1 / 43

# Tema 10: UPRAVLJANJE RIZIKOM (ISO/IEC 27005) - PowerPoint PPT Presentation

OSNOVI BEZBEDNOSTI I ZAŠTITE IKTS. Tema 10: UPRAVLJANJE RIZIKOM (ISO/IEC 27005). DEFINISANJE KONTEKSTA ZA ANALIZU RIZIKA Docent dr Gojko Grubor. CILJ. Razumeti : koncept bezbednosnog rizika vrste metoda za upravljanje/procenu rizika Kvalitativne Kvantitativne

I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.

## PowerPoint Slideshow about ' Tema 10: UPRAVLJANJE RIZIKOM (ISO/IEC 27005)' - hasana

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.

- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

OSNOVI BEZBEDNOSTI I ZAŠTITE IKTS

### Tema 10:UPRAVLJANJE RIZIKOM(ISO/IEC 27005)

DEFINISANJE

KONTEKSTA ZA ANALIZU RIZIKA

Docent dr Gojko Grubor

• Razumeti:

• koncept bezbednosnog rizika

• vrste metoda za upravljanje/procenu rizika

• Kvalitativne

• Kvantitativne

• vrste modela za upravljanje rizikom

UNIVERZITET SINGIDUNUM - FPI

• Rizik

• Upravljanje rizikom

• Analiza (procena) rizika

• Kvantitativna metoda

• Kvalitativna metoda

• Model upravljanja rizikom

UNIVERZITET SINGIDUNUM - FPI

• A = Pv + R+ In (ili +Po) ‚ Pv-poverljivost, R-raspoloživost, In-integritet, Po-pouzdanost/ iskoristivost

• V = DxKxTrxIsxZaD-detektibilnost, K-korisnost, Tr-trajnost, Is -iskoristivost, Za –zaštićenost

• T=T1+T2+...+T8= T

• Rr = AxVx  T

• Rrp= (Rr/Mz) x Ut = ((AxVx  T)/Mz) x Ut - nivo preostalog rizika

• mere zaštite – Mz (k/z: osnovne, poboljšane)

• uticaj-Ut= AxTixTfxTv≡ OGG

Povećati bezbednost= smanjiti faktore rizika

Rizik = Ranjivost * Pretnja* Uticaj

*

*

=

Zašto je ovo važno?

Uticaj

Ranjivost

Pretnja

Motivacioni

Razlog zašto neko

Problem

Indicira na šta se neko treba usmeriti

Katalizator

Nepredvidljiv događaj koji nas primorava da nešto uradimo

Uzrokuje uticaj

Iskorišćava ranjivost

Zašto je ovo važno?

Pretnja

Uticaj

Ranjivost

• finansijski gubitak

• gubitak ugledan

• gubitak vremena

• gubitak know -how

• Ljudske greške

• nedostatak know-how

• nedostatak intresa

• zamor

• Tehničke ranjivosti

• nepečovan OS

• nepečovane aplikacije

• otvorene mreže

• WiFiBluetooth

• pogrešna konfiguracija sistema…

• Namerne pretnje

• iznutra

• izvana

• fizičke

• logičke

• Nenamerne pretnje

• greške

• kvarovi

Struktura znanja

Ciljevi su:

Građani

ORG

nisu jednaki, ali su slični !!!!

Topologija:

Građani

ORG

Kontekst za analizu rizika

• Osnovni parametri za upravljanje rizikom (A,V,T),

• Definisanje obima i granica analize,

• Uspostavljanje i organizacija tima za upravljanje rizikom,

• Uspostavljanje strukture i procesa analize i procene rizika

Kvalitativnemetode

• Vrste: CCTACRAMM, LAVA, RISKPAC, MARION,Buddy System, OCTAVE....

