1 PRACA DYPLOMOWA Tokarski MariuszMETODY SZACOWANIA RYZYKA W PROCESIE ZARZĄDZANIA RYZYKIEM BEZPIECZEŃSTWA INFORMACJI W SYSTEMACH IT Promotor: dr inż. Dariusz Chaładyniak WARSZAWA 2015
2 CEL I ZAKRES PRACY Prezentacja metod analizy ryzyka w procesie zarządzania ryzykiem bezpieczeństwa informacji w systemach IT Porównanie metod ilościowych i jakościowych Szacowanie ryzyka w systemie bezpieczeństwa informacji według standardu ISO 27001 Przystosowanie metodyki PMI do analizy ryzyka bezpieczeństwa informacji
3 RYZYKO W SYSTEMACH INFORMATYCZNYCHRyzyko i jego definicje (np. w ujęciu normy ISO/IEC 27001:2007, PMI czy ITIL) Ryzyko systemów informatycznych Poufność Integralność Dostępność Dodatkowe ujęcie biznesowe: Użyteczność Infrastruktura Atrybuty bezpieczeństwa informacji w rozumieniu normy PN-ISO/IEC 27001 Autentyczność Rozliczalność Niezaprzeczalność Niezawodność
4 System bezpieczeństwa informacji według PN-ISO/IEC 27001Polityka bezpieczeństwa Organizacja bezpieczeństwa informacji Zarządzanie aktywami Bezpieczeństwo zasobów ludzkich Bezpieczeństwo fizyczne i środowiskowe Zarządzanie systemami i sieciami Kontrola dostępu Zarządzanie ciągłością działania Pozyskiwanie, rozwój i utrzymanie systemów informatycznych Zarządzanie incydentami związanymi z bezpieczeństwem informacji Zgodność z wymaganiami prawnymi i własnymi standardami
5 Zarządzanie ryzykiem Model zarządzania ryzyka na podstawie ISO/IEC TR
6 Zarządzanie ryzykiem Zarządzanie ryzykiem według standardów MSF z uwzględnieniem zaleceń normy ISO/IEC 27001:2007
7 Wybrane metody szacowania ryzykaIlościowe: metoda Courtney’a metoda Fishera metoda Parkera Jakościowe: NIST SP (National Institute of Standards, Special Publication ) CRAMM (CCTA Risk Analysis and Management Method) FRAP (Facilitated Risk Analysis Process) STIR (Simple Technique for Illustrating Risk)
8 Wybrane metody szacowania ryzykaPrzykład analizy ilościowej metodą Courntey’a ALE (Annual Loss Expectancy) – wartość oczekiwanej rocznej straty; ARO (Annualized Rate of Occurence) – szacowana w skali roku częstotliwość wystąpienia zdarzenia powodującego stratę; SLE (Single Loss Expentancy) – wartość pojedynczej straty;
9 Wybrane metody szacowania ryzykaPrzykład diagramu ATS w metodyce STIR
10 Wady i zalety metod ilościowychANALIZA ILOŚCIOWA WADY ZALETY w wypadku dużej liczby aktywów obowiązkowym staje się użycie narzędzi informatycznych, w innym wypadku szacowanie staje się bardzo nieefektywne konieczność gromadzenia informacji na temat środowiska IT, statystyk, zabezpieczeń i innych danych dokonane obliczenia mogą okazać się niewiarygodne dla osób decyzyjnych o ile nie zrozumieją aparatu matematycznego stojącego za wyliczeniami brak uwzględnienia czynników środowiskowych, czysto matematyczne metody obiektywność wyników umożliwiająca dokonanie porównań wartość atrybutów informacji (poufność, integralność, dostępność) wyrażona jest kwotowo efekt szacowania ma jasny wymiar finansowy ułatwiający podjęcie stosownych decyzji
