3.

2 OPTA METODOLOGIJA ZA UPRAVLJANJE RIZIKOM

3.2.1 Glavni principi upravljanja rizikom

Rezultati empirijskih istraivanja potvruju da su IKTS poslovnih sistema izloeni
slinim rizicima i koriste sline tehnologije za ublaavanje rizika. Takoe,
bezbednosni ciljevi su generiki za gotovo sve poslovne sisteme u Ineternet
okruenju: zatita integriteta i/ili poverljivosti i/ili raspoloivosti podataka i
informacija. Generalno proces upravljanja rizikom (UR) zasniva se na pet
osnovnih principa:
Procena rizika i odreivanje bezbednosnih zahteva;
Uspostavljanje sistema za centralno upravljanje rizikom;
Implementacija rentabilnih politika i kontrola zatite;
Promovisanje svesti o potrebi i obuka;
Nadzor i kontrola sistema zatite i evaluacija efektivnosti i usklaenosti.
Vaan faktor za efektivnu implementaciju ovih principa je princip njihovog
ciklinog povezivanja, koji obezbeuje da politike zatite uvek obuhvataju tekue
faktore rizika u realnom vremenu. Ovaj princip obezbeuje odravanje politike
zatite, nadzor i reviziju sistema zatite i upravljanja kontrolama zatite, odnosno,
sistemom/programom zatite. Princip ciklinog upravljanja rizikom ilustrovan je
na Sl.3.1, [15]:

Sl. 3.1 Princip ciklusa upravljanja rizikom

U standardu najbolje prakse zatite razvijen je skup osnovnih aktivnosti BP

(base practices) za implementaciju glavnih principa UR, iako se zavisno od
veliine i kulture organizacije mogu koristiti razliite tehnike. Da bi se postigla
prihvatljiva efektivnost sistema zatite, potrebno je implementirati 16 kljunih BP,
koje se odnose na pet glavnih principa UR (Tabela 3.1), [25].
Tabela T.3.1 Principi i osnovne aktivnosti upravljanja rizikom
Principi UR
Procena rizika i
odreivanje
potreba

Osnovne aktivnosti (BP)

Prepoznavanje objekata informacione imovine kao
bitnih resursa
Razvoj praktine procedure za procenu rizika, koja
povezuje sistem zatite sa poslovnim potrebama
organizacije
Odreivanje odgovornosti organa uprave za program
zatite

Principi UR

Uspostavljanje
sistema za
centralno
upravljanje
rizikom/
zatitom (CRT)
Implementacija
politike i
odgovarajuih
kontrola zatite
Razvoj svesti o
potrebi i obuka
korisnika o zatiti
Nadzor i revizija
(kontrola)
efektivnosti
sistema zatite i
evaluacija
usklaenosti
politike i prakse
zatite

Osnovne aktivnosti (BP)

Neprekidno upravljanje rizikom
Odreivanje radnog tima za izvravanje kljunih
aktivnosti
Obezbeivanje brzog i nezavisnog pristupa CRT
menadmentu
Obezbeivanje resursa (osoblja i finansiranja) za CRT
Unapreivanje tehnike obuenosti i profesionalnog
odnosa CRT
Povezivanje politike zatite sa faktorima rizika
Definisanje razlika izmeu politike i smernica
(guidelines)
Podravanje politike kroz rad CRT za zatitu
Neprekidna obuka korisnika i drugih uesnika o
uticaju faktora rizika i odgovarajuim politikama
zatite
Upotreba tehnika obuke prikladnih za korisnike
Nadzor i revizija faktora rizika i indikatore
efektivnosti zatite
Korienje rezultata evaluacije za usmeravanje
sledeih aktivnosti i uspostavljanje odgovornosti
organa uprave
Odravanje spremnosti za uvoenje novih tehnika i
alata za nadzor sistema zatite

3.2.2 Opti model za analizu i procenu rizika

Generalni u objektno orijentisanom modeliovanju sistem se posmatra kao skup

objekata, meusobnih relacija tih objekata i njihovih atributa i relacija

atributa objekata prema okruenju, pri emu se IKTS i okruenje
razmatraju kao jedna celina koju karakteriu sledei objekti (entiteti),
(Sl.3.2): ciljevi, okruenje, resursi, komponente, upravljanje, [3], [18].

Sl. 3.2 Opti model za analizu i procenu rizika, [18]

Odnosi sistema i okruenja i stepen kontrole koju neka organizacija moe izvriti
na faktore okruenja sistema, zavise u najveoj meri od obima i intenziteta
skupljanja informacija potrebnih za analizu i procenu faktora rizika. Opti model

za analizu i procenu rizikasadri 3 konceptualne oblasti: upravljanje rizikom,

procena rizika i neodreenost koja interaktivno deluje na procenu faktora rizika.
U prvom koraku definie se obim procene rizika. Zatim se analiziraju komponente
rizika: imovina, pretnje, ranjivosti, verovatnoa uticaja i zatita, da se kvantifikuju
njihovi atributi i specificiraju meusobni odnosi. Iz rezultata analize procenjuju se
faktori rizika i testira njihova prihvatljivost. Ako su faktori rizika realni, proces
ulazi u okvir upravljanja rizikom, gde se mogu specificirati promene zahteva za
sistem ili okruenje sistema, uvoenjem razliitih kontrola zatite. Procedura se
ponavlja sve dok svi analizirani faktori rizika ne budu na prihvatljivom nivou.
Tok procesa upravljanja rizikom najbolje pokazuje gde su rentabilne i koje
kontrole zatite za ublaavanje ili eliminisanje rizika, [25]:
Napad postoji: implementirati pouzdane tehnike kontrole za smanjenje
verovatnoe neeljenog napada;
Postoji iskoristiva ranjivost: primeniti slojevitu zatitu i projektovati
bezbednu arhitekturu sistema da se sprei iskorienje ranjivosti;
Trokovi napada su manji od dobiti: primeniti takve kontrole zatite da se
poveaju trokovi napada ili znaajno smanji potencijalna dobit napadaa;
Gubitak je suvie velik: primeniti principe projektovanja i arhitekture
bezbednog sistema, proceduralne i tehnike kontrole zatite.
Na slici Sl.3.3. prikazan je primer toka procesa za uspeno odravanja rizika na
prihvatljivom nivou u sluaju tipinog namernog, ali ne i malicioznog napada
hakera sa Intraneta, [9].

Sl. 2.1. Tok procesa UR od namernog, nemalicioznog eksternog napada

U analizi uticaja faktora rizika razvija se scenario ta ako u sluaju da se dogodi

svaki razmatrani faktor rizika. Procenjuju se verovatnoa pojave uestanost i
intenzitet uticaja svakog faktora rizika, kao i uticaja kombinacije faktora rizika.
Procena faktora rizika je valjana za odreeno vreme, iako se temeljito uradi, jer
se scenario pretnji brzo menja pa se i procena rizika mora ee aurirati. Proces
upravljanja rizikom integrie se i podrava sve faze ivotnog ciklusa sistema sa
odreenim aktivnostima i izlaznim rezultatima.

