BEZPEČNÁ POČÍTAČOVÁ SÍŤ
OCTAVE ÚVOD DO METODIKY OCTAVE
Velká závislost organizací na informačních systémech s sebou přináší také nemalé požadavky na zabezpečení zpracovávaných a uložených informací. Důvěrnost, dostupnost a integrita informačních aktiv jsou kritické parametry pro dosažení obchodních cílů organizace. Nicméně velká řada organizací se ve svých bezpečnostních strategiích pro své informační systémy výhradně zaměřuje na technologické zranitelnosti. Zcela zapomínají, že základem bezpečnosti je ochrana informací. To mimo jiné vede k velkému rozkolu mezi požadavky na business organizace a požadavky na informační technologie. Velmi často pracovníci IT nemají téměř ponětí o obchodních cílech své organizace a nerozumí tak interním procesům a potřebám obchodu a výroby. Není vždy jasné, zda jsou velmi důležité informace dostatečně ochráněny nebo zda jsou vynakládány velké prostředky na ochranu něčeho, co pro obchodní cíle organizace má minimální význam. V takové situaci pracovníci IT oddělení nebfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
dokáží efektivně komunikovat s obchodními a provozními odděleními v rámci organizace. Toto je také stav, kdy lze předpokládat, že je organizace vystavena velkému riziku bezprostředního narušení bezpečnosti svých informačních aktiv. Riziko je možnost způsobení škody nebo ztráty. Je to potenciál pro realizaci negativního dopadu na obchodní cíle organizace a její klíčová aktiva. To se vztahuje na situace, kdy kdokoli může udělat cokoli nechtěného nebo kdy přírodní hrozby způsobí škodu či jiné narušení bezpečnosti a způsobí tak negativní dopad nebo následek. Prvním krokem pro správné řízení rizik je poznání, která rizika mohou organizaci ohrozit a způsobit tak negativní dopady na obchodní cíle organizace a její klíčová aktiva. Komplexní hodnocení rizik je cesta, která odhalí všechna potenciální rizika, jež mohou být brána v úvahu. Pokud jsou rizika identifikována a ohodnocena, mohou pracovníci sestavit plány na jejich snížení. Zpravidla je vždy vhodné se primárně zaobírat riziky, která mohou způsobit nejhorší následky. Některé současné přístupy k řízení informačních rizik mají tendenci být nekompletní. Postrádají identifikaci všech komponent rizika - aktiv, hrozeb anebo zranitelností. Organizace tak nemají dostatečné informace pro vytvoření strategie ochrany informačních aktiv, pro její specifikaci založenou na skutečných ohodnocených rizicích ani pro přizpůsobení této strategie obchodním cílům organizace. Mnoho organizací si také nechává zpracovat hodnocení informačních rizik externě a v nepravidelných intervalech, což s sebou nese značné nevýhody. Organizace tak nemá implementovány procesy, jak hodnotit bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
rizika kontinuálně. Externí hodnocení nemusí vždy postihnout všechny aspekty, které mohou vést ke zvýšení potence rizika, protože nedokáže odhadnout perspektivu, kam se bude organizace v budoucnu ubírat. Vlastní proces pro řízení rizik, implementovaný do vnitřních procesů organizace, zajistí detailní identifikaci, analýzu a vyhodnocení bezpečnostních rizik a také dostatek vstupů pro vytvoření adekvátní a přesně odpovídající strategie pro jejich zvládání, eliminaci či využití. OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation) definuje nezbytné součásti pro komplexní, detailní a systematické hodnocení informačních rizik. Při využívání metodiky OCTAVE má organizace dostatek vstupů pro důležitá rozhodnutí týkající se zajištění dostupnosti, důvěrnosti a integrity jejích informačních aktiv a informačních technologií. OCTAVE dává dohromady provozní, obchodní, bezpečnostní a IT oddělení tak, aby všechny procesy řízení rizik byly plně v souladu s obchodními cíli organizace. Pouze tehdy, když je strategie ochrany informačních aktiv v souladu s obchodní strategií organizace, je možné postihnout a zvládnout všechna bezpečnostní rizika. Na základě třífázového přístupu zkoumá metodika OCTAVE všechny organizační a technologické záležitosti k sestavení vyčerpávajícího pohledu na potřeby informační bezpečnosti v organizaci. Fáze metodiky OCTAVE jsou následující: • Fáze 1 Sestavení profilu hrozeb a aktiv - V této fázi jsou v rámci organizace identifikována a hodnocena důležitá informační aktiva, hrozby aktiva ohrožující, bezpečnostní slabiny v politikách, procesech a v praktikách organizace (zranitelnosti organizace).
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
• Fáze 2 Identifikace zranitelností infrastruktury V této fázi je identifikována technologická infrastruktura organizace. Klíčové provozní komponenty informačních technologií jsou zkoumány s ohledem na jejich slabiny (technologické zranitelnosti), které mohou vést k narušení bezpečnosti. • Fáze 3 Vytvoření bezpečnostní strategie a plánů - V této fázi jsou rizika identifikována, analyzována a vyhodnocena. Jsou zpracovány podklady vytvořené na základě hodnocení organizace, jejích aktiv, hrozeb a zranitelností (fáze 1 a 2) a jsou identifikovány dopady, které mohou organizaci negativně ovlivnit. Je vytvořena bezpečnostní strategie a sestaveny plány na zvládání rizik, které jsou primárně zaměřeny na nejvíce kritická rizika.
