Analýza rizik informačního systému nakládajícího s osobními údaji

Transkript

1 Analýza rizik informačního systému nakládajícího s osobními údaji Jana Fortinová Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky nám. W. Churchilla 13 Praha 3 Česká republika jana.fortinova@vse.cz Abstrakt: Řízení rizik je jedním z nejdůležitějších aspektů při vytváření informační systémů. Prvním krokem při budování bezpečného informačního systému je provedení analýzy rizik. Článek popisuje průběh analýzy rizik provedené při budování informačního systému nakládajícího s osobními údaji na zelené louce, kdy není možné vycházet z existujících statistik a záznamů o incidentech. Klíčová slova: Informační systém, informační a komunikační technologie, rizika projektu, rizika informačních systémů, analýza rizik, řízení rizik, bezpečnost informačních systémů, ochrana osobních údajů, analýza hrozeb a zranitelností IS, bezpečnost informací, bezpečnostní politika, řízení bezpečnosti IS, informační aktiva, CRAMM Abstract: Risk management is one of the most important aspects in the development of the information systems. The first step in building a secure information system is to accomplishment a risk analysis. Article describes the process of risk analysis made in building an information system using personal data "from scratch" when it is not possible based on existing statistics and records of incidents. Keywords: Information system, information and communication technology, project risks, risks of information systems, risk analysis, risk management, information system security, personal data protection, threat and vulnerability analysis IS, information security, security policy, management of IS security, information assets, CRAMM 1. Úvod Příspěvek popisuje modelový příklad, jak probíhá analýza rizik při budování informačního systému nakládajícího s osobními údaji (dále také jen Projekt ). Nutnost provedení takové analýzy vyplývá z právních předpisů, konkrétně v souvislosti se splněním oznamovací povinnosti podle 1 zákona č. 11/2 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen Zákon ) a následné registraci IS Úřadem pro ochranu osobních údajů. Je nezbytné, aby správce informačního systému splnil požadavky vyplývající z ust. 13 Zákona, podle kterého: (1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému SYSTÉMOVÁ INTEGRACE /212 1

2 Jana Fortinová zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. (2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. (3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány. () V oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření podle odstavce 1 povinen také a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby, b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a d) zabránit neoprávněnému přístupu k datovým nosičům. Prvním krokem v tomto procesu by tedy měla být analýza rizik, zahrnující identifikace a ohodnocení klíčových aktiv Projektu, určení jejich hrozeb a zranitelností, vyhodnocení míry rizik působících na jednotlivá aktiva Projektu [1]. Cílem článku je popsat na konkrétním příkladu, jak probíhá analýza rizik u informačního systému, který se buduje na zelené louce, tj. nejsou k dispozici žádná empirická data o bezpečnostních incidentech z jeho předchozího provozování. 2. Metodika analýzy rizik V daném případě je třeba zdůraznit, že se jedná o analýzu rizik systému, který ještě není vytvořen, takže nejsou posuzovány existující komponenty systému a systém jako celek, ale vychází se z obecných předpokladů, best practices a zkušeností zpracovatele, které mohou být v další etapě prací, nebo následně po uvedení systému do provozu dále zpřesňovány. Ze systémového hlediska je analýza rizik řešena v rámci bezpečnostního projektu, kdy tato analýza slouží k základní orientaci a na směrování bezpečnostních opatření ve vyvíjeném systému. Vlastní analýza by měla probíhat v následujících etapách: 2 SYSTÉMOVÁ INTEGRACE /212

