Sieciowy model systemu bezpieczeństwa informacji w administracji publicznej

ISSN:1896Ǧ382X|www.wnus.edu.pl/epu DOI:10.18276/epu.2018.131/2Ǧ14|strony:147–155

JarosÏawNapiórkowski

SieciowymodelsystemubezpieczeÑstwainformacji

wadministracjipublicznej

Sáowa kluczowe: administracja publiczna, model matematyczny, bezpieczeĔstwo informacji,

zarządzanie ryzykiem

Streszczenie. Okresowe przeprowadzanie analizy ryzyka w jednostkach sektora finansów

pu-blicznych staáo siĊ wymogiem wraz z nowelizacją ustawy o finansach pupu-blicznych. Kolejnym z podstawowych wymagaĔ, jakie stawiane są przed podmiotami realizującymi zadania publiczne, jest speánienie zapisów Krajowych Ram InteroperacyjnoĞci. Przy okazji pojawia siĊ wymóg okresowych analiz ryzyka. Niestety doĞü duĪy odsetek podmiotów publicznych w Polsce ma z tym problem. W niniejszym artykule autor prezentuje budowĊ sieciowego modelu systemu, którego zastosowanie upraszcza i automatyzuje proces analizy ryzyka.

Wprowadzenie

Zarządzanie ryzykiem to skoordynowane dziaáania dotyczące kierowania i nadzo-rowania organizacją. W jednostkach sektora finansów publicznych staáo siĊ ono wymo-giem wraz z nowelizacją ustawy o finansach publicznych z 27 sierpnia 2009 roku (Ustawa, 2009). Kolejnym podstawowym wymaganiem, stawianym przed podmiotami realizującymi zadania publiczne, jest speánienie zapisów Rozporządzenia Rady Mini-strów z 12 kwietnia 2012 roku w sprawie Krajowych Ram InteroperacyjnoĞci (Rozpo-rządzenie, 2012), minimalnych wymagaĔ dla rejestrów publicznych i wymiany infor-macji w postaci elektronicznej oraz minimalnych wymagaĔ dla systemów teleinforma-tycznych – jednym z nich jest koniecznoĞü przeprowadzania okresowych analiz ryzyka utraty integralnoĞci, dostĊpnoĞci lub poufnoĞci informacji oraz podejmowania dziaáaĔ

minimalizujących to ryzyko. Niestety, jak wynika z raportu NajwyĪszej Izby Kontroli (NIK, 2016), w oĞmiu urzĊdach (tj. 33,3%) w okresie objĊtym kontrolą nie przeprowa-dzano audytu w zakresie bezpieczeĔstwa informacji w systemach informatycznych, co byáo niezgodne z § 20 ust. 2 pkt 14 rozporządzenia KRI. NajczĊstszym wytáumacze-niem tego jest brak kadry z niezbĊdną wiedzą z tego zakresu. Wynika to jednoczeĞnie z tego, Īe analiza ryzyka jest skomplikowanym procesem mającym na celu zapewnienie optymalnego poziomu kosztów systemu bezpieczeĔstwa i stosowanych zabezpieczeĔ w stosunku do przewidywanego ryzyka. Problemem moĪe byü równieĪ samo podejĞcie i narzĊdzia stosowane do prowadzenia procesu oceny ryzyka.

1.Normydotycz¦cezarz¦dzaniaryzykiem

MiĊdzynarodowa Organizacja Normalizacyjną (ISO – International Organization for

Standardization) opracowaáa wiele norm okreĞlających standardy zarządzania ryzykiem,