3.2.3 Generiki metod za kvalitativnu procenu rizika

U procesu analize i procene bezbednosnog rizika procenjuju se sledei atributi:
vrednost objekataA, pretnjeT, ranjivosti objekataV i uticajU (verovatnoa da
e pretnje iskoristiti ranjivosti). Procene su uvek unutar obima i granica
bezbednosnog rizika i smatra se da izvan njih nema rizika, [23]. Atributima se

pridruuju kvalitativni teinski faktori (numeriki: 15; 110 itd. ili tekstualni:
nizak, srednji, visok; nizak, srednje nizak, srednji, srednje visok, visok itd.) koji
se, zatim, kombinuju proizvodei meru relativnog rizika Rr za specifinu
ranjivost. Vrednost rizika se smatra relativnom, zato to se relacija zasniva na
subjektivnom vrednovanju i rangiranju vrednosti atributa A,T,V,U bez formalnog
prorauna faktora neodreenosti ovih atributa. Za razumevanja procesa procene
rizika korisno je razumeti prirodu i doprinos svakog pojedinanog atributa
ukupnom riziku, kroz primer intuitivne kvalitativne procene atributa Rr, (Tabeli
3.1).
Tabela T. 3.1 Primer intuitivne procene atributa A,V,T i relativnog rizika (Rr)
Primer scenarija

Procena A Procena V Procena T

Procena Rr

Korpa sa mesom sa vukovima u

umi

Visoka

Visoka

Visoka

Visoka

Prazna korpa sa vukovima u umi

Niska

Visoka

Visoka

Niska

Meso u hermetiki zatvorenom

kontejneru sa vukovima u umi

Visoka

Niska

Visoka

Niska

Korpa sa mesom na kuhinjskom

stolu

Visoka

Visoka

Niska

Niska

3.3 METODOLOGIJA ZA PROCENU RIZIKA

Bezbednosni rizik se moe definisati kao funkcija: vrednosti informacione
imovine (asset value) A; kombinovanih pretnji (threats) - T ili verovatnoe
ostvarivanja pretnje napada, koji moe naneti tetu imovini (A), ranjivosti
(vulnerabilities) - V, objekata informacione imovine i uticaja U ili verovatnoe da
e jedna ili kombinacija pretnji iskoristiti ranjivosti i naneti tetu i postojeih ili
planiranih kontrola zatite (security controls) Mz, koje mogu ublaiti
ranjivosti, pretnje i uticaj.

3.3.1 Uspostavljanje konteksta za procenu rizika

Proces uspostavljanja konteksta za analizu rizika odvija se kroz 4 osnovne faze:
1. Definisanje osnovnih parametara za upravljanje rizikom;
2. Definisanje obima i granica analize i procene rizika;
3. Uspostavljanje i organizacija tima za upravljanje rizikom;

4. Uspostavljanje strukture i procesa za analizu i procenu rizika .

Definisanje parametri za upravljanje rizikom: U fazi odreivanja potencijalno
raspoloivih resursa potrebno je:
a) Izabrati odgovarajui pristup/metodologiju za procenu rizika: ISO/IEC TR
13335-3, ISO/IEC 27005, NIST SP 800-30, CRAMM, OCTAVE, BAR-brza
analiza rizika itd., pomone alat za proraun faktora rizika - interaktivne
programsku aplikacije (RA2, COBRA, HESTIA i dr.), templejti radnih tabela i
standardne taksonomije pretnji i ranjivosti.
b) Definisati kriterijume za evaluaciju rizika kao to su legalni zahtevi i
ugovorne obaveze, operativne i poslovne posledice gubitka poverljivosti,
integriteta i raspoloivosti informacija, negativan uticaj na reputaciju i dr.

c) Uspostaviti kriterijume za procenu uticaja rizika kao to su operativni,

tehniki, finansijski, legalni, normativni, socijalni i dr. uticaji, koji
zavise od interesa relevantnih uesnika, politike i poslovnih ciljeva
organizacije, zatim, kriterijumi za odluivanje praga ne/prihvatljivosti rizika
koji mogu biti viestruki (npr., uticaj normativnih i ugovornih obaveza, bez
obzira na procenjeni nivo rizika).
d) Uspostaviti kriterijuma za prihvatanje rizika, pri emu su mogui razliiti
nivoi praga prihvatanja rizika u istoj organizaciji.
e) Definisati potencijalno raspoloive resurse za uspostavljanje tima za
upravljanje rizikom u organizaciji, izbor i implementaciju kontrola zatite.
Definisanje obima i granica procesa upravljanja rizikom: Obim (predmet)
procesa upravljanja rizikom moe da ukljui strateke i kratkorone poslovne
ciljeve organizacije, poslovne procese i strategije, politiku zatite organizacije,
legalne i normativne zahteve, oblast primene i razloge za iskljuivanje nekog
objekta iz procesa upravljanja rizikom. Granice (oblast) procesa upravljanja
rizikom tipino ukljuuju: poslovne ciljeve i politiku, informacionu imovinu, ljude
(zaposlene, partnere, podugovorae, spoljne saradnike, klijente), fiziko
okruenje (zgrade i druge objekte), socialno-kulturoloko okruenje i poslovne
procese i aktivnosti.
Uspostavljanje i organizacija tima za upravljanje rizikom: U fazi uspostavljanja i
organizacije tima za upravljanje rizikom vre se sledee aktivnosti: identifikacija i
analiza relevantnih uesnika, izbor lidera tima, izbor lanova tima (izvrni
menader, praktiar - poznavalac poslovnih procesa, pravnik, administrator
sistema/mree, specijalista zatite), definisanje uloga i odgovornosti svih
uesnika i uspostavljanje zahtevanih odnosa i potpune komunikacije izmeu tima
i organizacije kao i drugih projekata i aktivnosti.

Uspostavljanje strukture procesa analize i procene rizika: Tok procesa

analize i procene rizika uspostavlja se u odnosu na strateke poslovne ciljeve
organizacije, a obuhvata sledee (pot)procese: uspostavljanje konteksta za
upravljanje rizikom (okvira za ISMS), identifikovanje, analiza, evaluacija i procena
rizika, tretman rizika i prihvatanje preostalog rizika, (Sl. 3.3).

Sl. 3.3 Struktura procesa upravljanja rizicima

U procesu procene rizika zahteva se potpuna komunikacija koja podrazumeva

kvalitetno uspostavljanje veza i potpuno razumevanje znaenja prenesenih
informacija izmeu svih uesnika u procesu upravljanja rizikom u svakoj fazi
procesa. Ciljevi komunikacije ukljuuju, izmeu ostalog, sakupljanje informacija
za identifikaciju faktora rizika, analizu toka informacija za izbegavanje ili
redukciju uticaja bezbednosnog incidenata, konsultacije za poboljavanje
meusobnog razumevanja procesa upravljanja rizika kod relevantnih uesnika
itd. U ranoj fazi procesa procene rizika treba razviti plan komunikacije i sva
pitanja koja se odnose na sam proces i upravljanje procesom.
Procedura za upravljanje rizikom treba da obezbedi sigurnost upravljanja rizikom,
skupljanje informacija o riziku i otpornost sistema zatite na proboje zbog
eventualnog nerazumevanja relevantnih uesnika i donosioca odluka. Glavni cilj
izrade procedure za upravljanje rizikom je da prenese generalan stav organizacije
prema zatiti i smanji uticaj proboj sistema zatite na poslovne procese.
Monitoring i revizija procesa upravljanja rizikom identifikuje promene faktora
rizika u ranoj fazi, obezbeuje regularnu reviziju svih (pod)procesa upravljanja
rizikom i kad se dogode glavne promene. Glavni cilj revizije procesa je da se
odredi relevantnost tekue procene rizika i po potrebi preduzmu korektivne
akcije, ukljuujui redefinisanje: konteksta, kriterijuma za evaluaciju rizika,
pristupa i metodologije za procenu rizika, opcija tretmana rizika, metoda
komunikacije itd.
Predmet revizije u procesu upravljanja rizikom su: legalni okvir i kontekst
okruenja, konkurencija, kriterijumi za evaluaciju rizika, kategorizacija i
vrednovanje informacione imovine, prag za odluivanje o tretmanu rizika i
vrednovanje trokova implementacije kontrola zatite .

