Oszacowania jakościowe ryzyka dla potrzeb
bezpieczeństwa teleinformatycznego
Krzysztof LIDERMAN
Instytut Teleinformatyki i Automatyki WAT ul. Kaliskiego 2, 00-908 Warszawa
STRESZCZENIE: Artykuł dotyczy problematyki analizy ryzyka ukierunkowanej na bezpieczeństwo teleinformatyczne. Została w nim przedstawiona propozycja jakościowego oszacowania ryzyka, wzorowana na zaleceniu technicznym ISO/IEC TR 13335-3:1997.
1. Wstęp
W artykule zamieszczonym w numerze 16 Biuletynu IAiR [1], przedstawiony został zarys metodyki ilościowego szacowania ryzyka dla potrzeb bezpieczeństwa teleinformatycznego. Stwierdzono tam również, że w praktyce rzadko spotka się rzetelne (w sensie przedstawionej metodyki) ilościowe oceny ryzyka, ponieważ:
• zwykle jest brak danych do wyznaczenia rozkładów prawdopodobieństwa zdarzeń elementarnych, spowodowany brakiem wystarczających danych statystycznych i/lub brakiem ekspertów, od których takie dane można pozyskać;
• metodyka nie nadaje się do badania skutków zdarzeń o wspólnej przyczynie;
• metodyka nie uwzględnia ryzyka wtórnego ani zagrożenia spowodowanego rozmyślnie.
Z przedstawionych powodów, głównie pierwszego, w praktyce prawie wyłącznie są stosowane oszacowania jakościowe ryzyka. Zalecenie ISO/IEC TR 13335-3:1997 [3] zawiera ogólnie uznawany zarys metodyki oszacowania
przedstawiona na przykładach (1–5) oraz pokazana w zastosowaniu w procesie analizy ryzyka dla przykładowej firmy (przykład 6).
2. Metody oceny ryzyka – oszacowania jakościowe
Proces jakościowej analizy ryzyka dla potrzeb bezpieczeństwa teleinformatycznego składa się z następujących czynności:
1. Określenia zakresu zagrożenia oraz zagrożonych zasobów materialnych i informacyjnych.
2. Określenia wartości zasobów materialnych (np. sprzętu komputerowego). 3. Określenia wartości informacji w kontekście jej ujawnienia, modyfikacji,
niedostępności lub utraty.
4. Identyfikacji zagrożeń (i ich poziomu) dla bezpieczeństwa teleinforma- tycznego.
5. Identyfikacji miejsc (zasobów) systemów teleinformatycznych podatnych na te zagrożenia (i poziomu podatności).
6. Przeprowadzenia procesu analizy ryzyka szczątkowego.
7. Akceptacji ryzyka szczątkowego (co oznacza koniec procesu analizy ryzyka) lub powtarzaniu procesu analizy ryzyka szczątkowego aż do uzyskania akceptowalnego wyniku.
W stosowanych metodach oszacowania jakościowego ryzyka korzysta się zarówno z predefiniowanych zakresów wartości różnych parametrów procesu szacowania ryzyka jak i z miar opisowych (np. możliwość realizacji zagrożenia opisuje się jako „niską”, „średnią”, lub „wysoką”). Do uzyskania konkretnych wartości stosuje się najczęściej metody ankietowe – właściciele informacji i inne osoby których wiedza może być przydatna w procesie analizy ryzyka, wypełniają odpowiednio przygotowane kwestionariusze. Jak powiązać ze sobą poziom zagrożenia, poziom podatności zasobu oraz jego wartość w celu określenia potencjalnego ryzyka, pokazuje przykład 1.
Przykład 1
Założenia:2) zostały wypełnione ankiety, w których dla każdego rodzaju wcześniej zidentyfikowanego zagrożenia i dla każdej grupy zasobów których dotyczy zagrożenie:
a) przypisano miarę poziomu zagrożenia w skali: [niska, średnia, wysoka]. Wielkość poziomu zagrożenia zależna jest od:
w przypadku celowego zagrożenia spowodowanego przez człowieka: atrakcyjności zasobu, łatwości zamiany zdobytego zasobu w zysk, umiejętności technicznych intruza;
możliwości (w sensie potocznie rozumianego prawdopodo- bieństwa) wystąpienia zagrożenia;
wrażliwości podatności zasobu na wykorzystanie, zarówno w przypadku podatności technicznej jak i poza technicznej;
b) przypisano miarę poziomu podatności zasobu w skali [niska,
średnia, wysoka],
3) przyjęto arbitralnie punktową skalę miary ryzyka w postaci liczb całkowitych z przedziału [0,8].
Tabela 1. Szacowanie ryzyka
Poziom zagrożenia
Niski Średni Wysoki
Poziomy podatności N Ś W N Ś W N Ś W 0 0 1 2 1 2 3 2 3 4 Wartość 1 1 2 3 2 3 4 3 4 5 zasobu 2 2 3 4 3 4 5 4 5 6 3 3 4 5 4 5 6 5 6 7 4 4 5 6 5 6 7 6 7 8
Dla każdego zasobu rozważa się związaną z nim podatność i odpowiadającą jej zagrożenie. Jeśli podatności nie przyporządkowano zagrożenia lub zagrożeniu podatności, oznacza to, że obecnie nie występuje ryzyko. Każdemu wierszowi w tabeli odpowiada jakaś wartość zasobu i każdej kolumnie przyporządkowany jest jakiś poziom zagrożenia i podatności. Na przykład, jeśli zasób ma wartość 3, zagrożenie jest „wysokie” a podatność „niska”, miara ryzyka równa się 5. Zakładając, że wartość zasobu równa się 2, poziom zagrożenia jest „niski” a poziom podatności „wysoki”, a miara ryzyka równa się 4. Rozmiar tabeli – liczba kategorii zagrożenia, podatności i wartości zasobów może być dostosowana do potrzeb konkretnej firmy. Zaletą przedstawionego sposobu postępowania jest możliwość porównania ryzyka.
