Analýza rizik informačního systému nakládajícího s osobními údaji

Analýza rizik informačního systému nakládajícího s osobními údaji Jana Fortinová Vysoká škola ekonomická v Praze Fakulta informatiky a statistiky nám. W. Churchilla 4 130 67 Praha 3 Česká republika e-mail: [email protected] Abstrakt: Řízení rizik je jedním z nejdůležitějších aspektů při vytváření informační systémů. Prvním krokem při budování bezpečného informačního systému je provedení analýzy rizik. Článek popisuje průběh analýzy rizik provedené při budování informačního systému nakládajícího s osobními údaji „na zelené louce“, kdy není možné vycházet z existujících statistik a záznamů o incidentech. Klíčová slova: Informační systém, informační a komunikační technologie, rizika projektu, rizika informačních systémů, analýza rizik, řízení rizik, bezpečnost informačních systémů, ochrana osobních údajů, analýza hrozeb a zranitelností IS, bezpečnost informací, bezpečnostní politika, řízení bezpečnosti IS, informační aktiva, CRAMM Abstract: Risk management is one of the most important aspects in the development of the information systems. The first step in building a secure information system is to accomplishment a risk analysis. Article describes the process of risk analysis made in building an information system using personal data "from scratch" when it is not possible based on existing statistics and records of incidents. Keywords: Information system, information and communication technology, project risks, risks of information systems, risk analysis, risk management, information system security, personal data protection, threat and vulnerability analysis IS, information security, security policy, management of IS security, information assets, CRAMM

1. Úvod Příspěvek popisuje modelový příklad, jak probíhá analýza rizik při budování informačního systému nakládajícího s osobními údaji (dále také jen „Projekt“). Nutnost provedení takové analýzy vyplývá z právních předpisů, konkrétně v souvislosti se splněním oznamovací povinnosti podle § 16 zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „Zákon“) a následné registraci IS Úřadem pro ochranu osobních údajů. Je nezbytné, aby správce informačního systému splnil požadavky vyplývající z ust. § 13 Zákona, podle kterého: (1) Správce a zpracovatel jsou povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému

SYSTÉMOVÁ INTEGRACE 4/2012

41

Jana Fortinová

zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. (2) Správce nebo zpracovatel je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. (3) V rámci opatření podle odstavce 1 správce nebo zpracovatel posuzuje rizika týkající se a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům, b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování, c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje a d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány. (4) V oblasti automatizovaného zpracování osobních údajů je správce nebo zpracovatel v rámci opatření podle odstavce 1 povinen také a) zajistit, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze oprávněné osoby, b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a d) zabránit neoprávněnému přístupu k datovým nosičům. Prvním krokem v tomto procesu by tedy měla být analýza rizik, zahrnující identifikace a ohodnocení klíčových aktiv Projektu, určení jejich hrozeb a zranitelností, vyhodnocení míry rizik působících na jednotlivá aktiva Projektu [1]. Cílem článku je popsat na konkrétním příkladu, jak probíhá analýza rizik u informačního systému, který se buduje „na zelené louce“, tj. nejsou k dispozici žádná empirická data o bezpečnostních incidentech z jeho předchozího provozování.

2. Metodika analýzy rizik V daném případě je třeba zdůraznit, že se jedná o analýzu rizik systému, který ještě není vytvořen, takže nejsou posuzovány existující komponenty systému a systém jako celek, ale vychází se z obecných předpokladů, „best practices“ a zkušeností zpracovatele, které mohou být v další etapě prací, nebo následně po uvedení systému do provozu dále zpřesňovány. Ze systémového hlediska je analýza rizik řešena v rámci bezpečnostního projektu, kdy tato analýza slouží k základní orientaci a na směrování bezpečnostních opatření ve vyvíjeném systému. Vlastní analýza by měla probíhat v následujících etapách:

42


Analýza rizik informačního systému nakládajícího s osobními údaji

Část 1. – Identifikace a ocenění aktiv Pro detailní analýzu rizik budeme vycházet z přístupů uvedených v metodice CRAMM (CCTA Risk Analysis and Management Method). [2] Metod sice existuje velké množství [3], ale kvantitativní metoda CRAMM je v této oblasti použití značně osvědčená. Byla původně vyvinuta organizací CCTA pro potřeby vlády Velké Británie, ale v současné době je široce využívána jako uznávaný prostředek pro analýzu rizik v případech, kdy je vyžadován souhlas s normou ČSN ISO/IEC 13335 a ve verzi 5.2 i s mezinárodním standardem ISO/IEC 17799 a obsahuje nástroje podporující metodiku analýzy a správy rizik, které jsou v souladu s normami ČSN ISO/IEC 27002:2005 a ČSN ISO/IEC 27001:2005. [4] Analýza v rámci CRAMM řeší ohodnocení systémových aktiv, seskupení aktiv do logických skupin a stanovení hrozeb, působících na tyto skupiny, prozkoumání zranitelnosti systému a stanovení požadavků na bezpečnost pro jednotlivé skupiny, na základě čehož jsou navržena bezpečnostní opatření, která jsou vymezena ve shodě s úrovní rizika při porovnání s již implementovanými systémovými opatřeními. Důležité je, že se vždy zkoumá model určitého systému – nikoliv systém samotný. [5] V rámci této fáze bude provedeno rozdělení aktiv do kategorií: datová aktiva – informace, data, fyzická aktiva – technické vybavení, komunikace, aplikační programová aktiva – programové vybavení, služby koncovému uživateli – procesy, přístupy k datům, prostory – lokality, budovy, místnosti. U všech aktiv pak bude stanovena i jejich hodnota, závislá na hodnocení výše uvedených typů aktiv a vazeb plynoucích z modelu aktiv. V návaznosti na stanovení hodnoty aktiv bude definována úroveň hrozeb a zranitelností pro všechna aktiva. K tomuto účelu bude využito kvalifikovaných interview. Odpovídající opatření k ošetření jednotlivých rizik budou vycházet z hodnot aktiv a úrovní hrozeb a zranitelností resp. ze zjištěné míry rizika. Dále budou zohledněny i dostupné informace z této oblasti včetně zkušeností zpracovatele. Část 2. – Hodnocení hrozeb, vyhodnocení míry zranitelnosti Analýza hrozeb a zranitelností spadá do oblasti projektu, kde bude vyžadována největší spolupráce se zadavatelem. Tento požadavek vyplývá z nezbytnosti posuzování celého komplexu potenciálních oblastí rizik. Každá z těchto oblastí pak v konkrétních případech působí na Projekt či jeho části. Ohodnocení hrozeb a zranitelností pak vyžaduje významnou znalost informačního prostředí a jeho okolí. Kategorie hrozeb a zranitelnosti jsou pro potřeby lepší prezentace seskupeny. S ohledem na požadavek zadavatele se analýza může soustředit zejména na následující oblasti: logická infiltrace (neoprávněný přístup, zneužití oprávněného přístupu, neoprávněné použití aplikace, viry, apod.), infiltrace komunikace (aktivní narušení komunikace, zneužití logického propojení, apod.), chyby lidského faktoru (chyby uživatelů, administrátorů, operátorů, apod.), provozní závady Projektu, fyzické hrozby.


43

Jana Fortinová

Četnost projevu hrozby / rok

Hodnocení hrozeb a zranitelností bude vycházet zejména z podkladů získaných v rámci účelových interview se zástupci provozovatele IS. Odpovědi k jednotlivým otázkám budou zpracovány a hodnoceny v souladu s metodikou CRAMM. Na jejich základě bude stanovena úroveň jednotlivých hrozeb a zranitelností u jednotlivých aktiv. Vzhledem k tomu, že je kladen důraz na hrozby z personální oblasti bude zvýšený důraz kladen na posouzení úrovně hrozeb v závislosti na úrovni zranitelnosti. Jedná se tedy o posouzení pravděpodobnosti projevu dané hrozby ve vztahu k jejímu dopadu na Projekt. Na základě vyhodnocení bude příslušným hrozbám přiřazena hodnota v pětistupňové metrice a příslušným zranitelnostem oproti doporučení CRAMM také v pětistupňové metrice. Část 3. – Výpočet míry rizik, hodnocení rizik Míru rizika lze zjistit výpočtem dle vztahu: Riziko = funkce (pravděpodobnost výskytu hrozby, výše dopadu na aktivum) S ohledem na hodnotu aktiva je pak stanoven bezpečnostní profil pro aktiva zahrnutá do analýzy rizik a návazně pak definována příslušná opatření k ošetření rizik. Lze již nyní poznamenat, že srovnání bezpečnostního profilu a stávajících opatření přijatých v daném informačním systému dává relevantní podklady k vytvoření bezpečnostního modelu maturity (úrovně bezpečnostní zralosti) systému. Ke stanovení míry rizika bude využito principů definovaných v normě ČSN ISO/IEC 27005:2009 Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací. Grafické znázornění míry rizika je v daném případě velmi přehledné a lze jej dobře využít pro zpracování souborů návazných plánů pro ošetření jednotlivých rizik, jakož i podklady pro sledování navržených akčních plánů. Ilustrační příklad tabulky znázorňuje jednotlivé mantinely míry rizika [5]:

Vysoké riziko

0,1 0,01 Střední riziko

0,001 0,0001

Malé riziko 10

100

1000

10000

Výše dopadu (1K EUR)

Část 4. – Závěry Na závěr proběhne vlastní vyhodnocení hrozeb s nejvyšší a střední mírou rizika.

