Prof. dr. sc. Zdravko Krakar Prof. dr. sc. Željko Hutinski Snježana Bubić, dipl. inž. mat. Zavod za informatiku Hrvatske Zagreb, Trg Mažuranića 8 i Sveučilište u Zagrebu Fakultet organizacije i informatike
PROCJENA RIZIKA SIGURNOSTI INFORMACIJA KAO DIO SUSTAVA UPRAVLJANJA Sažetak U radu se opisuju razlozi zbog kojih je već danas potrebno, osim uobičajenih ISO 9000 i drugih sustava, uspostavljati i konzistentne sustave upravljanja sigurnošću informacija. Za to već postoje korektne mogućnosti u primjeni normi BS 7799 i ISO/IEC 17799:2000, a i neka druga rješenja. Nezaobilazni dio ovih sustava jest procjena rizika. U radu se daje pregled takvih metoda (COBRA, OCTAVE, NIST, GAO itd.), te navode konkretni primjeri. Procjenjuje se stanje u tom pogledu u Hrvatskoj. Zaključuje se o očekivanim daljnjim trendovima razvoja ovog značajnog područja Ključne riječi: sigurnost informacija, procjena rizika, BS 7799, ISO/IEC 17799, Cobra, intelektualno vlasništvo 1.
ZAŠTO SU POTREBNI SUSTAVI UPRAVLJANJA SIGURNOŠĆU INFORMACIJA?
Na prošlogodišnjoj konferenciji u svom radu pokušali smo približiti značaj uspostave sustava upravljanja sigurnošću informacija. Informatizacija je postala glavna poluga razvoja i generator gospodarskog uspjeha. Razvijene zemlje već su daleko odmakle u prelasku iz industrijskog u postindustrijsko, informacijsko društvo. Takvo društvo, društvo zasnovano na znanju, informacijama, informacijskim i komunikacijskim tehnologijama, osnova je novog progresa. Ovaj globalni trend jednako vrijedi na razini društva ali i na razini neposrednih poslovnih sustava. Informacije i znanje čine tzv. intelektualni kapital koji je postao najvrijedniji dio svakog poslovnog sustava. Tako su npr. još prije 15 godina u strukturi ukupnih troškova zgrade i materijali sudjelovali s približno 80%. Danas su ti troškovi u cjelokupnoj raspodjeli gotovo zanemarivi, jer su inputi koji se temelje na znanju – sposobnost proizvodnje novih ideja, znanje upravljanja poslovnom tehnologijom, odnosi s kupcima, imidž, itd. reda veličine 70% u vrijednosti automobila i oko 95% u informatičkoj industriji. Tržišnu vrijednost neke tvrtke čini njen financijski kapital (fizička imovina i novac), te intelektualni kapital (nematerijalne vrijednosti u obliku znanja, informacija, iskustva, ugleda itd.). Smatra se da odnos između ove dvije temeljne skupine kapitala ovisi o djelatnosti. U tehnološki
zahtjevnim branšama (npr. farmaceutici, naftnoj industriji, proizvodnji računala, telekomunikacijama, proizvodnji progamske opreme) i uslužnom sektoru (npr. bankama, osiguravajućim društvima, konzaltingu, projektantskim i inženjerskim tvrtkama) taj odnos je oko 1 : 7 u korist intelektualnog kapitala. Kako štiti taj kapital. No i u svakoj drugoj djelatnosti nezaštičene informacije ugrožavaju poslovanje. One podliježu krađi, uništavanju, neovlaštenim modifikacijama, a smetnje ili prekidi u radu informacijskog sustava mogu izazvati teške, ponekad i nepremostive posljedice. Danas već postoji preko 500 oblika napada na naše informacijske sustave i ovaj broj se neprestalno povećava. Štete koje su zbog toga registrirnae reda su veličine nekoliko stotina milijardi US$, a procjenjuje se da se manje od 15% takvih neželjnih događaja uopće otkrije. Virusi, maliciozni programi, krađa imovine i brojni drugi vidovi zlouporaba informacija nezaobilazni su dio informatizacije. Zbog toga su i nastale norme usmjerene na uspostavu sustava njihove zaštite (BS 7799, ISO/IEC 17799). Obvezatni dio takvih sustava jest i procjena rizika. 2.
