Zarządzanie ryzykiem bezpieczeństwa informacji w systemach TI
- Michał Piotrowski,
- 23.06.2006
Identyfikacja zagrożeń
Tabela 6. Ryzyko utraty bezpieczeństwa kodu źródłowego
W procesie identyfikacji zagrożeń skorzystamy z tabeli 3. Zawiera ona tylko sześć wybranych zagrożeń, ale należy pamiętać, że dla średniej wielkości systemu TI wykaz ten może mieć - w zależności od stopnia szczegółowości analizy ryzyka - od kilkudziesięciu do kilkuset pozycji.
Kolumny "zasób niosący zagrożenie" i "zasób zagrożony" prezentują dwa zasoby, z których pierwszy zawiera potencjalne podatności, umożliwiające wystąpienie danego zagrożenia, a drugi wskazuje, co narażone jest w przypadku jego wystąpienia. Ostatnie trzy kolumny tabeli określają atrybuty bezpieczeństwa informacji, które mogą być naruszone przez każde z zagrożeń.
Proszę zauważyć, że inaczej traktujemy kradzież danych z nośnika, a inaczej kradzież samego nośnika. Strata nośnika może, ale nie musi, pociągać za sobą ujawnienie danych, które się na nim znajdują - dane mogą być szyfrowane. Z pewnością jednak wpływa na dostępność kopii zapasowej - uniemożliwia odtworzenie danych po awarii serwera.
Identyfikacja istniejących zabezpieczeń
Tabela 7. Ryzyko utraty bezpieczeństwa strony WWW
Dla poszczególnych par zagrożenie - zabezpieczenie określamy, przed utratą ja-kich cech informacji chroni nas każdy ze środków. Interesują nas tylko te cechy, które są naruszane przez dane zagrożenie (tabela 4).
Podstawową ochronę serwera plików i serwera WWW w naszym przykładzie zapewniają zapora sieciowa oraz regularne uaktualnienia oprogramowania. Przed stratą treści strony WWW chronią nas dodatkowo kopie zapasowe, które zapewniają dostępność danych w chwili, gdy jednak zostaną zmodyfikowane lub skasowane przez intruza.
Dzięki temu, że stacje robocze są zwykłymi komputerami PC, ich naprawa lub wymiana wadliwych komponentów nie stanowi większego problemu i jest skutecznym zabezpieczeniem przed zagrożeniem nr 3. Przed kradzieżą nośników z kopiami zapasowymi kodu źródłowego chroni nas kontrola dostępu do pomieszczeń firmy.
Niestety, nic nas nie chroni przed odczytaniem nieszyfrowanej kopii zapasowej z nośnika (zagrożenie nr 4) oraz nieobecnością administratora z powodu choroby (zagrożenie nr 6).
Identyfikacja podatności
W ramach kolejnego etapu - identyfikacji podatności - szacujemy prawdopodobieństwo zrealizowania się poszczególnych zagrożeń i naruszenia bezpieczeństwa naszych zasobów, z uwzględnieniem istniejących zabezpieczeń. Ważne jest, aby podczas wypełniania kolejnej tabeli zachować zdrowy rozsądek i nie narzucać zbyt wysokich lub zbyt niskich wymagań, gdyż może to w równym stopniu zagrozić poziomowi bezpieczeństwa.
W tym etapie wykorzystamy czterostopniową skalę prawdopodobieństwa: niskie (1), średnie (2), wysokie (3) oraz maksymalne (4). Tabela 5 zawiera dane oszacowane dla naszej organizacji.
Prawdopodobieństwo wykradzenia kodu źródłowego z serwera plików przez napastnika oszacowaliśmy na niskie - dostęp do serwera jest zablokowany przez zaporę sieciową, więc może się powieść, gdy zapora zostanie ominięta lub gdy w ataku będzie pośredniczył jeden z pozostałych komputerów naszej sieci. Nieco bardziej prawdopodobny jest skuteczny atak na serwer WWW, który ze względu na pełnione funkcje musi być dostępny z Internetu. Samoistne awarie sprzętu (zagrożenie nr 3) zdarzają się dosyć często, więc nadaliśmy im wartość średnią.
Kod programu przechowywany w kopii zapasowej, jeśli nie jest w żaden sposób chroniony, może zostać odczytany przez kogoś, kto wejdzie w posiadanie nośnika CD-ROM. Taka sytuacja może się zdarzyć chociażby przez zaniedbanie administratora, który nieopatrznie pozostawi nośnik w miejscu dostępnym dla gości z zewnątrz lub gdy w firmie dojdzie do włamania o charakterze rabunkowym. Dlatego prawdopodobieństwo naruszenia poufności kodu na nośniku i kradzieży samego nośnika oszacowaliśmy na średnie.
Nieobecność administratora ma wpływ na wszystkie atrybuty informacji; jest to zagrożenie o dużym prawdopodobieństwie wystąpienia.
Szacowanie ryzyka
Mamy już wszystkie informacje, które pozwolą obliczyć ryzyko utraty bezpieczeństwa przez informacje przetwarzane i przechowywane w rozważanym systemie teleinformatycznym.
Dla każdego rodzaju informacji musimy zbudować osobne tabele, opisujące ryzyko związane z utratą przez nie cech poufności, integralności i dostępności. Jak już wyżej ustaliliśmy, ryzyko jest iloczynem wartości potencjalnej straty danego zasobu i jego podatności na zagrożenia. Zatem w naszej analizie ryzyko może przyjmować niektóre wartości liczbowe z przedziału od 1 do 16. Przyjmijmy, że poszczególne wartości ryzyka będą odpowiadały następującym wielkościom:
Tabela 6 prezentuje ryzyko utraty bezpieczeństwa kodu źródłowego, a tabela 7 - strony WWW.
Opracowanie rekomendacji
Jeśli przyjmiemy, że nie jesteśmy w stanie zaakceptować ryzyka o wartości powyżej 8, musimy zastanowić się, co zrobić z zagrożeniami nr 2, 4 i 6 z tabeli 3.
Przykładowe środki zaradcze, które możemy zaproponować, są następujące:
Pozostałe ryzyko, które oszacowaliśmy na poziomie mniejszym niż 8, możemy zaakceptować.
<hr>Autor jest absolwentem Polsko-Japońskiej Wyższej Szkoły Technik Komputerowych. Obecnie pracuje jako Specjalista ds. Bezpieczeństwa Teleinformatycznego w Departamencie Ochrony NBP.