Identyfikacja zagrożeń

Wiedząc, jakie zasoby informacyjne znajdują się w analizowanym systemie teleinformatycznym, możemy określić odpowiadające im zagrożenia. Celem drugiego etapu jest rozpoznanie zagrożeń dla bezpieczeństwa informacji przetwarzanych i przechowywanych w systemie oraz określenie ich wpływu.

W procesie identyfikacji zagrożeń skorzystamy z tabeli 3. Zawiera ona tylko sześć wybranych zagrożeń, ale należy pamiętać, że dla średniej wielkości systemu TI wykaz ten może mieć - w zależności od stopnia szczegółowości analizy ryzyka - od kilkudziesięciu do kilkuset pozycji.

Kolumny "zasób niosący zagrożenie" i "zasób zagrożony" prezentują dwa zasoby, z których pierwszy zawiera potencjalne podatności, umożliwiające wystąpienie danego zagrożenia, a drugi wskazuje, co narażone jest w przypadku jego wystąpienia. Ostatnie trzy kolumny tabeli określają atrybuty bezpieczeństwa informacji, które mogą być naruszone przez każde z zagrożeń.

Proszę zauważyć, że inaczej traktujemy kradzież danych z nośnika, a inaczej kradzież samego nośnika. Strata nośnika może, ale nie musi, pociągać za sobą ujawnienie danych, które się na nim znajdują - dane mogą być szyfrowane. Z pewnością jednak wpływa na dostępność kopii zapasowej - uniemożliwia odtworzenie danych po awarii serwera.

Identyfikacja istniejących zabezpieczeń

Etap identyfikacji istniejących w systemie środków ochrony polega na zbudowaniu wykazu zasobów i zagrożeń określonych w poprzednich etapach oraz przeciwdziałających im zabezpieczeń technicznych, organizacyjnych i fizycznych.

Dla poszczególnych par zagrożenie - zabezpieczenie określamy, przed utratą ja-kich cech informacji chroni nas każdy ze środków. Interesują nas tylko te cechy, które są naruszane przez dane zagrożenie (tabela 4).

Podstawową ochronę serwera plików i serwera WWW w naszym przykładzie zapewniają zapora sieciowa oraz regularne uaktualnienia oprogramowania. Przed stratą treści strony WWW chronią nas dodatkowo kopie zapasowe, które zapewniają dostępność danych w chwili, gdy jednak zostaną zmodyfikowane lub skasowane przez intruza.

Dzięki temu, że stacje robocze są zwykłymi komputerami PC, ich naprawa lub wymiana wadliwych komponentów nie stanowi większego problemu i jest skutecznym zabezpieczeniem przed zagrożeniem nr 3. Przed kradzieżą nośników z kopiami zapasowymi kodu źródłowego chroni nas kontrola dostępu do pomieszczeń firmy.

Niestety, nic nas nie chroni przed odczytaniem nieszyfrowanej kopii zapasowej z nośnika (zagrożenie nr 4) oraz nieobecnością administratora z powodu choroby (zagrożenie nr 6).

Identyfikacja podatności

W ramach kolejnego etapu - identyfikacji podatności - szacujemy prawdopodobieństwo zrealizowania się poszczególnych zagrożeń i naruszenia bezpieczeństwa naszych zasobów, z uwzględnieniem istniejących zabezpieczeń. Ważne jest, aby podczas wypełniania kolejnej tabeli zachować zdrowy rozsądek i nie narzucać zbyt wysokich lub zbyt niskich wymagań, gdyż może to w równym stopniu zagrozić poziomowi bezpieczeństwa.

W tym etapie wykorzystamy czterostopniową skalę prawdopodobieństwa: niskie (1), średnie (2), wysokie (3) oraz maksymalne (4). Tabela 5 zawiera dane oszacowane dla naszej organizacji.

Prawdopodobieństwo wykradzenia kodu źródłowego z serwera plików przez napastnika oszacowaliśmy na niskie - dostęp do serwera jest zablokowany przez zaporę sieciową, więc może się powieść, gdy zapora zostanie ominięta lub gdy w ataku będzie pośredniczył jeden z pozostałych komputerów naszej sieci. Nieco bardziej prawdopodobny jest skuteczny atak na serwer WWW, który ze względu na pełnione funkcje musi być dostępny z Internetu. Samoistne awarie sprzętu (zagrożenie nr 3) zdarzają się dosyć często, więc nadaliśmy im wartość średnią.