PROCJENA RIZIKA KAO DIO SUSTAVA SIGURNOSTI INFORMACIJA
2.1. Značaj procjene rizika Prijetnja u kontekstu sigurnosti informacija jest svaki događaj s potencijalom da prouzroči neautoriziran pristup, razotkrivanje, modifikaciju ili destrukciju informacija. Već je rečeno da danas postoji više od 500 oblika napada, dakle prijetnji našim informacijskim sustavima. Riziko je vjerojatnost da se određena prijetnja može ostvariti. Osnova je za određivanje željene razine sigurnosti i zaštite naših informacija. Ranjivost su sve slabosti u informacijskom sustavu, aplikaciji, bazi podataka, infrastrukturi, organizaciji ili tijeku posla koja se može iskoristiti za nanošenje štete. Procjenom rizika žele se: •
Identificirati prijetnje koje mogu ugroziti kritične aktivnosti i imovinu. Prijetnje uključuju sve izvore i oblike;
•
Procjeniti vjerojatnosti da će se takve prijetnje ostvariti, što se temelji na ranijem iskustvu ili procjeni eksperata;
•
Identificirati vrijednosti i osjetljivosti kritičnih aktivnosti i imovine koja bi mogla biti ugrožena, ukoliko se prijetnja ostvari. Temeljem te procjene donose se mjere zaštite kojima se smanjuje rizik nastanka ili posljedice djelovanja prijetnji;
•
Procjeniti moguće posljedice koje bi se dogodile u odnosu na funkcionalnost poslovnog sustava ili u odnosu na novčane gubitke koji bi nastali;
•
Odrediti željenu razinu zaštite u odnosu na moguće prijetnje, rizike i posljedice;
2
•
Identificirati mjere koje bi se mogle poduzimati za ublažavanje ili smanjivanje rizika. Ove djelatnosti mogu uključivati primjenu novih organizacijskih strategija, procedura ili tehničku i fizičku kontrolu; te
•
Dokumentirati rezultati i odrediti plan akcija kojima se podržava željena razina zaštite.
Da bi se sve ove obveze i provele nužno je koristiti odgovarajuće metode procjene rizika. 2.2. Metode procjene rizika Danas već postoji veći broj metoda za procjenu rizika informacijskih sustava. Neke od ovih metoda su: metoda temeljena na normi BS 7799 ili ISO/IEC 17799, COBRA, OCTAVE, metoda NIST, metoda NASA, metoda GAO itd. Prema načinu procjene ove se metode mogu kategorizirati u kvantitativne, kvalitativne i kombinirane metode. Također, gotovo za svaku od današnjih raspložovih metoda procjene rizika postoji i prateći alat. Najčešće korišteni takvi alati su Crystal Ball, FMEA, Ocatve, Cobra itd. U nastavku daju se osnovne informacije o najčešćim metodama. 2.2.1. Procjena rizika na osnovi normi BS 7799 i ISO/IEC 17799:2000 U Europi se već više godina za uspostavu sustava sigurnosti koristi britanska norma BS 7799 po kojoj je obavljeno i niz certifikacija. British Standards Institution je 1998. g. na osnovi ove norme razvio i postupak procjene rizika sigurnosti. Ova procjena sastoji se iz 6 sljedećih koraka: 1. Određivanja politike sigurnosti, 2. Upravljanja sigurnošću IS-a, 3. i 4. Procjene rizika, 5. Nadzora ciljeva u pogledu sigurnosti i 6. Implementacije cijelog sustava sigurnosti. Sa stajališta ove norme sve što ima vrijednost za neku organizaciju jest njena imovina. Proces procjene rizika po ovoj normi prikazan je na slici 1. Identifikacija imovine
Informacijska imovina, programska oprema, fizička oprema, ljudi, papirnata dokumentacija, reputacija itd.
Procjena prijetnji
Lista mogućih prijetnji najčešće se radi po segmentima sigurnosti.
Procjena vjerojatnosti pojavljivanja
Kategorizacija tipa - visoko vjerojatno, vjerojatno, moguće, rijetko moguće, nemoguće.