nazywane ogólnie rodziną norm ISO 31000. Jednym z dokumentów jest norma PN-ISO 31000:2012 zawierająca zasady i ogólne wytyczne dotyczące zarządzania ryzykiem w spo-sób systematyczny, przejrzysty i wiarygodny w dowolnym zakresie i kontekĞcie. Kolejnym, ogólnie znanym i powszechnym opracowaniem opisującym koncepcjĊ i proces oceny ryzy-ka jest norma PN-EN 31010:2010 (Zarządzanie ryzykiem – Techniki oceny ryzyryzy-ka), która dostarcza wskazówek do wyboru i stosowania systematycznych i metodycznych technik oceny ryzyka. W normie opisano koncepcjĊ i proces oceny ryzyka. Ocena ryzyka przepro-wadzana zgodnie z tą normą wspiera inne dziaáania zarządzania ryzykiem. Przedstawiono w niej takĪe zastosowanie niektórych technik, odwoáując siĊ do innych norm miĊdzynaro-dowych, opisujących bardziej szczegóáowo koncepcjĊ i zastosowanie technik, które w nor-mie wskazane są jako np. burza mózgów (brainstorming), technika delficka, wstĊpna anali-za anali-zagroĪeĔ, analianali-za rodanali-zajów báĊdów oraz ich skutków – FMEA (Failure Mode and Effects

Analysis), analiza drzewa báĊdów – FTA (Fault Tree Analysis) czy teĪ metody bayesowskie.

Techniki klasyfikowane są wedáug podziaáu pod kątem ich zastosowanie na etapie:  identyfikacji ryzyka,

 analizy konsekwencji na etapie analizy ryzyka,

 jakoĞciowego, iloĞciowego lub póáiloĞciowego oszacowania prawdopodobieĔ-stwa na etapie analizy ryzyka,

 oceny skutecznoĞci istniejących kontroli na etapie analizy ryzyka,  oszacowania poziomu ryzyka na etapie analizy ryzyka,

 ewaluacji ryzyka.

Na kaĪdym z etapów oceny ryzyka moĪliwe jest stosowanie róĪnych narzĊdzi i metod. Zestawienie (Table A.1 – Applicability of tools used for risk assessment) zawiera klasyfikacjĊ, proponującą techniki jakie mogą byü stosowane do kaĪdego etapu oceny ryzyka i ich przydatnoĞü.

Metody oparte na statystyce bayesowskiej i sieciach Bayesa klasyfikowane są w niej jako nieznajdujące zastosowania przy identyfikacji ryzyka jakoĞciowego, iloĞciowego lub

póáiloĞciowego oszacowania prawdopodobieĔstwa na etapie analiza ryzyka czy teĪ osza-cowania poziomu ryzyka na etapie analizy ryzyka. JednoczeĞnie norma wskazuje je jako zdecydowanie mające zastosowania przy analizie konsekwencji na etapie analizy ryzyka oraz ewaluacji ryzyka. JednoczeĞnie wskazywane są nastĊpujące ograniczenia:

 zdefiniowanie wszystkich zaleĪnoĞci w sieci Bayesa moĪe byü niewykonalne ze wzglĊdu na záoĪonoĞü i wynikające z tego koszty,

 podejĞcie bayesowskie wymaga znajomoĞci wielu prawdopodobieĔstw warun-kowych, które są na ogóá okreĞlane na podstawie wiedzy eksperckiej, opro-gramowanie oparte na sieci Bayesa moĪe dostarczyü odpowiedzi tylko na pod-stawie takich zaáoĪeĔ.

2.Modelsieciowy

Zaletą modeli sieciowych jest przede wszystkim prostota ich interpretacji. Modele sieciowe przedstawione w postaci graficznej są zrozumiaáe nie tylko dla osób zaanga-Īowanych w ich tworzenie. W przypadku oceny ryzyka, niewątpliwą zaletą modelu sieciowego jest moĪliwoĞü wizualizacji powiązaĔ miĊdzy skutkami zagroĪeĔ. Proble-mem moĪe byü jednak sposób budowy takiego modelu sieciowego.