Analiza ryzyka powinna dać też odpowiedź na pytanie, jakie zagrożenie jest najniebezpieczniejsze w sensie poziomu zagrożenia i wagi niekorzystnych dla firmy skutków takiego zdarzenia (dla uproszczenia mierzonych zwykle wartością zasobów których dotyczy). Taki ranking zagrożeń może być potrzebny np. w celu redukcji zbioru możliwych zagrożeń (skrócenia procesu analizy). Sposób w jaki można przeprowadzić takie oszacowania, jest przedstawiony w przykładzie 2.
Przykład 2
W przykładzie użyto tabeli do połączenia punktowych miar skutków (mierzonych wartością zasobów, w skali od 1 do 5) i punktowych miar możliwości wystąpienia zagrożenia (poziomu – w skali od 1 do 5, uwzględniających podatności). Miarę ryzyka uzyskuje się mnożąc „b” x „c”. W tym przykładzie 1 oznacza najmniejsze skutki i najmniejszą możliwość wystąpienia zagrożenia.
Tabela 2. Ranking zagrożeń
Zagrożenie (a) Skutki wystąpienia zagrożenia (wartość zasobu) (b) Poziom zagrożenia (c) Miara ryzyka (d) Ranking zagrożeń (e) Zagrożenie A 5 2 10 2 Zagrożenie B 2 4 8 3 Zagrożenie C 3 5 15 1 Zagrożenie D 1 3 3 5 Zagrożenie E 4 1 4 4 Zagrożenie F 2 4 8 3
Zaprezentowana tu metoda pozwala na porównanie i uszeregowanie różnych zagrożeń charakteryzujących się różnymi skutkami i możliwością wystąpienia. W niektórych praktycznych przypadkach konieczne jest powiązanie rzeczywistych kosztów (wyrażonych np. w euro) z zastosowanymi tutaj empirycznymi miarami punktowymi.
Podczas planowania budowy systemu bezpieczeństwa, w przypadku gdy ma być zabezpieczanych kilka systemów teleinformatycznych, może zachodzić potrzeba określenia harmonogramu prac w zależności od wartości zasobów, poziomu zagrożenia i możliwości realizacji takiego zagrożenia. Analiza może być prowadzona kolejno dla różnych zasobów składających się na dany system w celu uzyskania syntetycznego wskaźnika „priorytetu” systemu. W tym celu wprowadza się kolejny parametr analizy ryzyka odzwierciedlający możliwość realizacji zagrożenia, zależny od poziomu zagrożenia i łatwości wykorzystania określonej podatności. Dla potrzeb przedstawionej tutaj analizy parametr ten będzie nazywany „częstotliwość” i będą mu przypisywane wartości całkowite z zakresu 0-4. Przykłady 3 i 4 pokazują jak można obliczyć wspomniany syntetyczny wskaźnik „priorytetu” systemu, który to wskaźnik powinien mieć wpływ na ustalenie kolejności zabezpieczania poszczególnych systemów.
Przykład 3
W tym przykładzie uwzględniony jest kolejny parametr analizy ryzyka, nazywany „częstotliwością” (w domyśle: realizacji zagrożeń). Częstotliwość ocenia się na podstawie poziomu zagrożenia i poziomu podatności (por. tabela 3).
Tabela 3. Poziomy zagrożenia i podatności a szacunkowa częstotliwość realizacji zagrożenia
Poziomy zagrożenia Niski Średni Wysoki
Poziomy podatności N Ś W N Ś W N Ś W
Częstotliwość 0 1 2 1 2 3 2 3 4
Parametr „częstotliwość” nie uwzględnia ani wartości zasobu ani tym samym motywacji potencjalnego intruza (którego siła ataku na system w celu zdobycia określonego zasobu informacyjnego jest determinowana m.in. atrakcyjnością tego zasobu). Aby to uwzględnić, określa się tak jak w tabeli 4, wskaźnik wartość_zasobu/zagrożenie poprzez odszukanie przecięcia wartości zasobu i częstotliwości. Wskaźnik ten może służyć do rozróżniania zasobów składających się na poddawany analizie system teleinformatyczny.
Tabela 4. Ryzyko jako funkcja wartości zasobu i częstotliwości realizacji zagrożenia Wartość zasobu 0 1 2 3 4 Częstotliwość 0 0 1 2 3 4 1 1 2 3 4 5 2 2 3 4 5 6 3 3 4 5 6 7 4 4 5 6 7 8
W celu uzyskania wskaźnika „priorytetu” dla systemu, należy zsumować wyniki dla wszystkich zasobów składających się na system. Przedstawione postępowanie służy zróżnicowaniu systemów i ustaleniu priorytetów (który najpierw, a który może poczekać) ich zabezpieczania.
* * * *
Przykład 4
Założenia:
1) system S ma 3 zasoby: A1, A2 i A3;
2) zidentyfikowano dwa zagrożenia systemu S: Z1 i Z2; 3) oszacowane wartości zasobów: A1=3, A2=2, A3=4.