44



3. Aktiva informačního systému Stanovení odpovědnosti za aktiva je nutnou podmínkou pro dosažení odpovídající bezpečnosti informací. Musí být identifikovaný vlastník každého identifikovaného aktiva nebo skupiny aktiv a vlastníkovi musí být přiřazena odpovědnost za udržování příslušných nástrojů řízení bezpečnosti. Odpovědnost za implementaci nástrojů řízení bezpečnosti může být delegována, ačkoliv zodpovědnost musí zůstat u určeného vlastníka aktiva. Informační systém je koncipován a řešen v souladu s principy stanovenými pro oblast informační bezpečnosti. V rámci této činnosti se vytváří seznam všech informačních aktiv, definovaná aktiva se ohodnotí, a následně se analyzují související bezpečnostní rizika, která jsou pak minimalizována zavedením bezpečnostních opatření. Zjednodušeně lze říci, že aktivum je vše, co má v systému nějakou hodnotu nebo co při provozu systému přináší užitek. Proto identifikovaná aktiva vyžadují ochranu a řádnou správu na všech úrovních řízení. V rámci zahájení analýzy rizik bylo prvním cílem identifikovat hlavni aktiva, svázaná s bezpečnostní informací. V následujícím kroku se řeší způsoby jak daná aktiva ochránit před dopadem a účinkem hrozeb. Při neformální analýze jsou aktiva seskupována do kategorií, což umožňuje zjistit a popsat způsoby jejich zpracování. Informační aktiva zobrazují významné komponenty informačního systému s bezprostředním vlivem na informační bezpečnost. Dané skutečnosti se posuzují z pozice nejhorších případů spojených s dopady, které by mohly vyplynout zejména z následujících skupin důsledků: nedostupnosti dat, prozrazení dat, modifikace dat, zničení dat. Bližší posouzení vychází ze čtyř hlavních bezpečnostních hledisek, týkajících se i aktiv informačního systému, tj.: Narušení důvěrnosti dat – ze strany uživatelů neoprávněných, ale i ze strany uživatelů překračujících rozsah svého oprávnění; Modifikace dat nebo programů – vlivem chyb, poruch systému a/nebo aktivní (úmyslnou) či nedbalostní činností uživatelů; Zničení dat nebo programů – vlivem chyb (hardware, software, správy IS nebo uživatelů, a to rovněž aktivní (úmyslnou) či nedbalostní činností); Nedostupnost – zamezení přístupu oprávněných uživatelů do systému nebo datům. Každé z výše uvedených hledisek je třeba dále hodnotit z konkrétních dílčích hledisek: V případě nedostupnosti je nutné hodnotit alespoň tři časové úseky specifikující dobu nedostupnosti, kdy dojde k určité formě dopadů a následků – od pouhých nepříjemností, přes vážný problém až po nezvratné změny. U zničení se rozlišuje, zda se jedná o totální zničení bez možnosti náhrady, či o zničení s možností obnovy z informačních aktiv náhradních zdrojů.


45

Jana Fortinová

V případě prozrazení se jedná o rozlišení, zda k úniku informací dojde v případě překročení nastaveného oprávnění pracovníka systému anebo jde o únik mimo informační systém. U modifikace se hodnotí, zda jde o chybu nebo úmysl. Je třeba také zdůraznit, že v případě „fyzických“ aktiv je třeba vycházet z hodnot tzv. sekundárního vlivu, tedy hodnot vztažených na informace/data svázaná s dotčenými aktivy. Při základním posuzování aktiv je snaha pomíjet stávající realizovaná opatření, aby bylo možné při analýze předejít nesprávnému předpokladu o jejich účinnosti. V metodice CRAMM se v rámci analýzy aktiv vytvářejí tzv. modely aktiv vedoucí k vytváření strukturovaných dotazníků. V přístupu k této části analytických prací je daná „základní“ metoda modifikována, mj. i proto, aby bylo možné respektovat časové limity stanovené objednatelem. Mezi aktiva obecně patří: 1. osobní údaje 2. informace samotné v jakékoliv podobě, 3. software a hardware, 4. prostory, 5. zainteresovaný personál. V souladu s tím lze provést rozdělení aktiv do kategorií: Informační aktiva – informace, data, databáze. Programové vybavení - aplikační programy, HW podpora. Služby koncovému uživateli – procesy, přístupy k datům, služby poskytované prostřednictvím informačního systému., Technická infrastruktura, o budovy, místnosti, o HW - technické vybavení, sítě elektronických komunikací, Personální vybavení.