3.3.2 Proces analize i evaluacije rizika

Proces za procenu rizika (risk assessment) obuhvata sledee faze:

analizu rizika (identifikaciju i estimaciju) i

evaluaciju rizika.

Analiza rizika podrazumeva analizu svakog faktora rizika, u odnosu na to zato i kako
moe nastati. U tom smislu faktore rizika treba identifikovati, a zatim izvriti estimac
svakog identifikovanog faktora rizika.
Identifikacija
faktora
rizika
mora
biti
sveobuhvatna,
struktuirana
i
argumentovana. Korisno je identifikovati faktore rizike koje treba tretirati pod
kontrolom organizacije, ali i izvan te kontrole. Faktori rizika se mogu nalaziti u
oblasti informacione imovine-A, kombinovanih pretnji-T i ranjivosti sistema-V, a
identifikuju se u odnosu na parametre verovatnoe (frekvencije pojave i
intenziteta) i uticaja-U (posledica, tete) na poslovne procese, ili verovatnoe
uticaja da e pretnja/e iskoristiti ranjivost/i. U ovoj fazi se definiu i neprihvatljive
posledice uticaja faktora rizika, kao i primenljivi metodi za identifikaciju faktora
rizika: ek liste, intervjui, sistemska analiza i sistem inenjerske tehnike.
Oekivani izlazi iz ove faze procesa analize rizika su:

Izlaz 1: Inventar informacione imovine (vrednosti)

Izlaz 2: Taksonomija relevantnih pretnji

Izlaz 3: Taksonomija relevantnih ranjivosti

Estimacije parametara rizika moe biti kvantitativna, statistiko-numerika

aproksimacija ili kvalitativna, na bazi parametra kvaliteta (npr., nizak, srednji,
visok). Ova faza analize rizika ukljuuje sve faktore neodreenosti u proceni
rizika, (NIST SP 800-30). Faktori neodreenosti u proceni rizika mogu se smanjiti
primenom formalnih modela i sloenog matematikog aparata, to je
nerentabilno i praktino se retko koristi. Sasvim prihvatljiv metod redukcije
faktora neodreenosti u proceni rizika je izbor najnepovoljnije estimacije, koja
dovodi do veeg rizika, ime se proaktivno deluje na izbor robustnijih kontrola
zatite za efektivniji tretman rizika. Naime, parametri rizika (A, T, V), relativno
nezavisnih objekata mogu se u estimaciji relativnog preostalog rizika Rr mnoiti
ili sabirati:
Rr= AxVxT, ili Rr=A+V+T
(3.1)
Kako se mnoenjem istih veliina dobija vei iznos, mnoenjem parametara rizika
umanjuju se posledice uticaja faktora neodreenosti parametara rizika na
tanosti procene rizika, pa je bolja aproksimacija od sabiranja parametara rizika.
Identifikacija i estimacija informacione imovine: Definicija informacione
imovine organizacije u standardu ISO/IEC 27001 obuhvata dve kljune kategorije:
listu inventara i bezbednosnu kategorizaciju i klasifikaciju informacione imovine.
Pod inventarom informacione imovine u standardu se podrazumevaju svi
materijalni i nematerijalni objekti koji imaju neposredan i posredan znaaj za
bezbednost informacija. Klasifikacija informacione imovine, prema standardu
ISO/IEC 27002, prepoznaje 6 kategorija grupisanih u istu informacionu imovinu,
fiziku imovinu i humanu imovinu, ali ostavlja i mogunost da organizacija uvede
i nove kategorije ukoliko postoji potreba. U skladu sa obimom i nivoom
procenjenog rizika, inventar imovine organizacije, treba srazmerno ali ne previe
detaljno, grupisati u bezbednosne kategorije da bi se smanjila kompleksnost
analize i procene rizika. Ovo je veoma znaajna faza, jer predstavlja ulaz u proces
analize rizika. Propusti u izradi ove liste mogu imati velike posledice, jer se nee
tretirati kroz proces analize, procene i ublaavanja rizika.
Svi objekti informacione imovine treba da imaju svoje vlasnike (staraoce),
odnosno da za njih budu zadueni neki entiteti organizacije. Vlasnitvo nad
informacijama mogu imati poslovni procesi, definisani skup aktivnosti, aplikacije,
definisane grupe podataka i zaposleni. Rutinski poslovi sa vlasnikim
informacijama ili objektima imovine mogu biti delegirani, ali odgovornost ostaje
na vlasniku. Vlasnici koji su zadueni za objekte informacione imovine, odgovorni
su za klasifikaciju informacija i bezbednosnu kategorizaciju imovine, odreivanje
prava pristupa (ovlaenja i privilegija) i periodinu proveru restrikcija pristupa i
ovlaenja.
Informacije mogu imati razliite stepene osetljivosti i kritinosti za poslovanje. Cilj
klasifikovanja informacija je odravanje odgovarajueg nivoa zatite. Informacije
treba klasifikovati po potrebi, prioritetima i oekivanoj poverljivosti prilikom
upotrebe. Neke od njih zahtevaju posebne tretmane i stepene specijalne zatite.
ema za klasifikovanje informacija treba da sadri stepene osetljivosti i uputstva
za upotrebu u zavisnosti od stepena osetljivosti informacija. Odgovornost za
klasifikaciju informacija snosi vlasnik, staraoc, odnosno zadueno lice, ili proces.
U praksi se najee uspostavlja nekoliko stepena klasifikacije osetljivosti
informacija, na primer:

Javne informacije: najee ne zahtevaju dodatni stepeni zatite; dostupne su

svim zainteresovanim licima (npr., marketinki materijal, javni izvetaji itd.);
Interne informacije: informacije koje se mogu koristiti samo u organizaciji;
Poverljive informacije: ukazuju na stepen osetljivosti i po pravilu dozvoljavaju
pristup samo unapred definisanoj grupi korisnika;
Strogo poverljive informacije: za razliku od prethodne grupe zahtevaju i niz
dodatnih mera zatita koje su odreene u klasifikacionoj emi.

