Tema 10 upravljanje rizikom iso iec 27005
This presentation is the property of its rightful owner.
Sponsored Links
1 / 43

Tema 10: UPRAVLJANJE RIZIKOM (ISO/IEC 27005) PowerPoint PPT Presentation


  • 122 Views
  • Uploaded on
  • Presentation posted in: General

OSNOVI BEZBEDNOSTI I ZAŠTITE IKTS. Tema 10: UPRAVLJANJE RIZIKOM (ISO/IEC 27005). DEFINISANJE KONTEKSTA ZA ANALIZU RIZIKA Docent dr Gojko Grubor. CILJ. Razumeti : koncept bezbednosnog rizika vrste metoda za upravljanje/procenu rizika Kvalitativne Kvantitativne

Download Presentation

Tema 10: UPRAVLJANJE RIZIKOM (ISO/IEC 27005)

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Tema 10 upravljanje rizikom iso iec 27005

OSNOVI BEZBEDNOSTI I ZAŠTITE IKTS

Tema 10:UPRAVLJANJE RIZIKOM(ISO/IEC 27005)

DEFINISANJE

KONTEKSTA ZA ANALIZU RIZIKA

Docent dr Gojko Grubor


Tema 10 upravljanje rizikom iso iec 27005

CILJ

  • Razumeti:

    • koncept bezbednosnog rizika

    • vrste metoda za upravljanje/procenu rizika

      • Kvalitativne

      • Kvantitativne

    • vrste modela za upravljanje rizikom

UNIVERZITET SINGIDUNUM - FPI


Klju ni termin i

KLJUČNI TERMINI

  • Rizik

  • Upravljanje rizikom

  • Analiza (procena) rizika

  • Kvantitativna metoda

  • Kvalitativna metoda

  • Model upravljanja rizikom

UNIVERZITET SINGIDUNUM - FPI


Ta je bezbednosni rizik

Šta je bezbednosni rizik?

  • A = Pv + R+ In (ili +Po) ‚ Pv-poverljivost, R-raspoloživost, In-integritet, Po-pouzdanost/ iskoristivost

  • V = DxKxTrxIsxZaD-detektibilnost, K-korisnost, Tr-trajnost, Is -iskoristivost, Za –zaštićenost

  • T=T1+T2+...+T8= T

  • Rr = AxVx  T

  • Rrp= (Rr/Mz) x Ut = ((AxVx  T)/Mz) x Ut - nivo preostalog rizika

  • mere zaštite – Mz (k/z: osnovne, poboljšane)

  • uticaj-Ut= AxTixTfxTv≡ OGG


Tema 10 upravljanje rizikom iso iec 27005

Pristup proceni b. rizika

Povećati bezbednost= smanjiti faktore rizika

Rizik = Ranjivost * Pretnja* Uticaj

*

*

Admin

=


Tema 10 upravljanje rizikom iso iec 27005

Pristup proceni b. rizika

Zašto je ovo važno?

Uticaj

Ranjivost

Pretnja

Motivacioni

Razlog zašto neko

treba da uradi nešto

Problem

Indicira na šta se neko treba usmeriti

Katalizator

Nepredvidljiv događaj koji nas primorava da nešto uradimo

Uzrokuje uticaj

Iskorišćava ranjivost


Tema 10 upravljanje rizikom iso iec 27005

Pristup proceni b. rizika

Zašto je ovo važno?

Pretnja

Uticaj

Ranjivost

  • finansijski gubitak

  • gubitak ugledan

  • gubitak vremena

  • gubitak know -how

  • Ljudske greške

    • nedostatak know-how

    • nedostatak intresa

    • zamor

  • Tehničke ranjivosti

    • nepečovan OS

    • nepečovane aplikacije

    • otvorene mreže

    • WiFiBluetooth

    • pogrešna konfiguracija sistema…

  • Namerne pretnje

    • iznutra

    • izvana

    • fizičke

    • logičke

  • Nenamerne pretnje

    • greške

    • kvarovi

Struktura znanja


Tema 10 upravljanje rizikom iso iec 27005

Pristup proceni b. rizika

Ciljevi su:

Admin

Građani

ORG

nisu jednaki, ali su slični !!!!