Planiranje mjera zaštite
Procjena rizika
Za svaki tip prijetnji predlažu se moguće mjere zaštite. Povezivanje prijetnji, potencijalnih posljedica, njihove vjerojatnosti, mjera i njihovih troškova.
Slika 1. Postupak procjene rizika prema normi BS 7799 3
Za postupak procjene rizika prema ovoj normi izrađen je i odgovarajući priručnik. Na osnovi iskustva primjenom norme BS 7799 godine 2000. organizacije ISO i IEC usvojile su normu kodne oznake 17799 koja se također može koristiti i za procjenu rizika. Primjer takve procjene prikazan je u točki 3.2. 2.2.2. Metoda COBRA Ova metoda možda je u Europi najčešće korištena metoda procjene rizika. I ona se temelji na normi ISO/IEC 17799 tako da nastoji identificirati rizike po sljedećim područjima: Politika sigurnosti a) Postoji li donešena politika sigurnosti? b) Postoje li mehanizmi potpore u upravljanju sigurnošću? c) itd. Organizacija sigurnosti a) Da li je uspostavljena organizacija koja upravlja i koordinira sustavom sigurnosti? b) Da li ova organizacija u praksi funkcionira? c) itd. Podjela i nadzor imovine a) Da li su identificirani svi segmenti informacijskog sustava u obliku imovine? b) Da li je po ovim segmentima ustanovljena razina osjetljivosti kako bi se mogla pridružiti odgovarajuća razina zaštite? c) itd. Na sličan način metoda COBRA identificira rizike i u drugim segmentima sustava sigurnosti (sigurnost osoblja, rizička sigurnost, upravljanje operativom i komunikacijama, nadzor pristupa, razvoj i održavanje, upravljanje kontinuitetom poslovnih aktivnosti, usklađenost). Ova metoda podržana je istoimenim alatom. Više informacija o tome moguće je vidjeti na adresi www.security-risk-analysis.com/index.htm. Primjer njenog korištenja također je prikazan u točki 3.2. 2.2.3. Metoda OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) Ova metoda za procjenu rizika podržana odgovarajućim alatom pretežito se koristi u SAD. Razvijena je na osnovi dokumenta CMU/SEI-2001-TR-020, a procjenjuje rizike u sljedećim područjima: 1.
Opći ambijent sa stajališta sigurnosti a) Svijest o sigurnosti i izobrazba iz sigurnosti (svijest osoblja o njihovim sigurnosnim ulogama i odgovornostima; postojanje adekvatne ekspertize 4
unutar organizacije za sve servise, mehanizme i tehnologije u uporabi; povremeni treninzi za cjelokupno osoblje). b) Strategija sigurnosti (da li je strategija sigurnosti organizacije inkorporirana u cjelokupnu poslovnu strategiju; da li je ova strategija razrađena tako da uvažava cjelokupnu poslovnu strategiju i poslovne ciljeve). c) Upravljanje sigurnošću (alokacija potrebnih resursa za sigurnost; definicija sigurnosnih uloga i odgovornosti za cjelokupno osoblje; sigurnost pri zapošljavanju/otpuštanju; dokumentiranje i provedba (željena razina sigurnosti). d) Politike sigurnosti i regulative (postojanje dokumentirane, sveobuhvatne i ažurne politike, koja se periodički provjerava i dopunjuje; dokumentirani proces upravljanja sigurnosnim politikama; dokumentirani procesi kojima se provjerava i osigurava usklađenost organizacije sa politikama, zakonodavstvom, osiguranjem, ...). e) Upravljanje sigurnošću u suradnji sa vanjskim partnerima (organizacija ima dokumentirani i nadzirani postupak, čijim se provođenjem štite informacije prilikom suradnje sa vanjskim organizacijama; osiguranje da resursi pribavljeni outsourcingom udovoljavaju zahtjevima). f)
2.
Planiranje poslovnog kontinuiteta i oporavak od katastrofa (provedba analize kritičnosti operacija, aplikacija i podataka; dokumentirani planovi za poslovni kontinuitet, hitne operacije, oporavak od katastrofa; svijest osoblja o poslovnom kontinuitetu, razumijevanje i sposobnost provedbe svojeg dijela odgovornosti).