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
CHARAKTERISTIKA OCTAVE
Pokud si organizace nechává provést hodnocení rizik prostřednictvím outsourcingu, může se stát, že její pracovníci nejsou plně začleněni do rozhodovacích procesů (např. při identifikaci rizik určených k akceptaci). Interní pracovníci se spoléhají na posouzení externích expertů a nemají tak vůli porozumět nebo se spolupodílet na činnostech hodnocení rizik, které jsou prováděny externími konzultanty. Pokud je rozhodnutí nebo doporučení externích expertů přijato bez interního posouzení, pracovníci organizace nemohou zpravidla porozumět, jak k takovému rozhodnutí došlo nebo na základě jakých vstupů bylo dáno určité doporučení. Odpovědnost je tak přenesena na externí konzultanty, kteří však nemohou být odpovědni za interní procesy organizace. Výsledkem je pak nedostatečné zavedení doporučení a opatření na zvýšení bezpečnosti, která musí být v plném souladu s obchodními cíli organizace, její kulturou a musí být bez výjimek
Interní zavedení OCTAVE
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
přijata všemi dalšími pracovníky, kteří mohou potenciálně svým chováním způsobit negativní dopad. Analytický tým
Nepočetný tým pracovníků organizace - analytický tým - řídí a provádí všechny činnosti OCTAVE a analyzuje všechny informace. Pracovníci organizace jsou tudíž plně a aktivně začleněni do rozhodovacích procesů v rámci řízení informačních rizik. Metodika OCTAVE vyžaduje sestavení mezioborového analytického týmu, který zahrnuje odborné pracovníky z businessu a zároveň bezpečnostní a technologické experty. Typicky tým sestává z třech až pěti odborníků v závislosti na velikosti organizace a na rozsahu analýzy. Základní úkoly analytického týmu jsou: • Provedení workshopů v rámci fáze 1 • Získání všech podpůrných informací, které jsou potřeba • Identifikace aktiv, hrozeb, zranitelností a rizik • Analýza a vyhodnocení rizik • Vytvoření bezpečnostní strategie pro organizaci • Sestavení plánů pro zvládání rizik založených na provedeném hodnocení rizik Je zřejmé, že analytický tým musí znát organizaci, její strukturu, vnitřní procesy a zejména obchodní cíle a strategii. Členové týmu musí mít kvalitní znalosti z oblasti informační i technologické bezpečnosti, dobré komunikační schopnosti a zkušenosti s prezentováním výsledků své práce. Je také velmi důležité, aby měl analytický tým dostatečné pravomoci k rozhodnutím v průběhu analýzy i po ní. I když by měli být členové analytického týmu znalí
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
organizace a jejích procesů, není možné, aby byli detailně zběhlí ve všech činnostech. Proto je běžné, že tým provádí workshopy s dalšími pracovníky organizace, kteří znají dokonale svou specifikou práci. Pro provádění těchto workshopů a tím úkolování dotčených pracovníků musí mít analytický tým dostatečnou pravomoc, aby mohl vyžadovat spolupráci konkrétních lidí. Obdobně je možné dočasné rozšíření týmu o další odborníky z interních nebo externích zdrojů. Například, když jsou analyzovány informační technologie a jejich dopady na informační aktiva, může analytický tým požadovat účast určitých správců systému a administrátorů aplikací, kteří by měli detailně znát technologie a prostředí, v kterém je systém provozován. Obdobně, pokud je stanovována strategie bezpečnosti a jsou sestavovány plány pro zvládání rizik, je více než vhodné přibrat do týmu člena managementu (strategie) a pracovníka, který má znalost interní řídicí dokumentace (plány). Případně je vhodné vždy tyto záležitosti konzultovat s danými odpovědnými pracovníky, nejlépe na úrovni středního a vyššího managementu. Při použití metodiky OCTAVE je vhodné získávat informace a provádět důležitá rozhodnutí v rámci workshopů. Ve fázi 1, kdy jsou shromažďovány informace a další vstupy pro analýzu organizace a souvisejících informačních aktiv, je s pracovníky organizace uspořádána celá řada workshopů, které jsou řízeny analytickým týmem. Účastníci workshopů (dotčené osoby) mohou být z různých oddělení, stejně tak z různých pozic a úrovní řízení. Výstupem z workshopů jsou informace o identifikovaných informačních aktivech, hrozbách ohrožujících aktiva, bezpečnostních poža-
Přístup založený na workshopech
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
davcích na aktiva, zavedených bezpečnostních opatřeních, aktuální strategii bezpečnosti a o slabinách organizace v politikách, procesech a praktikách. Další činnosti, které po workshopech následují ve fázi 1, ale i ve fázi 2 a 3, spočívají v analýze získaných informací a v jejich konsolidaci. Primární odpovědnost za vyhodnocení shromážděných informací je na pracovnících analytického týmu. Workshopy pro vyhodnocení a konsolidaci přinášejí informace o klíčových provozních částech informačního systému, o identifikovaných rizicích působících na organizaci a o možnostech strategie bezpečnosti. Výstupem z těchto workshopů jsou také návrhy na sestavení plánů pro zvládání rizik a návrh dalších bezpečnostních opatření. Katalogy informací