Tema 10 upravljanje rizikom iso iec 27005

Pristup proceni b. rizika

Topologija:

Građani

ORG

Admin


Kontekst za analizu rizika

Kontekst za analizu rizika

  • Osnovni parametri za upravljanje rizikom (A,V,T),

  • Definisanje obima i granica analize,

  • Uspostavljanje i organizacija tima za upravljanje rizikom,

  • Uspostavljanje strukture i procesa analize i procene rizika


Kvalitativne metode

Kvalitativnemetode

  • Vrste: CCTACRAMM, LAVA, RISKPAC, MARION,Buddy System, OCTAVE....

  • CRAMM:

    • Faza 1- Identifikacija i evaluacija imovine (A)

    • Faza 2- Procena T i V

    • Faza 3–Identifikacija, izbor k/z, provera

    • Problem:održavanje ažurne baze podataka,cena komponenti sistema zaštite


Octave o perationally c ritical t hreat a sset and v ulnerability e valuation

OCTAVE (Operationally Critical, Threat, Asset, and Vulnerability Evaluation)

  • nije moguće redukovati ili otkloniti sav rizik,

  • resursi za zaštitu uvek su ograničeni,

  • ne mogu se sprečiti svi napadi na sistem,

  • incidente treba prepoznati/neutralisati, sistem oporaviti,

  • optimalno iskoristiti resurse za preživljavanje neophodnih funkcija IKTS i organizacije,

  • koristi tri kataloga informacija:

    • kritične imovine (A),

    • pretnji (T) i ranjivosti (V)

    • prakse zaštite.


Octave i drugi metodi evaluacije rizika

OCTAVE i drugi metodi evaluacije rizika


Metod octave

Metod OCTAVE

Analitički tim:

  • identifikujeobjekte organizacije

  • usmerava analizu rizika na kritične objekte (KO)

  • razmatra pretnje i ranjivosti (proceduralne i tehnološke) KO

  • evaluira faktore rizika u operativnom kontekstu

  • planira strategiju zaštite na bazi prakse zaštite


Trofazni metod evaluacije

Trofazni metod evaluacije

  • Faza 1: Identifikacija i izrada profila pretnji (T)

  • Faza 2: Analiza ranjivosti (V)

  • Faza 3: Planiranje i razvoj strategije i plana zaštite


Kriterijumi metoda octave

Kriterijumi metoda OCTAVE

  • Zahtevi metoda ugrađeni u skup kriterijuma:

    • principa (npr. samo-vođenja)

    • atributa (različiti kvaliteti ili karakteristike procesa evaluacije)

    • izlaznihrezultata (očekivani rezultati svake faze i procesa evaluacije)

  • Razvijena dva metoda:

    • OCTAVE metod (za srednje i velike organizacije) i

    • OCTAVE –S metod (za male organizacije)


Octave pobolj anje prakse za tite

OCTAVE poboljšanje prakse zaštite

  • planira implementaciju strategije zaštite kroz detaljne akcione planove (dnevne, nedeljne, mesečne,..),

  • monitoriše dinamika sprovođenja i efektivnost realizacije akcionih planova

  • kontroliše varijacije i preduzima odgovarajuće korektivne aktivnosti.

  • OCTAVE metod je evaluacioni, a ne neprekidni proces

  • proces upravljanja rizikom definisan je i zatvoren:

    • planiranje, implementacija, kontrola i korekcija sistema zaštite.