Zdecydowana wiĊkszoĞü stosowanych dziĞ metodyk analizy ryzyka, oparta jest wyáącznie na wiedzy eksperckiej osoby prowadzącej tĊ analizĊ. Stawianie tylko takiej gwarancji bezpieczeĔstwa w budowanym systemie moĪe prowadziü do powaĪnych uchybieĔ, wynikających z celowego lub przypadkowego pominiĊcia lub niedostrzeĪenia zagroĪenia. Równie niebezpieczne moĪe byü niedostrzeĪenie podatnoĞci zasobu na okreĞlone zagroĪenie. Oszacowanie ryzyka realizacji zagroĪenia wobec zasobu jest caákowicie uzaleĪnione od eksperckiej znajomoĞci zagadnienia.

Wszystkie wymienione niedoskonaáoĞci metodyki analizy ryzyka mogą powodo-waü nieszczelnoĞü systemu ochrony, co w efekcie moĪe doprowadziü do utraty poufno-Ğci, dostĊpnoĞci lub integralnoĞci chronionych informacji.

Proces analizy ryzyka wymaga na kaĪdym etapie weryfikacji wyników przez innych ekspertów. IteracyjnoĞü i záoĪonoĞü tego procesu powoduje, Īe jest on dáugo-trwaáy (przez to kosztowny), a jednoczeĞnie nie ma gwarancji jego poprawnoĞci i kom-pletnoĞci. MetodykĊ budowy modelu sieciowego moĪna zaprezentowaü w postaci mo-delu kontekstowego (Adamczyk, Kiryk, Napiórkowski, Walczak, 2016a):

Rysunek 1. Model referencyjny sieci ħródáo: Adamczyk i in. (2016a).

PodjĊto próby automatyzacji budowy analizy ryzyka, które wykazaáy záoĪonoĞü tego problemu, wskazując jednoczeĞnie kluczową rolĊ eksperta. JednoczeĞnie szersze spojrzenie na uzyskane wyniki pozwoliáo zauwaĪyü nastĊpującą prawidáowoĞü:

1. Zasoby opisywane są rzeczownikami, 2. ZagroĪenia opisywane są rzeczownikami,

3. PodatnoĞci są opisywane przymiotnikami lub (w jĊzyku polskim) imiesáowem przymiotnikowym albo wyraĪeniem przymiotnikowym.

W odniesieniu do modelu referencyjnego sieci otrzymujemy nastĊpujący kon- tekstowy (w sensie gramatyki) model sieci:

Rysunek 2. Model kontekstowy sieci ħródáo: Adamczyk i in. (2016a).

Adamczyk, Kiryk, Napiórkowski, Walczak (2016b) wykorzystując powyĪszy model, zaproponowali algorytm, który opisuje proces identyfikacji zasobów, podatnoĞci oraz zagroĪeĔ w ujĊciu kontekstowym. W algorytmie tym do utworzenia odpowiednich danych, sáuĪących do zbudowania grafu sieci z trójki kontekstowego modelu sieci, wykorzystano specjalnie opracowany algorytm oparty na systemach sáownikowych. Algorytm ten zredukowaá jednoczeĞnie záoĪonoĞü problemu, eliminując z peánego ilo-czynu kartezjaĔskiego wymienionych skáadowych te, które nie pozostają w Īadnej rela-cji. Pozwoliáo to na zbudowanie urealnionego modelu sieciowego, odpowiadającego rzeczywistoĞci. Zatwierdzenie eksperckiego modelu jest podstawą do rozpoczĊcia bu-dowy modelu sieciowego, w którym wĊzáami są zasoby, zagroĪenia i podatnoĞci. Dla budowy modelu sieciowego kluczowy jest efekt áączenia w trójki par zasób–podatnoĞü i zagroĪenie–podatnoĞü za poĞrednictwem relacji i powiązaĔ wychodzących z wĊzáów obrazujących podatnoĞci, tak jak w schemacie na rysunku 2.

PrzyjĊty model kontekstowy powoduje, Īe finalnie moĪna utrzymaü akceptowalny poziom záoĪonoĞci i spowodowaü budowanie relacji w sposób podlegający obiektywnej kontroli sterowanej reguáą przedstawioną na rysunku 2.