Metodika OCTAVE využívá následující důležité katalogy informací: • Katalog bezpečnostních praktik - seznam opatření pro prosazení strategie bezpečnosti a zajištění ochrany aktiv; • Profil hrozeb - seznam hrozeb, které by organizace při analýze měla uvažovat; • Katalog zranitelností - seznam technologických zranitelností (závisí na použitých technologiích). Organizace, která pro hodnocení využívá metodiku OCTAVE, porovnává vlastní aktuální stav s výše zmíněnými katalogy informací. V průběhu fáze 1 využívají pracovníci analytického týmu katalogy k identifikaci praktik (protiopatření), které jsou zavedeny a využívány (aktuální zavedená bezpečnostní opatření) a k identifikaci nedostatků v bezpečnosti (slabiny systému, zranitelnosti organizace). Analytický
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
tým rovněž využívá katalog bezpečnostních praktik při vytváření nové strategie bezpečnosti, která je výstupem z fáze 3. Pokud musí být organizace v souladu s určitým standardem nebo normou, měl by být katalog praktik přizpůsoben danému standardu nebo normě. Organizace poté využívá upravený katalog bezpečnostních praktik, které jsou plně v souladu s obchodní strategií organizace a také s průmyslovými standardy, které organizace pro svůj business využívá. Poté, co analytický tým identifikuje kritická aktiva organizace, je využit profil hrozeb, na základě kterého jsou určeny a ohodnoceny dopady na aktiva. Tyto činnosti jsou prováděny na konci fáze 1. Ve fázi 2, kdy jsou analyzovány technologické zranitelnosti systému, je vhodné využít různé softwarové nástroje k identifikaci a ohodnocení daných zranitelností. Vhodný softwarový nástroj by měl obsahovat vlastní seznam zranitelností a slabin technologií, které organizace ve svých informačních systémech využívá. Výběr softwarových nástrojů je závislý na používaných technologiích a při analýze metodikou OCTAVE jsou zpracovávány pouze výsledky těchto technologických analýz. Proto jsou výběr a využití softwarových nástrojů na metodice OCTAVE zcela nezávislé.
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
FÁZE A PROCESY METODIKY OCTAVE
Každá fáze metodiky OCTAVE obsahuje několik procesů. Následující seznam ukazuje, které procesy jsou vykonávány v dané fázi: • Fáze 1 Sestavení profilu hrozeb a aktiv - Proces 1: Workshopy s vyšším managementem - Proces 2: Workshopy se středním managementem - Proces 3: Workshopy s dalšími pracovníky organizace - Proces 4: Vytvoření profilu hrozeb • Fáze 2 Identifikace zranitelností infrastruktury - Proces 5: Identifikace klíčových částí systému - Proces 6: Hodnocení klíčových částí systému • Fáze 3 Vytvoření bezpečnostní strategie a plánů - Proces 7: Provedení analýzy rizik - Proces 8: Vytvoření bezpečnostní strategie a plánů
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
Přípravná fáze: Plánování
O důležitosti plánovací fáze není nutné diskutovat. Jedná se o velmi důležitý krok, který tvoří základ pro všechny následující činnosti. Klíčové faktory úspěchu této fáze plánování jsou následující: • Získání podpory managementu - Podpora managementu organizace je kritický faktor úspěchu, který může výrazným způsobem ovlivnit průběh i výsledky hodnocení rizik. Každá analýza, aby byla úspěšná, vyžaduje kromě práce analytického týmu participaci dalších pracovníků - respondentů. Pro správné provedení analýzy pomocí metodiky OCTAVE je mj. nutná spolupráce nejvyššího managementu. Pokud se však management bude hned od začátku vyhýbat spolupráci a nebude tak prokazovat svou podporu činnostem analýzy, chuť ostatních respondentů poskytovat vstupní informace bude nulová. Pracovníci se nebudou chtít účastnit workshopů, na kterých analytický tým získává pro hodnocení rizik zásadní informace, bez nichž není možné pokračovat v dalších pracích a projekt hodnocení analýzy dokončit. Pokud nižší personál vidí, že se management zajímá o průběh i výsledky hodnocení rizik, získá analytický tým dostatečnou autoritu ke sjednávání workshopů. Nenastane tak situace, že se činnosti pozastaví nebo nečekaně ukončí z důvodu neúčasti důležitých respondentů na workshopech. • Sestavení analytického týmu - Analytický tým je odpovědný za řízení a provádění činností analýzy. Členové týmu musí mít dostatečné schopnosti vést takový projekt a uspokojivé znalosti v oblasti řízení informačních rizik. Je více než vhodné, aby se analytický tým mohl v kritických chvílích opřít o znalosti externích konzultantů nebo jiných odborníků uvnitř nebo vně organizace.