3 Analýza rizik informačního systému nakládajícího s osobními údaji Část 1. Identifikace a ocenění aktiv Pro detailní analýzu rizik budeme vycházet z přístupů uvedených v metodice CRAMM (CCTA Risk Analysis and Management Method). [2] Metod sice existuje velké množství [3], ale kvantitativní metoda CRAMM je v této oblasti použití značně osvědčená. Byla původně vyvinuta organizací CCTA pro potřeby vlády Velké Británie, ale v současné době je široce využívána jako uznávaný prostředek pro analýzu rizik v případech, kdy je vyžadován souhlas s normou ČSN ISO/IEC 1333 a ve verzi.2 i s mezinárodním standardem ISO/IEC 199 a obsahuje nástroje podporující metodiku analýzy a správy rizik, které jsou v souladu s normami ČSN ISO/IEC 22:2 a ČSN ISO/IEC 21:2. [] Analýza v rámci CRAMM řeší ohodnocení systémových aktiv, seskupení aktiv do logických skupin a stanovení hrozeb, působících na tyto skupiny, prozkoumání zranitelnosti systému a stanovení požadavků na bezpečnost pro jednotlivé skupiny, na základě čehož jsou navržena bezpečnostní opatření, která jsou vymezena ve shodě s úrovní rizika při porovnání s již implementovanými systémovými opatřeními. Důležité je, že se vždy zkoumá model určitého systému nikoliv systém samotný. [] V rámci této fáze bude provedeno rozdělení aktiv do kategorií: datová aktiva informace, data, fyzická aktiva technické vybavení, komunikace, aplikační programová aktiva programové vybavení, služby koncovému uživateli procesy, přístupy k datům, prostory lokality, budovy, místnosti. U všech aktiv pak bude stanovena i jejich hodnota, závislá na hodnocení výše uvedených typů aktiv a vazeb plynoucích z modelu aktiv. V návaznosti na stanovení hodnoty aktiv bude definována úroveň hrozeb a zranitelností pro všechna aktiva. K tomuto účelu bude využito kvalifikovaných interview. Odpovídající opatření k ošetření jednotlivých rizik budou vycházet z hodnot aktiv a úrovní hrozeb a zranitelností resp. ze zjištěné míry rizika. Dále budou zohledněny i dostupné informace z této oblasti včetně zkušeností zpracovatele. Část 2. Hodnocení hrozeb, vyhodnocení míry zranitelnosti Analýza hrozeb a zranitelností spadá do oblasti projektu, kde bude vyžadována největší spolupráce se zadavatelem. Tento požadavek vyplývá z nezbytnosti posuzování celého komplexu potenciálních oblastí rizik. Každá z těchto oblastí pak v konkrétních případech působí na Projekt či jeho části. Ohodnocení hrozeb a zranitelností pak vyžaduje významnou znalost informačního prostředí a jeho okolí. Kategorie hrozeb a zranitelnosti jsou pro potřeby lepší prezentace seskupeny. S ohledem na požadavek zadavatele se analýza může soustředit zejména na následující oblasti: logická infiltrace (neoprávněný přístup, zneužití oprávněného přístupu, neoprávněné použití aplikace, viry, apod.), infiltrace komunikace (aktivní narušení komunikace, zneužití logického propojení, apod.), chyby lidského faktoru (chyby uživatelů, administrátorů, operátorů, apod.), provozní závady Projektu, fyzické hrozby. SYSTÉMOVÁ INTEGRACE /212 3

4 Četnost projevu hrozby / rok Jana Fortinová Hodnocení hrozeb a zranitelností bude vycházet zejména z podkladů získaných v rámci účelových interview se zástupci provozovatele IS. Odpovědi k jednotlivým otázkám budou zpracovány a hodnoceny v souladu s metodikou CRAMM. Na jejich základě bude stanovena úroveň jednotlivých hrozeb a zranitelností u jednotlivých aktiv. Vzhledem k tomu, že je kladen důraz na hrozby z personální oblasti bude zvýšený důraz kladen na posouzení úrovně hrozeb v závislosti na úrovni zranitelnosti. Jedná se tedy o posouzení pravděpodobnosti projevu dané hrozby ve vztahu k jejímu dopadu na Projekt. Na základě vyhodnocení bude příslušným hrozbám přiřazena hodnota v pětistupňové metrice a příslušným zranitelnostem oproti doporučení CRAMM také v pětistupňové metrice. Část 3. Výpočet míry rizik, hodnocení rizik Míru rizika lze zjistit výpočtem dle vztahu: Riziko = funkce (pravděpodobnost výskytu hrozby, výše dopadu na aktivum) S ohledem na hodnotu aktiva je pak stanoven bezpečnostní profil pro aktiva zahrnutá do analýzy rizik a návazně pak definována příslušná opatření k ošetření rizik. Lze již nyní poznamenat, že srovnání bezpečnostního profilu a stávajících opatření přijatých v daném informačním systému dává relevantní podklady k vytvoření bezpečnostního modelu maturity (úrovně bezpečnostní zralosti) systému. Ke stanovení míry rizika bude využito principů definovaných v normě ČSN ISO/IEC 2:29 Informační technologie Bezpečnostní techniky Řízení rizik bezpečnosti informací. Grafické znázornění míry rizika je v daném případě velmi přehledné a lze jej dobře využít pro zpracování souborů návazných plánů pro ošetření jednotlivých rizik, jakož i podklady pro sledování navržených akčních plánů. Ilustrační příklad tabulky znázorňuje jednotlivé mantinely míry rizika []:,1 Vysoké riziko,1 Střední,1 riziko Malé,1 riziko Výše dopadu (1K EUR) Část. Závěry Na závěr proběhne vlastní vyhodnocení hrozeb s nejvyšší a střední mírou rizika. SYSTÉMOVÁ INTEGRACE /212