Klasifikacionu emu i mere u odnosu na klasifikaciju svaka organizacija kreira

prema svojim potrebama i mogunostima. Bitno je napomenuti da je u praksi
gotovo nemogue nai organizaciju koja ima savren sistem klasifikacije
informacija, iz nekoliko razloga: informacije se esto ne klasifikuju, zaposleni se
ne pridravaju instrukcija i mera iz klasifikacione eme ili se zahteva viekratna
primena klasifikacije nad istom informacijom (to je najtee izvodljivo). Zatim,
Informacije tokom korienja uestvuju u procesima, mogu biti podlone promeni
klasifikacije u odnosu na vremenski period (neke strogo poverljive, to vie nisu
posle odreenog vremena), a esto se ukazuje i potreba za promenom vlasnika
informacije u procesu. Taj komplikovani proces nije uvek jednostavno ispratiti, pa
sistem klasifikacije informacija uvek treba poboljavati. Na ovaj proces se takoe
moe primeniti PDCA model kao nain poboljanja sistema klasifikacije, to je sa
aspekta ISMS Demingov toak u toku.
Pravilna upotreba informacija i drugih objekata informacione imovine treba da
budu definisana, dokumentovana kroz politike komponenti sistema zatite1 i
implementirana. Sva razvijena pravila obuhvaena obimom i kontekstom ISMS
politike, treba da budu odobrena od strane glavnog menadmenta, a
odgovornost za potovanje i sprovoenje pravila snose zaposleni na koje se
odnose.
Za estimaciju vrednosti imovine (A) mogu se izabrati kvantitativne ili kvalitativne
skale gradacije. Kvantitativna skala gradacije imovine izraava se u novanim
jedinicama, to uvek nije dovoljno za sve objekte imovine. Kvalitativna skala
gradacije imovine moe se kretati u razliitim opsezima kvalitativne procene, na
primer, zanemarljiv, vrlo nizak, nizak (N), srednji (S), visok (V), vrlo visok,
kritian. Kako se za bezbednosnu kategorizaciju imovine uzima najnepovoljniji
sluaj, dovoljna je skala gradacije: N, S, V. Za pripisivanje vrednosti objektima
informacione imovine, mogu se koristiti brojni, nedvosmisleni i dokumentovani
kriterijumi (najtea faza ovog koraka), kao to su: originalna nabavna cena,
trokovi zamene i/ili re-kreiranja u sluaju kvara/destrukcije, apstraktne
vrednosti, kao gubitak ugleda, klijenata, konkurentske prednosti na tritu i sl.,
trokovi nastali gubitkom poverljivosti, raspoloivosti i integriteta, ukljuujui
neporecivost, autentifikaciju i pouzdanost.
Takoe, mogu se koristiti i generiki kriterijumi za estimaciju, kao to su: povreda
zakona i/ili normativa, neusklaenost performansi poslovnih procesa, gubitak
dobre volje/negativan uticaj na reputaciju, ugroavanje privatnosti linih
informacija, ugroavanje line sigurnosti, negativan uticaj na primenu zakona,
naruavanje javnog reda, finansijski gubici, prekidanje poslovnih aktivnosti i
ugroavanje ivotne sredine.
Neki objekti informacione imovine mogu imati vie kriterijuma za pripisvanje
vrednosti, na primer, Plan poslovanja (biznis plan), moe se vrednovati na bazi
vrednosti razvoja i izrade plana (Ap), vrednosti unosa podataka u plan (Ad) i
vrednosti plana za konkurenciju (Ak).
1

NIST politiku zatite definie na nivou IKTS organizacije, sistema zatite (ISMS) i komponenti
sistema zatite pravila.

Kvantitativna procena vrednosti imovine ukljuuje cenu nabavke, implementacije

i odravanja. Sve vrednosti viestruke i kombinovane procene se maksimiziraju
(prema kriterijumu bezbednosne kategorizacije-Bk) ili sabiraju (to je manje
tano). Konana vrednost koja se dokumentuje mora biti paljivo odreena. Na
kraju, sve estimacije vrednosti objekata A treba redukovati na zajednikoj osnovi.
Vrednost A generalno se procenjuje na bazi znaaja objekta informacione
imovine za poslovanje organizacije, tako da najznaajniji (najkritiniji) objekti
imaju najveu vrednost A. U objektnom pristupu, vrednost A se moe odrediti
sabiranjem relativno nezavisnih atributa kvaliteta objekata informacione
imovine, koji aditivno doprinose njihovoj vrednosti za organizaciju:
A = Pv + R+ In
(3.2)
gde je: Pv-poverljivost, R-raspoloivost, In-integritet objekta informacione
imovine.
Primera izbora kriterijuma za estimaciju teinskih faktora i prorauna vrednosti A,
koji se primenjuju na sve tri grane objekata za zatitu (Pv, R, In), a sabiraju za
procenu konane vrednosti A, dati su u tabelama 3.2 i 3.3.
Tabela T. 3.2 Kriterijumi za odreivanje teinskih faktora vrednosti A
Nivo
vrednosti

Tein
ski
fakto
r

najvei

srednje
visok

srednji

srednje
nizak

srednje
nizak

Definicija - kriterijumi
Ovi objekti imaju najviu vrednost za
organizaciju i mogu se vrednovati i vie od
mrene i tekue trine oekivane vrednosti.
Njihov gubitak ili unitenje moe imati ozbiljan
uticaj na ukupno poslovanje organizacije.
Ovi objekti imaju vrlo visoku vrednost za
procese rada i njihov gubitak ili unitenje moe
imati ozbiljan uticaj na neke poslove
organizacije.
Ovo su znaajni objekti organizacije koji mogu
biti zamenjeni, a njihov gubitak ili unitenje
moe imati trenutne i ozbiljne posledice za
profitabilnost poslova.
Ovo su zamenljivi objekti, a poto je cena
zamene relativno visoka, mogu imati samo
umeren uticaj na ukupnu profitabilnost
poslova.
Ovo su objekti koji nemaju stvarnu ekonomsku
vrednost unutar procesa rada i mogu se lako i
jeftino zameniti.

Tabela T. 3.3 Proraun vrednosti A

Nivo
(A)

Estimacij
a

Najvii

Drugi

Trei

Definicija
Ova informaciona imovina (A) ima najveu vrednost za
organizaciju, a moe se vrednovati vie od nabavne vrednosti, ili
oekivane, ili marketinke vrednosti. Gubici ili destrukcija ove
imovine moe imati veoma ozbiljan uticaj na poslovanje.
Ova informaciona imovina je veoma vredna za poslovne procese,
a gubitak ili destrukcija ove imovine moe imati ozbiljan uticaj na
poslovanje.
Ovo je vana informaciona imovina koja se moe zameniti tamo
gde njeni gubici ili destrukcija mogu imati ozbiljan i neposredan
uticaj na profitabilno poslovanje.

Nivo
(A)

Estimacij
a

etvrti

Najnii

Definicija
Ovo je zamenljiva informaciona imovina, a poto su trokovi
zamene relativno visoki bie samo srednji uticaj na ukupno
poslovanje.
Ovo je informaciona imovina koja nema stvarnu ekonomsku cenu
u poslovnim procesima i moe se lako zameniti uz minimalne
trokove.

Identifikacija i estimacija ranjivosti: Ranjivost je sve ono to napada moe

iskoristiti za dobijanje odreene prednosti u odnosu na infomacionu imovinu
organizacije. U ovoj fazi se identifikuju ranjivosti koje procenjeni izvori pretnji
mogu iskoristiti i naneti tetu informacionoj imovini i poslovnim procesima
organizacije. Ranjivosti mogu biti: organizacione, procesa i procedura,
upravljanja, personala, fizikog okruenja, arhitekture i konfiguracije IKTS,
hardversk-softverske ili komunikacione opreme. Postojanje ranjivosti samo po
sebi ne nanosi tetu. Potrebno je da postoji pretnja koja je moe iskoristiti.
Ranjivost koja nema odgovarajuu pretnju i ne moe se iskoristiti ne zahteva
implementaciju kontrola zatite, ali se mora prepoznati i monitorisati na
promene. Ranjivost moe biti i pogreno implementirana ili nekorektno koriena
kontrola zatite, ali i vezana za atribut objekta imovine koji nije inherentno
namenjen za korisniku upotrebu. Na primer, EEPROM (Electronically Erasable
Programmable Read Only Memory), namenjena za lako brisanje i zamenu
uskladitene informacije, osetljiva je na moguu neovlaenu destrukciju
podataka. Prema ISO/IEC 27005 uobiajena taksonomija ranjivosti IKTS je na:
okruenje i infrastrukturu, hardver, softver, komunikacije, dokumentaciju,
personal, procedure i opte primenljive ranjivosti. Tipini parovi ranjivosti/pretnja
i primeri skale gradacije za estimaciju, prema ISO/IEC 27005, dati su u Prilogu B.
Ranjivost informacione imovine (V) moe se odrediti estimacijom vie faktora koji
utiu posredno ili neposredno na vrednost ovog parametra. Kako uticaj ovih
relativno nezavisnih pojedinanih faktora na vrednost parametra V ima znaajan
stepen neodreenosti, ovi se faktori mnoe, to daje bolju aproksimaciju
vrednosti V:
V = DxKxTrxIsxZa
(3.3)
gde su: D-detektibilnost, K -korisnost, Tr -trajnost, Is -iskoristivost, Za
zatienost.
Relevantni teinski faktori ranjivosti objekata informacione imovine procenuju se,
sa aspekta agenta pretnje, u odnosu na atribute D, K, Tr, Is i Za. Teinske
faktore treba procenjivati i raunati za svaku poznatu taku ranjivosti u odnosu
na ove atribute. Primer upitnika za procenu ranjivosti na osnovu pet navedenih
atributa, sa aspekta zatite poverljivosti informacija, poreanih po prioritetima od
najznaajnijeg (1) do najmanje znaajnog (5), a procenjivanih na osnovu
odgovora na postavljena pitanja, prikazan je u Tabeli 3.5, [18].
Tabela T. 3.5 Primer procene relevantnih faktora ranjivosti
Atributi
ranjivosti
sistema
(1) Vidljivost
(D)
(2) Korisnost
(Ko)