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
• Stanovení rozsahu analýzy OCTAVE - Definice rozsahu analýzy je zásadním krokem, který významně ovlivňuje zejména plánování zdrojů na provedení celého projektu. Pokud má být hodnocení rizik opravdu komplexní a detailní, mělo by zahrnovat všechny důležité řídicí i provozní činnosti organizace. Rozsah by však neměl být příliš široký, aby analytický tým dokázal postihnout všechny detaily. • Výběr dotčených osob a respondentů - Workshopy s respondenty jsou určeny pro získání informací o detailech vnitřních procesů organizace, které mohou významně ovlivňovat profil hrozeb a celkově úroveň rizik. Respondenti jsou zpravidla pracovníci organizace využívající informační aktiva zahrnuté do rozsahu analýzy OCTAVE. Je důležité, aby respondenti dobře rozuměli hodnocené oblasti, za kterou mají odpovědnost. Není správné, aby se workshopu účastnil pouze pracovník, který má právě čas. Je vhodné, aby pracovníci byli na workshopech zastoupeni napříč všemi úrovněmi organizační struktury organizace. Základními cíli této přípravné plánovací fáze je zajistit, aby rozsah analýzy byl jednoznačně stanoven, aby byla získána maximální podpora ze strany managementu a aby byl řádně sestaven odborný analytický tým. Členové týmu i ostatní dotčené osoby - respondenti - musí správně chápat své role a musí aktivně participovat na činnostech analýzy. Činnosti, které by měly být v rámci této fáze provedeny, jsou následující: 1. Získat podporu managementu. Zásadní krok (viz výše), který musí být proveden jako první. Ideální je představení celého projektu formou prezentace na zasedání managementu. bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
2. Sestavit analytický tým. Kombinace znalostí členů týmu by měly pokrývat oblast bezpečnosti (zejména řízení rizik), vnitřní procesy v organizaci, informační technologie, případně další oblasti. Velikost týmu by měla být tři až pět členů s ohledem na velikost organizace a rozsah projektu. Do výběru členů analytického týmu by měl být začleněn vyšší management (toto také napomůže získání podpory managementu). Některý z členů týmu by měl znát organizaci jako celek, aby mohl optimálně navrhovat respondenty pro workshopy. 3. Vyškolit analytický tým. Analytický tým musí být vyškolen v aplikaci metodiky OCTAVE. Každý z členů týmu musí dokonale chápat svou roli v každé činnosti hodnocení včetně prováděných workshopů. 4. Stanovit rozsah analýzy. Klíčová činnost (viz výše), která zásadním způsobem ovlivňuje úspěch projektu a spotřebu zdrojů. Je velmi vhodné, aby do stanovování rozsahu byl zahrnut vyšší management, případně aby stanovený rozsah schválil před započetím prací. 5. Vybrat respondenty. Workshopy jsou prováděné s respondenty, kteří jsou konkrétními uživateli hodnocených informačních aktiv. Výběr vhodných respondentů je zásadní činností při analýze (viz výše). 6. Zajistit potřebné zdroje. Pokud se analytický tým může spolehnout na podporu vyššího managementu, nemělo by být získání potřebných zdrojů problémem. Je vhodné též pamatovat například na takové detaily, jako že počet workshopů může dosáhnout několika desítek a že je pro ně nutné zajistit zasedací místnosti a případně další zdroje, které bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
mohou být požadovány i jinými pracovníky. Provádění interního hodnocení rizik vždy svým způsobem zatěžuje organizaci a její pracovníky ve všech směrech. 7. Seznámit respondenty s průběhem workshopů. Provedení krátkého školení respondentů a případně dalších dotčených osob zajistí hladký průběh workshopů. Je vhodné je seznámit s průběhem rozhovorů, obsahem a i se způsobem prezentace výsledků hodnocení rizik. Je také nutné respondenty ujistit, že cílem workshopů není kontrola (audit) jejich pracovních náplní, ale spíše získání povědomí, jakou hodnotu pro ně mají analyzovaná informační aktiva. Pokud je přípravná plánovací fáze ukončena, je možné přejít do fáze 1 a začít činnosti vedoucí k vytvoření profilu hrozeb ohrožujících aktiva organizace. OCTAVE umožňuje odpovědným členům analytického týmu vytvořit profil založený na prioritách a na úrovni důležitosti informačních aktiv pro organizaci. V průběhu fáze 1 uskutečňuje analytický tým workshopy s respondenty skrze celou organizaci v souladu s definovaným rozsahem analýzy. Během workshopů identifikují respondenti důležitá informační aktiva a jsou diskutovány dopady na organizaci, pokud by došlo k narušení bezpečnosti těchto aktiv (dat). Workshopy jsou zpravidla rozděleny do třech kategorií podle organizační struktury - vyšší management, střední management, ostatní pracovníci. Je vhodné, aby byly pro různé úrovně vedení uspořádány separátní workshopy, aby se nemíchaly různé pohledu na dopady při narušení bezpečnosti. Je také užitečné, aby byly workshopy rozděleny také podle oddělení, aby nedošlo například k tomu, že při jednom setkání bu-
Fáze 1: Sestavení profilu hrozeb a aktiv
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