• CRAMM:

• Faza 1- Identifikacija i evaluacija imovine (A)

• Faza 2- Procena T i V

• Faza 3–Identifikacija, izbor k/z, provera

• Problem:održavanje ažurne baze podataka,cena komponenti sistema zaštite

OCTAVE (Operationally Critical, Threat, Asset, and Vulnerability Evaluation)

• nije moguće redukovati ili otkloniti sav rizik,

• resursi za zaštitu uvek su ograničeni,

• ne mogu se sprečiti svi napadi na sistem,

• incidente treba prepoznati/neutralisati, sistem oporaviti,

• optimalno iskoristiti resurse za preživljavanje neophodnih funkcija IKTS i organizacije,

• koristi tri kataloga informacija:

• kritične imovine (A),

• pretnji (T) i ranjivosti (V)

• prakse zaštite.

OCTAVE i drugi metodi evaluacije rizika

Analitički tim:

• identifikujeobjekte organizacije

• usmerava analizu rizika na kritične objekte (KO)

• razmatra pretnje i ranjivosti (proceduralne i tehnološke) KO

• evaluira faktore rizika u operativnom kontekstu

• planira strategiju zaštite na bazi prakse zaštite

Trofazni metod evaluacije

• Faza 1: Identifikacija i izrada profila pretnji (T)

• Faza 2: Analiza ranjivosti (V)

• Faza 3: Planiranje i razvoj strategije i plana zaštite

• Zahtevi metoda ugrađeni u skup kriterijuma:

• principa (npr. samo-vođenja)

• atributa (različiti kvaliteti ili karakteristike procesa evaluacije)

• izlaznihrezultata (očekivani rezultati svake faze i procesa evaluacije)

• Razvijena dva metoda:

• OCTAVE metod (za srednje i velike organizacije) i

• OCTAVE –S metod (za male organizacije)

OCTAVE poboljšanje prakse zaštite

• planira implementaciju strategije zaštite kroz detaljne akcione planove (dnevne, nedeljne, mesečne,..),

• monitoriše dinamika sprovođenja i efektivnost realizacije akcionih planova

• kontroliše varijacije i preduzima odgovarajuće korektivne aktivnosti.

• OCTAVE metod je evaluacioni, a ne neprekidni proces

• proces upravljanja rizikom definisan je i zatvoren:

• planiranje, implementacija, kontrola i korekcija sistema zaštite.

1.Osnovni parametri za upravljanje rizikom (ISO-27005)

• izbor odgovarajućeg pristupa za procenu rizika

• uspostavljanje kriterijuma za evaluaciju rizika

• uspostavljanje kriterijuma za procenu verovatnoće uticaja,

• uspostavljanje kriterijuma za prihvatanje i tretman rizika

• određivanje potencijalno raspoloživih resursa

a. Izborodgovarajućeg pristupa za procenu rizika

• Formalna metodologija za analizu rizika (ISO/IEC TR 13335-3, ISO/IEC 27005),

• Interaktivna programska aplikacija (HESTIA, CRAMM, COBRA, vsRISK, RA2…),

• OCTAVE (Organizational Critical Treats Assessment and and Vulnerability Estimation), analiza kritičnih faktora rizika,

• BAR-brza analiza kritičnih faktora rizika

• Metodi rentabiliteta (cost-benefit)

• Atributi rizika:

• Vrednost informacione imovine – A

• Verovatnoća realizacije pretnji – Tv

• Ranjivost informacione imovine – V

• OGG (očekivani godišnj igubici)=Tv x A

• Tipični, ali ne svi:

• legalni i normativni zahtevi i ugovorne obaveze,

• operativne i poslovne posledice ne-raspoloživosti informacija i servisa,

• operativne i poslovne posledice gubitka poverljivosti informacija i servisa,

• operativne i poslovne posledice gubitka integriteta informacija i servisa,

• operativne i poslovne posledice gubitka raspoloživosti informacija i servisa,

• percepcija kupaca, klijenata i partnera i negativan uticaj na reputaciju, konkurentnost i poslovanje…

c i d. Uspostavljanje kriterijuma za procenu verovatnoće uticaja, prihvatanje i tretman rizika

• Uspostavljanje kriterijuma zasniva se na:

• operativnim, tehničkim, finansijskim, legalnim, normativnim, socijalnim ili drugim kriterijumima,

• zavise od interne politike organizacije, poslovnih ciljeva i interesa relevantnih učesnika,

• mogući su višestruki kriterijumi (npr, normativne, zakonske, ugovorne obaveze bez obzira na procenjeni nivo rizika),

• Tretman rizika zavisi od:

• odluke da li je faktor rizika, ispod ili iznad predefinisanog praga prihvatljivosti,

• mogući su i različiti nivoi praga prihvatanja rizika u istoj organizaciji,…

f. Određivanje potencijalno raspoloživih resursa uticaja, prihvatanje i tretman rizika

• izbor tima za ublažavanje (tretman) i upravljanje rizikom u organizaciji,

• izbor kontrola zaštite,

• implementacija kontrola zaštite,

• sertifikacija i akreditacija sistema zaštite.