5 Analýza rizik informačního systému nakládajícího s osobními údaji 3. Aktiva informačního systému Stanovení odpovědnosti za aktiva je nutnou podmínkou pro dosažení odpovídající bezpečnosti informací. Musí být identifikovaný vlastník každého identifikovaného aktiva nebo skupiny aktiv a vlastníkovi musí být přiřazena odpovědnost za udržování příslušných nástrojů řízení bezpečnosti. Odpovědnost za implementaci nástrojů řízení bezpečnosti může být delegována, ačkoliv zodpovědnost musí zůstat u určeného vlastníka aktiva. Informační systém je koncipován a řešen v souladu s principy stanovenými pro oblast informační bezpečnosti. V rámci této činnosti se vytváří seznam všech informačních aktiv, definovaná aktiva se ohodnotí, a následně se analyzují související bezpečnostní rizika, která jsou pak minimalizována zavedením bezpečnostních opatření. Zjednodušeně lze říci, že aktivum je vše, co má v systému nějakou hodnotu nebo co při provozu systému přináší užitek. Proto identifikovaná aktiva vyžadují ochranu a řádnou správu na všech úrovních řízení. V rámci zahájení analýzy rizik bylo prvním cílem identifikovat hlavni aktiva, svázaná s bezpečnostní informací. V následujícím kroku se řeší způsoby jak daná aktiva ochránit před dopadem a účinkem hrozeb. Při neformální analýze jsou aktiva seskupována do kategorií, což umožňuje zjistit a popsat způsoby jejich zpracování. Informační aktiva zobrazují významné komponenty informačního systému s bezprostředním vlivem na informační bezpečnost. Dané skutečnosti se posuzují z pozice nejhorších případů spojených s dopady, které by mohly vyplynout zejména z následujících skupin důsledků: nedostupnosti dat, prozrazení dat, modifikace dat, zničení dat. Bližší posouzení vychází ze čtyř hlavních bezpečnostních hledisek, týkajících se i aktiv informačního systému, tj.: Narušení důvěrnosti dat ze strany uživatelů neoprávněných, ale i ze strany uživatelů překračujících rozsah svého oprávnění; Modifikace dat nebo programů vlivem chyb, poruch systému a/nebo aktivní (úmyslnou) či nedbalostní činností uživatelů; Zničení dat nebo programů vlivem chyb (hardware, software, správy IS nebo uživatelů, a to rovněž aktivní (úmyslnou) či nedbalostní činností); zamezení přístupu oprávněných uživatelů do systému nebo datům. Každé z výše uvedených hledisek je třeba dále hodnotit z konkrétních dílčích hledisek: V případě nedostupnosti je nutné hodnotit alespoň tři časové úseky specifikující dobu nedostupnosti, kdy dojde k určité formě dopadů a následků od pouhých nepříjemností, přes vážný problém až po nezvratné změny. U zničení se rozlišuje, zda se jedná o totální zničení bez možnosti náhrady, či o zničení s možností obnovy z informačních aktiv náhradních zdrojů. SYSTÉMOVÁ INTEGRACE /212