1 osnovni parametri za upravljanje rizikom iso 27005

1.Osnovni parametri za upravljanje rizikom (ISO-27005)

  • izbor odgovarajućeg pristupa za procenu rizika

  • uspostavljanje kriterijuma za evaluaciju rizika

  • uspostavljanje kriterijuma za procenu verovatnoće uticaja,

  • uspostavljanje kriterijuma za prihvatanje i tretman rizika

  • određivanje potencijalno raspoloživih resursa


A izbor odgovaraju eg pristupa za procenu rizika

a. Izborodgovarajućeg pristupa za procenu rizika

  • Formalna metodologija za analizu rizika (ISO/IEC TR 13335-3, ISO/IEC 27005),

  • Interaktivna programska aplikacija (HESTIA, CRAMM, COBRA, vsRISK, RA2…),

  • OCTAVE (Organizational Critical Treats Assessment and and Vulnerability Estimation), analiza kritičnih faktora rizika,

  • BAR-brza analiza kritičnih faktora rizika


Kvantitativni metodi

Kvantitativni metodi

  • Metodi rentabiliteta (cost-benefit)

  • Atributi rizika:

    • Vrednost informacione imovine – A

    • Verovatnoća realizacije pretnji – Tv

    • Ranjivost informacione imovine – V

  • OGG (očekivani godišnj igubici)=Tv x A

  • Vrste: NIST, IBM, vlade SAD/FIPS 65, RISKCALC, BDSS, RISKWATCH...


B kriterijumi za evaluaciju bezbednosnog rizika za informacije

b. Kriterijumi za evaluaciju bezbednosnog rizika za informacije

  • Tipični, ali ne svi:

    • legalni i normativni zahtevi i ugovorne obaveze,

    • operativne i poslovne posledice ne-raspoloživosti informacija i servisa,

    • operativne i poslovne posledice gubitka poverljivosti informacija i servisa,

    • operativne i poslovne posledice gubitka integriteta informacija i servisa,

    • operativne i poslovne posledice gubitka raspoloživosti informacija i servisa,

    • percepcija kupaca, klijenata i partnera i negativan uticaj na reputaciju, konkurentnost i poslovanje…


C i d uspostavljanje kriterijuma za procenu verovatno e uticaja prihvatanje i tretman rizika

c i d. Uspostavljanje kriterijuma za procenu verovatnoće uticaja, prihvatanje i tretman rizika

  • Uspostavljanje kriterijuma zasniva se na:

    • operativnim, tehničkim, finansijskim, legalnim, normativnim, socijalnim ili drugim kriterijumima,

    • zavise od interne politike organizacije, poslovnih ciljeva i interesa relevantnih učesnika,

    • mogući su višestruki kriterijumi (npr, normativne, zakonske, ugovorne obaveze bez obzira na procenjeni nivo rizika),

  • Tretman rizika zavisi od:

    • odluke da li je faktor rizika, ispod ili iznad predefinisanog praga prihvatljivosti,

    • mogući su i različiti nivoi praga prihvatanja rizika u istoj organizaciji,…


F odre ivanje potencijalno raspolo ivih resursa

f. Određivanje potencijalno raspoloživih resursa

  • izbor tima za ublažavanje (tretman) i upravljanje rizikom u organizaciji,

  • izbor kontrola zaštite,

  • implementacija kontrola zaštite,

  • sertifikacija i akreditacija sistema zaštite.


2 definisanje obima i granica procesa upravljanja rizikom

2. Definisanje obima i granica procesa upravljanja rizikom

a. Obim procesa upravljanja rizikom

b. Granice procesa upravljanja rizikom


A obim procesa upravljanja rizikom

a. Obim procesa upravljanja rizikom

  • strateški i kratkoročni poslovni ciljevi organizacije, procesi i strategije,

  • politika zaštite organizacije,

  • legalni i normativni zahtevi,

  • oblast primene, npr., sa definisanjem sistema ili granica geografske lokacije,

  • opravdanje za isključivanje nekog objekta iz obima procesa upravljanja rizikom.