4. Posuzování aktiv Základním problémem je obvykle přiřazení jednotlivým aktivům finanční hodnoty. Většinou se setkáváme s „binárním“ ocenění „moc“ a „nic“. Z tohoto důvodu není také možné např. aplikovat metodu ALE (Annualized Loss Expectancy), kde se hodnota ALE počítá vynásobením ztráty při jednom výskytu hrozby – SLE (Single Loss Exposure) s pravděpodobností výskytu hrozby za rok – ARO (Annualized Rate of Occurrence) [6] takto: ALE = SLE x ARO. Snadnější cesta k ocenění resp. ohodnocení významu aktiv spočívá v odhadu důležitosti nalezených aktiv v rámci navrženého systému. Při identifikování hlavních informačních aktiv vycházel zpracovatel z hodnocení, kde rozsah důležitosti daného aktiva je střední až velmi vysoký. Při hodnocení vážnosti dopadů na aktiva využil zpracovatel pětistupňovou stupnici. Následně vycházel z procesního řízení a zamýšleného využití informačního systému a stanovil výši každého případu v rozsahu

46


Datové záznamy od klientů, kdy se jedná se o specifická data uložená v databázích a serverech systému. Tato data obsahují osobní údaje uživatelů. Autentizační, autorizační a auditní data pro přístup k technické infrastruktuře systému

Popis aktiva


Technická infrastruktura – budovy, místnosti Služby – služby uživatelům.

Personální vybavení

5 5

Poskytování smluvně sjednaných služeb v dané kvalitě uživatelům.

4

5

1

1

1

1

1

2

5

N/A

1

5

1

1

5

3

1

5

3

2

1

3

1

3

1

1

2

3

Zničení, ztráta minuty hodiny

Umístění serverů.

Zaměstnanci. Uživatelé. Další osoby, poskytující služby uživatelům.

Technická infrastruktura – Komunikace. technické a programové vybavení

Technická Uživatelské technické prostředky infrastruktura – použité pro komunikační prostředí technické a systému. programové vybavení

Programový kód vyvinutý specificky pro systém - APV. Kompletní technické prostředky primární a záložní lokality přímo Technická použité pro provoz systému. infrastruktura – Zahrnují HW, instalační média SW, technické a licenční klíče SW, specifické programové vybavení konfigurace, technickou infrastrukturu IT i podpůrnou technickou infrastrukturu.

Technická Programový kód technické infrastruktura – struktury systému. programové vybavení

Informační aktiva

Druh aktiva

Ohodnocení podle významu (dopadu) na aktivum resp. Společnost (1 nejméně, 5 nejvíce) Nedostupnost

5

4

4

5

2

5

2

2

5

5

dny

1

1

2

1

1

1

1

1

1

1

3

2

3

1

2

3

2

2

1

1

minuty hodiny

5

4

4

4

3

4

3

3

4

4

dny

Chybná funkce

2

4

4

4

2

4

5

2

5

5

3

3

1

5

4

4

4

3

5

5

Neoprávněné užití, odcizení, Modifikace vyzrazení


od stupně „velmi nízký“ do „kritický“. Následky, které vedou k nejvyšším hodnotám u jednotlivých kategorií informačních aktiv, jsou popsány v následující tabulce.

Tab. 1 – Hodnocení dopadu na aktiva

V následující tabulce jsou ve vztahu na evidovaná aktiva definovány úrovně hrozeb a zranitelností s cílem vytvoření vstupních hodnot pro vyhodnocení míry rizik jako funkce pravděpodobnost výskytu hrozby a výše dopadu na dané aktivum.

47

Jana Fortinová

5. Analýza hrozeb a zranitelností Má-li být provedena riziková analýza informačního systému, pak základním vstupem pro tuto analýzu je hodnota identifikovaných aktiv. V širším pojetí zahrnujeme do aktiv i aktiva, která souvisejí s technickou infrastrukturou IS, tedy informační technologie apod. V užším pojetí jsou informační aktiva prakticky reprezentována agendami. V našem případě pod pojmem „agenda“ vidíme skupiny informací (dokumentů, datových souborů, záznamů v jednotlivých databázích apod.), které jsou typické pro danou oblast, popř. dané informační prostředí, a mají srovnatelné požadavky na zajištění dostupnosti, důvěrnosti a integrity. Ohodnocení agend je důležité pro vlastní analýzu rizik informačního systému a navíc v rámci rizikové analýzy vytváří vodítko k odhadnutí ceny informací, a to v celé struktuře jednotlivých potenciálních hrozeb (ztráta dostupnosti, důvěrnosti, integrity). Postup identifikace hrozeb a zranitelnosti vychází z nalezení závislostí, které se zvoleného prostředí týkají – využívání IT sebou přináší zvýšení technických propojení a vzájemných závislostí v rámci celého podniku. Tato etapa prací je zaměřena na identifikaci všech možných vzájemně souvisejících zdrojů hrozeb. Identifikované vzájemné závislosti definovaných agend v daném prostředí se tak týkají hlavně kritických položek, které mohou nastat během celého životního cyklu informačních aktiv. V návaznosti na vzájemné působení jednotlivých oblastí lze přistoupit k analýze základních a případně i na sobě závislých hrozeb, kdy úroveň hrozby stanovujeme jako pravděpodobnost výskytu hrozby a úroveň zranitelnosti odpovídá pravděpodobnosti, že se hrozba vyplní.