Operativna praksa a) Fizička sigurnost • Planovi i procedure za fizičku sigurnost (dokumentirani sigurnosni planovi za zaštitu poslovnih prostora, građevina i područja sa ograničenim pristupom; periodične provjere i dopune tih planova; dokumentirane politike i procedure vezane uz posjetioce i uz fizičku kontrolu računalske i programske opreme). • Kontrola fizičkog pristupa (postojanje dokumentiranih politika i procedura vezanih uz pojedinačni i grupni pristup, koje pokrivaju pravila za dobivanje prava pristupa određene razine, te modifikaciju i vremensko uskljađivanje tih prava; dokumentirane politike, procedure i mehanizmi za kontrolu fizičkog pristupa do definiranih entiteta – radnih područja, hardvera i softverskih medija; postojanje provjere autorizacije pristupa prije odobravanja samog fizičkog pristupa). • Nadzor i praćenje fizičke sigurnosti (vođenje dnevnika održavanja; svaka akcija koja uključuje fizički štićene objekte može biti islijeđena; dnevnici nastali praćenjem i nadzorom se rutinski provjeravaju u potrazi za anomalijama i poduzimaju se odgovarajuće mjere). b) Sigurnost informacijske tehnologije • Upravljanje sustavima i mrežama (postoje li dokumentirani sigurnosni planovi za zaštitu organizacijskih sustava i mreža; sigurna pohrana 5
• • •
• • •
osjetljivih informacija; provjere integriteta instaliranog softvera; apliciranje svih zaštitnih mjera, zakrpi i ostalih sigurnosnih preporuka; dokumentirani planovi za backup podataka; planirane, kontrolirane i dokumentirane promjene u hardveru i softveru; u sustavu rade samo potrebni servisi). Alati za administraciju sustava (redovito ispitivanje podobnosti novih alata i postupaka za ispunjavanje sigurnosne strategije organizacije). Nadzor i praćenje sigurnosti informacijske tehnologije (organizacija rutinski koristi alate za nadzor i praćenje sustava i mreža; sigurnosne komponente se periodički prate radi usklađenosti sa politikom). Autentifikacija i autorizacija (korisnicima je ograničen pristup do resursa korištenjem prikladnih kontrola i autentifikacije korisnika; definirane su politike i postupci za individualno i skupno korištenje informacija; mehanizmi kontrole dozvoljavaju pristup do onih resursa koji su propisani politikom i procedurama). Upravljanje ranjivostima (postoji dokumentirani skup procedura za upravljanje ranjivostima; te procedure se provode i periodički se pregledavaju i dopunjavaju) Enkripcija (zaštita osjetljivih informacija tijekom pohrane i prijenosa; korištenje enkriptiranih protokola prilikom udaljenog administriranja). Sigurnosna arhitektura i dizajn (pri izradi novih sustava ili pri reviziji postojećih, arhitektura i dizajn sustava uključuju sigurnosne strategije, politike i procedure, historijat sigurnosnih kompromisa i rezultate procjene sigurnosnih rizika).