2. Definisanje obima i granica uticaja, prihvatanje i tretman rizikaprocesa upravljanja rizikom

a. Obim procesa upravljanja rizikom

b. Granice procesa upravljanja rizikom

a. Obim procesa uticaja, prihvatanje i tretman rizikaupravljanja rizikom

• strateški i kratkoročni poslovni ciljevi organizacije, procesi i strategije,

• politika zaštite organizacije,

• legalni i normativni zahtevi,

• oblast primene, npr., sa definisanjem sistema ili granica geografske lokacije,

• opravdanje za isključivanje nekog objekta iz obima procesa upravljanja rizikom.

b. Granice procesa upravljanja rizikom uticaja, prihvatanje i tretman rizika

• poslovne ciljeve i politike,

• informacionu imovinu IKT sistema,

• ljude (zaposlene, partnere, podugovorače, spoljne saradnike, klijente…)

• fizičko okruženje (zgrade i druge objekte),

• društveno-kulturološko okruženje,

• poslovni procesi i aktivnosti…

3. Uspostavljanje i organizacija tima za upravljanje rizikom uticaja, prihvatanje i tretman rizika

• identifikacija i analiza relevantnih učesnika

• izbor lidera tima

• izbor članova tima iz org.: izvršnih menadžera, praktičara poznavaoca poslovnih procesa, pravnika, informatičara – admnistratora sistema i mreža, specijalista zaštite

• definisanje uloga i odgovornosti svih učesnika,

• uspostavljanje zahtevanih odnosa i komunikacije između učesnika i organizacije kao i drugih projekata i aktivnosti.

1.4.1. Komunikacija u uticaja, prihvatanje i tretman rizikaprocesu procene rizika

• članova Tima za procenu rizika sa relevantnim internim i eksternim učesnicima u svakoj fazi,

• razumevanja procesa procene rizika za sve članove tima (cilj komunikacije):

• sakupljanje informacija za identifikaciju faktora rizika,

• analizu toka informacija za izbegavanje ili redukciju bezbednosnih incidenata,

• konsultacije za poboljšavanje međusobnog razumevanja procesa upravljanja rizikom kod relevantnih učesnika,

• plan komunikacije pitanja koja se odnose na sam proces i upravljanja procesom treba razviti u ranoj fazi procesa procene rizika.

1.4.2. Procedura za upravljanje rizikom uticaja, prihvatanje i tretman rizika

• Ciljevi:

• da prenese stav organizacije prema zaštiti informacija

• da smanji potencijalni uticaj proboja sistema zaštite

• Namena:

• da obezbedi sigurnost upravljanja rizikom org.

• da sakuplja informacije o riziku za svaku procenu rizika

• da izbegne proboje sistema zaštite zbog nerazumevanja relevantnih učesnika i donosioca odluka

1.4.3. Monitoring i revizija uticaja, prihvatanje i tretman rizikaprocesa upravljanja rizikom IS

• Monitoring:

• identifikuje promene okruženja

• identifikuje promene u IKT sistemu

• identifikuje faktore rizika u ranoj fazi,

• inicira regularnu reviziju svih (pod)procesa upravljanja rizikom i kad se dogode glavne promene

1.4.3. Monitoring i revizija uticaja, prihvatanje i tretman rizikaprocesa upravljanja rizikom IS

• Cilj revizije:

• odrediti da li je procena faktora rizika još uvek relevantna,

• ako nije preduzeti korektivne akcije, uključujući redefinisanje:

• konteksta,

• kriterijuma za evaluaciju rizika,

• pristupa i metodologije za procenu rizika,

• pristupa i opcija tretmana rizika,

• metoda komunikacije u procesu procene rizika,

• pristupa i analize rezultata monitoringa rizika

1.4.3. Monitoring i revizija uticaja, prihvatanje i tretman rizikaprocesa upravljanja rizikom IS

• Predmet revizije:

• legalni okvir i kontekst upravljanja rizikom,

• kriterijumi za evaluaciju rizika,

• kategorizacija i vrednovanje imovine (A),

• prag za odlučivanje o tretmanu rizika (prihvatljiv/neprihvatljiv rizik),

• vrednovanje troškova kontrola zaštite za ublažavanje rizika

1.4.4. Proces procene rizika uticaja, prihvatanje i tretman rizika(Risk assessment)

a. Analiza rizika:

• identifikacija i

• estimacija

b. Evaluacija rizika

a. Analiza faktora rizika uticaja, prihvatanje i tretman rizika(zašto i kako može nastati)

Identifikacija:

• sveobuhvatna, struktuirana,

• faktora rizika koje treba tretirati, pod i izvan kontrole organizacije

• imovine, pretnji, ranjivosti, (verovatnoće pojave, frekvencije, intenziteta) i uticaja (poslovnih posledica, štete) ili verovatnoće da će pretnja/e iskoristiti ranjivost/i,

• neprihvatljivih posledica (faktora rizika),

• metoda za identifikaciju faktora rizika:

• ček liste, intervjui, sistemska analiza i sistem inženjerske tehnike

Izlaz 1: Inventar (vrednosti) informacione imovine IS

Izlaz 2: Taksonomija relevantnih pretnji za IS

Izlaz 3: Taksonomija relevantnih ranjivostisistema IS

a. Analiza faktora rizika uticaja, prihvatanje i tretman rizika, (zašto i kako može nastati)

Estimacija:

• Kvantitativna aproksimacija, statistička, numerička, uključuje faktor neodređenosti rizika - u novčanim vrednostima

• Kvalitativnaaproksimacija, uključuje faktor neodređenosti rizika – nizak (N), srednji (S), visok (V)

• Estimacija parametara za procenu rizika:

• Vrednosti imovine - A: N, S, V ;

• Pretnji -T: N. S, V;

• Ranjivosti - V: N, S, V

• Relativni rizik - Rr= AxVxT (ili Rr=A+V+T)

• Relativni preostali rizik- Rpr = (AxVxT)/Mz,

• Mz - efektivnosti postojećih/implementiranih kontrola zaštite

a. Analiza faktora rizika uticaja, prihvatanje i tretman rizika, (zašto i kako može nastati)

Estimacija (1):

• Uticaj – A

• posledica, šteta, gubici - procenjuje se na bazi potencijalne štete zbog gubitka poverljivosti, raspoloživosti i integritetainformacija (ISO1335-1)

• izražava se kroz vrednost imovine (A) za organizaciju

• Ranjivost sistema - V

• Verovatnoća događaja pretnje –Tp:

• verovatnoća da će pretnja/e iskoristiti ranjivost/iLANE

• estimacijaA,V,T: N (nizak), S (srednji), V (visok),

• Prihvatljivi relativni rizik-Rpr = TpxA

• Estimacija Rpr: N, S, V

• Rpr faktori sa N-uticajem:

• mogu se isključiti, ali ih treba navesti u Listi rizika (demonstrira se kompletnost procene rizika),

• uvek treba implementirati neke kontrole za reviziju (auditing) faktora rizika procenjenih sa niskim uticajem (N),

b. Evaluacija rizika uticaja, prihvatanje i tretman rizika

• priprema za izradu Plana tretmana rizika,

• razmatranje/izbor kriterijuma za evaluaciju rizika

• priprema procene rizika na bazi strogo utvrđenih kriterijuma, uključujući:

• bezbednosne kriterijume,

• značaj poslovnog procesa podržanog određenom informacionom imovinom,

• potrebu tretmana rizika,

• potrebu preduzimanja hitnih aktivnosti za tretman rizika,

• komparaciju nivoa estimacije faktora rizika sa pre-definisanim kriterijumima (rezultatima prethodne procene rizika),

Izlaz 1: Lista prioriteta faktora neprihvatljivog rizika i

Izlaz 2: Lista prihvatljivih faktora rizika

(prihvaćenih i sa N uticajem).