48



IS

velmi nízká

velmi nízká

nízká

nízká

Zranitelnost (Snadnost zneužití - narušení) střední vysoká

• chybné směrování, • výpadky elektrické energie, • poruchy klimatizace, • nedostupnost dat způsobená chybami SW nebo lidského faktoru, • náhlý nedostatek klíčových pracovníků.

kritická

• požár, přírodní pohromy, • porucha služeb a sítí • úmyslné poškození a elektronických terorizmus, • krádež nosičů dat s komunikací • porucha snímacího osobními údaji klientů • porucha serverů, zařízení nebo chyba uživatele, • kumulace funkcí

střední

• zničení dat způsobené chybou • zničení, vyzrazení systémového SW, nebo modifikace dat • infiltrace komunikací datových serverů nedbalostním cizími osobami případně poštovních a jednáním ze strany servisních serverů zaměstnanců nebo nebo zálohovacích třetích osob mechanismů

vysoká

• infiltrace "chytrých" snímacích zařízení viry a jinými prostředky, které vedou k nedostupnosti dat a/nebo nefunkčnosti zařízení či jeho software, příp. schopnosti komunikovat

Hrozba (Možnost, že situace nastane)

kritická

• vyzrazení, modifikace, zničení významných dat (zejm. • nedostatečná kvalita citlivých osobních hesla, neexistence údajů klientů) politiky hesel, způsobené chybou či • citlivá data nejsou aktivním útokem chráněna šifrováním, administrátorů, ev. • nejsou chráněna dalších osob data v snímacích • vysoká pravomoc u zařízeních privilegovaných rolí (administrátor) bez kontroly • zneužití dat • zničení a úmyslná k modifikaci • zamezení přístupu modifikace dat parametrů oprávněných uživatelů aktivním útokem ze vypovídajících o k IS nebo datům strany zaměstnanců zdravotním stavu nebo externích osob klienta

Tab. 2 – Hodnocení hrozeb a zranitelností S ohledem na charakter systému se analýza soustředila zejména na následující oblasti: logická infiltrace (neoprávněný přístup, zneužití oprávněného přístupu, neoprávněné použití aplikace, viry, apod.), infiltrace komunikace (aktivní narušení komunikace, zneužití logického propojení apod.), chyby lidského faktoru (chyby uživatelů, administrátorů, operátorů apod.), provozní závady IS a/nebo komunikačního systému, fyzické hrozby (krádež, úmyslné poškození, terorismus). Uvedené hrozby, resp. zranitelnosti se vztahují k aktivům zkoumaných oblastí a při získávání informací byly posuzovány z pohledu dopadu zejména na informace vztažené k osobním údajům klientů. Posuzovalo se, do jaké míry by jejich získáním, neoprávněnou modifikací, zničením či znepřístupněním, úloha i důvěryhodnost informačního systému utrpěla významnou újmu či případní narušitelé získali významný prospěch. SYSTÉMOVÁ INTEGRACE 4/2012

49

Jana Fortinová

Hodnocení se orientovalo na zřejmou rozhodující závislost úrovně poskytovaných služeb na vysoké dostupnosti informačního systému se zárukou důvěrnosti spravovaných dat (zpracovávané informace mají charakter osobních dat). Pro identifikovaná aktiva (uvedená v tabulce) byla zvolena pětistupňová metrika. Pro ohodnocení pravděpodobnosti hrozby byla opět použita pětistupňová metrika, kdy nejpravděpodobnější hrozba je ohodnocena „kritická“. V tomto případě je třeba si uvědomit, že jedna hrozba může využít více zranitelností a stejně tak jednu zranitelnost může využít více hrozeb. Hrozby a jejich dopady na aktiva jsou uvedeny v následující tabulce č. 3. Škála hodnocení: 1 - minimální, 5 – maximální. V rámci analýzy rizik ve vztahu k navrhovanému systému musíme vycházet ze skutečnosti, že nemáme k dispozici takové bezpečnostní incidenty, které by mohly posloužit ke statistickému zpracování jejich pravděpodobnosti. Pro určení pravděpodobnosti událostí vedoucích k negativním dopadům na vybraná aktiva bylo pro naše potřeby využito tabulek s empiricky zjištěnými hodnotami z veřejně dostupných zdrojů a z archivu zpracovatele. Pro konkrétní prostředí informačního systému jsou pravděpodobnosti výskytu jednotlivých událostí (naplnění hrozeb) dle zpracovatele následující:

50



5

Modifikace úmyslná

2

5

4

4

1

4

5

5

5

5

Modifikace náhodná

Ztráta / nedostupnost trvalá Prozrazení interní Prozrazení externí (třetím osobám)

