Analiza ryzyka jest istotną częścią modelowania systemu zarządzania bez-pieczeństwem informacji. Opiera się na określeniu oraz oszacowaniu praw-dopodobieństwa, a także skutków wystąpienia niepożądanego zdarzenia.
Pozwala ustalić jakościowy i ilościowy poziom ryzyka, a także dobrać odpo-wiednie działania zapobiegawcze, które umożliwią eliminację ryzyka, jego kontrolowanie i minimalizację efektów. Analiza ryzyka przewiduje podział ryzyka na kategorie i odpowiadające im czynności przeciwdziałania.
Terminologia używana w analizie ryzyka bezpieczeństwa systemów informacyjnych wywodzi się z wielu gałęzi wiedzy, począwszy od psycho-logii, poprzez naukę o zarządzaniu, a na informatyce kończąc. Często zacho-dzi więc mylna interpretacja pojęć związanych z tym tematem.
Klasycznym tego przykładem jest „system informacyjny”, utożsamiany nieprawidłowo z systemem informatycznym. System to zbiór elementów
166 Orzeczenie Trybunału Sprawiedliwości Unii Europejskiej z 13 maja 2014 roku w sprawie C-131/12, ECLI:EU:C:2014:317.
i zachodzących między nimi relacji167. Informacja jest tymczasem abstrakcyj-nym pojęciem, które oznacza czynnik zmniejszający entropię168. Czy można więc przyjąć definicję systemu informacyjnego jako posiadającą wiele pozio-mów strukturę pozwalającą użytkownikowi na przetwarzanie, za pomocą procedur i modeli, informacji wejściowych w wyjściowe169? Przetwarzanie informacji jest związane z procesami myślowymi, tymczasem definicja nie obejmuje czynnika ludzkiego. Systemy sztuczne (ang. artefact) przetwarzają dane, czyli fizyczną reprezentację informacji170.
Pełniejszą definicję zaproponował w 1977 roku Wilhelm Steinmüller171, według której system informacyjny to system społeczny (ang. Human ac-tivity), który współtworzą elementy przynależne do pięciu klas, pokazanych na rysunku 20.
Rys. 20. Elementy systemu informacyjnego
Źródło: opracowanie własne.
167 M. Mazur, Pojęcie systemu i rygory jego stosowania, „Postępy Cybernetyki” 1987, z. 2.
168 S. Alter, A General, yet Useful Theory of Information Systems, “Communications of the Asso-ciation for Information Systems” 1999, Vol. 1., Article 13.
169 J. Kisielnicki, H. Sroka, Systemy informacyjne biznesu. Informatyka dla zarządzania, Placet, Warszawa 2005.
170 B. Langefors, Theoretical Analysis of Information Systems, 4th ed., Auerbach Publishers, Lund–Philadelphia 1973.
171 W. Steinmüller, Zautomatyzowane systemy informacyjne w administracji prywatnej i publicznej,
„Organizacja – Metoda – Technika” 1977, nr 9.
Często spotyka się również stwierdzenie, iż system informacyjny jest wielo-poziomową strukturą, pozwalającą użytkownikowi na przetwarzanie – za pomocą procedur i modeli – informacji wejściowych w wyjściowe. System informatyczny jest wydzieloną, skomputeryzowaną, jego częścią. Cechy od-różniające system informacyjny od informatycznego zostały pokazane w ta-beli 18.