Procena ranjivostiV
Verovatnoa da kompetentan agent pretnje postane
svestan vrednosti informacije i da moe pristupiti ovim
informacijama.
Verovatnoa da agent pretnje uvidi korisnost
informacije, da e informacija zadovoljiti neku
zainteresovanu (konkurenciju).

10

Atributi
ranjivosti
sistema
(3) Trajnost
(Tr)
(4)
Iskoristivost
(Is)
(5)
Zatienost
(Za)

Procena ranjivostiV
Datum iza koga informacija vie nee biti korisna
napadau i mogunost korienja informacije pre toga
datuma.
Mogunost upotrebe informacije na vreme i na nain
koji su kritini za vlasnika informacije. Potreba za
dodatne informacije da bi napada iskoristio
postojee, stekao prednost ili ugrozio vlasnika.
Postojanje dokumentovane politike zatite poslovnih
tajni ili intelektualne svojine. Pristup korisnika
informacijama ogranien u skladu sa politikom zatite.
Korisnici su potpisali sporazum o neotkrivanju
informacija NDA (Non Disclosure Agreement).

Svakom odgovoru u T. 3.5 pripisuje se jedan od ponuenih teinskih faktora

primenjene metrike (15; 110; nizak, srednji, visok itd.) onako kako ih
procenjuju vlasnici objekata (menaderi). Ranjivost objekata IKT sistema esto je
teko procenjivati pre incidenta, jer u sutini najee napad potvruje da li
postoji ranjivost u hardveru, softveru, poslovnim procesima i ljudima. U ovom
procesu pored liste pitanja za glavne atribute parametra ranjivosti u T 3.5,
obavezno treba ispitati sledee taake ranjivosti: nedostatak ili neadekvatnost
politike, standarda i procedura; nedostatak ili neadekvatnost obuke; loe
definisane uloge i odgovornosti, dodeljeni nalozi i ovlaenja; poznate greke
sistemskog/ aplikativnog softvera; nestabilnost OS i veliki broj pristupnih taaka
raunarskoj mrei; mogunost fizikog pristupa prostorijama sa
raunarima/serverima i dr.
Ukupna vrednost V moe se odrediti estimacijom pojedinanih faktora na slian
nain kao i parametra A. Za razliku od aditivnih komponenti vrednosti A, ukupne
vrednosti ranjivosti V se multipliciraju, na primer, ako ima 20 raunarskih sistema
sa po 15 ranjivih taaka, onda je ukupna ranjivost IKT sistema: V=20x15=300.
U procesu estimacije ranjivosti, treba procenjivati ranjivosti po svim glavnim
atributima za svaku taku ranjivosti, a zavisno od zahtevane dubine analize
rizika, mogue je primeniti metod analize rizika procesa rada, funkcionalnih
celina, kritinih objekata ili strukturni metod brze analize rizika (BAR), [25].
Osnovni proaktivni metod za procenu ranjivosti IKTS podrazumeva testiranje i
ukljuuje automatizovani alat za skeniranje ranjivosti (RS/RM), bezbednosno
testiranje i evaluacijaSTE (Security Testing and Evaluation) i testiranje na proboj.
Metod skeniranja je pouzdan za kontrolu ranjivosti, ali moe proizvesti lane
pozitive. Proces STE efektivnosti kontrola zatite u operativnom okruenju vri se
u procesu sertifikacije i akreditacije sistema (C&A). Testiranje na proboj
proverava mogunost zaobilaenja kontrola zatite sa aspekta izvora pretnji
(etiki haking).
Identifikacija i estimacija pretnji: Pretnja (T) je potencijalna teta za
informacionu imovinu organizacije. Postoji vie taksonomija pretnji. Standard
ISO/IEC 27005 deli pretnje na prirodne (E) ili humane(H) i namerne (D) ili
sluajne(A).
Realna pretnja je najee kombinacija ovih izvora i dinamiki se menja u
vremenu. U kontekstu i obimu analize i procene rizika treba identifikovati sve
relevantne pretnje. Zatim, za svaku individualnu pretnju treba identifikovati

11

izvor pretnje i proceniti verovatnou realizacije-frekvenciju pojave i intenzitet.

Za ovu procenu dovoljno je koristiti skalu gradacije: N, S, V.
Kako za neki poslovni sistem, menaderi i zaposleni najbolje poznaju pretnje,
ulazne veliine za procenu pretnji treba obezbediti od: vlasnika ili korisnika
objekta imovine, odeljenja za upravljanje ljudskim resursima, izvrnih
menadera, IKT specijalista, specijalista zatite i dr. (pravnik, npr.), statistiki
podaci i taksonomije pretnji iz baza znanja. Upotreba taksonomije pretnji je
korisna, ali treba uzimati u obzir dinamiku promena kombinovanih pretnji zbog
promena poslovanja, tehnologija, okruenja, malicioznih kodova itd. Primeri
taksonomija pretnji i skala gradacije za procenu pretnji, prema standardima
ISO/IEC 27005 i NIST SP 800-30 dati su u Prilogu A.
Estimacija vrednosti parametra T u fazi analize rizika, daje najbolju aproksimaciju
za procenu rizika kao kombinacija dinamiki promenljivih pretnji - T:
T=T1+T2+...+T8= T
(3.4)
Za analizu rizika prihvatljiva je taksonomija kombinovanih pretnji ( T ) u odnosu
na posledice uticaja (tetne-t, nekodljive-N), izvore nastanka (iznutra-Un,
spolja-Va) i nain izvoenja (sofisticirane-So, nesofisticirane-Ns), koja daje
ukupno 23=8 razliitih kombinacija pretnji. Primeri za svaku od 8 kombinovanih
tipova pretnje dati su u Tabeli 3.4.
Tabela T. 3.4 Primeri tipova kombinovanih pretnji
Pretnja
-T
t So
Un
t Ns
Un,
N So
Un
N Ns
Un
t So
Va
t Ns
Va
N So
Va
N Ns
Va

Opis i/ili primer

Aktivnosti nezadovoljnog sistem administratora
Aktivnosti nezadovoljnog zaposlenog (ne-administratora)
Aktivnosti znatieljnog administratora (STE izvetaj
poslednjih ranjivosti)
Sluajno oteenje od strane administratora (brisanje
datoteke korisnika)
Aktivnosti znatieljnog korisnika (pogaanje pasvorda)
Sluajno oteenje od strane znatieljnog korisnika (brisanje
datoteke)
Industrijska pijunaa; aktivnosti vetog osvetoljubivog
napadaa
Aktivnosti napadaa ogranienih sposobnosti, ali jako
zainteresovanih za specifine objekte (e-mail spam ili trialand-error napadi)
Aktivnosti vetog, odlunog i znatieljnog korisnika (ovek
vs. maina )
Aktivnosti znatieljnog korisnika ("ta/kako ovo radi?").
Nenamerna aktivnost koja se moe interpretirati kao
maliciozna

Proraun teinskih faktora za verovatnou pojave bezbednosnog incidenta

potrebno je izvriti za svaki objekat sistema. Iako svaka organizacija bira sama
svoj sistem ponderisanja, mogua je primena sledeih kriterijuma (Tabela 3.7):
Tabela T. 3.7 Proraun teinskih faktora za verovatnou pojave incidenta

Nivo

Teinski
faktor

Definicija

12

Vrlo visok

Pretnja ima vrlo visoku verovatnou dogaanja, sve dok se

ne primene korektivne aktivnosti.