6 Jana Fortinová V případě prozrazení se jedná o rozlišení, zda k úniku informací dojde v případě překročení nastaveného oprávnění pracovníka systému anebo jde o únik mimo informační systém. U modifikace se hodnotí, zda jde o chybu nebo úmysl. Je třeba také zdůraznit, že v případě fyzických aktiv je třeba vycházet z hodnot tzv. sekundárního vlivu, tedy hodnot vztažených na informace/data svázaná s dotčenými aktivy. Při základním posuzování aktiv je snaha pomíjet stávající realizovaná opatření, aby bylo možné při analýze předejít nesprávnému předpokladu o jejich účinnosti. V metodice CRAMM se v rámci analýzy aktiv vytvářejí tzv. modely aktiv vedoucí k vytváření strukturovaných dotazníků. V přístupu k této části analytických prací je daná základní metoda modifikována, mj. i proto, aby bylo možné respektovat časové limity stanovené objednatelem. Mezi aktiva obecně patří: 1. osobní údaje 2. informace samotné v jakékoliv podobě, 3. software a hardware,. prostory,. zainteresovaný personál. V souladu s tím lze provést rozdělení aktiv do kategorií: Informační aktiva informace, data, databáze. Programové vybavení - aplikační programy, HW podpora. Služby koncovému uživateli procesy, přístupy k datům, služby poskytované prostřednictvím informačního systému., Technická infrastruktura, o budovy, místnosti, o HW - technické vybavení, sítě elektronických komunikací, Personální vybavení.. Posuzování aktiv Základním problémem je obvykle přiřazení jednotlivým aktivům finanční hodnoty. Většinou se setkáváme s binárním ocenění moc a nic. Z tohoto důvodu není také možné např. aplikovat metodu ALE (Annualized Loss Expectancy), kde se hodnota ALE počítá vynásobením ztráty při jednom výskytu hrozby SLE (Single Loss Exposure) s pravděpodobností výskytu hrozby za rok ARO (Annualized Rate of Occurrence) [] takto: ALE = SLE x ARO. Snadnější cesta k ocenění resp. ohodnocení významu aktiv spočívá v odhadu důležitosti nalezených aktiv v rámci navrženého systému. Při identifikování hlavních informačních aktiv vycházel zpracovatel z hodnocení, kde rozsah důležitosti daného aktiva je střední až velmi vysoký. Při hodnocení vážnosti dopadů na aktiva využil zpracovatel pětistupňovou stupnici. Následně vycházel z procesního řízení a zamýšleného využití informačního systému a stanovil výši každého případu v rozsahu SYSTÉMOVÁ INTEGRACE /212

7 Analýza rizik informačního systému nakládajícího s osobními údaji od stupně velmi nízký do kritický. Následky, které vedou k nejvyšším hodnotám u jednotlivých kategorií informačních aktiv, jsou popsány v následující tabulce. Chybná funkce Ohodnocení podle významu (dopadu) na aktivum resp. Společnost (1 nejméně, nejvíce) Druh aktiva Popis aktiva Zničení, ztráta minuty hodiny dny minuty hodiny dny Neoprávněné užití, odcizení, vyzrazení Modifikace Informační aktiva Datové záznamy od klientů, kdy se jedná se o specifická data uložená v databázích a serverech systému. Tato data obsahují osobní údaje uživatelů. Autentizační, autorizační a auditní data pro přístup k technické infrastruktuře systému Technická infrastruktura programové vybavení Programový kód technické struktury systému Technická infrastruktura technické a programové vybavení Programový kód vyvinutý specificky pro systém - APV. Kompletní technické prostředky primární a záložní lokality přímo použité pro provoz systému. Zahrnují HW, instalační média SW, licenční klíče SW, specifické konfigurace, technickou infrastrukturu IT i podpůrnou technickou infrastrukturu Technická infrastruktura technické a programové vybavení Uživatelské technické prostředky použité pro komunikační prostředí systému. N/A Technická infrastruktura technické a programové vybavení Komunikace Personální vybavení Technická infrastruktura budovy, místnosti Služby služby uživatelům. Zaměstnanci. Uživatelé. Další osoby, poskytující služby uživatelům Umístění serverů Poskytování smluvně sjednaných služeb v dané kvalitě uživatelům Tab. 1 Hodnocení dopadu na aktiva V následující tabulce jsou ve vztahu na evidovaná aktiva definovány úrovně hrozeb a zranitelností s cílem vytvoření vstupních hodnot pro vyhodnocení míry rizik jako funkce pravděpodobnost výskytu hrozby a výše dopadu na dané aktivum. SYSTÉMOVÁ INTEGRACE /212

8 Jana Fortinová. Analýza hrozeb a zranitelností Má-li být provedena riziková analýza informačního systému, pak základním vstupem pro tuto analýzu je hodnota identifikovaných aktiv. V širším pojetí zahrnujeme do aktiv i aktiva, která souvisejí s technickou infrastrukturou IS, tedy informační technologie apod. V užším pojetí jsou informační aktiva prakticky reprezentována agendami. V našem případě pod pojmem agenda vidíme skupiny informací (dokumentů, datových souborů, záznamů v jednotlivých databázích apod.), které jsou typické pro danou oblast, popř. dané informační prostředí, a mají srovnatelné požadavky na zajištění dostupnosti, důvěrnosti a integrity. Ohodnocení agend je důležité pro vlastní analýzu rizik informačního systému a navíc v rámci rizikové analýzy vytváří vodítko k odhadnutí ceny informací, a to v celé struktuře jednotlivých potenciálních hrozeb (ztráta dostupnosti, důvěrnosti, integrity). Postup identifikace hrozeb a zranitelnosti vychází z nalezení závislostí, které se zvoleného prostředí týkají využívání IT sebou přináší zvýšení technických propojení a vzájemných závislostí v rámci celého podniku. Tato etapa prací je zaměřena na identifikaci všech možných vzájemně souvisejících zdrojů hrozeb. Identifikované vzájemné závislosti definovaných agend v daném prostředí se tak týkají hlavně kritických položek, které mohou nastat během celého životního cyklu informačních aktiv. V návaznosti na vzájemné působení jednotlivých oblastí lze přistoupit k analýze základních a případně i na sobě závislých hrozeb, kdy úroveň hrozby stanovujeme jako pravděpodobnost výskytu hrozby a úroveň zranitelnosti odpovídá pravděpodobnosti, že se hrozba vyplní. SYSTÉMOVÁ INTEGRACE /212