dou dohromady hodnoceny dopady z pohledu obchodního oddělení a z pohledu facility manažera. Cílem workshopů je z různých pohledů jednotlivých oddělení a úrovní řízení identifikovat následující vstupy pro hodnocení rizik: • Důležitá informační aktiva a relevantní dopady narušení bezpečnosti • Uvažované hrozby ohrožující aktiva organizace • Bezpečnostní požadavky • Aktuální strategie bezpečnosti • Zranitelnosti organizace (slabiny v politikách, procesech a praktikách) Aktivum je vše, co má pro organizaci určitou hodnotu. Aktivum může zahrnovat například data, systémy, software, hardware a lidi. Metodika OCTAVE vyžaduje, aby respondenti za pomoci analytického týmu prozkoumali a stanovili hodnotu těchto aktiv na základě potenciálních dopadů narušení bezpečnosti. Například, co by se stalo, pokud by byla určitá data vymazána bez možnosti obnovení ze záloh. Nebo jaký by byl dopad na provoz organizace, pokud by nebyl v provozu billingový systém. Pomocí informací od respondentů jsou také identifikovány potenciální hrozby, které mohou aktiva organizace ohrozit. Úroveň hrozby je pravděpodobnost, s jakou může dojít k negativnímu dopadu. Příkladem může být situace, kdy se neidentifikovatelná osoba (např. hacker) snaží získat přístup do systému nebo kdy se zaměstnanec „prochází“ po adresářové struktuře na souborovém serveru a cíleně hledá informace, které jsou pro něj nepřístupné. Hrozbou jsou také příbfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
rodní katastrofy a jiné fyzické hrozby, jako např. požár, poškození vodou nebo krádeže a úmyslná poškození. Úroveň hrozby je opět stanovena na základě scénářů, které popisují respondenti v průběhu workshopů. Výsledkem je sestavení profilu potenciálních hrozeb včetně jejich úrovní. Dalším krokem je identifikace bezpečnostních požadavků. V rámci metodiky OCTAVE jsou požadavky na ochranu aktiv založeny na třech základních parametrech bezpečnosti, které zmiňuje mj. i norma ISO/IEC 17799: • Důvěrnost - potřeba chránit data před neoprávněným přístupem osob; • Integrita - potřeba zachovat autenticitu, správnost a úplnost dat; • Dostupnost - potřeba zajistit, aby data byla oprávněným osobám k dispozici vždy v případě jejich využívání. Následně je identifikována aktuální strategie bezpečnosti od té nejvyšší úrovně - politiky, standardy - až po konkrétní bezpečnostní opatření - délka hesla, způsoby řízení přístupu apod. Jsou také identifikovány všechny praktiky a procesy s vlivem na bezpečnost, které ji mohou narušit nebo naopak pomoci v jejím prosazení. Aktuální stav bezpečnosti je vhodné diskutovat na workshopu, kterého se účastní pracovníci oddělení informačních technologií a pracovníci oddělení bezpečnosti. Oblast fyzické bezpečnosti je ideální diskutovat s facility manažerem. Při analýze aktuálního stavu bezpečnosti je nutné se dívat na bezpečnostní praktiky a opatření ze dvou pohledů: nejprve zkoumat jejich aktuální stav, tady jak organizace chrání svá aktiva, a poté hledat potenciální slabiny, které mohou být bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
určitými hrozbami využity, aby byl způsoben negativní dopad. Jsou tedy analyzovány tzv. zranitelnosti organizace, které spočívají v nedostatcích v bezpečnostních politikách či jiné dokumentaci, ve slabých místech vnitřních procesů, kdy aktiva nejsou dostatečně chráněna zejména před oprávněnými uživateli zaměstnanci organizace. Je nutné poznamenat, že každý výstup z workshopu je ovlivněn aktuálním pohledem zpovídaných respondentů, jejich pozicí v organizaci a pracovní náplní. V průběhu konečného hodnocení výsledků workshopů musí analytický tým konsolidovat získané informace a případně protichůdné názory znovu prodiskutovat. Proces 1-3: Workshopy
V průběhu workshopů by měly být identifikovány následující informace a provedeny tyto činnosti: 1. Identifikovat aktiva organizace a určit jejich hodnotu z pohledu narušení bezpečnosti. 2. Identifikovat kritické oblasti potenciálních hrozeb. Respondenti za pomoci analytického týmu sestavují různé scénáře narušení bezpečnosti aktiv. Tyto scénáře ukazují potenciální hrozby, které mohou hodnocené následky způsobit. Proto je vhodné v průběhu těchto rozhovorů také identifikovat oblasti hrozeb, které budou detailně zkoumány v procesu 4. 3. Identifikovat bezpečnostní požadavky na důležitá aktiva. Bezpečnostní požadavky jsou definovány z pohledu důvěrnosti, dostupnosti a integrity. 4. Shrnout aktuální strategii bezpečnosti. V průběhu této činnosti jsou identifikovány současné zavedené bezpečnostní praktiky v organizaci, které mohou být porovnány s nejlepšími bezpečnostními
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
praktikami (best practices), aby byly zjištěny slabiny a nedostatky v ochraně aktiv. V průběhu této činnosti členové analytického týmu určují kritická aktiva organizace a hrozby, které mohou způsobit na aktivech potenciální negativní následky. Nyní je vhodné dát dohromady všechny informace získané v předchozích činnostech a vytvořit tak profil hrozeb pro každé kritické aktivum. V rámci procesu 4 jsou provedeny následující činnosti:
Proces 4: Vytvoření profilu hrozeb
1. Seskupit aktiva, bezpečnostní požadavky, oblasti potenciálních hrozeb a další informace, které byly získány z různých pohledů respondentů. Cílem je vytvořit integrovaný pohled na kritická aktiva, oblasti hrozeb a aktuální požadavky na bezpečnost. 2. Vybrat nejvíce kritická aktiva. Seskupené informace jsou detailně analyzovány a jsou určena aktiva, jejichž narušení bezpečnosti může nejvíce ovlivnit podnikatelské cíle a poslání organizace. 3. Detailně specifikovat bezpečnostní požadavky na nejvíce kritická aktiva. S ohledem na minulý krok by měly být detailně upřesněny požadavky na nejvíce kritická aktiva. Tyto požadavky budou později jedním ze základních kamenů nové strategie bezpečnosti. 4. Identifikovat hrozby ohrožující nejvíce kritická aktiva. Pro každé takové aktivum je vytvořen a detailně upřesněn profil (seznam) hrozeb včetně potenciálních zdrojů hrozeb. Zdrojem pro tento detailní seznam je katalog hrozeb, který byl vytvořen v rámci předchozích činností. Fáze 1 hodnotí pohled na rizika z pohledu informačních aktiv, potenciálních hrozeb a následků k nim vztabfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