c) Sigurnost osoblja • Upravljanje incidentima (postoje dokumentirane procedure za identifikaciju, izvješćivanje i odgovor na potencijalne sigurnosne incidente i prekršaje – mrežne, fizičke ili ljudske prirode; postoje dokumentirane politike i procedure za suradnju sa tijelima koja provode zakone). • Općenite prakse za osoblje (osoblje se pridržava dobrih sigurnosnih praksi; sve osoblje na svim razinama odgovornosti provodi dodijeljene uloge i odgovornosti vezane uz informacijsku sigurnost; postoje dokumentirane procedure za autorizaciju i nadgledanje onih koji rade sa osjetljivim informacijama, odnosno onih koji rade u područjima gdje se informacije pohranjuju – od zaposlenih, preko partnera, do osoblja koje vrši održavanje sustava i prostorija). 2.2.4. Metoda FRAP (Faciliated Risk Analysis Process) Ova metoda temelji se na tzv. ALE pristupu (Annual Loss Exposure). To je proces kojim se određuje vrijednost cjelokupne imovine u kombinaciji s vjerojatnosti ALE = V *
L Mogući gubitak Vrijednost imovine Vjerojatnost prijetnje
6
pojavljivanja na sljedeći način: Ova se metoda provodi poštivanjem i realizacijom sljedećih 10 koraka: 1. Definiranje svrhe i cilja procjene rizika, 2. Definiranje sastava tima za procjenu, 3. Identifikacija prijetnji, 4. Utvrđivanje vjerojatnosti nastanka djelovanja prijetnji, 5. Utjecaj prijetnji na poslovni sustav, 6. Utvrđivanje ukupnih učinaka-posljedica prijetnji, 7. Utvrđivanje mjera smanjivanja rizika, 8. Analiza troškova, 9. Utvrđivanje pondera provođenja mjera zaštite, 10. Zaključna rekapitulacija analize rizika. U prvom koraku točno se definiraju svrha i cilj procjene, npr. da li je to cijeli računski centar ili neki njegov dio, podsustav ili aplikacija. U ovisnosti od toga određuje se i tim za procjenu, a zatim se identificiraju sve moguće prijetnje. Nakon toga iskazuje se vjerojatnost nastanka svake prijetnje i mogućnosti gubitaka ako se one ostvare. Na taj način dobije se osnova za izračunavanje ukupnih negativnih učinaka, a zatim se određuju mjere smanjivanja rizika, analiziraju se troškovi, utvrđuje ponder provođenja mjera zaštite i čini zaključna rekapitulacija analize rizika. 2.2.5. Druge metoda za procjenu rizika Osim spomenute 4 metode procjene rizika pretežito u SAD se još koriste i metode NIST i GAO. U okviru metode NIST (National Institute of Standards and Technology) razvijen je tzv. Risk Management Guide koji upućuje na obvezatnu primjenu sljedećih koraka: 1. 2. 3. 4. 5. 6.
Definiranje IS-a kao imovine Analizu prijetnji Analizu posljedica Određivanje razine rizika Provjeru rizika i Sprečavanje rizika
Metodu GAO razvio je američki General Acconuting Office 1998. g. Rasploživ je tzv. Executive Guide pod nazivom Measuring Performance and Demonstrating Results of IT Investments. Osnovna ideja ove metode temelji se na obvezi provedbe Zakona o mjerenju performanci državnih institucija (The Goverment Performance and Resultes Act) u okviru kojeg je nužno mjeriti i rizike poslovnih aktivnosti. 3.
STANJE U HRVATSKOJ
3.1. Odnos prema sigurnosti informacijskih sustava u praksi O današnjem stanju sigurnosti informacijskih sustava u Hrvatskoj ne postoje još relevantna istraživanja. No, poznavajući dosadašnji razvitak i današnje stanje hrvatske 7
informatike, mogu se uočiti različite faze odnosa prema zaštiti i sigurnosti. Početak razvitka ovog područja poklapa se s terminom “sigurnost računala – computer security”, koji stavlja naglasak na fizičku zaštitu računala. U to vrijeme računalska je oprema još skupa, tako da primarnu skrb čini njena zaštita od požara ili drugih oblika uništenja. Sljedeća faza bila je “sigurnost podataka – data security”, čija je bitna značajka da se sve više poslova podržava računalom, širi se krug ljudi koji dolaze u kontakt s informatičkom opremom i sve se više podataka pohranjuje na različite vrste medija tako da je težište pozornosti pomaknuto na njih. Nova faza započinje još bržim razvojem telekomunikacija, širokom primjenom on-line tehnologija, sustava za upravljanje bazama podataka i intereaktivnim načinom rada. Gotovo da nema segmenta ljudskog djelovanja u koje primjena ICT nije prodrla. Računalske mreže, elektronička pošta, informacijski servisi i druge usluge u ovoj fazi su osnova primjene informatike. Informacije