Visok

Pretnja ima visoku verovatnou dogaanja, ako nisu

primenjene korektivne akcije.

Srednji

Pretnja ima umerenu verovatnou dogaanja.

Nizak

Smatra se da je rizik od dogaanja ove pretnje vrlo nizak.

Vrlo nizak

Postoji vrlo niska verovatnoa da e se ovaj incident

dogoditi.

Proraun teinske faktore intenziteta potencijalnih pretnji potrebno je izvriti za

svaki informacioni objekat sistema. Iako svaka organizacija bira sama svoj sistem
ponderisanja, korisni su sledei kriterijumi za izbor teinskih faktora za
ponderisanje intenziteta potencijalnih pretnji (Tabela 3.5):
Tabela T.1.5 Kriterijumi za ponderisanje intenziteta potencijalnih pretnji
Nivo
uticaja

Teinsk
i faktor

Eliminie

Razoran

Kritian

Kontrolisan

Iritirajui

Definicija
Posledica je potpuno unitenje objekata i organizacija se
teko moe oporaviti. Incidenti su teki za kontrolu i zatitu.
Incidenti mogu biti razorni i bez neposrednog i adekvatnog
odgovora potpuno unititi objekte. Dovode do znaajnih
finansijskih gubitaka i gubitka javnog ugleda.
Incidenti od kojih se organizacija moe oporaviti dobrim
upravljanjem incidentom i implementacijom odgovarajuih
mera zatite. Dovode do srednjih gubitaka i neprijatnosti.
Uticaj incidenta je verovatno kratkoroan i moe se
kontrolisati. Sa pravom zatitom i odgovorom, uticaj moe
bit smanjen na minorne neprijatnosti i minimalne trokove.
Incidenti su obino beznaajni i izazivaju samo lokalnu
iritaciju. Merama zatite treba ih izbei ili kontrolisati.

Generalno, teinske faktore izvora pretnji treba kategoristi od najveih do

najmanjih, npr., pretnje od ljudi imaju vee teinske vrednosti od prirodnih
dogaaja.
Proraun teinskih faktora frekvencije pojave pretnje (realizacije pretnje-napada,
incidnta) potrebno je izvriti za svaki informacioni objekat. Iako svaka
organizacija bira sama svoj sistem ponderisanja, korisni su sledei kriterijumi
(Tabela T. 3.6):
Tabela T. 3.6 Proraun teinskih faktora frekvencije pojave incidenta

Nivo

Tenski
faktor

Definicija

Vrlo visok

Frekvencija incidenta je vrlo visoka, a incident moe biti

razoran za proizvodnju ili servise.

Visok

Frekvencija incidenta je visoka i moe se ponoviti.

13

Srednji

Incident se potencijalno moe prilino esto dogoditi, ali

normalno nije predvidiv.

Nizak

Incident ima nisku frekvenciju pojavljivanja i smatra se da

nije ponovljiv; ne bi trebalo biti vie od 1 incidenta u 1
radnom ciklusu.

Vrlo nizak

Ovaj incident se smatra vrlo retkim i periodinim.

Za proraun se mogu koristiti i statistiki elementi za alternativnu procenu

verovatnoe pretnjeincidenta za najvei broj tipova poznatih potencijalnih
pretnji, mereni statistikom verovatnoom od 01 ili numerikim, kvalitativnim
teinskim faktorima od 05 i primeri kvalitativnog merenja, ponderisanja i
razliite kvalitativne metode prorauna stepena neodreenosti pretnji
verovatnoe i intenziteta dogaaja, prikazani u tabelama 1. do 7. (Prilog D- U
PRILOGU III 2F.
U PRILOGU III 2G navedeni su bezbednosni kriterijumi za korienje u proceni
ranjivosti sistema u oblasti upravljakih, operativnih i tehnikih kontrola. Izlaz iz
procesa procene ranjivosti
je kontrolna lista bezbednosnih zahteva za
bezbednosne popravke identifikovanih ranjivosti(Tabela1). U Tabeli 2. nbrojane
su kljune ranjivosti IKT sistema OSI modela arhitekture, sa predlogom osnovnih
servisa i kontrola (mera) zatite od iskoriavanja navedenih ranjivosti.
Estimacija uticaja pretnji na ranjivosti sistema: Uticaj (Ut) je mera efekata i
negativnih posledica koje na informacionu imovinu/poslovanje moe izvriti neki
napad (realizovana pretnja). Uticaj je posledica verovatnoe da e neka pretnja/e
iskoristiti neku/e ranjivost/i. Uticaj se moe ostvariti samo ako postoji, [23]:

Izvor sluajne pretnje: dogaaj/incident unutar perimetra bezbednosnog

rizika i ranjivost koju ta pretnja moe iskoristiti i/ili
Izvor namerne pretnje: stimulacija napadaa (motivacija, odlunost, resursi,
sposobnost, prilika), atraktivnost imovine, incident unutar perimetra
bezbednosnog rizika i ranjivost koju ta pretnja moe iskoristiti.

Standard ISO/IEC 27005 razmatra samo operativne, trenutne (ne i potencijalne)

posledice utcaja. Operativni uticaj moe biti direktan ili indirektan. Direktan uticaj
je, na primer, gubitak finansijske vrednost zamene izgubljene/dela imovine,
trokovi akvizicije, konfigurisanja i instalacije nove imovine ili bekapa, trokovi
suspendovanih operacija zbog incidenta dok se ne obezbedi(e) servis(i) imovine,
uticaj koji ima rezultat proboj sistema zatite itd. Indirektan uticaj su trokovi
opcija (finansijski resursi, potrebni za popravku imovine koja se moe koristiti bilo
gde u organizaciji), trokovi prekida operacija, potencijalne zloupotrebe
informacija zbog proboja sistema zatite, povrede normativnih i statutarnih
obaveza, povreda etikog kodeksa poslovanja itd.
Za estimaciju uticaja treba odrditi teinski faktor intenziteta tog uticaja na
pojedinane objekte imovine, pri emu treba razmatrati prednosti i nedostatke
kvantitativnih i kvalitativnih metoda merenja za procenu nivoa uticaja. Glavna
prednost kvalitativne analize uticaja je u odreivanju prioritetnih faktora rizika i
identifikacija zona ranjivosti koje neposredno treba otklanjati. Nedostatak
kvalitativne analize uticaja rizika je u tome to ne obezbeuje specifine
kvantitativne mere i procenu odnosa trokovikorist (costbenefit) preporuenih
kontrola zatite. Glavna prednost kvantitativnih metoda analize uticaja rizika je