žených. Následující druhá fáze metodiky OCTAVE se zaměřuje na technologie a technickou bezpečnost. Fáze 2 Identifikace zranitelností infrastruktury
Hodnocení zranitelností je systematické zkoumání využívaných technologií tak, aby bylo zjištěno, zda jsou implementovaná bezpečnostní opatření adekvátní k požadovanému zajištění informačních aktiv. Cílem hodnocení zranitelností je odhalit bezpečnostní slabiny a nedostatky, které mohou vést ke způsobení negativních následků. Je také velmi vhodné analyzovat účinnost opatření po jejich implementaci a tím potvrdit jejich správné zavedení a používání. Zranitelnost je slabina v informačním systému a v souvisejících bezpečnostních opatřeních, procesech, procedurách a praktikách. Úroveň zranitelnosti je hodnocena jako pravděpodobnost, s jakou hrozba může úspěšně zranitelnost využít a tím způsobit negativní dopad. Technologické zranitelnosti mohou být seskupeny do následujících oblastí: • Zranitelnosti návrhu - slabiny, které vznikly již při návrhu systému, aplikace nebo zařízení. Tyto zranitelnosti přetrvávají i tehdy, pokud je technologie precizně a bez chyb zavedena a používána. • Zranitelnosti implementace - slabiny, které vzniknou při nesprávné implementaci hardwaru nebo instalaci softwaru. • Zranitelnosti konfigurace - slabiny pramenící z nesprávné konfigurace nebo administrace hardwaru nebo softwaru. Každý informační systém nebo jeho součást má řadu specifických technologických zranitelností. Metodika OCTAVE vyžaduje, aby analyzované části systému
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
byly hodnoceny proti katalogu zranitelností. Jedním z takových katalogů zranitelností, který je běžně využíván, je Common Vulnerabilities and Exposures (CVE). CVE je seznam, případně také terminologický slovník, známých zranitelností různých technologií. Jednotlivé seznamy CVE poskytují velké množství volně přístupných informací o technologických zranitelnostech. Cílem hodnocení zranitelností je zaměřit se na slabiny instalovaných technologií včetně síťových služeb, architektury systému a aplikací. Základní činnosti při hodnocení technologických zranitelností jsou následující: • Identifikovat klíčové informační systémy a jejich součásti; • Analyzovat zranitelnosti identifikovaných systémů a jejich součástí. Účelem analýzy zranitelností systémů a jejich součástí je zmapovat konfiguraci síťových prvků a ohodnotit jejich schopnost odolat potenciálnímu útoku. Zde je vhodné provést penetrační testování zahrnující všechna aktiva v rozsahu analýzy. Při takovém testování jsou prováděny obdobné útoky, jako kdyby se jednalo o úmyslné neautorizované napadení systému hackerem. Pokud organizace nedisponuje vlastními technologiemi pro penetrační testování ani vlastními odborníky pro tuto oblast, je nutné přizvat externí firmu k provedení takových testů. V průběhu této činnosti spolupracují členové analytického týmu s pracovníky oddělení IT a případně s dalšími specialisty. Prvotně je nutné získat aktuální pohled na stávající infrastrukturu. K tomu je ideální získat dokumentaci o systému a jeho prvcích, různé
Proces 5: Identifikace klíčových částí systému bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
nákresy topologie sítě apod. Ne vždy je však k dispozici opravdu aktuální dokumentace, proto je nutné úzce komunikovat s pracovníky odpovědnými za provoz a správu systémů a sítí. V rámci procesu 5 jsou provedeny následující činnosti: 1. Identifikovat klíčové části systému. Je nutné vytvořit komplexní náhled na systém zahrnující všechna analyzovaná aktiva - servery, paměťová zařízení, síťové prvky, komunikační linky, aplikace, operační systémy atd. 2. Specifikovat aktiva systému pro každé informační aktivum. Analytický tým, ve spolupráci s pracovníky IT, specifikuje, která aktiva systému jsou potřebná pro určitá informační aktiva. Vytvoří se tak různé modely aktiv, které budou v dalším kroku hodnoceny z pohledu jejich zranitelností. Proces 6: Hodnocení klíčových částí systému
V průběhu této činnosti spolupracují členové analytického týmu s pracovníky oddělení IT a případně s dalšími specialisty. Pro hodnocení zranitelností jsou prováděny testy za použití programových nástrojů a dalších technologií. Výsledky testů jsou analyzovány, hodnoceny a diskutovány na následných workshopech, kterých se účastní kromě analytického týmu také pracovníci IT a další specialisté. V rámci procesu 6 jsou provedeny následující činnosti: 1. Provést testy zranitelností. Za pomoci různých nástrojů jsou prováděny testy zranitelností a penetrační testy aktiv zahrnutých do analýzy. Testy mohou být provedeny pracovníky organizace nebo externími specialisty. Testy jsou prováděny ze třech pozic: vně organizace, uvnitř organizace a v rámci různých oddělených systémů uvnitř organizace.