su postale najvažniji ali i najranjiviji gospodarski resurs, zbog čega je u uporabi termin “sigurnost informacija – information security”. Do sada posljednja, četvrta faza, jest daljnja konvergencija informatike i telekomunikacija i njihovo prodiranje u sve pore ljudskog djelovanja. Digitalizirano znanje, Internet, mobilne komunikacije, multimedija, elektroničko poslovanje, e-economija, osnova su informacijskog društva ili društva zasnovanog na znanju. Zbog toga se danas koristi termin “sigurnost znanja – knowlage security”. Već je rečeno da u pogledu stanja sigurnosti u Hrvatskoj ne postoje relevantna istraživanja. No, ipak postoje spoznaje o brojnim pokušajima upada u tuđe informacijske sustave. Dnevno se suočavamo s dosadnim napadima virusa. Izuzetno je poučan i slučaj Riječke bnake koji se desio unatoč tome što je ona visoko informatizirana i ima uspostavljen i ISO 9000 sustav. Napadi na hrvatski Internet prostor, priča o bolesnom dječaku Mirku iz Babine Grede i brojni drugi slučajevi ipak su poznati. U tisku se sve češće prenose neke informacije o zbivanjima iz pojedinih područja sigurnosti. Tako npr. dostupne su spoznaje BSA (Business Software Alliance) o nelegalnom korištenju programske opreme u Hrvatskoj, pa i u Sloveniji. Za Sloveniju se navodi podatak da preko 66% pregledanih tvrtki nezakonito koristi računalne programe, ali i podatak da ukoliko bi se u Hrvatskoj softversko piratstvo smanjilo samo za 20%, moglo bi se u informatici zaposliti najmanje 4000 ljudi. Prema navodima Sunca osiguranja raspložive su spoznaje o različitim štetama koje nastaju u našim informatičkim službama zbog različitih uzroka (požara u priključnom napajanju, provale kišnice ili podzemnih voda, vandalizma, požara u centralnoj računalskoj hali itd., zbog čega je osiguravatelj isplatio između 80.000-2.000.000 DEM). Uočilo se da se sigurnost informacijskih sustava danas ne može više postići rješavanjem nekih parcijalnih dijelova, potreban je cjelovit pristup projektiranju i implementaciji sustava sigurnosti npr. putem primjene norme ISO/IEC 17799:2000 ili SSE-CMM. Prvi koraci u tom smjeru su već učinjeni. U posljednje dvije godine u rastućem trendu jest pozornost prema ovom području. U nastavku navodimo primjere konkretne procjene rizika iz naše vlastite prakse.
8
3.2. Primjeri procjene rizika 3.2.1. Prvi primjer Ovaj primjer procjene rizika koje se navodi, jest slučaj jedne naše tvrtke koja se bavi razvojem programske i prodajom računalske opreme. Tvrtka ima oko 100 korisnika u Hrvatskoj i susjednim zemljama. Za procjenu je korištena kombinirana kvalitativno kvantitativna metoda. Tim za procjenu rizika bio je sastavljen od 12 članova. Procjena je obavljena na način da su postojale dvije glavne faze - faza pripreme i prikupljanja podataka i faza analize rezultata. Faza pripreme i prikupljanja podataka Tijekom ove faze tim je kompletirao odgovarajuće upitnike, kako bi se odredile prijetnje i prepoznale postojeće i potrebne mjere zaštite. Određeno je 260 indikatora stanja u slijedećim kategorijama: • procjena procesa, • politika sigurnosti, • naobrazba korisnika, • proces ovlaštenja, • proces vjerodostojnosti, • proces identifikacije, • oporavak od oštećenja, • fizička sigurnost, • povjerljivost /cjelovitost/ nerastavljivost, • revizija, • detekcije, • reakcija sustava sigurnosti na neželjene događaje, • kriteriji konfiguracije i • grafički prikaz sistemske arhitekture. Tijekom ove faze, tim je procijenio koje su sve prijetnje u praksi moguće te od kojih se štetnih posljedica treba zaštititi u slučaju napada ili drugog štetnog događaja. Faza analize Analizom prijetnji stvorena je baza od 400 potrebnih mjera sigurnosti. Tim je pregledao i rangirao utvrđene mjere, uzimajući u obzir čimbenike, kao što su broj korisnika, broj mogućih pristupa, posljedice itd. Zaključeno je da postoji 11 skupina prijetnji čiji je faktor rizika ≥ 5 i ≤ 10. Prijetnje s nižim faktorima rizika odvojene su iz ove rizične skupine. Na osnovi zaključaka dobivenih tijekom analize, tim procjenitelja sastavio je niz izvješća o mogućim prijetnjama, faktorima rizika, preporučenim mjerama zaštite i troškovima. Rezultat jedne takve analize prikazan je u tablici 1. Vidljivo je 11 tipova prijetnji vrlo visokog rizika.