Jeśli dla A1 i Z1 możliwość wystąpienia zagrożenia jest niska, a łatwość wykorzystania podatności jest średnia, wtedy częstotliwość równa się 1 (por. tabela 3).
Wynik zasób/zagrożenie A1/Z1 zgodnie z tabelą 4 powstaje na przecięciu wartości 3 i częstotliwości 1, czyli równy jest 4. Podobnie, jeśli dla A1/Z2 możliwość wystąpienia zagrożenia jest średnia, a łatwość wykorzystania podatności duża, wynik A1/Z2 równy jest 6. Wynik ostateczny A1Z = 10. Wskaźnik taki oblicza się dla każdego zasobu i stosownego zagrożenia. Całkowity wskaźnik dla systemu oblicza się sumując A1Z + A2Z + A3Z.
* * * *
3. Metody oceny akceptowalności ryzyka szczątkowego
Przedstawiony na rys.1 (za [4]) uzyskany empirycznie wykres wzrostu poziomu bezpieczeństwa w funkcji nakładów na budowę systemu bezpieczeństwa pokazuje że:
• nie istnieje 100% bezpieczeństwo (wyidealizowana krzywa zbliża się asymptotycznie do poziomu 100%);
• dla każdej firmy (konkretnego przypadku analizy ryzyka) istnieje punkt na krzywej, powyżej którego przyrost poziomu bezpieczeństwa w stosunku do poniesionych nakładów jest niewspółmierny;
• różnica poziomów pomiędzy poziomem 100% a poziomem
odpowiadającym wybranemu punktowi na krzywej obrazuje ryzyko
szczątkowe. Nakłady Poziom bezpieczeństwa 100% maksymalny wysoki średni niski bardzo wysokie wysokie umiarkowane ryzyko szczątkowe
Rys.1. Nakłady na budowę systemu bezpieczeństwa a uzyskany poziom bezpieczeństwa i ryzyko szczątkowe
Wykluczając czynniki „polityczne” z analizy ryzyka, decyzja kierownictwa firmy o tym, jaka ma być wielkość ryzyka szczątkowego, jest uwarunkowana stanem finansów firmy oraz wynikami analizy ryzyka. Pomocna przy podjęciu decyzji może być forma prezentacji wyników analizy ryzyka zaproponowana w przykładzie 5.
Przykład 5
A i N oznaczające ryzyko akceptowalne i nieakceptowalne. Tabela
z przykładu 3 może być zmieniona następująco:
Wyznaczenie granicy między ryzykiem akceptowalnym i nieakcep-towalnym (tutaj granica leży pomiędzy 3 i 4) należy do kierownictwa firmy i jest
to decyzja arbitralna, która powinna być jednak podbudowana wynikami procesu analizy ryzyka.
* * * *
Tabela 5. Akceptacja ryzyka szczątkowego
Wartość zasobu 0 1 2 3 4 Częstotliwość 0 A A A A N 1 A A A N N 2 A A N N N 3 A N N N N 4 N N N N N
Przykład 6
W firmie_X są przetwarzane i przechowywane informacje wrażliwe, w tym klasyfikowane informacje niejawne, których dotyczy ustawa „o ochronie
informacji niejawnych”. Zgodnie z tą ustawą, firma_X posiada Kancelarię Tajną
i wydzieloną strefę bezpieczeństwa. Dalej zostaną opisane szczegółowo poszczególne przedsięwzięcia wykonywane w ramach procesu nazywanego potocznie analizą ryzyka. Przedstawiona metodyka jest częściowo wzorowana na zaleceniach zawartych w ISO/IEC TR 13335-3:1997 Guidelines for the
Management of IT Security – Part 3: Techniques for the Management of IT Security.
P.6.1. KATEGORYZACJA ZASOBÓW
Kategoryzacja zasobów ma dać odpowiedź na pytanie: jakie zasoby (informacje i dokumenty, oprogramowanie, sprzęt komputerowy i związana z nim infrastruktura) są dla firmy_X szczególnie ważne, a które mniej, tzn. do jakich poziomów ochrony powinno się je przypisać.
Zasoby firmy_X i projektowanego systemu teleinformatycznego obejmują:
1. Dokumenty niejawne papierowe wytwarzane, przechowywane lub przekazywane poza strefę bezpieczeństwa.
2. Dokumenty niejawne na nośnikach danych wytwarzane, przechowywane lub przetwarzane w strefie bezpieczeństwa.
4. Sprzęt komputerowy przewidziany do wytwarzania i przetwarzania dokumentów niejawnych w strefie bezpieczeństwa i związana z nim infrastruktura (np. zasilanie awaryjne, klimatyzacja).