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
2. Ohodnotit zranitelnosti. Na základě výsledků testů jsou sumarizovány závěry z hodnocení zranitelností. Pokud byly testy prováděny externí organizací, měla by být na workshopu diskutována závěrečná zpráva z testování. Pokud jsou k dispozici výsledky hodnocení zranitelností infrastruktury (fáze 2) a hodnocení aktiv, hrozeb a zranitelností organizace (fáze 1), je možné určit míru rizika a stanovit strategii bezpečnosti. Toto je obsahem fáze 3. Jakmile jsou k dispozici všechny vstupy, je možné identifikovat všechna rizika pro každé analyzované aktivum a uvažovanou hrozbu. Míra rizika je stanovena na základě úrovně hrozby a velikosti potenciálně způsobeného následku, který je určen na základě:
Fáze 3 Vytvoření bezpečnostní strategie a plánů
• Prozrazení kritických aktiv • Modifikace kritických aktiv • Ztráty nebo zničení kritických aktiv • Nedostupnosti kritických aktiv Míra rizika odpovídá očekávané ztrátě, pokud nejsou k dispozici nástroje na ochranu aktiv nebo byla překonána implementovaná bezpečnostní opatření. Míra rizika může být stanovena kvantitativním nebo kvalitativním způsobem. Kvalitativní hodnocení vyžaduje nominální (slovní) nebo číselné škály pro stanovení hodnot (malá, střední, velká; 1 - 10 apod.). Kvantitativní přístup je založen na kalkulaci s přesnými hodnotami, které odpovídají skutečnosti (přesné vyčíslení finanční ztráty, ztracená procenta trhu, konkrétní počet ztracených zákazníků nebo obchodů apod.).
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
Hodnocení informačních rizik je velmi složité, protože už jen stanovení hodnoty informačních aktiv není jednoduchý proces. Stejně tak stanovení úrovně (pravděpodobnosti) hrozby je záležitost, která může obsahovat velkou míru subjektivity. Metodika OCTAVE je založena na kvalitativním způsobu hodnocení rizik a nepracuje tedy s konkrétními hodnotami jako jiné kvantitativní metodiky. Analýza prováděná metodikou OCTAVE je založena na potenciálních scénářích určitých následků a relevantních hrozeb. Analytický tým sestaví a prozkoumá rozsáhlou řadu rizikových scénářů pro všechna kritická aktiva. Na základě těchto scénářů je vytvořen profil rizik, který zahrnuje hrozby působící na kritická aktiva a detailní popis scénářů pro všechny potenciální dopady. Pro každý takový scénář je stanovena hodnota způsobeného dopadu, která tvoří společně s úrovní hrozby parametry pro výpočet míry rizika. Pokud je analýza rizik dokončena, cílem je zvládnout (snížit, eliminovat) riziko prostřednictvím kombinace následujících třech činností: • Implementovat nová bezpečnostní opatření a zavést nové bezpečnostní praktiky; • Upravit existující bezpečnostní opatření a bezpečnostní praktiky; • Odstranit identifikované zranitelnosti. Informační bezpečnost postihuje celou organizaci a při hodnocení rizik je důležité stále brát ohled na cíle a poslání organizace. Je nutné, aby byl v rámci organizace vytvořen strategický pohled na informační rizika, která mohou významně ohrozit činnost organizace. Hodnocení informačních rizik může ukázat kritické bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
nedostatky v různých činnostech, stejně jako slabiny instalovaných technologií. V průběhu této činnosti hodnotí členové analytického týmu získané vstupy z předchozích fází a určují míru a profil rizik. V rámci procesu 7 jsou provedeny následující činnosti:
Proces 7: Provedení analýzy rizik
1. Identifikovat dopady na aktiva způsobené relevantními hrozbami. Profil rizik je vytvořen pro každé kritické aktivum prostřednictvím popisu potenciálních scénářů narušení bezpečnosti (prozrazení, modifikace, ztráta a nedostupnost). 2. Vytvořit hodnotící kritéria. Pro každý scénář je určena hodnota a je tak vytvořena kvalitativní škála, která se využívá pro hodnocení následků. Škála je také vytvořena pro hodnocení hrozeb. 3. Stanovit hodnoty dopadů a hrozeb. Analytický tým určí hodnoty jednotlivých parametrů a stanoví míru rizika pro každou hrozbu a aktivum. V průběhu této činnosti jsou provedeny dva druhy workshopů. Účastníci první řady workshopů jsou primárně členové analytického týmu, je však možné přizvat další pracovníky, případně externí konzultanty. Cílem první části procesu 8 je vytvořit strategii ochrany aktiv organizace, sestavit plány pro zvládání rizik a navrhnout akce, které musí být ihned provedeny pro pokrytí největších rizik nebo na odstranění nejzávažnějších zranitelností. V rámci první části procesu 8 jsou provedeny následující činnosti:
Proces 8: Vytvoření bezpečnostní strategie a plánů
1. Konsolidovat vstupy pro vytvoření strategie. Ještě před uskutečněním workshopu musí být sumarizovány všechny vstupy pro vytvoření nové strategie bezpečnosti, tzn. popis stávající strategie, bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