B granice procesa upravljanja rizikom

b. Granice procesa upravljanja rizikom

  • poslovne ciljeve i politike,

  • informacionu imovinu IKT sistema,

  • ljude (zaposlene, partnere, podugovorače, spoljne saradnike, klijente…)

  • fizičko okruženje (zgrade i druge objekte),

  • društveno-kulturološko okruženje,

  • poslovni procesi i aktivnosti…


3 uspostavljanje i organizacija tima za upravljanje rizikom

3. Uspostavljanje i organizacija tima za upravljanje rizikom

  • identifikacija i analiza relevantnih učesnika

  • izbor lidera tima

  • izbor članova tima iz org.: izvršnih menadžera, praktičara poznavaoca poslovnih procesa, pravnika, informatičara – admnistratora sistema i mreža, specijalista zaštite

  • definisanje uloga i odgovornosti svih učesnika,

  • uspostavljanje zahtevanih odnosa i komunikacije između učesnika i organizacije kao i drugih projekata i aktivnosti.


4 uspostavljanje strukture procesa analize i procene rizika

4. Uspostavljanje strukture procesa analize i procene rizika


1 4 1 komunikacija u procesu procene rizika

1.4.1. Komunikacija u procesu procene rizika

  • članova Tima za procenu rizika sa relevantnim internim i eksternim učesnicima u svakoj fazi,

  • razumevanja procesa procene rizika za sve članove tima (cilj komunikacije):

    • sakupljanje informacija za identifikaciju faktora rizika,

    • analizu toka informacija za izbegavanje ili redukciju bezbednosnih incidenata,

    • konsultacije za poboljšavanje međusobnog razumevanja procesa upravljanja rizikom kod relevantnih učesnika,

    • plan komunikacije pitanja koja se odnose na sam proces i upravljanja procesom treba razviti u ranoj fazi procesa procene rizika.


1 4 2 procedura za upravljanje rizikom

1.4.2. Procedura za upravljanje rizikom

  • Ciljevi:

    • da prenese stav organizacije prema zaštiti informacija

    • da smanji potencijalni uticaj proboja sistema zaštite

  • Namena:

    • da obezbedi sigurnost upravljanja rizikom org.

    • da sakuplja informacije o riziku za svaku procenu rizika

    • da izbegne proboje sistema zaštite zbog nerazumevanja relevantnih učesnika i donosioca odluka


1 4 3 monitoring i revizija procesa upravljanja rizikom is

1.4.3. Monitoring i revizija procesa upravljanja rizikom IS

  • Monitoring:

    • identifikuje promene okruženja

    • identifikuje promene u IKT sistemu

    • identifikuje faktore rizika u ranoj fazi,

    • inicira regularnu reviziju svih (pod)procesa upravljanja rizikom i kad se dogode glavne promene


1 4 3 monitoring i revizija procesa upravljanja rizikom is1

1.4.3. Monitoring i revizija procesa upravljanja rizikom IS

  • Cilj revizije:

    • odrediti da li je procena faktora rizika još uvek relevantna,

    • ako nije preduzeti korektivne akcije, uključujući redefinisanje:

      • konteksta,

      • kriterijuma za evaluaciju rizika,

      • pristupa i metodologije za procenu rizika,

      • pristupa i opcija tretmana rizika,

      • metoda komunikacije u procesu procene rizika,

      • pristupa i analize rezultata monitoringa rizika


1 4 3 monitoring i revizija procesa upravljanja rizikom is2

1.4.3. Monitoring i revizija procesa upravljanja rizikom IS

  • Predmet revizije:

    • legalni okvir i kontekst upravljanja rizikom,

    • kontekst konkurencije/potencijalnih napadača,

    • kriterijumi za evaluaciju rizika,

    • kategorizacija i vrednovanje imovine (A),

    • prag za odlučivanje o tretmanu rizika (prihvatljiv/neprihvatljiv rizik),

    • vrednovanje troškova kontrola zaštite za ublažavanje rizika


1 4 4 proces procene rizika risk assessment

1.4.4. Proces procene rizika (Risk assessment)

a. Analiza rizika:

  • identifikacija i

  • estimacija

    b. Evaluacija rizika


A analiza faktora rizika za to i kako mo e nastati

a. Analiza faktora rizika(zašto i kako može nastati)

Identifikacija:

  • sveobuhvatna, struktuirana,

  • faktora rizika koje treba tretirati, pod i izvan kontrole organizacije

  • imovine, pretnji, ranjivosti, (verovatnoće pojave, frekvencije, intenziteta) i uticaja (poslovnih posledica, štete) ili verovatnoće da će pretnja/e iskoristiti ranjivost/i,

  • neprihvatljivih posledica (faktora rizika),

  • metoda za identifikaciju faktora rizika:

    • ček liste, intervjui, sistemska analiza i sistem inženjerske tehnike

      Izlaz 1: Inventar (vrednosti) informacione imovine IS

      Izlaz 2: Taksonomija relevantnih pretnji za IS

      Izlaz 3: Taksonomija relevantnih ranjivostisistema IS


A analiza faktora rizika za to i kako mo e nastati1

a. Analiza faktora rizika, (zašto i kako može nastati)

Estimacija:

  • Kvantitativna aproksimacija, statistička, numerička, uključuje faktor neodređenosti rizika - u novčanim vrednostima

  • Kvalitativnaaproksimacija, uključuje faktor neodređenosti rizika – nizak (N), srednji (S), visok (V)

  • Estimacija parametara za procenu rizika:

    • Vrednosti imovine - A: N, S, V ;

    • Pretnji -T: N. S, V;

    • Ranjivosti - V: N, S, V

  • Relativni rizik - Rr= AxVxT (ili Rr=A+V+T)

  • Relativni preostali rizik- Rpr = (AxVxT)/Mz,

    • Mz - efektivnosti postojećih/implementiranih kontrola zaštite


A analiza faktora rizika za to i kako mo e nastati2

a. Analiza faktora rizika, (zašto i kako može nastati)

Estimacija (1):

  • Uticaj – A

    • posledica, šteta, gubici - procenjuje se na bazi potencijalne štete zbog gubitka poverljivosti, raspoloživosti i integritetainformacija (ISO1335-1)

    • izražava se kroz vrednost imovine (A) za organizaciju

  • Ranjivost sistema - V

  • Verovatnoća događaja pretnje –Tp:

    • verovatnoća da će pretnja/e iskoristiti ranjivost/iLANE

    • estimacijaA,V,T: N (nizak), S (srednji), V (visok),

  • Prihvatljivi relativni rizik-Rpr = TpxA

  • Estimacija Rpr: N, S, V

  • Rpr faktori sa N-uticajem:

    • mogu se isključiti, ali ih treba navesti u Listi rizika (demonstrira se kompletnost procene rizika),

    • uvek treba implementirati neke kontrole za reviziju (auditing) faktora rizika procenjenih sa niskim uticajem (N),


B evaluacija rizika

b. Evaluacija rizika

  • priprema za izradu Plana tretmana rizika,

  • razmatranje/izbor kriterijuma za evaluaciju rizika

  • priprema procene rizika na bazi strogo utvrđenih kriterijuma, uključujući:

    • bezbednosne kriterijume,

    • značaj poslovnog procesa podržanog određenom informacionom imovinom,

    • potrebu tretmana rizika,

    • potrebu preduzimanja hitnih aktivnosti za tretman rizika,

    • komparaciju nivoa estimacije faktora rizika sa pre-definisanim kriterijumima (rezultatima prethodne procene rizika),

      Izlaz 1: Lista prioriteta faktora neprihvatljivog rizika i

      Izlaz 2: Lista prihvatljivih faktora rizika

      (prihvaćenih i sa N uticajem).


