Tema 10: UPRAVLJANJE RIZIKOM (ISO/IEC 27005)

OSNOVI BEZBEDNOSTI I ZAŠTITE IKTS Tema 10:UPRAVLJANJE RIZIKOM(ISO/IEC 27005) DEFINISANJE KONTEKSTA ZA ANALIZU RIZIKA Docent dr Gojko Grubor

CILJ • Razumeti: • koncept bezbednosnog rizika • vrste metoda za upravljanje/procenu rizika • Kvalitativne • Kvantitativne • vrste modela za upravljanje rizikom UNIVERZITET SINGIDUNUM - FPI

KLJUČNI TERMINI • Rizik • Upravljanje rizikom • Analiza (procena) rizika • Kvantitativna metoda • Kvalitativna metoda • Model upravljanja rizikom UNIVERZITET SINGIDUNUM - FPI

Šta je bezbednosni rizik? • A = Pv + R+ In (ili +Po) ‚ Pv-poverljivost, R-raspoloživost, In-integritet, Po-pouzdanost/ iskoristivost • V = DxKxTrxIsxZaD-detektibilnost, K-korisnost, Tr-trajnost, Is -iskoristivost, Za –zaštićenost • T=T1+T2+...+T8= T • Rr = AxVx  T • Rrp= (Rr/Mz) x Ut = ((AxVx  T)/Mz) x Ut - nivo preostalog rizika • mere zaštite – Mz (k/z: osnovne, poboljšane) • uticaj-Ut= AxTixTfxTv≡ OGG

Pristup proceni b. rizika Povećati bezbednost= smanjiti faktore rizika Rizik = Ranjivost * Pretnja* Uticaj * * Admin =

Pristup proceni b. rizika Zašto je ovo važno? Uticaj Ranjivost Pretnja Motivacioni Razlog zašto neko treba da uradi nešto Problem Indicira na šta se neko treba usmeriti Katalizator Nepredvidljiv događaj koji nas primorava da nešto uradimo Uzrokuje uticaj Iskorišćava ranjivost

Pristup proceni b. rizika Zašto je ovo važno? Pretnja Uticaj Ranjivost • finansijski gubitak • gubitak ugledan • gubitak vremena • gubitak know -how • … • Ljudske greške • nedostatak know-how • nedostatak intresa • zamor • … • Tehničke ranjivosti • nepečovan OS • nepečovane aplikacije • otvorene mreže • WiFiBluetooth • pogrešna konfiguracija sistema… • Namerne pretnje • iznutra • izvana • fizičke • logičke • Nenamerne pretnje • greške • kvarovi • … Struktura znanja

Pristup proceni b. rizika Ciljevi su: Admin Građani ORG nisu jednaki, ali su slični !!!!

Pristup proceni b. rizika Topologija: Građani ORG Admin

Kontekst za analizu rizika • Osnovni parametri za upravljanje rizikom (A,V,T), • Definisanje obima i granica analize, • Uspostavljanje i organizacija tima za upravljanje rizikom, • Uspostavljanje strukture i procesa analize i procene rizika

Kvalitativnemetode • Vrste: CCTACRAMM, LAVA, RISKPAC, MARION,Buddy System, OCTAVE.... • CRAMM: • Faza 1- Identifikacija i evaluacija imovine (A) • Faza 2- Procena T i V • Faza 3–Identifikacija, izbor k/z, provera • Problem:održavanje ažurne baze podataka,cena komponenti sistema zaštite

OCTAVE (Operationally Critical, Threat, Asset, and Vulnerability Evaluation) • nije moguće redukovati ili otkloniti sav rizik, • resursi za zaštitu uvek su ograničeni, • ne mogu se sprečiti svi napadi na sistem, • incidente treba prepoznati/neutralisati, sistem oporaviti, • optimalno iskoristiti resurse za preživljavanje neophodnih funkcija IKTS i organizacije, • koristi tri kataloga informacija: • kritične imovine (A), • pretnji (T) i ranjivosti (V) • prakse zaštite.