výsledky hodnocení rizik, identifikované nedostatky a zranitelnosti atd. 2. Vytvořit strategii bezpečnosti. Analytický tým musí navrhnout novou strategii pro ochranu aktiv. Při vytváření je nutné brát v úvahu, kromě výsledků hodnocení rizik, zejména podnikatelské cíle organizace a její poslání. Strategie bezpečnosti musí být plně v souladu s globální strategií organizace. Základem pro vytvoření strategie mohou být bezpečnostní standardy, normy a nejlepší bezpečnostní praktiky (best practices). 3. Sestavit plány pro zvládání rizik. Analytický tým navrhne plány na snížení rizik na akceptovatelnou úroveň. 4. Vytvořit plán okamžitých činností. Hodnocení rizik mohlo odhalit velmi vysoká rizika nebo závažné zranitelnosti. Vedle vytváření strategie a plánů může být nutné okamžitě pokrýt některá rizika nebo odstranit významné nedostatky. Z tohoto důvodu musí být vytvořen a proveden plán okamžitých činností. Druhá řada workshopů je určena k prezentaci navržené strategie bezpečnosti a plánů pro zvládání rizik. Analytický tým předkládá strategii a plány vyššímu managementu k revizi a následnému schválení. Je vhodné, aby konzultace s vyšším managementem probíhaly již v průběhu tvorby strategie ochrany aktiv organizace. V rámci druhé části procesu 8 jsou provedeny následující činnosti: 1. Prezentovat výsledky hodnocení rizik. Analytický tým by měl prezentovat výsledky vyššímu managementu, který by se měl s nimi ztotožnit. Měla by být vyzdvižena nejvyšší rizika, která mohou způsobit u kritických aktiv zásadní následky. Vyšší mabfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
nagement by měl být v této chvíli také seznámen s aktuálním stavem informační bezpečnosti v organizaci. 2. Prezentovat navrženou novou strategii a plány. Analytický tým by měl představit managementu novou strategii na ochranu aktiv organizace. Plány pro zvládání rizik by měly být prezentovány vyššímu managementu pouze v omezené formě, protože plány mohou být velmi detailní a jejich prezentace může být z pohledu managementu zbytečná. 3. Navrhnout navazující projekty. Pokud management schválí navrženou strategii bezpečnosti a plány pro zvládání rizik, je vhodné co nejdříve začít s jejich implementací. Ideální je implementovat strategii a opatření z plánů formou navazujících projektů, které jsou plánovány s ohledem na oblast bezpečnosti (technická, komunikační, fyzická apod.), zahrnutá aktiva (protiopatření doporučená pro servery, protiopatření pro síťové prvky atd.) a pokrývaná rizika. Navržením navazujících projektů končí hodnocení rizik, ale nekončí jejich řízení. Neustále je nutné monitorovat identifikovaná rizika, zda se nezměnila jejich míra a identifikovat a ohodnocovat rizika nová. Proces řízení informačních rizik musí být kontinuální po celý život organizace. Metodika OCTAVE je výtečným pomocníkem, který efektivním způsobem pomáhá rizika objektivně hodnotit.
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
DALŠÍ ZDROJE PRO POUŽITÍ METODIKY OCTAVE
Na internetu lze najít řadu publikací, předpřipravených tabulek a formulářů a dalších podpůrných materiálů týkajících se metodiky OCTAVE. Prvním cílem každého uživatele metodiky by měla být stránka CERT: http://www.cert.org/octave. Introduction to the OCTAVE Approach - úvod do metodiky http://www.cert.org/octave/approach_intro.pdf OCTAVE Criteria, Version 2.0 - popis metodiky včetně detailní specifikace fází a procesů. http://www.cert.org/archive/pdf/01tr016.pdf OCTAVE Method Implementation Guide - návod na použití metodiky http://www.cert.org/octave/omig.html
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
OCTAVE-S Implementation Guide - návod na použití metodiky upravené pro malé organizace http://www.cert.org/octave-s/download/
bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
ZÁVĚREČNÉ SHRNUTÍ
Dnešní informační prostředí založené na elektronické formě informací, které jsou široce využívány pomocí propojených sítí, definuje vysoké požadavky na bezpečné řízení přístupu uživatelů k systémům a na zajištění dostupnosti a integrity dat v nich uložených a zpracovávaných. Toto s sebou nese vysoká rizika narušení důvěrnosti, integrity nebo dostupnosti informačních aktiv. Každý den jsou organizace vystaveny novým hrozbám, které mohou bezprostředně způsobit obrovské negativní dopady na business organizace. Proto je nutné, aby odpovědní pracovníci plně rozuměli řízení informačních rizik, aby dokázali navrhnout vždy tu optimální strategii na jejich snížení nebo eliminaci. Systematický přístup k hodnocení bezpečnostních rizik a k vytváření vhodné strategie bezpečnosti je základem pro všechny činnosti související s ochranou aktiv organizace. Metodika OCTAVE takový systematický přístup zajišťuje. bfiezen 2007
BEZPEČNÁ POČÍTAČOVÁ SÍŤ
Metodika OCTAVE definuje zásadní a vyčerpávající principy pro hodnocení rizik a zajišťuje, aby odpovědní pracovníci prováděli svá rozhodnutí týkající se bezpečnosti vždy bez opomenutí identifikovaných rizik. Při využívání přístupu metodiky OCTAVE, která je založena na workshopech, jsou do hodnocení rizik zahrnuty všechny organizační složky a nepřímo se tak zvyšuje bezpečnostní povědomí v rámci celé organizace. Zahrnutí managementu a akceptace ostatních uživatelů je zcela zásadní pro implementaci jakýchkoli bezpečnostních opatření. Metodika OCTAVE nabízí velmi dobré kvalitativní hodnocení rizik. Její velkou nevýhodou je fakt, že prozatím není vytvořen žádný komplexní programový nástroj, který by použití metodiky usnadnil a zrychlil. Různé excelové tabulky a makra, které lze najít na webu, nejsou dostatečné a zejména nenabízejí široké možnosti reportování a prezentace zpracovaných výsledků. Pokud by byl k dispozici kvalitní programový nástroj, vznikla by velmi výrazná konkurence metodice CRAMM.
bfiezen 2007