5. Sprzęt ochrony fizycznej i technicznej (w tym dostępu do strefy bezpieczeństwa).
Wszystkie przetwarzane w firmie_X dokumenty zostały podzielone według kategorii tematycznych wyszczególnionych w tabeli 6. Dla każdej kategorii tematycznej dokonano oceny wartości użytkowej informacji (kwalifikując do stopni: niski, średni, wysoki) według następujących kryteriów: 1. Ważność informacji dla prowadzenia niezakłóconej działalności biznesowej
oraz dla interesu państwa lub gospodarki narodowej (informacje podlegające pod ustawę „o ochronie informacji niejawnych”) lub osób (informacje podlegające pod ustawę „o ochronie danych osobowych”)
2. Wrażliwość informacji, tj. podatność informacji na utratę poufności, integralności i dostępności.
W razie potrzeby, w celu ogólnego oszacowania ilości szczególnie ważnych informacji przetwarzanych i przechowywanych w firmie_X, dla każdej kategorii tematycznej można wyznaczyć charakterystykę dotyczącą częstości gromadzonych dokumentów niejawnych (co może być pomocne w wyrobieniu poglądu na atrakcyjność posiadanych zasobów informacyjnych dla potencjalnych intruzów oraz skalę koniecznych zabezpieczeń) np. według następujących kryteriów:
1. Liczbowej i procentowej ilości dokumentów – w stosunku do wszystkich dokumentów o klauzuli odpowiednio „poufne”, „tajne” i „ściśle tajne”. 2. Liczbowej i procentowej ilości dokumentów – w stosunku do wszystkich
dokumentów tzn. „poufne”, „tajne” i „ściśle tajne” łącznie.
Na podstawie otrzymanych wyników można stwierdzić, ile procent wszystkich dokumentów stanowią dokumenty o najwyższym wskaźniku wartości użytkowej, tj. średnio co który dokument przechowywany, wytwarzany, przetwarzany lub przekazywany powinien być szczególnie chroniony (np. w specjalnie zaprojektowanej strefie bezpieczeństwa), z powodu wysokiego wskaźnika ważności informacji.
Tabela 6. Kategorie tematyczne dokumentów i informacji oraz oszacowanie ich wartości użytkowej
Opis kategorii tematycznej Wartość użytkowa Skrót nazwy zasobu
1. Projekty nowych produktów Wysoka DT
2. Założenia polityki marketingowej Wysoka DT 3. Informacje będące przedmiotem narad
z udziałem osób zajmujących kierownicze stanowiska w firmie
Wysoka IT
4. Dokumenty mobilizacyjne Wysoka DT
5. Bazy danych o klientach Średnia DP
6. Dane finansowe firmy Średnia DP
7. Dane osobowe pracowników, Niska DP
8. Dokumenty wewnętrzne: instrukcje,
rozporządzenia Niska DP
Po analizie, przewidziane do ochrony zasoby firmy_X zostały podzielone na 6 kategorii (tabela 7), którym przypisano jeden z trzech (wysoki, średni, niski) poziomów ochrony:
Tabela 7. Zasoby firmy_X
Lp. Skrót Nazwa zasobu Poziom ochrony 1. DT Dokumenty niejawne na nośnikach danych lub
w postaci papierowej o wysokim wskaźniku wartości użytkowej.
Wysoki
2. IT Informacje będące przedmiotem narad z udziałem osób zajmujących kierownicze stanowiska w firmie_X – wypowiedzi, dyskusje, itp.
Wysoki
3. DP Dokumenty niejawne na nośnikach danych lub w postaci papierowej o średnim lub niskim wskaźniku wartości użytkowej.
Średni
4. O Oprogramowanie systemowe, użytkowe, narzędziowe (w tym antywirusowe).
Średni 5. K Sprzęt komputerowy i infrastruktura. Niski 6. F Sprzęt ochrony fizycznej i dostępu do strefy
bezpieczeństwa. Niski
Przypisane poziomy ochrony można uważać za pośrednie wyrażenie przekonania co do wartości chronionych zasobów. Jak wynika z tabeli 7, wśród zasobów firmy_X największą wartość, ze względu na ich niepowtarzalność, mają informacje. Zniszczenie lub przejęcie informacji przez osoby lub podmioty nieuprawnione grozi znacznymi stratami. Drugą kategorią zasobów –
w kontekście ważności – stanowi oprogramowanie umożliwiające wytwarzanie i przetwarzanie informacji niejawnych oraz sprzęt komputerowy. Koszt odtworzenia zniszczonego oprogramowania lub sprzętu jest niższy niż przetwarzanych danych. Sprzęt kontrolujący dostęp do strefy bezpieczeństwa i chroniący przetwarzanie informacji posiada niski priorytet ważności – nie jest wykorzystywany do gromadzenia informacji. Pozycje nr 4, 5 i 6 w tabeli 7 mają pośredni wpływ na proces przetwarzania i wytwarzania dokumentów niejawnych.
P.6.2. ZAGROŻENIA
Zagrożenia dla systemu teleinformatycznego i przetwarzanych w nim informacji zostały sklasyfikowane następująco [2]:
1) Siły wyższe (klęski żywiołowe, katastrofy finansowe, zmiany prawa, etc.) – możliwe skutki: zniszczenie informacji i zasobów fizycznych, utrata dostępności, obniżenie poziomu ochrony.
2) Działania przestępcze, w tym:
a) zagrożenia związane z kradzieżami fizycznymi i zagubieniami sprzętu, oprogramowania i dokumentów – możliwe skutki: głównie utrata dostępności i poufności informacji.
b) zagrożenia związane z podsłuchami różnego typu (wykorzystanie „klasycznych” technik szpiegowskich) sprzętu i oprogramowania – możliwe skutki: utrata poufności informacji.
c) nieuprawnione działania personelu – możliwe skutki: utrata dostępności, integralności i poufności informacji, obniżenie poziomu ochrony.
d) nieuprawnione działania osób postronnych – możliwe skutki: utrata dostępności, integralności i poufności informacji, obniżenie poziomu ochrony
3) Błędy personelu obsługującego system komputerowy – możliwe skutki: utrata dostępności, integralności i poufności informacji, obniżenie poziomu ochrony.