5

Nedostupnost dny

3

2

1

5

3

1

3

2

5

5

2

1

5

4

3

5

5

3

0

3

4

3

1

3

1

Nedostupnost hodiny

1

2

Nedostupnost minuty 2

aplikace (spustiteln ý program)

data


data

popis hrozby

tisk

Komunikace

Aplikace

Škála hodnocení: 1 - minimální, 5 - maximální

DOPAD HROZEB NA AKTIVA

Tabulka č. 3

0

0

0

0

0

0

0

0

tisk

5

5

3

1

4

5

3

2

5

5

3

1

4

5

3

2

3

2

3

1

2

5

3

2

Ostatní Serverov Snímací zařízení ny zařízení IS

5

5

5

4

5

5

3

2

data

4

4

2

1

5

5

3

2

aplikace

Osobní data

2

1

5

3

1

3

2

1

tisk

2

1

3

1

3

4

2

1

Fyzické objekty

0

0

1

1

4

5

3

2

0

0

1

1

3

4

2

1

Perso Perso nál nál vnitřn extern


Tab. 3 – Dopady hrozeb na aktiva

51

52

1

3



2

1

3

1

3

3

2

2

3

Prozrazení externí (třetím osobám)

Ztráta / nedostupnost trvalá Prozrazení interní

2

Nedostupnost dny

2

2

1

3

3

1

3

2

3

1

3

3

3

1

2

3

1

0

0

2

2

2

4

3

4

Nedostupnost hodiny

1

3

Nedostupnost minuty

1


data

aplikace (spustitelný program)

data

popis hrozby

tisk

Komunikace

Aplikace

Škála hodnocení: 1 - minimální, 5 - maximální

PRAVDĚPODO BNOST INCIDENTU

Tabulka č. 4

0

0

0

0

0

0

0

0

tisk

2

1

3

0

2

3

3

3

4

0

4

0

4

2

3

4

1

3

3

0

4

3

3

4


3

1

4

4

3

2

3

4

data

3

1

3

3

3

3

2

3

aplikace

Osobní data

1

1

3

3

2

1

2

3

tisk

1

2

0

0

2

1

2

3

Fyzické objekty

0

0

2

0

2

3

3

4

0

0

0

0

3

2

3

4

Person Perso ál nál vnitřní extern

Jana Fortinová

Tab. 4 – Pravděpodobnost incidentu



6. Významná rizika systému Tím, že se v rámci úloh realizovaných dotčeným informačním systémem budou zpracovávat osobní údaje občanů, vyplývá požadavek na to, aby se ošetřila rizika, která souvisí se ztrátou, modifikací či nedostupností zpracovávaných dat. V daném případě rizika nejvyšší úrovně souvisí především s: falšováním uživatelské identity, neoprávněným použitím aplikace, aktivním či pasivním narušením komunikace, chybou uživatelů či obsluhy. Zabezpečení požadovaných služeb má úzkou vazbu na potenciální rizika, která jsou spojena s informačními aktivy jak ve vztahu k vytváření, distribuci, ukládání či skartaci spravovaných údajů, tak i ve vazbě na uživatele systému. Cílem útoků se mohou stát kterékoliv části informačního systému nebo jeho obsahu, které mají z pohledu vlastníka nebo útočníka jistou hodnotu. Útokem na systém při jeho využití a v souladu s výše zmíněnou normou ČSN EN ISO 27799 rozumíme neautorizovanou činnost, kterou se vnitřní nebo vnější subjekt (útočník, narušitel) snaží dosáhnout zejména některého z následujících záměrů: získání datové základny informačního systému nebo její části; modifikace datové základny informačního systému (zrušení údajů, falšování existují-cích nebo vložení podvržených údajů); ovlivnění, narušení nebo zničení činnosti informačního systému nebo některého z jeho subsystémů. Za nejvážnější odhadnutá rizika lze v této souvislosti považovat: zneužití uložených dat, ztrátu dostupnosti služeb, zveřejnění chráněných informací neoprávněným uživatelům, náhodnou nebo úmyslnou modifikaci dat. S výše uvedenými riziky pak souvisí mj.: selhání autentizačních a autorizačních metod: o prolomení autentizačních mechanismů; o zneužití oprávnění administrátora. A musíme též uvažovat i s riziky v oblasti technologií, jako např.: havárií datové základny IS: o selhání HW; o selhání SW. V souladu s výše uvedenými závěry lze za významná rizika informačního systému považovat:


53

Jana Fortinová

Název rizika Zneužití dat koncovým uživatelem Ztráta dat Neoprávněný přístup k datům Poškození dat

Zneužití dat privilegovaným uživatelem (administrátoři systému) Neoprávněná publikace dat

Popis rizika Zneužití dat sejmutých od klienta. Neoprávněný uživatel může přenést data klienta do výpočetního zařízení, které je mimo zabezpečovaný perimetr systému. Nevratná ztráta evidovaných dat z úložiště systému. Narušení správy oprávněných přístupů. Nesprávné nastavení uživatelských přístupů k datům, nerespektování autorizačních požadavků. Úmyslné nebo neúmyslné poškození dat uživatelem s nadstandardním oprávněním (privilegovaní uživatelé, např. administrátoři systému). Nadstandardní oprávnění umožňují přístup k detailním datům jak na úrovni jádra systému, tak i na úrovni komunikační technologie. U privilegovaných uživatelů vzniká vyšší riziko zneužití snímaných i evidovaných dat. Neúmyslná publikace sejmutých dat získaných z komunikačního protokolu.