OCTAVE i drugi metodi evaluacije rizika

Metod OCTAVE Analitički tim: • identifikujeobjekte organizacije • usmerava analizu rizika na kritične objekte (KO) • razmatra pretnje i ranjivosti (proceduralne i tehnološke) KO • evaluira faktore rizika u operativnom kontekstu • planira strategiju zaštite na bazi prakse zaštite

Trofazni metod evaluacije • Faza 1: Identifikacija i izrada profila pretnji (T) • Faza 2: Analiza ranjivosti (V) • Faza 3: Planiranje i razvoj strategije i plana zaštite

Kriterijumi metoda OCTAVE • Zahtevi metoda ugrađeni u skup kriterijuma: • principa (npr. samo-vođenja) • atributa (različiti kvaliteti ili karakteristike procesa evaluacije) • izlaznihrezultata (očekivani rezultati svake faze i procesa evaluacije) • Razvijena dva metoda: • OCTAVE metod (za srednje i velike organizacije) i • OCTAVE –S metod (za male organizacije)

OCTAVE poboljšanje prakse zaštite • planira implementaciju strategije zaštite kroz detaljne akcione planove (dnevne, nedeljne, mesečne,..), • monitoriše dinamika sprovođenja i efektivnost realizacije akcionih planova • kontroliše varijacije i preduzima odgovarajuće korektivne aktivnosti. • OCTAVE metod je evaluacioni, a ne neprekidni proces • proces upravljanja rizikom definisan je i zatvoren: • planiranje, implementacija, kontrola i korekcija sistema zaštite.

1.Osnovni parametri za upravljanje rizikom (ISO-27005) • izbor odgovarajućeg pristupa za procenu rizika • uspostavljanje kriterijuma za evaluaciju rizika • uspostavljanje kriterijuma za procenu verovatnoće uticaja, • uspostavljanje kriterijuma za prihvatanje i tretman rizika • određivanje potencijalno raspoloživih resursa

a. Izborodgovarajućeg pristupa za procenu rizika • Formalna metodologija za analizu rizika (ISO/IEC TR 13335-3, ISO/IEC 27005), • Interaktivna programska aplikacija (HESTIA, CRAMM, COBRA, vsRISK, RA2…), • OCTAVE (Organizational Critical Treats Assessment and and Vulnerability Estimation), analiza kritičnih faktora rizika, • BAR-brza analiza kritičnih faktora rizika

Kvantitativni metodi • Metodi rentabiliteta (cost-benefit) • Atributi rizika: • Vrednost informacione imovine – A • Verovatnoća realizacije pretnji – Tv • Ranjivost informacione imovine – V • OGG (očekivani godišnj igubici)=Tv x A • Vrste: NIST, IBM, vlade SAD/FIPS 65, RISKCALC, BDSS, RISKWATCH...

b. Kriterijumi za evaluaciju bezbednosnog rizika za informacije • Tipični, ali ne svi: • legalni i normativni zahtevi i ugovorne obaveze, • operativne i poslovne posledice ne-raspoloživosti informacija i servisa, • operativne i poslovne posledice gubitka poverljivosti informacija i servisa, • operativne i poslovne posledice gubitka integriteta informacija i servisa, • operativne i poslovne posledice gubitka raspoloživosti informacija i servisa, • percepcija kupaca, klijenata i partnera i negativan uticaj na reputaciju, konkurentnost i poslovanje…

c i d. Uspostavljanje kriterijuma za procenu verovatnoće uticaja, prihvatanje i tretman rizika • Uspostavljanje kriterijuma zasniva se na: • operativnim, tehničkim, finansijskim, legalnim, normativnim, socijalnim ili drugim kriterijumima, • zavise od interne politike organizacije, poslovnih ciljeva i interesa relevantnih učesnika, • mogući su višestruki kriterijumi (npr, normativne, zakonske, ugovorne obaveze bez obzira na procenjeni nivo rizika), • Tretman rizika zavisi od: • odluke da li je faktor rizika, ispod ili iznad predefinisanog praga prihvatljivosti, • mogući su i različiti nivoi praga prihvatanja rizika u istoj organizaciji,…

f. Određivanje potencijalno raspoloživih resursa • izbor tima za ublažavanje (tretman) i upravljanje rizikom u organizaciji, • izbor kontrola zaštite, • implementacija kontrola zaštite, • sertifikacija i akreditacija sistema zaštite.

