Aktiva v ISMS V Brně dne 26.09. a 3.10.2013
Pojmy ISMS - (Information Security Managemet System) - systém řízení bezpečnosti č informací Aktivum - (Asset) - cokoli v organizaci, co má nějakou cenu (hmotná a nehmotná) Aktiva jsou veškerý hmotný a nehmotný majetek! Skupiny pro rozdělení aktiv : - informační aktiva (informace, data) - hardwarová aktiva (technické prostředky hardware) - softwarová aktiva (technické prostředky software) - služby poskytované prostřednictvím t informačních č íhsystémů ů Těmito skupinami aktiv je definován rozsah ISMS. Aktiva v ISMS 2
Základní kritéria informační bezpečnosti Důvěrnost (Confidentionality) - zajištění přístupu k informacím a poskytnutí pouze oprávněným osobám Integrita (Integrity)- zajištění správnosti a úplnosti informací Dostupnost (Availability) - zajištění dostupnosti informací pro oprávněné uživatele v okamžiku potřeby + Efektivita (Effectiveness) Účinnost (Efficiency) Soulad (Compliance) Spolehlivost (Reliability) = Informační kritéria Důvěrnost, Integrita, Dostupnost 3
Ohodnocení aktiv 1. identifikace aktiv včetně jeho vlastníka 2. nástroje k ohodnocení aktiv SW prostředky k hodnocení aktiv (např. CRAMM metodika CCTA Risk Analysis and Management Method) CCTA organizace, která metodiku vyvinula v roce 1985 3. stanovení stupnice a hodnotících kritérií, např.: bezvýznamné riziko akceptovatelné riziko nízké riziko nežádoucí riziko nepřijatelné riziko 4. hodnocení nákladů v důsledků porušení (3 základní kritéria) - důvěrnosti Stanovené hodnoty slouží jako základ pro analýzu rizik!!! - integrity - dostupnosti Analýza rizik (Risk Analysis) je systematické používání informací pro odhad míry rizika a určení jeho zdrojů. Aktiva v ISMS 4
Riziko, hrozba, zranitelnost, dopad Riziko (Risk) je kombinace hrozby a zranitelnosti s dopadem na aktivum. Hrozba (Treat) je událost ohrožující bezpečnost (zneužití zranitelnosti). Zranitelnost (Vulnerability) je slabé místo aktiva. Dopad (Impact) je vznik škody v důsledku působení hrozby. Hrozby Zranitelnosti Aktiva: služby a data informačního systému Dopady Riziko, Hrozba, Zranitelnost, Dopad 5
Výpočet hodnoty aktiva Součtový algoritmus je nejpoužívanější a nejjednodušší. Součet hodnot jednotlivých komponent dělený počtem komponent Příklad 3 komponent: (x+y+z/3) - Dostupnost + důvěrnost +integrita / 3 Hodnotící škála 1 5 Aktivum data o zákaznících poskytovaná systémem 1 hodnota aktiva (hledisko dostupnosti) - 5 (hledisko důvěrnosti) - 5 (hledisko integrity) - 3 Celková váha aktiva data o zákaznících - (5+5+3)/3=4, tedy může se jednat o Tím je také dáno definování dopadu! Příklad tabulky hodnocení aktiva: Aktiva v ISMS 6
Příklad tabulky hodnocení aktiva výpočet hodnoty aktiva pomocí váhy hodnotící íškála 1 5 součtový č maximální je 5 algoritmus aktivum zdroj Dostupnost důvěrnost integrita váha informace o zákaznících systém 5 5 3 4 síťové disky 2 5 3 3 uživatelské stanice 5 5 3 4 atd. Aktiva v ISMS 7
Normativní podpora Následuje analýza rizik například dle ČSN ISO/IEC 27005: Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací platná od roku 2009, dříve ČSN ISO/IEC TR 13335-3: Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 3: Techniky pro řízení íbezpečnosti č IT Normy 8
Analýza rizik Identifikuje zranitelná místa Definuje seznam působících hrozeb Stanovuje rizika příslušná ke každému zranitelnému místu a hrozbě Účelem je snížení rizik na přijatelnou úroveň formou opatření Identifikace a popis existujících nebo plánovaných bezpečnostních opatření! Odhad d rizik ik (vychází z tabulky identifikovaných hrozeb a souvisejících í zranitelností) Přijetí rizik (zbytková rizika) Politika bezpečnosti IS Příručka ISMS (Plán bezpečnosti IT) Analýza rizik 9
Odhad rizika Prvotní (orientační) odhad rizika bývá nastaven podle statistického výskytu incidentů v podobě tabulky. Tabulka definuje takzvané orientační riziko. Orientační riziko = pravděpodobnost incidentu x velikost dopadu Tabulka obsahuje: Incident Pravděpodobnost incidentu Velikost dopadu Orientační riziko Podle tohoto odhadu jsou nasazeny (nad základní přístup a opatření uvedená v příručce ISMS) konkrétní a specifická opatření (např. pro technologické místnosti, nadstandardní poskytované služby a podobně) dle činnosti organizace. Riziko naplnění hrozeb u konkrétního aktiva se stanovuje, jako číselné vyjádření toho, že nastane bezpečnostní incident vyvolaný některou (alespoň jednou) z nejpravděpodobnějších hrozeb působících na aktivum. Analýza rizik 10
Analýza rizik s různým počtem parametrů A. metoda se třemi parametry 1. vyhotovení matice zranitelnosti (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 2. výpočet č míry rizika ik R podle vztahu R = T x A x V, kde V je zranitelnost t 3. vyhotovení matice rizik z vypočtených hodnot (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 4. stanovení hranic pro různé stupně rizika (např. nízká neboli přijatelná, střední a vysoká) B. metoda se dvěma parametry 1. vyhodnocení pravděpodobnosti incidentu a jeho dopadu (pouze 2 parametry PI pravděpodobnost incidentu a D dopad) 2. výpočet míry rizika R podle vztahu R = PI x D Analýza rizik 11