14

to obezbeuje merenje uticaja i costbenefit analizu preporuenih kontrola

zatite. Nedostatak ovih metoda je, zavisno od izbora numerikih opsega faktora
ponderacije, nejasnost i esta potreba kvalitativne interpretacije rezultata.
Primer kvalitativne procene i odreivanja teinskih faktora uticaja rizika, koji
obuhvata komponente vrednosti objekataA, intenzitet pretnjeTi, frekvenciju
pretnjeTf i verovatnou pretnjeTv prikazan je u Tabeli 3.7.
Tabela T. 3.7 Komponente za odreivanje teinskih faktora uticaja rizika
Komponente uticaja rizika
Vrednost objekta A
Intenzitet potencijalne pretnje Ti
Frekvencija potencijalne pretnje Tf
Verovatnoa pretnje Tv

Teinski
faktori
1 5 (1 je
najvei)
1 5 (1 je
najvei)
1 5 (1 je
najvei)
1 5 (1 je
najvei)

Za proraun ukupnog teinskog faktora uticaja rizika potrebno je mnoiti

komponentu uticaja rizika jednu sa drugom, da bi se smanjio efekat
neodreenosti na tanost rezultata. Ako se uzme u obzir da su frekvencija i
intenzitet pretnji nerelevantni, ako se pretnja ne dogodi, uticaj se priblino
odreuje kao faktor mnoenja vrednosti imovine i verovatnoe pojave pretnji:
Ut = A x Ti x Tf x TvAxTv
(3.5)
Na isti nain se preostali relativni rizik moe odrediti pojdnostavljenom relacijom:
Rr=AxPu
(3.6)
gde je A vrednost imovine, a Pu - verovatnoa uticaja ili da e T iskoristiti V.
U ovoj kvalitativnoj estimaciji to je manji rezultat, to je vei uticaj faktora rizika.
Najvei uticaj faktora rizika u ovoj estimaciji je 1, a najmanji 625. Glavni
menader odreuje kriterijume prihvatljivosti rizika i prioritete ublaavanja. Na
primer:

1. V (visok), svaki faktor rizika R: 1 < R < 200; svaki faktor rizika R<
50 je vrlo kritian i zahteva trenutno ispitivanje i reagovanje;
2. S (srednji), svaki faktor rizika R: 200 < R < 400
3. N - (nizak), svaki faktor rizika R: 400 < R < 625
Faza evaluacije faktora rizika je procena rizika na bazi strogo utvrenih
kriterijuma predefinisanih u fazi definisanja parametara za upravljanje rizikom
(Odreivanje konteksta za procenu rizika), a obuhvata aktivnosti kao to su:

priprema za izradu Plana tretmana rizika,

razmatranje/selekcija predefinisanih kriterijuma za evaluaciju rizika,

ukljuujui bezbednosne kriterijume,

znaaj poslovnog procesa kojeg podrava informaciona imovina,

zahtevi menadmenta za tretman rizika,

zahtevi za preduzimanje hitnih akcija,

poreenje nivoa estimacije faktora rizika sa predefinisanim kriterijumima

za evaluaciju (npr., rezultatima prethodne procene rizika) i

15

rangiranje faktora rizika po prioritetu za tretman (ublaavanje.

U ovoj fazi faktore rizika procenjene kao niske - N, treba smatrati prihvatljivim i
mogue je da menadment/vlasnik sistema ne zahteva tretman ovih faktora
rizika. Faktore rizika procenjene kao srednje-S i visoke-V treba tretirati, pri emu
faktore sa visokim uticajem tretirati prioritetno.
Ukupan relativni rizik Rr za informacionu imovinu organizacije, odreuje se na
bazi evaluacije faktora rizika, kojih za neku prosenu organizaciju moe biti na
hiljade (zavisno od dubine procene rizika), na prihvatljive (P) i neprihvatljive (N)
faktore rizika. Predefinisane kriterijume P i N faktora rizika (u fazi definisanja
konteksta za procenu rizika) odreuje menadment, a definitivno ih potvruje
potpisivanjem dokumenta Izjava o primenljivosti-SOA (Statement of Aplicability),
kojim menadment prihvata predloene kontrole zatite za tretman rizika, kao i
preostali relativni rizik Rpr.
Izlazne veliine u fazi evaluacije faktora rizika su prioriteti za tretman rizika i to :
Izlaz 1: Lista prioriteta faktora neprihvatljivog rizika i
Izlaz 1: Lista prihvatljivih faktora rizika (prihvaenih i sa N uticajem).
Estimacija faktora preostalog rizika: Rizik koji ostaje posle implementacije
novih ili poboljanih kontrola zatite naziva se preostali relativni rizik Rrp. To
znai da ni jedan IKTS nije osloboen rizika i da sve implementirane kontrole ne
eliminiu u potpunosti odnosne faktore rizika. Nivo Rrp moe se analizirati kao
iznos redukovanog rizika uvoenjem novih, poboljanih kontrola zatite u odnosu
na procenu uticaja pretnji. Implementacija novih i poboljanih kontrola zatite
moe smanjiti rizik eliminisanjem nekih ranjivosti, dodavanjem kontrola zatite i
smanjenjem veliine negativnog uticaja. Kako je rizik identifikovan prema tipu
specifinih objekata i ranjivosti sistem e imati jednu vrednost rizika po jednoj
taki ranjivosti koju pretnja iskoristi, a svaka ranjivost e imati jednu vrednost
rizika po objektu na koji utie. Ne postoji egzaktna matematika relacija za
kvantitativan proraun relativnog preostalog rizikaRrp koji namee u datoj
situaciji kombinovana pretnjaT na ranjivost objektaV sa implementiranim
merama (kontrolama) zatiteMz za ublaavanje rizika. Proces procene rizika daje
dva rezultata: preostali relativni rizik bez uea mera zatiteRrp i prihvaeni
preostali rizik sa merama zatiteRpp. Priblino se nivo preostalog relativnog
rizika sa merama zatiteRpp moe proraunati iz jednaine, , (Sl.3.4), [18]:

Sl. 3.4 Implementirane kontrole zatite i preostali rizikRrp

Rpp= ((AxVx T)/Mz) x Ut
(3.7)
Uticaj pretnjeUt na sistem posle uspenog napada zavisi od vrednosti objekta
napada. Kako raste A, raste i Ut, odnosno, raste i nivo Rpp, a na porast nivoa

16

faktora rizika direktno utiu kombinovane pretnjeT i ranjivosti sistemaV. Mere

zatite Mz smanjuju nivo Rpp.
Posle implementacije kontrola zatite za tretman (ublaavanje) rizika, efektivnost
uvoenja mera zatite Emz moe se proraunati formulom:
Emz= (RprRpp)/Rpr
(3.8)

17

Temeljita procena faktora rizika je kamen temeljac razvoja programa i plana

rentabilnog sistema zatite. U plan zatite korisno je ubaciti kvantitativne
parametre - ukupne trokove zatite, koji na preostalom nivou rizikaRpr treba
da budu optimalni, odnosno, jednaki ili manji od ukupno oekivanih godinjih
gubitaka OGG, koji mogu nastati ako se ne primene predviene mere zatiteMz. OGG treba da budu manji od ukupnog preostalog relativnog rizikaRpr