2. Definisanje obima i granica procesa upravljanja rizikom a. Obim procesa upravljanja rizikom b. Granice procesa upravljanja rizikom

a. Obim procesa upravljanja rizikom • strateški i kratkoročni poslovni ciljevi organizacije, procesi i strategije, • politika zaštite organizacije, • legalni i normativni zahtevi, • oblast primene, npr., sa definisanjem sistema ili granica geografske lokacije, • opravdanje za isključivanje nekog objekta iz obima procesa upravljanja rizikom.

b. Granice procesa upravljanja rizikom • poslovne ciljeve i politike, • informacionu imovinu IKT sistema, • ljude (zaposlene, partnere, podugovorače, spoljne saradnike, klijente…) • fizičko okruženje (zgrade i druge objekte), • društveno-kulturološko okruženje, • poslovni procesi i aktivnosti…

3. Uspostavljanje i organizacija tima za upravljanje rizikom • identifikacija i analiza relevantnih učesnika • izbor lidera tima • izbor članova tima iz org.: izvršnih menadžera, praktičara poznavaoca poslovnih procesa, pravnika, informatičara – admnistratora sistema i mreža, specijalista zaštite • definisanje uloga i odgovornosti svih učesnika, • uspostavljanje zahtevanih odnosa i komunikacije između učesnika i organizacije kao i drugih projekata i aktivnosti.

4. Uspostavljanje strukture procesa analize i procene rizika

1.4.1. Komunikacija u procesu procene rizika • članova Tima za procenu rizika sa relevantnim internim i eksternim učesnicima u svakoj fazi, • razumevanja procesa procene rizika za sve članove tima (cilj komunikacije): • sakupljanje informacija za identifikaciju faktora rizika, • analizu toka informacija za izbegavanje ili redukciju bezbednosnih incidenata, • konsultacije za poboljšavanje međusobnog razumevanja procesa upravljanja rizikom kod relevantnih učesnika, • plan komunikacije pitanja koja se odnose na sam proces i upravljanja procesom treba razviti u ranoj fazi procesa procene rizika.

1.4.2. Procedura za upravljanje rizikom • Ciljevi: • da prenese stav organizacije prema zaštiti informacija • da smanji potencijalni uticaj proboja sistema zaštite • Namena: • da obezbedi sigurnost upravljanja rizikom org. • da sakuplja informacije o riziku za svaku procenu rizika • da izbegne proboje sistema zaštite zbog nerazumevanja relevantnih učesnika i donosioca odluka

1.4.3. Monitoring i revizija procesa upravljanja rizikom IS • Monitoring: • identifikuje promene okruženja • identifikuje promene u IKT sistemu • identifikuje faktore rizika u ranoj fazi, • inicira regularnu reviziju svih (pod)procesa upravljanja rizikom i kad se dogode glavne promene

1.4.3. Monitoring i revizija procesa upravljanja rizikom IS • Cilj revizije: • odrediti da li je procena faktora rizika još uvek relevantna, • ako nije preduzeti korektivne akcije, uključujući redefinisanje: • konteksta, • kriterijuma za evaluaciju rizika, • pristupa i metodologije za procenu rizika, • pristupa i opcija tretmana rizika, • metoda komunikacije u procesu procene rizika, • pristupa i analize rezultata monitoringa rizika

1.4.3. Monitoring i revizija procesa upravljanja rizikom IS • Predmet revizije: • legalni okvir i kontekst upravljanja rizikom, • kontekst konkurencije/potencijalnih napadača, • kriterijumi za evaluaciju rizika, • kategorizacija i vrednovanje imovine (A), • prag za odlučivanje o tretmanu rizika (prihvatljiv/neprihvatljiv rizik), • vrednovanje troškova kontrola zaštite za ublažavanje rizika