4) Skutki złej organizacji pracy, w tym zagrożenia związane z błędami w ochronie fizycznej i technicznej – możliwość utraty dostępności, integralności i poufności.
5) Zagrożenia związane z awariami i uszkodzeniami sprzętu i wadami
oprogramowania – możliwe skutki: głównie utrata dostępności informacji
Dla wyspecyfikowanych w tabeli 7 zasobów została opracowana pełna lista możliwych zagrożeń (tabela 8).
Na podstawie przeprowadzonego rozpoznania środowiskowego i analizy „czarnych scenariuszy”, za podstawowe zagrożenia dla zasobów firmy_X zostały uznane zagrożenia zebrane w tabeli 10 – dalsza analiza będzie prowadzona tylko dla nich, oddzielnie dla poufności, integralności i dostępności informacji.
Tabela 8. Lista zagrożeń dla zasobów firmy_X
Lp. Zagrożenie Grupa zasobów
1. Katastrofy budowlane DT, DP, O, K, F
2. Ekstremalne czynniki środowiskowe (temperatura, wilgotność, zapylenie)
K, F
3. Awaria klimatyzacji K, F
4. Pożar w strefie administracyjnej DT, DP, O, K, F 5. Pożar w strefie bezpieczeństwa DT, DP, O, K, F 6. Zalanie pomieszczeń w strefie bezpieczeństwa DT, DP, O, K, F 7. Zamach terrorystyczny (eksplozja ładunków wybuchowych,
użycie broni) DT, DP, O, K, F
8. Kradzież dokumentów papierowych lub elektronicznych przechowywanych w kancelarii tajnej
DT, DP 9. Kradzież dysku twardego komputera DT, DP 10. Zagubienie dokumentów lub utrata przetwarzanych informacji
w czasie awarii, pożaru, zalania itp. DT, DP 11. Zagubienie dokumentów lub utrata przetwarzanych informacji DT, DP 12. Podsłuch emisji sygnałów akustycznych na zewnątrz budynku
z obszaru przyległego do strefy bezpieczeństwa IT, DT, DP 13. Podsłuch akustyczny bezpośredni IT, DT, DP 14. Podsłuch akustyczny wewnątrz wybranych pomieszczeń
z wykorzystaniem mikrofonów kierunkowych lub instalacji technicznych
IT, DT, DP
15. Wykorzystanie błędów wykonania instalacji antypodsłuchowej IT, DT, DP 16. Podsłuch emisji ujawniającego promieniowania
elektromagnetycznego DT, DP
17. Stosowanie korupcji oraz szantażu w celu wydobycia określonych informacji od wybranych pracowników firmy
IT, DT, DP 18. Infiltracja środowiska przez wyszukiwanie osób uważających się
za pokrzywdzone przez pracodawcę, zwalnianych lub poszukujących zatrudnienia w innej komórce organizacyjnej
IT, DT, DP
19. Obserwacja bezpośrednia (filmowanie, fotografowanie, nagrywanie, użycie czytników laserowych lub na podczerwień etc.)
IT
20. Podglądanie zawartości ekranu monitora przez użytkowników
z innych komputerów IT, DT, DP
21. Celowe lub przypadkowe zniszczenie zbiorów i programów zewnętrznym impulsem elektromagnetycznym. DT, DP 22. Włamanie do systemu – podszycie się pod uprawnionego
użytkownika
Lp. Zagrożenie Grupa zasobów 23. Wyłudzenie, fałszowanie dokumentów, kart dostępu, haseł
dostępu itp.
DT, DP
24. Nieuprawniona próba modyfikacji dziennika zdarzeń DT, DP 25. Nieuprawnione instalowanie urządzeń służących do naruszenia
poufności przetwarzanych informacji
DT, DP 26. Nieuprawniona, świadoma modyfikacja oprogramowania
zainstalowanego na komputerze przez innych użytkowników
DT, DP
27. Skorzystanie z cudzego identyfikatora i hasła DT, DP 28. Użycie oprogramowania w nieuprawniony sposób DT, DP
29. Nieuprawnione kopiowanie danych z dysku twardego lub
kopiowanie dyskietek DT, DP
30. Korzystanie z nielicencjonowanego oprogramowania DT, DP 31. Nierzetelne kontrola rejestrowanych zdarzeń systemowych DT, DP 32. Zapisywanie informacji niejawnych na prywatne dyskietki
użytkownika
DT, DP 33. Podgląd dokumentów przetwarzanych przez poprzedniego
użytkownika. DT, DP
34. Przeglądanie (przeszukiwanie) pamięci operacyjnej i zewnętrznej komputerów w celu uzyskania określonych informacji
DT, DP
35. Wejście do systemu operacyjnego z wykorzystaniem obcego identyfikatora
DT, DP 36. Nieuprawniony dostęp do określonych pomieszczeń (np. narad.) IT
37. Nieuprawniony dostęp do procesu przetwarzania danych DT, DP, O, K, F 38. Włamanie do strefy bezpieczeństwa po godzinach pracy DT, DP, O, K, F 39. Włamanie do pomieszczeń bezpośrednio przyległych do strefy
bezpieczeństwa IT, DT, DP
40. Wejście osoby nieupoważnionej do strefy administracyjnej DT, DP 41. Błędy popełniane przez użytkowników DT, DP, O, K 42. Zaniedbania ze strony personelu obsługującego proces
przetwarzania danych
DT, DP, O 43. Utrata lub odczytanie informacji przez osoby nieuprawnione