1 4 5 proces procene assessment bezbednosnog rizika is

1.4.5. Proces procene (assessment) bezbednosnog rizika IS

  • Identifikovanje potencijalnih uticaja na poslovanje:

    • materijalne štete i negativni uticaji na poslovanje (reputaciju)

  • Identifikovanje verovatnoće događanja bezbedno relevantnih incidenata (realizovanih štetnih napada),

  • Incident može uticati na:

    • poslovanje, ljude, procese, informacije ili drugu imovinu,

  • Na verovatnoću uticaja (izloženost- verovatnoću da će pretnja iskoristiti datu ranjivost) utiču:

    • atraktivnost imovine za napadača,

    • stepen težine iskorišćenja ranjivosti,

    • motivacija napadača i

    • sposobnost napadača


1 4 5 proces procene bezbednosnog rizika is

1.4.5. Proces procene bezbednosnog rizika IS

  • Rezultate procene rizika:

    • koristiti za identifikaciju opcija za tretman rizika i

    • dokumentovati u Politici zaštite i Planu tretmana rizika.

  • rangirati faktore rizika po prioritetu tretmana-ublažavanja,

  • faktore rizika procenjene kao N-niske smatrati prihvatljivim i moguće je da se tretman ovih faktora rizika ne zahteva,

  • faktori rizika procenjeni sa S-srednji i V-visoki treba da budu tretirani (V- prioritetno),

  • rezultat procene, izjava o verovatnoći rizika za poslovne ciljeve (SOA)

  • Izlaz: SOA - Izjava o primenljivosti (i/ili)

    Izveštaj o proceni rizika


1 4 6 plan tretmana rizika

1.4.6. Plan tretmana rizika

  • Razmotriti opseg opcija:

    • izbegavanje, transfer, prihvatanje, ublažavanje faktora rizika

  • Priprema:

    • Plana tretmana rizika i Implementacije plana tretman rizika,

  • Plan tretmana rizika:

    • obezbediti odluku menadžmenta o prihvatanju rizika (SOA),

    • identifikovati faktore rizika koji se izbegavaju, transferišu ili prihvataju

    • identifikovati izabrane opcije za tretman neprihvatljivih faktora rizika,

    • identifikovati kombinacije opcija za tretman rizika,

    • izabrati kontrole osnovne zaštite za ublažavanja faktora rizika izabranih za ublažavanje

      Izlaz: Plan tretmana rizika


1 4 7 implementacija plana tretmana bezbednosnog rizika is

1.4.7. Implementacija plana tretmana bezbednosnog rizika IS

  • Rpr- preostali relativni rizik ostaje posle procesa tretmana:

    • uvek ga ima - uticaj nizak, tretman skup,

  • Revizija Rpr posle tretmana:

    • prema kriterijumima za prihvatanje rizika u procesu C&A sistema zaštite LANE,

  • Ako postoji faktor rizika sa neprihvatljivim nivoom uticaja posle revizije:

    • treba ga ili prihvatiti ili ponovo procenjivati

  • Rezultati procesa tretmana i prihvatanja rizika su osnova za Plan implementacije tretmana rizika:

    • akcije upravljanja, odgovornosti, prioriteti, dinamika, budžet, očekivani izlazi, merenja performansi i proces revizije.

    • mehanizme za procenu nivoa implementacije na bazi kriterijuma za ocenu performansi, individualnih odgovornosti i drugih ciljeva i monitorisanje kritičnih kontrolnih tačaka implementacije.

  • Izlaz: Plan implementacije tretmana rizika ili

    (Plan sistema zaštite)


  • Zaklju ak

    ZAKLJUČAK

    • Upravljanje rizikom redukuje faktore rizika na prihvatljivi nivo, implementacijom skupa kontrola opravdanog nivoa zaštite

    • Analiza rizikapomaže merenje rizikau IKT i definisanje kontrola zaštite za smanjenje faktora Rr

    • Kvantitativne metode svode Rr na novčanu vrednost

    • Kvalitativnemetode obuhvataju neodređenost

    • Izbor: OCTAVE, CRAMM, ISO 27005

    UNIVERZITET SINGIDUNUM - FPI


  • Login