1.4.4. Proces procene rizika (Risk assessment) a. Analiza rizika: • identifikacija i • estimacija b. Evaluacija rizika

a. Analiza faktora rizika(zašto i kako može nastati) Identifikacija: • sveobuhvatna, struktuirana, • faktora rizika koje treba tretirati, pod i izvan kontrole organizacije • imovine, pretnji, ranjivosti, (verovatnoće pojave, frekvencije, intenziteta) i uticaja (poslovnih posledica, štete) ili verovatnoće da će pretnja/e iskoristiti ranjivost/i, • neprihvatljivih posledica (faktora rizika), • metoda za identifikaciju faktora rizika: • ček liste, intervjui, sistemska analiza i sistem inženjerske tehnike Izlaz 1: Inventar (vrednosti) informacione imovine IS Izlaz 2: Taksonomija relevantnih pretnji za IS Izlaz 3: Taksonomija relevantnih ranjivostisistema IS

a. Analiza faktora rizika, (zašto i kako može nastati) Estimacija: • Kvantitativna aproksimacija, statistička, numerička, uključuje faktor neodređenosti rizika - u novčanim vrednostima • Kvalitativnaaproksimacija, uključuje faktor neodređenosti rizika – nizak (N), srednji (S), visok (V) • Estimacija parametara za procenu rizika: • Vrednosti imovine - A: N, S, V ; • Pretnji -T: N. S, V; • Ranjivosti - V: N, S, V • Relativni rizik - Rr= AxVxT (ili Rr=A+V+T) • Relativni preostali rizik- Rpr = (AxVxT)/Mz, • Mz - efektivnosti postojećih/implementiranih kontrola zaštite

a. Analiza faktora rizika, (zašto i kako može nastati) Estimacija (1): • Uticaj – A • posledica, šteta, gubici - procenjuje se na bazi potencijalne štete zbog gubitka poverljivosti, raspoloživosti i integritetainformacija (ISO1335-1) • izražava se kroz vrednost imovine (A) za organizaciju • Ranjivost sistema - V • Verovatnoća događaja pretnje –Tp: • verovatnoća da će pretnja/e iskoristiti ranjivost/iLANE • estimacijaA,V,T: N (nizak), S (srednji), V (visok), • Prihvatljivi relativni rizik-Rpr = TpxA • Estimacija Rpr: N, S, V • Rpr faktori sa N-uticajem: • mogu se isključiti, ali ih treba navesti u Listi rizika (demonstrira se kompletnost procene rizika), • uvek treba implementirati neke kontrole za reviziju (auditing) faktora rizika procenjenih sa niskim uticajem (N),

b. Evaluacija rizika • priprema za izradu Plana tretmana rizika, • razmatranje/izbor kriterijuma za evaluaciju rizika • priprema procene rizika na bazi strogo utvrđenih kriterijuma, uključujući: • bezbednosne kriterijume, • značaj poslovnog procesa podržanog određenom informacionom imovinom, • potrebu tretmana rizika, • potrebu preduzimanja hitnih aktivnosti za tretman rizika, • komparaciju nivoa estimacije faktora rizika sa pre-definisanim kriterijumima (rezultatima prethodne procene rizika), Izlaz 1: Lista prioriteta faktora neprihvatljivog rizika i Izlaz 2: Lista prihvatljivih faktora rizika (prihvaćenih i sa N uticajem).

1.4.5. Proces procene (assessment) bezbednosnog rizika IS • Identifikovanje potencijalnih uticaja na poslovanje: • materijalne štete i negativni uticaji na poslovanje (reputaciju) • Identifikovanje verovatnoće događanja bezbedno relevantnih incidenata (realizovanih štetnih napada), • Incident može uticati na: • poslovanje, ljude, procese, informacije ili drugu imovinu, • Na verovatnoću uticaja (izloženost- verovatnoću da će pretnja iskoristiti datu ranjivost) utiču: • atraktivnost imovine za napadača, • stepen težine iskorišćenja ranjivosti, • motivacija napadača i • sposobnost napadača