podczas napraw gwarancyjnych i pogwarancyjnych sprzętu oraz czynności konserwacyjnych
DT, DP
44. Odczytanie informacji z nośników przewidzianych do naprawy DT, DP 45. Dostęp nieuprawnionych użytkowników do informacji
prezentowanej na ekranie stanowiska komputerowego DT, DP 46. Nieupoważnione uruchomienie komputera z dyskietki (ominięcie
mechanizmów bezpieczeństwa systemu operacyjnego i systemu plików NTFS i odczytanie zawartości przetwarzanych dokumentów)
DT, DP
47. Wykorzystanie zużytych materiałów – wydruków i dyskietek
(zamiast zniszczenia) DT, DP
48. Wykorzystanie błędów w obiegu dokumentów w firmie DT, DP 49. Wykorzystanie nieprawidłowości podczas powielania
dokumentów niejawnych, w tym powielanie dokumentów niejawnych poza strefą bezpieczeństwa
DT, DP
Lp. Zagrożenie Grupa zasobów 51. Wykorzystanie pozostawionych na dysku twardym komputera
plików roboczych wytworzonych przez oprogramowanie DT, DP 52. Wykorzystanie przechowywanych dokumentów na dysku
twardym
DT, DP 53. Przeglądania zawartości dokumentów przez osoby
nieuprawnione w czasie przetwarzania informacji podczas grupowego dostępu
DT, DP
54. Podgląd przez nieuprawnionych użytkowników dokumentów zapisanych na dysku twardym
DT, DP 55. Dostęp do informacji przez osoby nieuprawnione podczas
ponownego wykorzystania używanych nośników danych
DT, DP 56. Wykorzystanie niekompletnego opisu funkcjonowania systemu
przetwarzania informacji niejawnych.
DT, DP 57. Niepełny opis postępowania w instrukcjach procedur bezpiecznej
eksploatacji
DT, DP
58. Utrata kluczowych pracowników DT, DP, O, K, F 59. Brak możliwości rozliczania działań użytkowników – brak kontroli
nad dostępem do przetwarzanych dokumentów
DT, DP 60. Przypadkowa zmiana ustawień konfiguracyjnych DT, DP 61. Stosowanie niewłaściwego systemu plików (FAT zamiast NTFS) DT, DP 62. Uszkodzenie sprzętu komputerowego (drukarka, karta sieciowa,
koncentrator, jednostka centralna, klawiatura, mysz, itp.) oraz łączy transmisyjnych.
DT, DP, K
63. Uszkodzenie fizyczne nośników danych DT, DP, K 64. Zbieranie się ładunków elektrostatycznych DT, DP, K 65. Uszkodzenia sprzętu podczas wykonywanie napraw
i konserwacji przez niewyszkolonych pracowników K, F 66. Awaria systemu operacyjnego lub ujawnienie wady
oprogramowania aplikacyjnego O, K
67. Awaria zasilania O, K, F 68. Starzenie się nośników danych DT, DP,
P.6.3. SZACOWANIE RYZYKA
Analiza ryzyka polega na identyfikacji podatności zasobów systemu teleinformatycznego na wyselekcjonowane zagrożenia oraz oszacowania skutków utraty lub ujawnienia informacji. Celem przeprowadzonej analizy
ryzyka jest dostarczenie informacji do podjęcia decyzji w zakresie środków przeciwdziałania zagrożeniom i zmniejszania podatności systemu na zagrożenia.
Zgodnie z metodyką zaproponowaną w zaleceniu TR–13335–3, dla każdego zidentyfikowanego zagrożenia zostały przypisane poziomy podatności zasobów na te zagrożenia. Podatność określa łatwość wyrządzenia szkody dla wskazanego zasobu w kontekście utraty poufności, integralności i dostępności. Oszacowania poziomów podatności na podstawie przeprowadzonego
rozpoznania środowiskowego i analizy „czarnych scenariuszy”, dokonano w skali od 0 do 10 pkt. (tabela 9) a wyniki przedstawiono w tabeli 12.
Tabela 9. Poziomy podatności zasobów na zagrożenia Lp. Poziom podatności Zakres wartości
1. Brak 0
2. Niski 1 – 4
3. Średni 5 – 7
4. Wysoki 8 – 9
5. Bardzo wysoki 10
Podatność zasobów systemu na zagrożenia (por. tab. 10) wynika z:
1.
Łatwości przeglądania i kopiowania informacji w systemie komputerowym.2.
Możliwości celowego modyfikowania oprogramowania w celu naruszeniapoufności przetwarzanej informacji.
3.
Możliwości awarii sprzętu lub ujawnienia się wady oprogramowania (utrata dostępu do systemu).4.
Elektromagnetycznego promieniowania ujawniającego generowanego przez sprzęt komputerowy.5.
Możliwości instalacji urządzeń (np. w klawiaturze komputera) lub atrap typu „pluskwa” służących do naruszenia poufności.
Na poziom podatności będą miały też wpływ już stosowane środki bezpieczeństwa. Dla oszacowaniu wskaźnika skutków utraty poufności informacji (w zależności od kategorii poufności) przyjęto wartości z zakresu od 0 do 10 (tabela 11). Jak wynika z przedstawionej tabeli, wskaźnik skutków utraty poufności informacji jest prostym odzwierciedleniem kategorii tajności. Analogicznie należy oszacować skutki utraty integralności i dostępności informacji.