9 Analýza rizik informačního systému nakládajícího s osobními údaji Zranitelnost (Snadnost zneužití - narušení) IS velmi nízká nízká střední vysoká kritická velmi nízká chybné směrování, výpadky elektrické energie, poruchy klimatizace, požár, přírodní pohromy, porucha služeb a sítí úmyslné poškození a nízká nedostupnost dat elektronických terorizmus, krádež nosičů dat s způsobená chybami komunikací porucha snímacího osobními údaji klientů SW nebo lidského faktoru, náhlý nedostatek klíčových pracovníků. porucha serverů, zařízení nebo chyba uživatele, kumulace funkcí Hrozba (Možnost, že situace nastane) střední vysoká kritická infiltrace komunikací cizími osobami zničení dat způsobené chybou systémového SW, datových serverů případně poštovních a servisních serverů nebo zálohovacích mechanismů infiltrace "chytrých" snímacích zařízení viry nedostatečná kvalita a jinými prostředky, hesla, neexistence které vedou k politiky hesel, nedostupnosti dat citlivá data nejsou a/nebo nefunkčnosti chráněna šifrováním, zařízení či jeho nejsou chráněna software, příp. data v snímacích schopnosti zařízeních komunikovat zničení a úmyslná zamezení přístupu modifikace dat oprávněných uživatelů aktivním útokem ze k IS nebo datům strany zaměstnanců nebo externích osob zničení, vyzrazení nebo modifikace dat nedbalostním jednáním ze strany zaměstnanců nebo třetích osob vyzrazení, modifikace, zničení významných dat (zejm. citlivých osobních údajů klientů) způsobené chybou či aktivním útokem administrátorů, ev. dalších osob vysoká pravomoc u privilegovaných rolí (administrátor) bez kontroly zneužití dat k modifikaci parametrů vypovídajících o zdravotním stavu klienta Tab. 2 Hodnocení hrozeb a zranitelností S ohledem na charakter systému se analýza soustředila zejména na následující oblasti: logická infiltrace (neoprávněný přístup, zneužití oprávněného přístupu, neoprávněné použití aplikace, viry, apod.), infiltrace komunikace (aktivní narušení komunikace, zneužití logického propojení apod.), chyby lidského faktoru (chyby uživatelů, administrátorů, operátorů apod.), provozní závady IS a/nebo komunikačního systému, fyzické hrozby (krádež, úmyslné poškození, terorismus). Uvedené hrozby, resp. zranitelnosti se vztahují k aktivům zkoumaných oblastí a při získávání informací byly posuzovány z pohledu dopadu zejména na informace vztažené k osobním údajům klientů. Posuzovalo se, do jaké míry by jejich získáním, neoprávněnou modifikací, zničením či znepřístupněním, úloha i důvěryhodnost informačního systému utrpěla významnou újmu či případní narušitelé získali významný prospěch. SYSTÉMOVÁ INTEGRACE /212 9

10 Jana Fortinová Hodnocení se orientovalo na zřejmou rozhodující závislost úrovně poskytovaných služeb na vysoké dostupnosti informačního systému se zárukou důvěrnosti spravovaných dat (zpracovávané informace mají charakter osobních dat). Pro identifikovaná aktiva (uvedená v tabulce) byla zvolena pětistupňová metrika. Pro ohodnocení pravděpodobnosti hrozby byla opět použita pětistupňová metrika, kdy nejpravděpodobnější hrozba je ohodnocena kritická. V tomto případě je třeba si uvědomit, že jedna hrozba může využít více zranitelností a stejně tak jednu zranitelnost může využít více hrozeb. Hrozby a jejich dopady na aktiva jsou uvedeny v následující tabulce č. 3. Škála hodnocení: 1 - minimální, maximální. V rámci analýzy rizik ve vztahu k navrhovanému systému musíme vycházet ze skutečnosti, že nemáme k dispozici takové bezpečnostní incidenty, které by mohly posloužit ke statistickému zpracování jejich pravděpodobnosti. Pro určení pravděpodobnosti událostí vedoucích k negativním dopadům na vybraná aktiva bylo pro naše potřeby využito tabulek s empiricky zjištěnými hodnotami z veřejně dostupných zdrojů a z archivu zpracovatele. Pro konkrétní prostředí informačního systému jsou pravděpodobnosti výskytu jednotlivých událostí (naplnění hrozeb) dle zpracovatele následující: SYSTÉMOVÁ INTEGRACE /212