1.4.5. Proces procene bezbednosnog rizika IS • Rezultate procene rizika: • koristiti za identifikaciju opcija za tretman rizika i • dokumentovati u Politici zaštite i Planu tretmana rizika. • rangirati faktore rizika po prioritetu tretmana-ublažavanja, • faktore rizika procenjene kao N-niske smatrati prihvatljivim i moguće je da se tretman ovih faktora rizika ne zahteva, • faktori rizika procenjeni sa S-srednji i V-visoki treba da budu tretirani (V- prioritetno), • rezultat procene, izjava o verovatnoći rizika za poslovne ciljeve (SOA) • Izlaz: SOA - Izjava o primenljivosti (i/ili) Izveštaj o proceni rizika

1.4.6. Plan tretmana rizika • Razmotriti opseg opcija: • izbegavanje, transfer, prihvatanje, ublažavanje faktora rizika • Priprema: • Plana tretmana rizika i Implementacije plana tretman rizika, • Plan tretmana rizika: • obezbediti odluku menadžmenta o prihvatanju rizika (SOA), • identifikovati faktore rizika koji se izbegavaju, transferišu ili prihvataju • identifikovati izabrane opcije za tretman neprihvatljivih faktora rizika, • identifikovati kombinacije opcija za tretman rizika, • izabrati kontrole osnovne zaštite za ublažavanja faktora rizika izabranih za ublažavanje Izlaz: Plan tretmana rizika

1.4.7. Implementacija plana tretmana bezbednosnog rizika IS • Rpr- preostali relativni rizik ostaje posle procesa tretmana: • uvek ga ima - uticaj nizak, tretman skup, • Revizija Rpr posle tretmana: • prema kriterijumima za prihvatanje rizika u procesu C&A sistema zaštite LANE, • Ako postoji faktor rizika sa neprihvatljivim nivoom uticaja posle revizije: • treba ga ili prihvatiti ili ponovo procenjivati • Rezultati procesa tretmana i prihvatanja rizika su osnova za Plan implementacije tretmana rizika: • akcije upravljanja, odgovornosti, prioriteti, dinamika, budžet, očekivani izlazi, merenja performansi i proces revizije. • mehanizme za procenu nivoa implementacije na bazi kriterijuma za ocenu performansi, individualnih odgovornosti i drugih ciljeva i monitorisanje kritičnih kontrolnih tačaka implementacije. • Izlaz: Plan implementacije tretmana rizika ili (Plan sistema zaštite)

ZAKLJUČAK • Upravljanje rizikom redukuje faktore rizika na prihvatljivi nivo, implementacijom skupa kontrola opravdanog nivoa zaštite • Analiza rizikapomaže merenje rizikau IKT i definisanje kontrola zaštite za smanjenje faktora Rr • Kvantitativne metode svode Rr na novčanu vrednost • Kvalitativnemetode obuhvataju neodređenost • Izbor: OCTAVE, CRAMM, ISO 27005 UNIVERZITET SINGIDUNUM - FPI

Tema 10: UPRAVLJANJE RIZIKOM (ISO/IEC 27005)

Tema 10: UPRAVLJANJE RIZIKOM (ISO/IEC 27005)

Presentation Transcript

A Ver Si Recuerdas Tema 2-B

TEMA Masės ir tūrio matavimas

PATROLOGÍA

UPRAVLJANJE PROCESIMA

Upravljanje otpadom Dr Mirjana Đukić, vanredni profesor

Upravljanje okolišem ZAŠTITA OKOLIŠA

SEMINAR: UPRAVLJANJE KADROVIMA

UPRAVLJANJE KVALITETOM

İŞYERİNDE TERTİP, DÜZEN, TEMİZLİK

TEMA

TEMA XIX

Tema 10. Peligros sanitarios asociados a la restauración colectiva

Tema 4

TEMA 3. LÓGICA COMBINACIONAL

KİMYASAL TEMİZLİK MALZEMELERİ VE DOĞRU KULLANIMI

TEMA 4

Tema i: DISCAPACIDAD Y SUS TIPOS

TEMA LOS CONTINENTES

Upravljanje okolišem ZAŠTITA OKOLIŠA

4. TEMA

NBC KİRLENMELERİNDE TEMİZLİK (DEKONTAMİNASYON)

A Ver Si Recuerdas Tema 4-A