W trakcie budowy modelu sieciowego skorzystano z tego, Īe kaĪde zagroĪenie oddziaáuje na zasób wyáącznie przez podatnoĞü, którą ma ten zasób. Oznacza to, Īe zagroĪenie moĪe wpáywaü na zasób wyáącznie w kontekĞcie wystĊpowania okreĞlonej podatnoĞci.

Rysunek 3. Graf sieci dla przykáadowego modelu – wybrany fragment zasobów (kolor czarny – wĊzeá zasobu, kolor jasnoszary – wĊzeá podatnoĞci, kolor grafitowy – wĊzeá zagroĪenia)

ħródáo: Adamczyk i in. (2016a, 2016b).

Szczególnie ciekawym elementem modelu sieciowego jest moĪliwoĞü wyliczenia charakterystyk, które jednoznacznie wskazują wpáyw struktury sieci i poszczególnych jej wĊzáów na propagowanie zagroĪenia w takiej strukturze.

Siáa oddziaáywania poszczególnych elementów sieci ma cechy zarówno lokalne, wynikające z bezpoĞredniego otoczenia badanego elementu, jak i cechy globalne (lub raczej nielokalne), wynikające ze specyfiki struktury sieci w szerszym otoczeniu bada-nego elementu. W strukturze sieci moĪna wyznaczyü wartoĞci liczbowe wybranych charakterystyk jej elementów (w szczególnoĞci wĊzáów sieci), które opisują siáĊ oddzia-áywania tych elementów w jej strukturze.

Rysunek 4. Schemat generacji modelu sieciowego ħródáo: Adamczyk i in. (2016b).

3.Miarycentralnoäcisieci

RozwaĪmy typowe charakterystyki wyliczane dla wĊzáów sieci, wprowadzając pojĊcia miar centralnoĞci wĊzáa, bliskoĞci i poĞrednictwa za pracą Borgatti, Everett, Freeman (2002). Podobne miary centralnoĞci wprowadzono przy analizie sieci záoĪo-nych (Bartosiak, Kasprzyk, Tarapata, 2011).

Miara centralnoĞci definiuje jak waĪny w caáej sieci jest wĊzeá. Miary centralnoĞci sáuĪą do zmierzenia intuicyjnego odczucia Īe w wiĊkszoĞci sieci rzeczywistych záoĪo-nych, niektóre wierzchoáki lub krawĊdzie są bardziej waĪne/prestiĪowe od innych.

OkreĞlenie centralnoĞci w sieciach analizujących bezpieczeĔstwo pozwala wyáoniü kluczowe podatnoĞci i zagroĪenia. CentralnoĞü moĪe dotyczyü wĊzáów i caáej sieci. Dla grafu nieskierowanego stopniem centralnym Cd jest:

Cd(vi) = di

gdzie di oznacza stopieĔ (liczba sąsiadujących krawĊdzi) wĊzáa (vi).

W przypadku grafów skierowanych wyróĪniamy dwie odrĊbne miary stopnia centralno-Ğci tzw. centralnoĞü wejcentralno-Ğciową (indegree centrality) oraz centralnoĞü wyjcentralno-Ğciową

(out-degree centrality).

PrestiĪ i towarzyskoĞü wĊzáa to miara pokazująca, Īe wĊzeá jest bardziej istotny z uwagi na to, iĪ komunikuje siĊ z wiĊkszą liczbą innych wĊzáów a preferowane są wĊzáy z wiĊkszą liczbą krawĊdzi wychodzących, dziĊki czemu okreĞlamy rozgáos wĊ-záa. Podczas korzystania z diin wyliczamy jak popularny jest eksponowany wĊzeá, a jego

wartoĞü pokazuje znaczenie lub prestiĪ (prominence or prestige node). Podobne obli-czenia naleĪy wykonaü aby obliczyü towarzyskoĞü wĊzáa diout (gregariousness node).