Tab. 5 Významná rizika systému

7. Stanovení výsledné míry rizika V metodice CRAMM je míra rizika pro každou skupinu aktiv stanovena spojením hodnoty aktiva s hodnocením rizika a zranitelnosti. K tomu se využívá stupnice 1 – 7. Tyto míry rizika jsou pak využity ke stanovení příslušného bezpečnostního opatření, které má dané riziko eliminovat. Úroveň opatření se pak pohybuje od akceptace (ošetření daného rizika by přineslo vyšší náklady, než by byl dopad při uskutečnění hrozby) až po okamžité přijmutí významných opatření směřujících k řešení daného rizika. V našem případě byla zvolena metoda analýzy rizik využívající matice aktiv, hrozeb a zranitelností. Hodnoty z tabulek, tj. pravděpodobnost vzniku hrozby, hodnota aktiva a zranitelnost daného aktiva jsou podkladem k výpočtu rizik. Vypočtenou míru rizik pak můžeme vyjádřit ve formě matice rizik. K hodnocení míry jednotlivých rizik (inherentního, reziduálního a cílového) bude použita tzv. součtová matice [5]. V této etapě se řeší ohodnocení inherentních rizik (tj. bez zohlednění již existujících opatření), následující hodnocení již bude obsahovat i stanovení míry rizika reziduálního popř. cílového. Pro zpracování analýzy rizik v rámci daného informačního systému byla zvolena stupnice, kde jsou hodnoty strukturovány do „oblastí“, takže můžeme danou veličinu zařadit pod položku 1 = velmi nízké - prakticky nepravděpodobné, 2 = nízké – málo pravděpodobné, apod. Numerické údaje tedy nevyjadřují hodnotu nebo kvantitu veličiny, ale příslušnost do dané oblasti. Míra rizika 2 – 4 znamená, že je možné dané riziko akceptovat, toto riziko není vyřazeno z evidence, nejsou přijata žádná opatření, která by vedla k eliminaci tohoto 54



rizika, většinou se jedná o rizika, u kterých by náklady spojené s odpovídajícím opatřením byly vyšší než potenciální dopad uskutečněné hrozby. Míra rizika 5 – 7 značí, že se jedná o riziko, které vyžaduje přijetí adekvátních opatření, v rámci ošetření tohoto rizika je nutné zpracovat plán mitigace (ošetření) tohoto rizika a příslušné činnosti budou průběžně sledovány v rámci správy rizik. Dané riziko bude posouzeno při pravidelné kontrole (vesměs se jedná o pravidelné každoroční aktivity). Míra rizika 8 – 10 ukazuje na kritickou oblast a vyžaduje okamžité přijetí nápravy. Výše jsou uvedeny tabulky, které ilustrují dopad hrozby na dané aktivum (tabulka č. 3) a pravděpodobnost výskytu incidentu (tabulka č. 4). Podle stanovené metodiky můžeme vypracovat souhrnnou tabulku, která sumarizuje inherentní rizika v námi analyzovaném systému. Byly identifikovány nejvyšší míry rizika ve vztahu k výše uvedeným hrozbám; ty se nacházejí v nejtmavších (tmavošedých) polích v tabulce (hodnoty>7) a je třeba je bezpodmínečně řešit. Rizika v středně tmavých (středně šedých) polích v tabulce (hodnoty 5-7) by měla být rovněž řešena, a to po diskusi mezi řešiteli a objednatelem. Rizika v nejméně tmavých (světle šedých) polích v tabulce (hodnoty<5) lze akceptovat.


55

56 data

6 (5 + 1)

8 (5 + 3)



6 (4 + 2)

4 (2 + 2)

2 (1 + 1)

8 (5 + 3)

5 (2 + 3)

5 (4 + 1)

6 (3 + 3)

2 (1 + 1)

6 (3 + 3) 2 (1 + 1)

7 (5 + 2)

Nedostupnost 7 dny (5 + 2)

4 (2 + 2)

2 (1 + 1)

7 (5 + 2)

5 (3 + 2)

Nedostupnost 6 hodiny (3 + 3)

Ztráta / 8 nedostupnost (5 + 3) trvalá Prozrazení 7 interní (4 + 3) Prozrazení externí 8 (třetím (5 + 3) osobám)

3 (2 + 1)

Nedostupnost 5 minuty (2 + 3)

8 (5 + 3)

6 (5 + 1)