11 Analýza rizik informačního systému nakládajícího s osobními údaji Tabulka č. 3 Škála hodnocení: 1 - minimální, - maximální DOPAD HROZEB NA AKTIVA Serverov ny Ostatní zařízení IS Snímací zařízení Aplikace Komunikace Osobní data Fyzické objekty Perso nál vnitřn Perso nál extern popis hrozby data aplikace (spustiteln ý program) tisk data aplikace (spustiteln ý program) tisk data aplikace tisk minuty hodiny dny 3 3 Ztráta / nedostupnost trvalá Prozrazení interní Prozrazení externí (třetím osobám) Modifikace náhodná Modifikace úmyslná Tab. 3 Dopady hrozeb na aktiva SYSTÉMOVÁ INTEGRACE /212 1

12 Jana Fortinová Tabulka č. Škála hodnocení: 1 - minimální, - maximální PRAVDĚPODO BNOST INCIDENTU Serverov ny Ostatní zařízení IS Snímací zařízení Aplikace Komunikace Osobní data Fyzické objekty Person ál vnitřní Perso nál extern popis hrozby data aplikace (spustitelný program) tisk data aplikace (spustiteln ý program) tisk data aplikace tisk minuty hodiny dny Ztráta / nedostupnost trvalá Prozrazení interní Prozrazení externí (třetím osobám) Modifikace náhodná Modifikace úmyslná Tab. Pravděpodobnost incidentu 2 SYSTÉMOVÁ INTEGRACE /212

13 Analýza rizik informačního systému nakládajícího s osobními údaji. Významná rizika systému Tím, že se v rámci úloh realizovaných dotčeným informačním systémem budou zpracovávat osobní údaje občanů, vyplývá požadavek na to, aby se ošetřila rizika, která souvisí se ztrátou, modifikací či nedostupností zpracovávaných dat. V daném případě rizika nejvyšší úrovně souvisí především s: falšováním uživatelské identity, neoprávněným použitím aplikace, aktivním či pasivním narušením komunikace, chybou uživatelů či obsluhy. Zabezpečení požadovaných služeb má úzkou vazbu na potenciální rizika, která jsou spojena s informačními aktivy jak ve vztahu k vytváření, distribuci, ukládání či skartaci spravovaných údajů, tak i ve vazbě na uživatele systému. Cílem útoků se mohou stát kterékoliv části informačního systému nebo jeho obsahu, které mají z pohledu vlastníka nebo útočníka jistou hodnotu. Útokem na systém při jeho využití a v souladu s výše zmíněnou normou ČSN EN ISO 299 rozumíme neautorizovanou činnost, kterou se vnitřní nebo vnější subjekt (útočník, narušitel) snaží dosáhnout zejména některého z následujících záměrů: získání datové základny informačního systému nebo její části; modifikace datové základny informačního systému (zrušení údajů, falšování existují-cích nebo vložení podvržených údajů); ovlivnění, narušení nebo zničení činnosti informačního systému nebo některého z jeho subsystémů. Za nejvážnější odhadnutá rizika lze v této souvislosti považovat: zneužití uložených dat, ztrátu dostupnosti služeb, zveřejnění chráněných informací neoprávněným uživatelům, náhodnou nebo úmyslnou modifikaci dat. S výše uvedenými riziky pak souvisí mj.: selhání autentizačních a autorizačních metod: o prolomení autentizačních mechanismů; o zneužití oprávnění administrátora. A musíme též uvažovat i s riziky v oblasti technologií, jako např.: havárií datové základny IS: o selhání HW; o selhání SW. V souladu s výše uvedenými závěry lze za významná rizika informačního systému považovat: SYSTÉMOVÁ INTEGRACE /212 3

