Analýza rizik V Brně dne 10. a 17.10.2013
Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis and Management Method) CCTA organizace, která metodiku vyvinula v roce 1985 3. stanovení stupnice a hodnotících kritérií, např.: bezvýznamné riziko akceptovatelné riziko nízké riziko nežádoucí riziko nepřijatelné riziko 4. hodnocení nákladů vdůsledků porušení (3 základní kritéria) - důvěrnosti - integrity - dostupnosti Stanovené hodnoty slouží jako základ pro analýzu rizik!!! Aktiva v ISMS 2
Normativní podpora Následuje analýza rizik například dle ČSN ISO/IEC 27005: Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací platná od roku 2009, dříve ČSN ISO/IEC TR 13335-3: Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 3: Techniky pro řízení íbezpečnosti č IT Normy 3
Analýza rizik Identifikuje zranitelná místa Definuje seznam působících hrozeb Stanovuje rizika příslušná ke každému zranitelnému místu a hrozbě Účelem je snížení rizik na přijatelnou úroveň formou opatření Identifikace a popis existujících nebo plánovaných bezpečnostních opatření! Odhad d rizik ik (vychází z tabulky identifikovaných hrozeb a souvisejících í zranitelností) Přijetí rizik (zbytková rizika) Politika bezpečnosti IS Příručka ISMS (Plán bezpečnosti IT) Analýza rizik 4
Odhad rizika Prvotní (orientační) odhad rizika bývá nastaven podle statistického výskytu incidentů v podobě tabulky. Tabulka definuje takzvané orientační riziko. Orientační riziko = pravděpodobnost incidentu x velikost dopadu Tabulka obsahuje: Incident Pravděpodobnost incidentu Velikost dopadu Orientační riziko Podle tohoto odhadu jsou nasazeny (nad základní přístup a opatření uvedená v příručce ISMS) konkrétní a specifická opatření (např. pro technologické místnosti, nadstandardní poskytované služby a podobně) dle činnosti organizace. Riziko naplnění hrozeb u konkrétního aktiva se stanovuje, jako číselné vyjádření toho, že nastane bezpečnostní incident vyvolaný některou (alespoň jednou) z nejpravděpodobnějších hrozeb působících na aktivum. Analýza rizik 5
Analýza rizik s různým počtem parametrů 2 parametry A. metoda se dvěma parametry 1. vyhodnocení pravděpodobnosti incidentu a jeho dopadu (pouze 2 parametry PI pravděpodobnost incidentu a D dopad) 2. výpočet č míry rizika ik R podle vztahu R = PI x D P - Pravděpodobnost vzniku a existence rizika 1) Nahodilá 2) Nepravděpodobná 3) Pravděpodobná 4) Velmi pravděpodobná 5) Trvalá Analýza rizik 6
Analýza rizik s různým počtem parametrů 3 parametry B. metoda se třemi parametry 1. vyhotovení matice zranitelnosti ti (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 2. výpočet míry rizika R podle vztahu R = T x A x V, kde V je zranitelnost 3. vyhotovení matice rizik z vypočtených hodnot (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 4. stanovení hranic pro různé stupně rizika R - Míra rizika 1) 0-10: Bezvýznamné riziko 2) 11-20: Akceptovatelné riziko 3) 21-30: Mírné riziko 4) 31-60: Nežádoucí riziko 5) 61-120: Nepřijatelné riziko Analýza rizik 7
Metodiky AR Analýza rizik se rozděluje: - Analýza rizik - hrubá úroveň (určení kritických systémů pro detailní AR) - Analýza rizik - neformální přístup (pragmatická AR) - Analýza rizik - kombinovaný přístup (nejprve hrubá, pak detailní) - Analýza rizik - podrobný přístup (detailní) Doporučuje se použít kombinaci metod pragmatické (neformální) a detailní analýzy rizik. Nejprve je provedena počáteční analýza rizik na hrubé úrovni pro všechny systémy IT. U systémů, které budou identifikovány jako významné pro činnost organizace, případně vystavené vysokým rizikům, provádíme podrobnou analýzu rizik. Analýza rizik 8
Fáze AR 1. fáze analýzy rizik - hodnocení datových aktiv, programová (SW) a fyzická (HW) aktiva (hodnocení např. dle pořizovacích nákladů) 2. fáze analýzy rizik - hodnocení hrozeb a zranitelností, hodnocení hrozeb a zranitelností společně s oceněním aktiv z fáze 1 dovoluje stanovit míru rizik (výpočet míry rizika) systému 3. fáze analýzy rizik - na základě výpočtu míry rizika se následně určí vhodná opatření, rozdělení doporučených opatření podle oblastí bezpečnosti na: - IT bezpečnost - Komunikační bezpečnost - Personální bezpečnost - Administrativní bezpečnost - Fyzická bezpečnost AR 9
Řízení rizik Cílem řízení rizik (Risk Management) je identifikace a kvantifikace rizik, kterým je třeba čelit a poté vhodným způsobem rozhodnout o zvládnutí těchto rizik. Fáze řízení rizik: - Stanovení kontextu - je fáze vymezující oblasti řízení rizik - Analýza rizik (Risk Analysis) - je fáze identifikace a kvantifikace aktiv, hrozeb a zranitelností a stanovení míry rizika - Vyhodnocení rizika (Risk Evaluation) - je fáze prioritizace rizik a výběru optimálních opatření ke snížení rizika - Zvládání rizik (Risk Treatment) - je závěrečná fáze rozhodování o vhodném způsobu zvládání rizik (retence, redukce, transfer, pojištění, sdílení a vyhnutí se riziku) AR 10
Opatření Základní rozlišení bezpečnostních opatření na typy: - preventivní - detekce a reakce - podpůrná Bezpečnostní opatření IS se dělí na oblasti: - řízení a správa bezpečnosti - technologická bezpečnost - bezpečnost provozního prostředí Výběr opatření dle metodik - CRAMM (databáze opatření) expert, express - dle ČSN ISO/IEC 27002 (A.5 až A.15) Opatření 11
Technologická bezpečnostní opatření Uživatel nebo proces Autentizace Autorizace Šifrování transakcí Nepopiratelnost Audit Preventivní Detekce, reakce Podpůrná Vynucení řízení přístupu Detekce průniků a jejich zvládnutí Kontrola celistvosti Obnovení bezpečného stavu Zdroj informací Chráněné komunikace Identifikace a pojmenování Správa šifrovacích klíčů Administrace bezpečnosti Systémová ochrana Opatření 12
ČSN ISO/IEC 27002 ISMS vychází z katalogu nejlepších praktik komerčních organizací, který je obsažen v normě ISO/IEC 27002 (dříve ISO/IEC 17799) a definuje oblasti bezpečnosti informací. Doporučení normy obsahuje 133 bezpečnostních opatření rozdělených do 11 oblastí: A.5 Bezpečnostní politika A.6 Organizace bezpečnosti A7Řízení A.7 aktiv A.8 Bezpečnost lidských zdrojů A.9 Fyzická bezpečnost a bezpečnost prostředí A.10 Řízení komunikací a řízení provozu A.11 Řízení přístupu A12Ak A.12 Akvizice, i vývoj a údžb údržba IS A.13 Zvládání bezpečnostních incidentů A.14 Řízení kontinuity činností organizace A.15 Soulad s požadavky Opatření 13