określenie wpływu tej ilości na podatność aktywu – czy zwiększenie ilości zwiększa podatność aktywu, czy zmniejsza, czy też nie ma wpływu.
Krok 2 – Identyfikacja zagrożeń
Chcąc zabezpieczyć nasze aktywa lub zasoby, należy wiedzieć, przed czym, czyli jakie zagrożenia mogą wystąpić w przypadku konkretnego aktywu. Dobrą praktyką jest wskazywanie przede wszystkim rzeczywistych zagrożeń – tzn. takich, które mogą wystąpić i występują w organizacji (konkretne awarie, braki zasilania, „wypaplanie” informacji, kradzież), a nie tylko takich, które łatwo wymienić (zamach terrorystyczny, zrzut paliwa przez lądujące awaryjnie samoloty – tam gdzie nie ma lotniska) itp. Z punktu widzenia kompletności szacowania ryzyka powinna być brana pod uwagę jak największa liczba zagrożeń (również tych mało prawdopodobnych) – ale należy pamiętać, że istotnym elementem procesu analizy ryzyka jest możliwość uzyskania aktualnych i miarodajnych wyników. Zbyt rozbudowana analiza – o mniej istotne elementy – może spowodować, że w momencie jej zakończenia już będzie nieaktualna.
Listy przykładowych zagrożeń lub grup zagrożeń znajdują się w pozycjach od 3 do 5 Literatury.
Krok 3 – Określenie prawdopodobieństwa
Nie wszystkie zagrożenia występują tak samo często, stąd wprowadzone zostało pojęcie prawdopodobieństwa wystąpienia zagrożenia. Awarie urządzeń, czy brak zasilania są na pewno częstsze niż pożary czy zrzuty paliwa przez lądujące awaryjnie samoloty. Jakie przyjąć stopniowanie określania prawdopodobieństwa, to oczywiście zależy od struktury organizacji, jej branży i wielkości. Dobrą praktyką, która sprawdziła się w czasie szacowania ryzyka w prowadzonych przeze mnie wdrożeniach SZBI w firmach rynku MSP (małe i średnie przedsiębiorstwa – do 500 zatrudnionych), jest stosowanie skali nie większej niż 3-stopniowa, np: Wysokie, Średnie, Pomijalne, gdzie:
Tabela 2. Prawdopodobieństwo wystąpienia zagrożenia
Wysokie | występuje się często (np. raz w miesiącu) lub regularnie z ustaloną częstotliwością |
Średnie | wystąpiło w ostatnim roku lub zdarza się nieregularnie |
Pomijalne | nie wystąpiło ani razu w ciągu ostatniego roku |
gdzie prawdopodobieństwo „Wysokie” oznacza najwyższe prawdopodobieństwo, a „Pomijalne” – najniższe.
Krok 4 – Określenie podatności
Jeśli wiemy już, co chronimy (aktywa), dlaczego (istotność), przed czym (zagrożenia), to należy jeszcze określić słabe strony naszych aktywów tzn. cechy i/lub właściwości aktywu, które mogą zostać wykorzystane przez zagrożenie. Papier chronimy przez spaleniem, ponieważ nie jest odporny na ogień – wprost przeciwnie – jest podatny na spalenie. Po co określać podatności? Jeśli z analizy ryzyka uzyskamy wynik, że ryzykownym aktywem jest np. budynek, a zagrożeniem ulewna burza – to przy wskazanej podatności „niedrożna kanalizacja deszczowa” otrzymujemy wyraźną sugestię, że należy wdrożyć zabezpieczenia związane z możliwością podtopienia budynku z powodu niedrożnej kanalizacji, np. okresowe udrażnianie/przegląd owej kanalizacji.
Listy przykładowych podatności znajdują się w pozycjach od 3 do 5 Literatury.
Krok 5 –Określenie wpływu zagrożenia a poziom zabezpieczeń
Ostatnimi elementami domykającymi analizę są kwestie związane z oceną wpływu zagrożenia na poufność, integralność i dostępność (cechy bezpieczeństwa informacji, wymagane przez normę) oraz określenie poziomu wdrożonych zabezpieczeń.