1.4.5. Proces procene ( uticaja, prihvatanje i tretman rizikaassessment) bezbednosnog rizika IS

• Identifikovanje potencijalnih uticaja na poslovanje:

• materijalne štete i negativni uticaji na poslovanje (reputaciju)

• Identifikovanje verovatnoće događanja bezbedno relevantnih incidenata (realizovanih štetnih napada),

• Incident može uticati na:

• poslovanje, ljude, procese, informacije ili drugu imovinu,

• Na verovatnoću uticaja (izloženost- verovatnoću da će pretnja iskoristiti datu ranjivost) utiču:

• stepen težine iskorišćenja ranjivosti,

1.4.5. Proces procene bezbednosnog rizika IS uticaja, prihvatanje i tretman rizika

• Rezultate procene rizika:

• koristiti za identifikaciju opcija za tretman rizika i

• dokumentovati u Politici zaštite i Planu tretmana rizika.

• rangirati faktore rizika po prioritetu tretmana-ublažavanja,

• faktore rizika procenjene kao N-niske smatrati prihvatljivim i moguće je da se tretman ovih faktora rizika ne zahteva,

• faktori rizika procenjeni sa S-srednji i V-visoki treba da budu tretirani (V- prioritetno),

• rezultat procene, izjava o verovatnoći rizika za poslovne ciljeve (SOA)

• Izlaz: SOA - Izjava o primenljivosti (i/ili)

Izveštaj o proceni rizika

1.4.6. Plan tretmana rizika uticaja, prihvatanje i tretman rizika

• Razmotriti opseg opcija:

• izbegavanje, transfer, prihvatanje, ublažavanje faktora rizika

• Priprema:

• Plana tretmana rizika i Implementacije plana tretman rizika,

• Plan tretmana rizika:

• obezbediti odluku menadžmenta o prihvatanju rizika (SOA),

• identifikovati faktore rizika koji se izbegavaju, transferišu ili prihvataju

• identifikovati izabrane opcije za tretman neprihvatljivih faktora rizika,

• identifikovati kombinacije opcija za tretman rizika,

• izabrati kontrole osnovne zaštite za ublažavanja faktora rizika izabranih za ublažavanje

Izlaz: Plan tretmana rizika

1.4.7. Implementacija plana uticaja, prihvatanje i tretman rizikatretmana bezbednosnog rizika IS

• Rpr- preostali relativni rizik ostaje posle procesa tretmana:

• uvek ga ima - uticaj nizak, tretman skup,

• Revizija Rpr posle tretmana:

• prema kriterijumima za prihvatanje rizika u procesu C&A sistema zaštite LANE,

• Ako postoji faktor rizika sa neprihvatljivim nivoom uticaja posle revizije:

• treba ga ili prihvatiti ili ponovo procenjivati

• Rezultati procesa tretmana i prihvatanja rizika su osnova za Plan implementacije tretmana rizika:

• akcije upravljanja, odgovornosti, prioriteti, dinamika, budžet, očekivani izlazi, merenja performansi i proces revizije.

• mehanizme za procenu nivoa implementacije na bazi kriterijuma za ocenu performansi, individualnih odgovornosti i drugih ciljeva i monitorisanje kritičnih kontrolnih tačaka implementacije.

• Izlaz: Plan implementacije tretmana rizika ili

(Plan sistema zaštite)

• ZAKLJUČAK uticaja, prihvatanje i tretman rizika

• Upravljanje rizikom redukuje faktore rizika na prihvatljivi nivo, implementacijom skupa kontrola opravdanog nivoa zaštite

• Analiza rizikapomaže merenje rizikau IKT i definisanje kontrola zaštite za smanjenje faktora Rr

• Kvantitativne metode svode Rr na novčanu vrednost

• Kvalitativnemetode obuhvataju neodređenost

• Izbor: OCTAVE, CRAMM, ISO 27005

UNIVERZITET SINGIDUNUM - FPI