14 Jana Fortinová Název rizika Zneužití dat koncovým uživatelem Ztráta dat Neoprávněný přístup k datům Poškození dat Zneužití dat privilegovaným uživatelem (administrátoři systému) Neoprávněná publikace dat Popis rizika Zneužití dat sejmutých od klienta. Neoprávněný uživatel může přenést data klienta do výpočetního zařízení, které je mimo zabezpečovaný perimetr systému. Nevratná ztráta evidovaných dat z úložiště systému. Narušení správy oprávněných přístupů. Nesprávné nastavení uživatelských přístupů k datům, nerespektování autorizačních požadavků. Úmyslné nebo neúmyslné poškození dat uživatelem s nadstandardním oprávněním (privilegovaní uživatelé, např. administrátoři systému). Nadstandardní oprávnění umožňují přístup k detailním datům jak na úrovni jádra systému, tak i na úrovni komunikační technologie. U privilegovaných uživatelů vzniká vyšší riziko zneužití snímaných i evidovaných dat. Neúmyslná publikace sejmutých dat získaných z komunikačního protokolu. Tab. Významná rizika systému. Stanovení výsledné míry rizika V metodice CRAMM je míra rizika pro každou skupinu aktiv stanovena spojením hodnoty aktiva s hodnocením rizika a zranitelnosti. K tomu se využívá stupnice 1. Tyto míry rizika jsou pak využity ke stanovení příslušného bezpečnostního opatření, které má dané riziko eliminovat. Úroveň opatření se pak pohybuje od akceptace (ošetření daného rizika by přineslo vyšší náklady, než by byl dopad při uskutečnění hrozby) až po okamžité přijmutí významných opatření směřujících k řešení daného rizika. V našem případě byla zvolena metoda analýzy rizik využívající matice aktiv, hrozeb a zranitelností. Hodnoty z tabulek, tj. pravděpodobnost vzniku hrozby, hodnota aktiva a zranitelnost daného aktiva jsou podkladem k výpočtu rizik. Vypočtenou míru rizik pak můžeme vyjádřit ve formě matice rizik. K hodnocení míry jednotlivých rizik (inherentního, reziduálního a cílového) bude použita tzv. součtová matice []. V této etapě se řeší ohodnocení inherentních rizik (tj. bez zohlednění již existujících opatření), následující hodnocení již bude obsahovat i stanovení míry rizika reziduálního popř. cílového. Pro zpracování analýzy rizik v rámci daného informačního systému byla zvolena stupnice, kde jsou hodnoty strukturovány do oblastí, takže můžeme danou veličinu zařadit pod položku 1 = velmi nízké - prakticky nepravděpodobné, 2 = nízké málo pravděpodobné, apod. Numerické údaje tedy nevyjadřují hodnotu nebo kvantitu veličiny, ale příslušnost do dané oblasti. Míra rizika 2 znamená, že je možné dané riziko akceptovat, toto riziko není vyřazeno z evidence, nejsou přijata žádná opatření, která by vedla k eliminaci tohoto SYSTÉMOVÁ INTEGRACE /212

15 Analýza rizik informačního systému nakládajícího s osobními údaji rizika, většinou se jedná o rizika, u kterých by náklady spojené s odpovídajícím opatřením byly vyšší než potenciální dopad uskutečněné hrozby. Míra rizika značí, že se jedná o riziko, které vyžaduje přijetí adekvátních opatření, v rámci ošetření tohoto rizika je nutné zpracovat plán mitigace (ošetření) tohoto rizika a příslušné činnosti budou průběžně sledovány v rámci správy rizik. Dané riziko bude posouzeno při pravidelné kontrole (vesměs se jedná o pravidelné každoroční aktivity). Míra rizika 1 ukazuje na kritickou oblast a vyžaduje okamžité přijetí nápravy. Výše jsou uvedeny tabulky, které ilustrují dopad hrozby na dané aktivum (tabulka č. 3) a pravděpodobnost výskytu incidentu (tabulka č. ). Podle stanovené metodiky můžeme vypracovat souhrnnou tabulku, která sumarizuje inherentní rizika v námi analyzovaném systému. Byly identifikovány nejvyšší míry rizika ve vztahu k výše uvedeným hrozbám; ty se nacházejí v nejtmavších (tmavošedých) polích v tabulce (hodnoty>) a je třeba je bezpodmínečně řešit. Rizika v středně tmavých (středně šedých) polích v tabulce (hodnoty -) by měla být rovněž řešena, a to po diskusi mezi řešiteli a objednatelem. Rizika v nejméně tmavých (světle šedých) polích v tabulce (hodnoty<) lze akceptovat. SYSTÉMOVÁ INTEGRACE /212