Tabela_10. Podstawowe zagrożenia i ich oddziaływanie na poufność, integralność i dostępność informacji.
Lp. Zagrożenia dla poufności
Zagrożenia dla integralności Zagrożenia dla dostępności
1. Zaniedbania ze strony personelu obsługującego proces przetwarzania danych
Błędy popełnione przez
użytkowników. Awaria systemu operacyjnego lub ujawnienie wady oprogramowania aplikacyjnego 2. Błędy popełnione przez
użytkowników.
Nieprawidłowości podczas powielania dokumentów niejawnych, w tym powielanie dokumentów niejawnych poza strefą bezpieczeństwa.
Awaria zasilania
3. Skorzystanie z cudzego identyfikatora i hasła.
Wyłudzenie, fałszowanie dokumentów, kart dostępu, haseł dostępu itp.
Zaniedbania ze strony personelu obsługującego proces przetwarzania danych 4. Wykorzystanie zużytych
materiałów – wydruków i dyskietek.
Uszkodzenie sprzętu komputerowego (drukarka, karta sieciowa, koncentrator, jednostka centralna, klawiatura, mysz, itp.) oraz łączy
transmisyjnych
Błędy popełnione przez użytkowników
5. Wykorzystanie niewłaściwego obiegu dokumentów w firmie.
Uszkodzenie fizyczne nośników danych
Uszkodzenie sprzętu komputerowego (drukarka, karta sieciowa, koncentrator, jednostka centralna, klawiatura, mysz, itp.) oraz łączy transmisyjnych 6. Nieprawidłowości podczas
powielania dokumentów niejawnych, w tym powielanie dokumentów niejawnych poza strefą bezpieczeństwa
Zalanie pomieszczeń w strefie bezpieczeństwa
Uszkodzenie fizyczne nośników danych
7. Wyłudzenie, fałszowanie dokumentów, kart dostępu, haseł dostępu itp.
Zbieranie się ładunków elektrostatycznych
Celowe lub przypadkowe zniszczenie zbiorów i programów zewnętrznym impulsem
elektromagnetycznym. 8. Podglądanie zawartości
ekranu monitora przez użytkowników z innych komputerów
Zagubienie dokumentów lub utrata przetwarzanych informacji 9. Podsłuch akustyczny i podsłuch emisji ujawniającego promieniowania elektromagnetycznego 10. Stosowanie korupcji oraz
szantażu w celu wydobycia określonych informacji od wybranych pracowników firmy
Lp. Zagrożenia dla Zagrożenia dla integralności Zagrożenia dla dostępności poufności
11. Infiltracja środowiska przez wyszukiwanie osób uważających się za pokrzywdzone przez pracodawcę, zwalnianych lub poszukujących zatrudnienia w innej komórce organizacyjnej. 12. Zagubienie dokumentów lub
utrata przetwarzanych informacji w czasie awarii, pożaru, zalania itp. 13. Zagubienie dokumentów lub
utrata przetwarzanych informacji
Tabela 11. Poziom skutków utraty poufności informacji
Lp. Kategoria tajności Wskaźnik skutków utraty poufności informacji 1. Jawne 0 2. Zastrzeżone 1 – 3 3. Poufne 4 – 5 4. Tajne 6 – 7 5. Ściśle tajne 8 – 10
Uwzględniając wskaźniki z tabeli 11 (i w razie potrzeby, procentowy udział przetwarzanych informacji o różnych kategoriach tajności), przyjęto w macierzy oszacowania ryzyka utraty poufności informacji (tabela 12) wartości odpowiadające wielkościom potencjalnych skutków ujawnienia informacji. Najwyższe wskaźniki skutków utraty poufności posiadają informacje o największej wartości użytkowej. Natomiast dla oprogramowania i sprzętu w strefie bezpieczeństwa przypisane zostały minimalne wartości tylko niektórym zagrożeniom, ponieważ atrybut poufności dotyczy przede wszystkim przetwarzanych dokumentów.
W analogiczny sposób powinno zostać oszacowane ryzyko utraty integralności i dostępności informacji. W razie potrzeby, zawartość tabeli 12 można uszczegółowić poprzez oszacowanie ryzyka dla dokumentów klasyfikowanych dla każdej klauzuli tajności oddzielnie.
P.6.4. WNIOSKI
Na podstawie oszacowanych poziomów podatności i skutków wyznaczone zostały współczynniki ryzyka dla poszczególnych atrybutów ochrony informacji w skali od 0 do 100 (iloczyn wskaźnika podatności i skutku zagrożenia), które arbitralnie przydzielono do następujących przedziałów: – niski poziom ryzyka – od 1 do 20;
– średni poziom ryzyka – od 21 do 60; – wysoki poziom ryzyka – od 61 do 80;
– bardzo wysoki poziom ryzyka – od 81 do 100.
Przeprowadzona analiza ryzyka – na podstawie przyjętych środków ochrony i oszacowania wskaźników ryzyka – wskazuje na brak zagrożeń utraty poufności informacji z wysokim lub bardzo wysokim poziomem ryzyka.
Jednocześnie zidentyfikowanych zostało osiem rodzajów zagrożeń o średnim wskaźniku ryzyka (zacieniowane komórki w tabeli 12), które należy zminimalizować poprzez opracowanie i wdrożenie właściwych procedur w zakresie bezpiecznej eksploatacji systemu teleinformatycznego.