BliskoĞcią (closeness, reach) wĊzáa nazywamy Ğrednią dáugoĞü najkrótszych Ğcie-Īek miĊdzy danym wĊzáem i wszystkimi pozostaáymi wĊzáami. Jest to zatem oczekiwa-na odlegáoĞü miĊdzy danym wĊzáem i dowolnym, innym wĊzáem.

PoĞrednictwo (betweenness) to zdolnoĞü wĊzáa w sieci do tworzenia poáączeĔ miĊdzy innymi wĊzáami. WĊzeá o wyĪszej wartoĞci tego parametru niĪ inne wĊzáy w sieci nazywamy czĊsto hubem.

W naszej sieci jeĞli wĊzeá podatnoĞci ma wysoki stopieĔ, czyli áączy wiele wĊ-záów zasobów z duĪą liczbą wĊwĊ-záów zagroĪeĔ, to jednoczeĞnie bĊdzie miaá bliskoĞü (reach) takĪe wysoką, bo duĪa liczba wĊzáów moĪe go osiągnąü w jednym kroku w sieci. PoĞrednictwo natomiast bĊdzie dla kaĪdego wĊzáa podatnoĞci zaleĪeü praktycz-nie tylko od struktury sieci. Im bliĪsza jedynki bĊdzie wartoĞü poĞrednictwa dla wĊzáa o jednoczeĞnie wysokim stopniu, tym taka podatnoĞü w strukturze analizy ryzyka bĊ-dzie wĊzáem bardzo istotnym, o duĪej sile oddziaáywania.

PrawdopodobieĔstwo wystąpienia zagroĪenia p(zag) zwykle wyznaczamy na podstawie wiedzy eksperckiej o wáaĞciwoĞciach zagroĪeĔ. Jednak to, czy i w jakim stopniu wystąpienie zagroĪenia oznaczaü bĊdzie wystąpienie ryzyka na konkretnym zasobie zaleĪy od struktury sieci, a w szczególnoĞci od ulokowania w niej wĊzáów po-datnoĞci zasobu na zagroĪenie. Pierwszym przybliĪeniem bĊdzie zaleĪnoĞü funkcji zagroĪenie zasobu F(z) od struktury podatnoĞci badanego zasobu. Przy pewnym praw-dopodobieĔstwie zagroĪenia p(zag) jego oddziaáywanie na zasób moĪe byü opisane jako:

F(z) = B • p(zag)

Gdzie B jest wartoĞcią wyliczoną poĞrednictwa podatnoĞci w badanej sieci dla wĊzáa podatnoĞci przekazującego zagroĪenie do zasobu. Ten zapis nie budzi wątpliwoĞci kie-dy istnieje pojekie-dynczy wĊzeá podatnoĞci pomiĊdzy grupą zasobu, a wĊzáem zagroĪenia.

Podsumowanie

W artykule do przeprowadzenia analizy ryzyka zaproponowano mieszany, eks-percko-formalny model analizowania ryzyka zagroĪenia zasobu. Skáadnik ekspercki modelu obecny jest zawsze na etapie tworzenia trójki „zasób – podatnoĞü – zagroĪenie”. Wynika on z metodyki budowania modelu sieciowego i zasad analizy ryzyka. Uzyskuje siĊ dziĊki temu matematyczny model sieciowy o budowie typowej dla sieci záoĪonych, w którym wprowadzono nowe pojĊcie funkcji zagroĪenia zasobu, co zaleĪy od struktury sieci. Widzimy takĪe, Īe przyjĊta metodyka w zadaniu analizy ryzyka wyznacza nam strukturĊ sieci. WartoĞü liczbową ryzyka obliczamy przy zadanych prawdopodobieĔ-stwach wystąpienia zagroĪeĔ i skutkach na zasobie wyznaczonych przez opis ekspercki, ale wykazujemy (czego nie da siĊ zrobiü bez modelu sieciowego) jak zaleĪy ona od matematycznego modelu struktury sieci.