16 Jana Fortinová Tabulka č. ÚROVEŇ RIZIKA popis hrozby data minuty (2 + 3) hodiny dny ( + 2) Ztráta / nedostupnost trvalá Prozrazení interní Prozrazení externí (třetím osobám) ( + 3) ( + 3) ( + 3) Modifikace náhodná ( + 1) Modifikace úmyslná ( + 3) aplikace (spustitelný program) tisk data aplikace (spustitelný program) Serverov ny Ostatní zařízení IS Snímací zařízení Aplikace Komunikace Osobní data tisk data aplikace tisk 3 (2 + 1) 2 (1 + 1) (1 + ) (1 + ) (2 + 3) (2 + ) (2 + ) (2 + ) (2 + 3) (1 + 3) (3 + 2) (2 + 2) (3 + 2) (3 + 2) (3 + 2) (2 + 2) ( + 2) ( + 1) ( + 2) ( + 3) ( + 2) ( + 3) ( + 2) ( + 3) (3 + 1) ( + 2) 2 (1 + 1) ( + 3) (3 + 2) ( + 2) ( + ) (2 + ) ( + 3) ( + 3) 3 (1 + 2) 2 (1 + 1) (1 + 3) ( + ) (1 + 3) (2 + 3) ( + 3) (2 + 3) (3 + ) 9 ( + ) (2 + 3) ( + 3) ( + 1) 2 (1 + 1) ( + 1) ( + 1) ( + 1) (2 + 3) ( + 1) ( + 1) 2 (1 + 1) ( + 2) (2 + 2) ( + 3) ( + 3) ( + 2) 9 ( + ) (3 + 1) ( + 3) ( + 3) 3 (2 + 1) Fyzické objekty Personál vnitřní Personál externí (1 + 3) (2 + ) (1 + ) (2 + 2) (2 + 3) ( + 1) ( + 3) ( + 2) (3 + 2) ( + 2) 3 (1 + 2) 3 (1 + 2) 3 (2 + 1) Tab. Vyhodnocení úrovně rizika SYSTÉMOVÁ INTEGRACE /212

17 Analýza rizik informačního systému nakládajícího s osobními údaji. Závěr Výše popsaná analýza rizik ukázala, jaká hrozí rizika zkoumanému informačnímu systému a která z nich bude nutno řešit. Přitom je třeba upozornit na to, že podle použité metodiky do zmíněných tabulek jsou nyní zanesena tzv. inherentní rizika, to znamená, že nejsou při hodnocení uvažována bezpečnostní opatření v informačním systému již realizovaná nebo navrhovaná. Analýza rizik daného systému je právě koncipována tak, aby poskytla resumé, zda realizovaná opatření jsou adekvátní ke zjištěným hrozbám. Tyto závěry mohou vést k efektivnímu směrování budovaného systému řízení rizik. V další etapě prací budou k těmto rizikům stanovena bezpečnostní opatření, která budou směřovat k jejich eliminaci, tj. povedou ke stanovení hodnoty reziduálního rizika, popř. až na cílovou hodnotu rizika. Při hodnocení inherentního rizika se neberou v úvahu žádná opatření, která jsou doposud v systému organizace implementována. Při stanovení reziduálního rizika je naopak nutno brát v úvahu všechna opatření, která jsou, resp. v tomto případě budou v prostředí informačního systému implementována. Cílové riziko vychází ze strategického manažerského rozhodnutí, kde je stanovena míra daného rizika, která je již plně akceptovatelná. Poděkování Tento článek vznikl za podpory grantu GAČR P (Advanced Principles and Models for Enterprise ICT Management) Literatura [1] Smejkal, V. Fortinová, J. Risk Management in Information Systems Building. Systémová integrace, 212, roč. 19, č. 3, ISSN [2] [3] Kruliš, J. Jak vítězit nad riziky. Aktivní management rizik nástroj řízení úspěšných firem. Praha: Linde, 211. ISBN , s. 13 a násl. [] Mates, V., Smejkal, V.: E-government v České republice. Právní a technologické aspekty. 2. podstatně přepracované a rozšířené vydání. Praha: Leges 212, str., ISBN , s. 2 a násl. [] Smejkal, V., Rais, K. Řízení rizik ve firmách a jiných organizacích. 3. vydání. Praha: GRADA, 29. ISBN , s. 11. [] Příručka manažera XVI. Pohled nejen CIO na informační bezpečnost. Praha: TATE International, s.r.o., 212, ISBN , s. 19. JEL D1, M1 SYSTÉMOVÁ INTEGRACE /212