Aktiva v ISMS
V Brně dne 26.09. a 3.10.2013
Pojmy ISMS - (Information Security Managemet System) - systém řízení b bezpečnosti č ti iinformací f í Aktivum - (Asset) - cokoli v organizaci organizaci, co má nějakou cenu (hmotná a nehmotná) Aktiva jjsou veškerý ý hmotný ý a nehmotný ý majetek! j Skupiny pro rozdělení aktiv : o ač aktiva a t va ((informace, o ace, data) • - informační • - hardwarová aktiva (technické prostředky – hardware) • - softwarová aktiva (technické prostředky – software) • - služby l žb poskytované k t é prostřednictvím tř d i t í iinformačních f č í h systémů té ů
Těmito skupinami aktiv je definován rozsah ISMS. Aktiva v ISMS
2
Základní kritéria informační bezpečnosti Důvěrnost (Confidentionality) - zajištění přístupu k informacím a poskytnutí pouze oprávněným ý osobám Integrita (Integrity)- zajištění správnosti a úplnosti informací Dostupnost (Availability) - zajištění dostupnosti informací pro oprávněné uživatele v okamžiku potřeby
+ Efektivita (Effectiveness) Účinnost (Efficiency) ( y) Soulad (Compliance) Spolehlivost (Reliability)
= Informační kritéria Důvěrnost, Integrita, Dostupnost
3
Ohodnocení aktiv 1. identifikace aktiv – včetně jeho vlastníka 2. 2 nástroje k ohodnocení aktiv – SW prostředky k hodnocení aktiv (např. CRAMM metodika – CCTA Risk Analysis and Management Method) CCTA – organizace, která metodiku vyvinula v roce 1985
3. stanovení stupnice a hodnotících kritérií, např.: bezvýznamné riziko akceptovatelné riziko nízké riziko nežádoucí riziko nepřijatelné riziko
4. hodnocení nákladů v důsledků porušení (3 základní kritéria)
- důvěrnosti - integrity - dostupnosti
Stanovené hodnoty slouží jako základ pro analýzu rizik!!! Analýza rizik (Risk Analysis) – je systematické používání informací pro odhad míry rizika a určení jeho zdrojů. Aktiva v ISMS
4
Riziko hrozba Riziko, hrozba, zranitelnost zranitelnost, dopad Riziko (Risk) – je kombinace hrozby a zranitelnosti s dopadem na aktivum. Hrozba (Treat) – je událost ohrožující bezpečnost (zneužití zranitelnosti). Zranitelnost (Vulnerability) – je slabé místo aktiva. Dopad (Impact) – je vznik škody v důsledku působení hrozby. Hrozby
Zranitelnosti
Aktiva: služby a data informačního systému
Dopady
Riziko, Hrozba, Zranitelnost, Dopad
5
Výpočet hodnoty aktiva Součtový algoritmus – je nejpoužívanější a nejjednodušší. Součet hodnot jednotlivých komponent dělený počtem komponent Příklad 3 komponent: (x+y+z/3) - Dostupnost + důvěrnost +integrita / 3 Hodnotící škála 1 – 5 Aktivum „data o zákaznících“ hodnota aktiva (hledisko dostupnosti) (hledisko důvěrnosti) (hledisko integrity)
– poskytovaná „systémem 1 -5 -5 -3
Celková váha aktiva „data o zákaznících“ - (5+5+3)/3=4, tedy může se jednat o„ „ Tím je také dáno definování dopadu!
Příklad tabulky hodnocení aktiva: Aktiva v ISMS
6
Příklad tabulky hodnocení aktiva výpočet hodnoty aktiva pomocí váhy
aktivum informace o zákaznících
zdroj
h d í í škál 1 5 hodnotící škála 1‐5
součtový č ý
maximální je 5
algoritmus
Dostupnost
důvěrnost
integrita
váha
systém
5
5
3
4
síťové disky
2
5
3
3
uživatelské stanice
5
5
3
4
atd.
Aktiva v ISMS
7
Normativní podpora Následuje analýza rizik například dle ČSN ISO/IEC 27005: Informační technologie - Bezpečnostní techniky - Řízení rizik bezpečnosti informací platná od roku 2009, dříve ČSN ISO/IEC TR 13335-3: Informační technologie - Směrnice pro řízení bezpečnosti IT - Část 3: T h ik pro řízení Techniky ří í bezpečnosti b č ti IT
Normy
8
Analýza rizik Identifikuje zranitelná místa Definuje seznam působících hrozeb Stanovuje rizika příslušná ke každému zranitelnému místu a hrozbě Účelem je snížení rizik na přijatelnou úroveň formou opatření Identifikace a popis existujících nebo plánovaných bezpečnostních opatření! Odhad identifikovaných hrozeb Odh d rizik i ik ((vychází há í z ttabulky b lk id tifik ý hh b a souvisejících i jí í h zranitelností) Přijetí rizik (zbytková rizika)
Politika bezpečnosti IS
Přír čka ISMS (Plán be Příručka bezpečnosti pečnosti IT) Analýza rizik
9
Odhad rizika Prvotní (orientační) odhad rizika bývá nastaven podle statistického výskytu incidentů v podobě tabulky. y Tabulka definuje takzvané orientační riziko. Orientační riziko = pravděpodobnost incidentu x velikost dopadu
Tabulka obsahuje: Incident
Pravděpodobnost incidentu
Velikost dopadu
Orientační riziko
Podle tohoto odhadu jsou nasazeny (nad základní přístup a opatření uvedená v příručce ISMS) konkrétní a specifická opatření (např. pro technologické místnosti, nadstandardní poskytované služby a podobně) dle činnosti organizace.
Riziko naplnění hrozeb u konkrétního aktiva se stanovuje, stanovuje jako číselné vyjádření toho, že nastane bezpečnostní incident vyvolaný některou (alespoň jednou) z nejpravděpodobnějších hrozeb působících na aktivum.
Analýza rizik
10
Analýza rizik s různým počtem parametrů A. metoda se třemi parametry 1. vyhotovení matice zranitelnosti (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 2 výpočet 2. ý č t míry í rizika i ik R podle dl vztahu t h R=TxAxV V, kd kde V je j zranitelnost it l t 3. vyhotovení matice rizik z vypočtených hodnot (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 4. stanovení hranic pro různé stupně rizika (např. nízká neboli přijatelná, střední a vysoká)
B. metoda se dvěma parametry 1. vyhodnocení pravděpodobnosti incidentu a jeho dopadu (pouze 2 parametry PI – pravděpodobnost incidentu a D – dopad) 2. výpočet míry rizika R podle vztahu R = PI x D Analýza rizik
11