Systematyczne, zgodne z zaproponowanym schematem generacji modelu siecio-wego podejĞcie do budowy modelu analizowanego obszaru pozwala na relatywnie áa-twe przygotowanie modelu sieciowego systemu. MoĪliwoĞü przedstawienia modelu w postaci graficznej czyni zbudowany model zrozumiaáym nie tylko dla osób zaanga-Īowanych w ich tworzenie. To zaĞ pozwala na jego szerokie i áatwe stosowanie podczas analizowania ryzyka. Analiza ryzyka oparta na statycznych charakterystykach sieci pozwala na szybkie, wiarygodne i uniezaleĪnione od subiektywnych odczuü zbieranie charakterystyki analizowanego obszaru a dziĊki temu szybkie wskazywanie aktywów w organizacji, które są naraĪone na wysokie prawdopodobieĔstwo zmaterializowania siĊ zagroĪenia. Opisany schemat budowy modelu sieciowego pozwala na prowadzenie analizy ryzyka po kaĪdej zmianie, która moĪe wpáywaü na funkcjonujący system zarzą-dzania bezpieczeĔstwem informacji.

Bibliografia

Adamczyk, P., Kiryk, G., Napiórkowski, J., Walczak, A. (2016a). Sieciowy model systemu bez-pieczeĔstwa. W: Kiedrowicz M. (red.), Zarządzanie informacjami wraĪliwymi. Bezpie-czeĔstwo dokumentów, wykorzystanie technologii RFID. Warszawa: Wojskowa Akademia Techniczna.

Adamczyk, P., Kiryk, G., Napiórkowski, J., Walczak, A. (2016b). Network model of security system. MATEC Web of Conferences 76, 02002.

Bartosiak, C., Kasprzyk, R., Tarapata, Z. (2011). Application of Graphs and Networks Similarity Measures for Analyzing Complex Networks. Biuletyn Instytutu Systemów Informatycznych, 7, 1–7.

Borgatti, S.P., Everett, M.G., Freeman, L.C. (2002). Ucinet 6.0 for Windows: Software for Social Network Analysis. Harvard: Analytic Technologies.

Raport NIK (2016). ĝwiadczenie usáug publicznych w formie elektronicznej na przykáadzie wy-branych jednostek samorządu terytorialnego. Pobrane z: https://www.nik.gov.pl/plik/ id,10420,vp,12749.pdf.

Rozporządzenie Rady Ministrów z 12 kwietnia 2012 roku w sprawie Krajowych Ram Interopera-cyjnoĞci, minimalnych wymagaĔ dla rejestrów publicznych i wymiany informacji w po-staci elektronicznej oraz minimalnych wymagaĔ dla systemów teleinformatycznych, Dz.U. 2012, poz. 526.

Ustawa z 27 sierpnia 2009 roku o finansach publicznych, Dz.U. 2009, nr 157, poz. 1240.

NETWORK MODEL OF INFORMATION SECURITY SYSTEMS OF PUBLIC ADMINISTRATION UNIT

Keywords: public administration, mathematical model, information security, risk management Summary. Periodic risk analysis in units of the public finance sector has become a requirement

along with the amendment to the Public Finance Act. However, a large percentage of public entities in Poland has a problem with this. The article presents the concept of building a network security model and its application in the process of risk analysis. It indicates the possibility of a new definition of the role of the network models in the safety analysis. Special attention was paid to the development of the use of an algorithm describing the process of identifying the assets, vulnerability and threats in a given context.

Translated by Jarosáaw Napiórkowski

Cytowanie

Napiórkowski, J. (2018). Sieciowy model systemu bezpieczeĔstwa informacji w administracji pu-blicznej. Ekonomiczne Problemy Usáug, 2 (131/2), 147–155. DOI: 10.18276/epu.2018.131/2-14.