Tabela 3. Wpływ/skutek wystąpienia zagrożenia
(na Poufność, Integralność, Dostępność)
Krytyczny | wystąpienie zagrożenia powoduje wystąpienia efektu biznesowego, wysoki koszt, utrata wizerunku firmy, brak możliwości realizacji zadań |
Średni | wystąpienie zagrożenia może mieć efekt biznesowy lub stanowi duże utrudnienie w pracy |
Pomijalny | wystąpienie zagrożenia nie powoduje wystąpienia żadnego efektu biznesowego lub jest on marginalny |
Nie dotyczy | Wystąpienie zagrożenia nie ma wpływu na aktyw |
gdzie wpływ „Krytyczny” oznacza najwyższą wartość (największy wpływ), a „Pomijalny” – najniższą wartość (najmniejszy wpływ);
Tabela 4. Poziom zabezpieczeń
Wysoki | występujące zabezpieczenie chroni skutecznie przed znanymi zagrożeniami |
Średni | występują częściowe zabezpieczenia, które chronią tylko wybrane obszary lub nie są w pełni skuteczne |
Niski | praktycznie brak jest jakichkolwiek zabezpieczeń lub są one nieskuteczne |
Nie dotyczy | Wystąpienie zagrożenia nie ma wpływu na aktyw |
gdzie poziom „Wysoki” oznacza najwyższą wartość (najwyższy poziom zabezpieczeń), a „Pomijalny” – najniższą wartość (najniższy poziom zabezpieczeń);
Krok 6 – Określenie ryzyka szczątkowego
Ryzyko aktywu wskazuje nam na ile obawiamy się realnej utraty bezpieczeństwa tego aktywu na tle pozostałych aktywów w sytuacji, kiedy nie stosujemy jeszcze żadnych zabezpieczeń. Lista aktywów, posortowana wg ich ryzyk, stanowi podstawę do określenia, jakie zabezpieczenia powinny być wybrane w celu ochrony najbardziej ryzykownych aktywów.
W celu uzyskania porównywalnych ze sobą ryzyk aktywów, należy ustalić sposób ich obliczania. Żeby móc obliczyć ich wartość należy podstawić do poniższego wzoru wartości liczbowe przypisane do poszczególnych pozycji. Wielkości nie są istotne, ważna jest ich powtarzalność.
Ryzyko aktywu jest obliczane wg następującego wzoru:
Ra = E(Wa x Pwz)
gdzie:
Ra – ryzyko aktywu
Wa – wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności), rozumiany jako;
Wa =Sp((Wp + Wi +Wd)*LZ*Wpd)
gdzie:
Sp – suma wg podatności
Wp – wpływ zagrożenia na poufność
Wi – wpływ zagrożenia na integralność
Wd – wpływ zagrożenia na dostępność
LZ – liczebność zasobu/ilość miejsc przetwarzania
Wpd – wpływ liczebności na podatność
Po wyborze i wdrożeniu zabezpieczeń należy ponownie przeprowadzić szacowanie ryzyka, ale już z uwzględnieniem poziomów zabezpieczeń, jakie wg nas zostały zapewnione dzięki wdrożonym zabezpieczeniom – są to ryzyka szczątkowe.
Ryzyko szczątkowe natomiast obliczane jest wg następującego wzoru:
Rsa = Wsa x Pwz
gdzie:
Rsa – ryzyko szczątkowe
Wsa – wpływ (skutek) zmaterializowania się zagrożenia (uzależniony od istotności aktywu, jego zagrożeń, podatności oraz zastosowanych zabezpieczeń);
Wa =Sp((Wp/Zp + Wi/Zi +Wd/Zd)*LZ*Wpd);
gdzie:
Zp – poziom zabezpieczeń przed wpływem zagrożenia na poufność
Zi – poziom zabezpieczeń przed wpływem zagrożenia na integralność
Zd – poziom zabezpieczeń przed wpływem zagrożenia na dostępność
W efekcie uzyskujemy ryzyka szczątkowe aktywów, dla których kierownictwo organizacji określa i akceptuje poziom „ryzyka akceptowalnego” jako ustaloną wartość ryzyka, poniżej którego ryzyka aktywów zostają uznane za akceptowalne.