Tabela 18. Cechy systemów informacyjnych i informatycznych
Cecha SI – system informacyjny SIT – system informatyczny
Dziedzina Informacja jako istotny czynnik Układy przetwarzające i przesyłające
Dane rejestrowane, przesyłane, przecho-wywane, wyszukiwane, przetwarzane, pre-zentowane, (...) dostarczane odbiorcom Cele działania,
tworzone wyj-ścia
Informacja dla każdego członka organi-zacji, cele operacyjne w oparciu o po-trzeby zarządzających
Struktury danych wynikowych, przyję-tych doprzyję-tychczas raportów
Klasa systemu System działalności ludzkiej (Human
activity system) – system społeczny System sztuczny (artefakt)
Składniki
Ludzie, systemy sztuczne (dane, środki techniczne) i systemy abstrakcyjne (metody, organizacja)
Systemy sztuczne (artefakty) – dane, metody i systemy abstrakcyjne Klasa prze-waga metod twardych, wzrastająca świadomość potrzeby stosowania miękkiego podejścia
Twarde metody
Właściciel
sys-temu Najwyższe kierownictwo Szef SIT i kierownicy liniowi
Potrzeby Potrzeba zapewnienia informacji Potrzeba wykonania przypisanych zadań Dane Wszystkie dane przydatne dla odbiorcy Dane zidentyfikowane wg wzorca starej
organizacji
Techniki
Wszelkie techniki odpowiednie do przystosowania danych do ich spożyt-kowania przez odbiorców
TI czyli technika komputerowa
Metody Wszelkie metody przydatne do zapew-niania informacji
Metody ilościowe wspomagane przez technikę komputerową
Technologia
Wszelkie techniki, okablowanie / sys-temy / komputery / …, przystosowane do potrzeb osi
Techniki komputerowe i jako uzupełnie-nie dostępne techniki obliczeniowe
Organizacja
Nowa organizacja podporządkowana celom wynikającym z celów organizacji jako całości
Organizacja odziedziczona, do której do-stosowuje się Organizacyjny System In-formatyczny
Ludzie
Ludzie przystosowujący się do nowych celów / potrzeb / wymagań adaptują-cej się organizacji
Ludzie przyuczający się nowych rozwią-zań technicznych
Rola człowieka
Człowiek jako część składowa SI jest świadomym i odpowiedzialnym jego czynnikiem
Człowiek traktowany jako element tech-niczny
Źródło: M. Kuraś, System informacyjny – system informatyczny. Co poza nazwą różni te dwa obiekty?,
„Zeszyty Naukowe Uniwersytetu Ekonomicznego w Krakowie” 2005, nr 770, http://www.uci.agh.edu.
pl/uczelnia/tad/PSI11/art/SI-vs-SIT.pdf.
Kolejnym wartym sprecyzowania terminem jest bezpieczeństwo. Według słownika nauk społecznych pojęcie to jest tożsame z pewnością braku zagro-żenia fizycznego albo ochroną przed nim172. Definicja ta, ze względu na swą szczegółowość, jest mało użyteczna dla potrzeb niniejszej pracy.
Bardziej ogólną podaje politolog, Jerzy Stańczyk: „Bezpieczeństwo to stan pewności, spokoju, zabezpieczenia oraz jego poczucia, jak również brak za-grożenia oraz ochrona przed niebezpieczeństwami”173. Według filozofa Ja-nusza Świniarskiego istota bezpieczeństwa tkwi w takich formach istnienia, które zapewniają trwanie, przetrwanie i rozwój oraz doskonalenie174.
Tak rozbieżne definicje świadczą o tym, że bezpieczeństwo jest pojęciem polisemantycznym. Wykorzystywane jest współcześnie w wielu dyscypli-nach naukowych, posiada różne znaczenia w zależności od kontekstu użycia. Wiele pozycji encyklopedycznych czy słownikowych uważa bezpie-czeństwo za antonim zagrożenia lub odnosi się jedynie do poszczególnych rodzajów bezpieczeństwa.
Przydatną w dalszych rozważaniach okazuje się definicja bezpieczeństwa teleinformatycznego, która określa je jako stopień uzasadnionego zaufania
172 A Dictionary of the social sciences, (eds.) J. Gould, W.L. Kolb, Free Press, London 1964.
173 J. Stańczyk, Współczesne pojmowanie bezpieczeństwa, ISP PAN, Warszawa 1996, s. 15.
174 J. Świniarski, Filozoficzne podstawy edukacji dla bezpieczeństwa, Egros, Warszawa 1999.
co do tego, że nie zostaną poniesione potencjalne straty wynikające z niepo-żądanego ujawnienia, modyfikacji, zniszczenia lub uniemożliwienia prze-twarzania informacji przechowywanej, przetwarzanej i przesyłanej za pomocą systemu teleinformatycznego175. Definicję tę można śmiało uogólnić i stosować do systemów informacyjnych.
Wspomniane zaufanie może być uzasadnione analizą ryzyka. Ryzyko po-wszechnie utożsamiane jest z niepewnością. Na odmienność tych pojęć zwrócił uwagę Irving Pfeffer:
„Ryzyko jest kombinacją hazardu i jest mierzone prawdopodobień-stwem; niepewność jest mierzona przez poziom wiary. Ryzyko jest sta-nem świata; niepewność jest stasta-nem umysłu”176.
Odmiennego zdania jest Allan Willett, twierdząc, że jest ono zobiektywizo-waną niepewnością wystąpienia niepożądanego zdarzenia i zmienia się wraz z niepewnością, a nie ze stopniem prawdopodobieństwa177.
Nowsze definicje powracają jednak do koncepcji powiązania ryzyka i prawdopodobieństwa. Ministerstwo Finansów w standardach dotyczących przeprowadzania audytów określa ryzyko jako prawdopodobieństwo wy-stąpienia dowolnego zdarzenia, działania lub zaniechania działania, którego skutkiem może być szkoda w majątku lub wizerunku danej jednostki orga-nizacyjnej lub które może przeszkodzić w osiągnięciu wyznaczonych celów lub zadań178.