Tabela_12. Macierz oszacowania ryzyka dla poufności informacji
Lp. Zasoby
Zagrożenia
DT DP IT O K F Podatność 6 5 1 3 1 1
Skutki 6 4 6 3 1 1
1. Zaniedbania ze strony personelu obsługującego proces
przetwarzania danych w strefie
bezpieczeństwa. Ryzyko 36 20 6 9 1 1
Podatność 6 5 4 6 4 1
Skutki 7 6 6 3 1 1
2. Błędy popełnione przez użytkowników. Ryzyko 42 30 24 18 4 1 Podatność 5 4 1 3 1 1 Skutki 4 4 6 3 1 1 3. Skorzystanie z cudzego identyfikatora i hasła. Ryzyko 12 16 18 9 1 1 Podatność 8 7 5 - - - Skutki 4 4 6 - - - 4. Wykorzystanie zużytych materiałów – wydruków i dyskietek. Ryzyko 32 28 30 - - - Podatność 3 3 6 - - - Skutki 6 5 6 - - - 5. Wykorzystanie niewłaściwego obiegu dokumentów w firmie.
Zasoby Lp. Zagrożenia DT DP IT O K F Podatność 3 3 6 - - - Skutki 4 4 6 - - - 6. Nieprawidłowości podczas powielania dokumentów niejawnych, w tym powielanie dokumentów niejawnych poza strefą bezpieczeństwa
Ryzyko 12 12 36 - - -
Podatność 3 3 1 3 3 3
Skutki 8 8 6 2 3 1
7. Wyłudzenie, fałszowanie dokumentów, kart dostępu, haseł
dostępu itp. Ryzyko 24 24 6 6 9 3
Podatność 2 2 - - - -
Skutki 5 5 - - - -
8. Podglądanie zawartości ekranu monitora przez użytkowników
z innych komputerów Ryzyko 10 10 - - - -
Podatność 2 2 8 2 2 2
Skutki 6 5 6 1 6 1
9. Podsłuch akustyczny i podsłuch emisji ujawniającego
promieniowania
elektromagnetycznego Ryzyko 12 10 48 2 12 2
Podatność 4 4 1 1 1 1
Skutki 5 4 6 3 6 6
10. Stosowanie korupcji oraz szantażu w celu wydobycia określonych informacji od
wybranych pracowników firmy Ryzyko 20 16 6 3 6 6 Podatność 3 3 1 1 1 1
Skutki 4 4 6 3 1 1
11. Infiltracja środowiska przez wyszukiwanie osób uważających się za pokrzywdzone przez pracodawcę, zwalnianych lub poszukujących zatrudnienia w innej komórce organizacyjnej.
Ryzyko 12 12 6 3 1 1
Podatność 3 3 4 - - -
Skutki 4 4 7 - - -
12. Zagubienie dokumentów lub utrata przetwarzanych informacji w czasie awarii, pożaru, zalania
itp. Ryzyko 12 12 28 - - -
Podatność 5 5 1 - - -
Skutki 3 3 6 - - -
13. Zagubienie dokumentów lub utrata przetwarzanych informacji
Ryzyko 15 15 6 - - -
* * * *
4. Podsumowanie
Przedstawiona w artykule metodyka wykorzystuje subiektywne miary i oceny. Subiektywne są:
•
wartości opisowe poziomów różnego typu;•
przyjęte przedziały wartości miar odpowiadających poszczególnym poziomom;•
przyporządkowania konkretnych miar zagrożeniom, podatnościom,skutkom itp. Przyporządkowanie takie jest wykonywane podczas badań ankietowych przez wybrany personel firmy, dla której jest prowadzona analiza ryzyka. Analityk może narzucić konkretne miary opisowe oraz zakresy przedziałów, ale w końcu i tak musi zaakceptować to, co podadzą mu pracownicy firmy.
Nie istnieją żadne unormowania czy standardy traktujące o tym, jak ustalać ww. wartości. Skutkiem może być niepowtarzalność wyników procesu analizy ryzyka dla potrzeb bezpieczeństwa teleinformatycznego w zakresie wygenerowanych konkretnych ocen i oszacowań. Niestety, przy braku danych statystycznych do oszacowania rozkładu prawdopodobieństwa zdarzeń elementarnych dla potrzeb ilościowej analizy ryzyka oraz braku danych od ekspertów (których opinie też są w dużej mierze subiektywne), oszacowania jakościowe ryzyka pozostają jedynym praktycznym sposobem przeprowadzenia tego etapu procesu budowania systemu bezpieczeństwa teleinformatycznego.
Literatura:
[1] Liderman K.: Analiza ryzyka dla potrzeb bezpieczeństwa teleinformatycznego. Biuletyn IAiR. Nr 16. Str. 3–18. Warszawa. 2001.
[2] Liderman K.: Bezpieczeństwo teleinformatyczne. IAiR. Warszawa. 2001.
[3] ISO/IEC TR 13335-3:1997 Guidelines for the Management of IT Security – Part 3: Techniques for the Management of IT Security.
[4] Materiały Bundesamt für Sichercheit in der Informationstechnik. IT-Grundschutz– handbuch. Niemcy. 2002.
Recenzent: prof. dr hab. inż. Tadeusz Niedziela Praca wpłynęła do redakcji 20.11.2003