11 Wady i zalety metod jakościowychANALIZA JAKOŚCIOWA WADY ZALETY otrzymane wyniki są przybliżeniem i mogą być bardzo subiektywne brak jasnego przełożenia na ewentualne koszty strat brak oceny kosztów wdrożenia nowych zabezpieczeń niewielka możliwość automatyzacji w większości przypadków brak obliczeń brak konieczności wyceny atrybutów informacji (poufności, integralność, dostępność) brak konieczności ilościowego określenia skutków i częstotliwości wystąpienia zagrożeń (co też może okazać się wadą) brak konieczności szacowania kosztów proponowanych zabezpieczeń (co też może okazać się wadą) wskazanie obszarów podwyższonego ryzyka możliwość uwzględnienia czynników społecznych i kulturalnych organizacji możliwość zastosowania oceny nawet w wypadku braku precyzyjnych informacji odzwierciedla opinie pracowników na wielu poziomach zarządzania
12 Porównanie metod jakościowych i ilościowychMET. COURTNEY'A MET. FISHERA MET. PARKERA MET. NIST SP MET. CRAMM MET. FRAPP MET. STIR Analiza ilościowa n Analiza jakościowa Elementy systemu zarządzania ryzykiem Uwzględnienie czynnika ekonomicznego Uwzględnienie czynnika ludzkiego Oprogramowanie wspomagające
13 Zarządzanie ryzykiem zgodnie z metodologią PMIPlan zarządzania ryzykiem metodyka, spotkania, gromadzenie informacji role i obowiązki (menedżer ryzyka, zespół zarządzania ryzykiem, właściciel ryzyka) budżet (zmiany związane z zarządzaniem ryzykiem np. zarezerwowanie środków na realizację strategii unikania zagrożeń, łagodzenia lub przeniesienia) terminy (ustalenie terminów spotkań zespołu celem stworzenia dokumentów zawierających plan zarządzania ryzykiem, szczegółowy rejestr ryzyk oraz ich analiza ) system ocen i interpretacja (dla celów projektu tworzone są skale skutków wystąpienia ryzyka oraz skala prawdopodobieństwa wystąpienia ryzyka)
14 Zarządzanie ryzykiem zgodnie z metodologią PMIProgi akceptacji (określamy poziomy ryzyka które są akceptowalne i które mogą stanowić zagrożenie dla projektu). W efekcie otrzymujemy macierz prawdopodobieństwa i skutków ryzyk:
15 Zarządzanie ryzykiem zgodnie z metodologią PMIRozpoznawanie ryzyk (jest to proces określania istniejących ryzyk dla systemu bezpieczeństwa informacji, przeprowadzany przez zespół zarządzania ryzykiem w efekcie którego otrzymujemy rejestr ryzyk).
16 Zarządzanie ryzykiem zgodnie z metodologią PMIAnaliza jakościowa ryzyka (bazując na rejestrze ryzyk dokonujemy ich analizy jakościowej, porządkując od najistotniejszych do najmniej istotnych na podstawie oceny ryzyka)
17 Zarządzanie ryzykiem zgodnie z metodologią PMIAnaliza ilościowa (dla każdego ryzyka zostaje określona liczbowa wartość prawdopodobieństwa oraz skutków wystąpienia, w efekcie otrzymujemy wskazanie na ryzyka najbardziej zagrażające bezpieczeństwu informacji
18 Zarządzanie ryzykiem zgodnie z metodologią PMIWykres Pareto – Lorenza dla zidentyfikowanych zagrożeń
19 Zarządzanie ryzykiem zgodnie z metodologią PMIPlan reagowania na ryzyko (definiujemy strategię reakcji na ryzyko i określamy właściciela ryzyka który będzie odpowiedzialny za wdrożenie planowanej reakcji) Monitorowanie i kontrola ryzyk ( jest to proces implementacji planów reakcji na ryzyka, nadzorowanie wykrytych ryzyk, rozpoznawanie nowych oraz ocena skuteczności podejmowanych działań)
20 Wybrane metody szacowania ryzykaPodsumowanie Postępowanie z ryzykiem bezpieczeństwa informacji w systemach IT w ujęciu norm i standardów Wybrane metody szacowania ryzyka Zarządzanie ryzykiem bezpieczeństwa informacji według metodyki PMI
21 Dziękuję za uwagę