Analiza ryzyka to badanie ryzyka obejmujące określenie charakterystyki obiektu, identyfikację zagrożeń i szacowanie ryzyka179. Szersze ujęcie tego terminu znaleźć można w opracowaniu Najwyższej Izby Kontroli. Definiuje ono analizę ryzyka jako proces, którego elementami są:
• identyfikacja,
• oszacowanie,
175 K. Liderman, Analiza ryzyka i ochrona informacji w systemach komputerowych, Mikom, War-szawa 2008.
176 I. Pfeffer, Insurance and economic theory. Pub. for SS Huebner Foundation for Insurance Educa-tion, University of Pennsylvania, Philadelphia 1956, s. 42.
177 A.H. Willet, The Economic Theory of Risk Insurance, Columbia University Press, New York 1951.
178 K. Czerwiński, Analiza ryzyka w audycie wewnętrznym, LINK, Szczecin 2003.
179 I. Romanowska-Słomka, A. Słomka, Zarządzanie ryzykiem zawodowym, wyd. 3, Tarbonus, Tarnobrzeg 2003.
• hierarchizacja pojedynczych zdarzeń (wydarzeń, okoliczności) mogą-cych niekorzystnie wpływać na osiągnięcie określonego celu180. W literaturze przedmiotu napotkać można na wiele różnych klasyfikacji za-grożeń bezpieczeństwa informacji. Zagrożenia można podzielić ze względu na lokalizację ich źródła na:
• wewnętrzne (powstające wewnątrz organizacji), obejmujące zagrożenie utratą, uszkodzeniem lub brakiem dostępu do danych spowodowane błędem, przypadkowym albo celowym działaniem nieuczciwych użyt-kowników,
• zewnętrzne (powstające poza organizacją), które obejmują zagrożenie utratą, uszkodzeniem danych lub pozbawieniem możliwości obsługi przez celowe lub przypadkowe działanie ze strony osób trzecich w sto-sunku do sieci lub systemu,
• fizyczne, w których utrata, uszkodzenie danych lub brak możliwości obsługi następuje z powodu wypadku, awarii, katastrofy lub innego nieprzewidzianego zdarzenia, wpływającego na system informacyjny, bądź urządzenie sieciowe181.
Powyższa klasyfikacja jest obecnie coraz trudniejsza do utrzymania. Współ-czesne systemy informacyjne, a w szczególności systemy instytucji pu-blicznych, obsługiwane są często przez szeroką rzeszę użytkowników, niezatrudnionych przez organizację, której system jest własnością. Jednakże ze względu na jego przeznaczenie (publiczne) nie można ich nazwać oso-bami trzecimi. Niesłusznym wydaje się również wydzielenie zagrożenia fi-zycznego. Jest ono skutkiem działania lub częściej zaniechania działania osób odpowiedzialnych za eksploatację i nadzór nad systemami informacyj-nymi. Należy także zwrócić uwagę, iż bezzasadnie dokonano rozdziału sys-temu informacyjnego oraz urządzeń sieciowych.
Bardziej użyteczna klasyfikacja obejmuje obszary zagrożeń pokazane na rysunku 21. Na jej podstawie trudno jest jednak określić rodzaj zagrożenia, jakim są awarie infrastruktury informatycznej. Przenikają się też wzajemnie obszary tradycyjnych zagrożeń informatycznych oraz technologicznych.
180 Glosariusz terminów dotyczących kontroli i audytu w administracji publicznej, Najwyższa Izba Kontroli, Warszawa 2006.
181 A. Żebrowski, M. Kwiatkowski, Bezpieczeństwo informacji III Rzeczypospolitej, Oficyna Wy-dawnicza Abrys, Kraków 2000.
Rys. 21. Obszary zagrożeń systemów informacyjnych
Źródło: opracowanie własne.
Warto także polecić katalog zagrożeń stosowany przez Rządowy Zespół Re-agowania na Incydenty Komputerowe CERT.GOV.PL, pokazany na rysunku 22. Jest on kompletny, lecz szczegółowa klasyfikacja może być zastosowana jedynie po dogłębnej i skutecznej analizie incydentu.
Rys. 22. Katalog zagrożeń CERT.GOV.PL
Źródło: Katalog zagrożeń stosowany przez CERT.GOV.PL, http://www.cert.gov.pl/cer/publikacje/kata-log-zagrozen-stosow/731,Katalog-zagrozen-stosowany-przez-CERTGOVPL.html.