5 (2 + 3)

4 (1 + 3)

8 (5 + 3)

5 (4 + 1)

5 (3 + 2)

5 (1 + 4)

8 (5 + 3)

6 (5 + 1)

0

0

5 (3 + 2)

6 (4 + 2)

5 (3 + 2)

5 (1 + 4)


tisk


popis hrozby

data

Komunikace

Aplikace

ÚROVEŇ RIZIKA

Tabulka č. 6

0

0

0

0

0

0

0

0

tisk

7 (5 + 2)

6 (5 + 1)

6 (3 + 3)

0

6 (4 + 2)

8 (5 + 3)

6 (3 + 3)

5 (2 + 3)

9 (5 + 4)

0

7 (3 + 4)

0

8 (4 + 4)

7 (5 + 2)

6 (3 + 3)

6 (2 + 4)

4 (3 + 1)

5 (2 + 3)

6 (3 + 3)

0

6 (2 + 4)

8 (5 + 3)

6 (3 + 3)

6 (2 + 4)


8 (5 + 3)

6 (5 + 1)

9 (5 + 4)

8 (4 + 4)

8 (5 + 3)

7 (5 + 2)

6 (3 + 3)

6 (2 + 4)

data

7 (4 + 3)

5 (4 + 1)

5 (2 + 3)

4 (1 + 3)

8 (5 + 3)

8 (5 + 3)

5 (3 + 2)

5 (2 + 3)

aplikace

tisk

3 (2 + 1)

2 (1 + 1)

8 (5 + 3)

6 (3 + 3)

3 (1 + 2)

4 (3 + 1)

4 (2 + 2)

4 (1 + 3)

Osobní data

3 (2 + 1)

3 (1 + 2)

0

0

5 (3 + 2)

5 (4 + 1)

4 (2 + 2)

4 (1 + 3)

0

0

3 (1 + 2)

0

6 (4 + 2)

8 (5 + 3)

6 (3 + 3)

6 (2 + 4)

0

0

0

0

6 (3 + 3)

6 (4 + 2)

5 (2 + 3)

5 (1 + 4)

Fyzické Personál Personál objekty vnitřní externí

Jana Fortinová

Tab. 6 – Vyhodnocení úrovně rizika



8. Závěr Výše popsaná analýza rizik ukázala, jaká hrozí rizika zkoumanému informačnímu systému a která z nich bude nutno řešit. Přitom je třeba upozornit na to, že podle použité metodiky do zmíněných tabulek jsou nyní zanesena tzv. inherentní rizika, to znamená, že nejsou při hodnocení uvažována bezpečnostní opatření v informačním systému již realizovaná nebo navrhovaná. Analýza rizik daného systému je právě koncipována tak, aby poskytla resumé, zda realizovaná opatření jsou adekvátní ke zjištěným hrozbám. Tyto závěry mohou vést k efektivnímu směrování budovaného systému řízení rizik. V další etapě prací budou k těmto rizikům stanovena bezpečnostní opatření, která budou směřovat k jejich eliminaci, tj. povedou ke stanovení hodnoty reziduálního rizika, popř. až na cílovou hodnotu rizika. Při hodnocení inherentního rizika se neberou v úvahu žádná opatření, která jsou doposud v systému organizace implementována. Při stanovení reziduálního rizika je naopak nutno brát v úvahu všechna opatření, která jsou, resp. v tomto případě budou v prostředí informačního systému implementována. Cílové riziko vychází ze strategického manažerského rozhodnutí, kde je stanovena míra daného rizika, která je již plně akceptovatelná.

Poděkování Tento článek vznikl za podpory grantu GAČR P 403-10-0092 (Advanced Principles and Models for Enterprise ICT Management)

Literatura [1] Smejkal, V. Fortinová, J. Risk Management in Information Systems Building. Systémová integrace, 2012, roč. 19, č. 3, ISSN 1210-9479. [2] [3] [4]

[5] [6]

www.cramm.com Kruliš, J. Jak vítězit nad riziky. Aktivní management rizik – nástroj řízení úspěšných firem. Praha: Linde, 2011. ISBN 978-80-7201-835-2, s. 135 a násl. Mates, V., Smejkal, V.: E-government v České republice. Právní a technologické aspekty. 2. podstatně přepracované a rozšířené vydání. Praha: Leges 2012, 456 str., ISBN 978-80-87576-36-6, s. 420 a násl. Smejkal, V., Rais, K. Řízení rizik ve firmách a jiných organizacích. 3. vydání. Praha: GRADA, 2009. ISBN 978-80-247-3051-6, s. 110. Příručka manažera XVI. – Pohled nejen CIO na informační bezpečnost. Praha: TATE International, s.r.o., 2012, ISBN 978-80-86813-25-7, s. 109.

JEL D81, M15


57

Analýza rizik informačního systému nakládajícího s osobními údaji

Recommend Documents