9
Tablica 1. Primjer završnog izvješća identifikacije rizika i mjera zaštite jednog procesa R. br.
Prijetnja
Faktor rizika
1.
Požar
7
2.
Poplava
5
3.
Prestanak napajanja
4
4.
Krađa opreme
7
5.
Krađa podataka
8
6.
Neautorizirana uporaba
8
7.
Neidentificira na promjena
8
8.
Djelovanje malicioznih programa
9
9.
Oporavak podataka nakon havarije
5
10.
Pogreška u organizacijskoj proceduri
6
11.
Ljudska pogreška
9
12.
Moguće mjere zaštite Eliminiranje uvjeta nastanka požara Sredstva vatrodojave Protu poplavni prsteni Važna oprema na višim katovima Koordinacija zaštite s državnim subjektima Alternativni putovi i izvori napajanja Fizičke mjere zaštite Tehničke mjere zaštite Provjera lojalnosti uposlenika Sustavska kontrola Aplikativna kontrola Provjera lojalnosti uposlenika Sustavska kontrola Aplikativna kontrola Provjera lojalnosti uposlenika Sustavska kontrola Aplikativna kontrola Organizacijske mjere Obrazovne mjere Softverske mjere Izrada sustava dupliciranja sadržaja Provjera poduzimanja mjera dupliciranja Strategija oporavka sustava Plan neprekidnosti poslovanja Redovita provedba procjene rizika Provjera osposobljenosti za obavljanje posla Obrazovanje korisnika Provjera lojalnosti uposlenika Ukupno
10
Vrijednost imovine
Trošak zaštite s faktorom rizika
1 200 000 $
840 000 $
800 000 $
400 000 $
50 000 $
20 000 $
50 000 $
35 000 $
500 000 $
400 000 $
1 000 000 $
800 000 $
1 000 000 $
800 000 $
100 000 $
90 000 $
500 000 $
250 000 $
100 000$
60 000 $
30 000 $
27 000 $
5 330 000 $
3 722 000 $
Ukupna vrijednost imovine koja je predmet sustava sigurnosti je 5.330.000 $, a ukupna procijenjena šteta s faktorom rizika mjerenim na skali od 1 do 10 je 3.722.000 $. No, pretpostavlja se da se tek 15% prijetnji može ostvariti što iznosi 558.300 $. To je prema procjeni procjenitelja iznos sredstava koji treba uložiti za unapređivanje postojeće razine zaštite. 3.2.2. Drugi primjer Drugi primjer jest slučaj jednog od najvećih informacijskih centara u Hrvatskoj. Strani partner je između ostalog tražio i procjenu rizika sa stajališta sigurnosti svih informacijsko-telekomunikacijskih resursa. Za osnovu ove procjene koristili smo metodu i alat COBRA. Rezultat procjene (jedan mali dio) vidljiv je na slici 2.
1 2 0 ,0 %
1 0 0 ,0 %
8 0 ,0 %
6 0 ,0 %
1 0 0, 0%
1 0 0 ,0 %
9 7 ,7 %
4 0 ,0 %
5 2 ,9 % 2 0 ,0 %
5 2 ,5 %
49 ,4 % 4 8 ,3 %
4 5 ,2 %
31 ,3 %
2 4 ,3 %
Slika 2.
no st
lja nj ek
12 .U sk la đe
io dr on ža tin va ui nj te e to m po s. ak t.
pa
zv oj
pr ist u 10 .R a
9.
K on tro la
11 .U pr av
7. F
iz ič ka s
6. Si gu ig rn ur os no to s 8. ti so U s bl ig pr ja ur av no lja st nj ok ek ol om in e un ik .i op er at iv om
po da ta ka
ig ur no sti
ko nt ro la
ci ja s
5. K
la s
ifi ka
ci ja i
O rg an iz a
4.
3. Po lit ik as
ig ur no sti
0 ,0 %
Rezultat procjene rizika u jednom konkretnom hrvtskom slučaju.