Kod programu przechowywany w kopii zapasowej, jeśli nie jest w żaden sposób chroniony, może zostać odczytany przez kogoś, kto wejdzie w posiadanie nośnika CD-ROM. Taka sytuacja może się zdarzyć chociażby przez zaniedbanie administratora, który nieopatrznie pozostawi nośnik w miejscu dostępnym dla gości z zewnątrz lub gdy w firmie dojdzie do włamania o charakterze rabunkowym. Dlatego prawdopodobieństwo naruszenia poufności kodu na nośniku i kradzieży samego nośnika oszacowaliśmy na średnie.

Nieobecność administratora ma wpływ na wszystkie atrybuty informacji; jest to zagrożenie o dużym prawdopodobieństwie wystąpienia.

Szacowanie ryzyka

Mamy już wszystkie informacje, które pozwolą obliczyć ryzyko utraty bezpieczeństwa przez informacje przetwarzane i przechowywane w rozważanym systemie teleinformatycznym.

Dla każdego rodzaju informacji musimy zbudować osobne tabele, opisujące ryzyko związane z utratą przez nie cech poufności, integralności i dostępności. Jak już wyżej ustaliliśmy, ryzyko jest iloczynem wartości potencjalnej straty danego zasobu i jego podatności na zagrożenia. Zatem w naszej analizie ryzyko może przyjmować niektóre wartości liczbowe z przedziału od 1 do 16. Przyjmijmy, że poszczególne wartości ryzyka będą odpowiadały następującym wielkościom:

od 1 do 4 - ryzyko niskie

od 5 do 8 - ryzyko średnie

od 9 do 12 - ryzyko wysokie

od 13 do 16 - ryzyko maksymalne.

Tabela 6 prezentuje ryzyko utraty bezpieczeństwa kodu źródłowego, a tabela 7 - strony WWW.

Opracowanie rekomendacji

Jeśli przyjmiemy, że nie jesteśmy w stanie zaakceptować ryzyka o wartości powyżej 8, musimy zastanowić się, co zrobić z zagrożeniami nr 2, 4 i 6 z tabeli 3.

Przykładowe środki zaradcze, które możemy zaproponować, są następujące:

Powinny zostać zainstalowane dodatkowe zabezpieczenia techniczne, zwiększające odporność serwera WWW na włamania. Ewentualnie można rozważyć przeniesienie serwisu WWW na serwer udostępniony przez firmę świadczącą usługi hostingowe. Pozwoli to na zwiększenie bezpieczeństwa serwisu WWW (zagrożenie 2).

Należy zaszyfrować kod źródłowy przed skopiowaniem na nośnik kopii zapasowej, a klucze pozwalające na jego odszyfrowanie trzeba zdeponować w bezpiecznym miejscu, do którego dostęp ma jedynie kierownictwo firmy. Dzięki temu zmniejszymy ryzyko wynikające z możliwości nielegalnego odczytania danych przechowywanych w kopii zapasowej (zagrożenie 4).

Powinien zostać zatrudniony dodatkowy pracownik, pełniący funkcję zastępcy administratora, który będzie w stanie właściwie zaopiekować się systemem TI podczas jego nieobecności. Ponadto administrator powinien sporządzić i na bieżąco aktualizować dokumentację systemu, tak aby możliwe było szybkie przekazanie jego obowiązków innemu pracownikowi. W ten sposób redukujemy ryzyko związane z nieobecnością administratora w firmie (zagrożenie 6).

Pozostałe ryzyko, które oszacowaliśmy na poziomie mniejszym niż 8, możemy zaakceptować.

<hr>Autor jest absolwentem Polsko-Japońskiej Wyższej Szkoły Technik Komputerowych. Obecnie pracuje jako Specjalista ds. Bezpieczeństwa Teleinformatycznego w Departamencie Ochrony NBP.