Iz ove slike mogu se uočiti vrlo različite razine rizika. Najgorje je stanje, dakle maksimalni je riziko u nedostatku politike sigurnosti i klasifikacije i kontrole podataka (odnosa prema informacijama kao imovini). Najbolje je pak stanje u pogledu fizičke sigurnosti gdje je riziko 24,3%.
11
3.2.3. Treći primjer Temeljem norme ISO/IEC 17799:2000 u ZIH – Zavodu za informatiku Hrvatske razvijen je alat putem kojeg je moguće odrediti postojeću razinu usklađenosti sigurnosti nekog konkretnog sustava sa zahtjevima ove norme. Tijekom ove godine korištenjem ovog alata načinjene su provjere u 3 naša velika informacijska centra. Pokazalo se da je ukupna razina njihove sigurnosti oko 34% u odnosu na zahtjeve ove norme, a ukupno stanje za sva 3 slučaja po područjima sigurnosti prikazano je na slici 3.
(Procjena rizika)
12. (Pritužbe)
Politika sigurnosti (3) 4.1. (Organizacijska sigurnost)
100 90 80 70 60 50 40 30 20 10 0
5. (Klasifikacija i nadzor imovine)
11. (Kontinuitet poslovnih aktivnosti)
6. (Sigurnost osoblja)
7. (Fizička sigurnost)
10. (Razvoj i održavanje sustava) 9. (Nadzor pristupa)
Slika 3.
4.
8. (Upravljanje komunikacijama i operativom)
Kiviat dijagram procjene sigurnosti u promatrana 3 slučaja
ZAKLJUČAK
Naša ovisnost o informacijskoj i komunikacijskoj tehnologiji postaje sve veća. Time rastu i oblici ugrožavanja naših informacijskih sustava. Suvremeni pristup zahtjeva da se na informacijski sustav gleda kao na imovinu koju je potrebno štiti kao i druge vidove imovine. Norma ISO/IEC 17799:2000 upućuje na cjeloviti način uspostave sustava upravljanja sigurnošću informacija. Obavezni korak u uspostavi ovog sustava je procjena rizika. Postoje različite metode koje se mogu koristiti za ovu procjenu. U praksi se najčešće koriste metode na osnovi norme BS 7799, COBRA, OCTAVE, FRAP, NIST i GAO. Većina ovih metoda danas je već podržana i odgovarajućim alatima. Na konkretnom primjeru prikazan je dio jedne takve procjene rizika, kojim je identificirana vrijednost tzv. informacijske imovine (5.330.000 $) i ugrožena vrijednost imovine (3.722.000 $), čime je određena i razina sredstava koju dotična tvrtka treba investirati u mjere zaštite (558.300 $).
12
Na drugom primjeru prikazana je procjena stanja sigurnosti putem metode COBRA. Treći primjer jest pogled u ovo područje sa stajališta zadovoljenja zahtjeva norme ISO/IEC 17799:2000. Analizom stanja u 3 naša velika informacijska centra uočilo se da je razina sigurnosti naših informacijskih sustava ipak nedovoljna. Iako sporo, promjene se i u području sigurnosti informacijskih sustava u Hrvatskoj ipak dešavaju. Literatura 1.
BS 7799-1:1999 Information security management – Part 1: Code of practice for information security management
2.
BS 7799-2:1999 Information security management – Part 2: Specification for information security management systems
3.
ISO/IEC 17799:2000 Information technology – Code of practice for information security management
4.
Z. Krakar, “Upravljanje razvojem zrelosti kao metoda uspostave sustava kvalitete u informatici”, Druga hrvatska konferencija o kvaliteti, Zbornik radova, Cavtat (1999.) s. 127
5.
Z. Krakar, Ž. Hutinski, S. Tomić Rotim, “Sustavi upravljanja sigurnošću u informatici – korak koji slijedi”, III. konferencija o kvaliteti, Hrvatsko društvo za kvalitetu, Cavtat (2001.)
6.
Systems Security Engineering Capability Maturity Model, Model Description Document, V. 2.0, Caranegive Mellon University (1999.)
7.
http://www.see-cmm.org
13