izraenog u novanoj vrednosti. Ovakva vrednost Rpr najee se

predlae menadmentu, kao vrednost prihvatljivog nivoa ukupnog
preostalog rizikaRpp. Kako je vrednost OGG jednaka vrednosti uticajaUt
izraenoj u novanim jedinicama, OGG se mogu proceniti slinom
iskustvenom relacijom, [22]:
OGG = Tv x Ar
(3.9)
gde je:
Tv verovatnoa da e se neka pretnja materijalizovati u datoj godini, a
Ar relativna vrednost odreene imovine na koju se pretnja odnosi.
Primer: Lokalna mrea IKTS ima 20 PC po ceni od 540 Eu po komadu. Oekuju se
po 1 potpuni prekid rada, upad u sistem i kraa podataka godinje (T=1).
Primenom formule (3.9) bie: OGG= 1x (20 x 540) = 10.800 Eu, pa su sve
primenjene kontrole zatite za spreavanje ove procenjene tete rentabilne, ako
im cena ne prelazi OGG.
U praksi zatite retko se koristi kompletna formalna metodologija za analizu i
procenu rizika. Razvijeni su brojni skraeni metodi za analizi rizika (OCTAVE, BAR)
koji su praktiniji i bre dovode do prihvatljivih rezultata, [18].
Procena bezbednosnog rizika: Rezultati procene rizika koriste se za
identifikaciju opcija za tretman rizika i dokumentuju se u Politici zatite i Planu
tretmana rizika. Generalno za identifikaciju rizika u fazi procene mogu se koristiti
razliite tehnike: Brainstorming ili brza analiza rizika (BAR), Upitnik ili izjava o
osetljivosti (IoO), Identifikovanje poslovnih procesa i opis internih/eksternih
faktora koji mogu uticati na ove procese, Industrijski benchmarking, Analiza
scenarija napada (incidenata), Procena rizika, Ispitivanje incidenata, revizija
(audit), Studija HAZOP (hazard & operativnost) itd.
Za generiku procenu opteg operativnog rizika razvijene se tri kljune
metodologije: procene rizika odozdo na gore, sveobuhvatne analize i procene
rizika i procene rizika odozgo na dole.

Procena rizika odozdo na gore ukljuuje: istraivanje trita, predvianje trenda,

testiranje trita, istraivanje i razvoj i analizu uticaja na poslovanje.
Sveobuhvatna analiza rizika obuhvata brojne faze i aktivnosti kao to su:
modelovanje zavisnosti, SWOT analiza (snage, slabosti, prilike, pretnje), analiza
drveta pretnji, planiranje kontinuiteta poslovanja (BCP), BPEST (biznis, politika,
ekonomska, socijalna, tehnoloka) analiza, modelovanje realnih opcija,
odluivanje na bazi stanja rizika i faktora neodreenosti, statistike implikacije,
merenja glavnog trenda i faktora neodreenosti, PESTLE (Politiko ekonomsko
socijalno, tehniko i legalno) okruenje i dr. Procena rizika odozgo na dole
ukljuuje tri glavne tehnike: analizu pretnji, analizu drveta greaka i FMEA
(Failure Mode & Effect Analysis) analizu.
U praksi zatite IKTS, standard ISO/IEC 27005 diferencira etiri osnovna metoda
za estimaciju rizika, koja se u osnovi zasnivaju na generikoj metodologiji, ali

18

imaju razliite fokuse na parametre rizika i primenjuju razliite estimacije, [ISO

20005]:
1. Metod matrice rizika sa predefinisanim vrednostima (ISO/IEC 13335-3);

2. Metod merenja rizika rangiranjem pretnji prema rezultatima procene

rizika;
3. Metod procene verovatnoe uticaja i moguih posledica i
4. Metod distinkcije izmeu prihvatljivog i neprihvatljivog rizika.
Primeri prorauna rizika primenom ovih metoda dati su u Prilogu D.
Rezultat procene rizika je izjava o primenljivostri kontrola za ublaavanje rizika na
prihvatljivi nivo SOA (Statement of aplicability) za poslovne ciljeve uz primenjene
mere zatite.
Izlaz: SOA - Izjava o primenljivosti kontrola zatite,

Komercijalno su dostupne brojne interaktivne metodologije za procenu

bezbednosnog rizika za informacionu imovinu organizacije. CRAMM metod je
razvila engleska vladina agencija i koristi ga vie od 40 drava na najviem nivou.
Metod je skup, kompleksan za primenu, ali detaljan i pouzdan, [CRAMM]. OCTAVE
metod procenjuje kritine faktore rizika za objekte informacione imovine kritine
za poslovanje organizacije, [Ocatve]. Metod je samonavodei i ne zahteva
specijalistilka znanja, sveobuhvatan je, sistematian i adaptivan na promene
realne situacije. Za inicijalnu procenu rizika, kada organizacija nema kompletiran
inventar informacione imovine, koristan je metod brze analize rizika (BAR) koji
zahteva aktivno angaovanje menadmenta i praktiara poslovnih procesa,[xy].
REZIME
Upravljanje rizikom je proaktivno upravljanje sistemom zatite. Procena rizika je
metod za planiranje zatite. Stohastika priroda pretnji, ranjivosti i evaluacija
vrednosti imovine, problemi su koji oteavaju korienje analitikih metoda u
procesu analize i procene rizika. Procena pretnji ograniena je sa faktorom
neodreenosti, jer ne znamo kada i kako e se neki tetan dogaaj desiti i kakvog
e biti intenziteta. Procena rizika nije strogo nauni metod sa pozitivistikog
aspekta, nego pre artefakt koji se koristi za kreiranje profesionalnih znanja.
Drugi problem su kvalitativna i kvantitativna identifikacija i vrednovanje objekata
informacione imovine, gde su podaci i informacije najznaajnije vrednosti.
Vrednost podataka moe se dobiti samo indirektnim putem korienjem faktora
uticaja pretnji na ranjive take sistema (otkrivanje, modifikacija,
neraspoloivost, destrukcija). Nemogue je proceniti ove efekte bez specifinog
scenarija. esto je nemogue napraviti evaluaciju materijalnih trokova gubitaka.
Dinamika 'dimenzija' analize rizika je vana, jer se pretnje i iskoristive ranjivosti
uvek menjaju. Ovo znai da se i nivoi zatite moraju menjati tako da kompenzuju
ove promene. U ovakvom procesu kontrole, procena rizika je model donoenja
odluke koji pomae upravnoj strukturi da planira sistem zatite. Faktor
promenljivosti unosi i unutranje i spoljno okruenje, pa je za upravljanje
promenama potrebno neprekidno skeniranje specifinih dogoaja u okruenju,
Promene u sistemu mogu izazvati interni dogaaji (novi sistem aplikacija, novi
zaposleni, nova odelenja i sl.) ili promene u ivotnom ciklusu sistema (revizija
zahteva i dizajna, implementacija sistema, monitoring i periodina revizija itd.).
Brojni metodi kvantitativne analize rizika imaju prednosti, jer svode svaku analizu
rizika na novanu vrednost. Kada je u pitanju gubitak ivota, nacionalnog interesa

19

ili konkurentnosti na tritu, treba primeniti kvalitativni metod procene znaaja

gubitaka umesto novanih vrednosti. Sa procedurom koja odreuje prioritete,
kvantitativna analiza rizika ima problem memorisanja i akvizicije podataka.
Generika metodologija procene rizika ukljuuje parametre vrednosti imovine (A),
ranjivosti (V), pretnji (T), uticaja (U=T/V ili da e pretnje iskoristiti ranjivosti i
naneti tetu imovini i poslovnim procesima). Faktori neodreenosti koje u
procenu rizika unosi stohastika priroda pretnji i ranjivosti, kompenzuju se
mnoenjem parametara rizika (umesto sabiranja) ime se dobije vei procenjeni
rizik i zahteva bolji sistem zatite.
Za procenu rizika razvijene su brojne tasonomije pretnji i ranjvosti koje mogu
pomoi uz obavezno prilagoavanje kontekstu i okruenju procene rizika. Na
principima generike metodologije procene rizika, razvijena su etiri metoda sa
razliitim teitima u proceni rizika (ISO/IEC 27005): metod matrice rizika sa
predefinisanim vrednostima (ISO/IEC 13335-3), metod merenja rizika rangiranjem
pretnji prema rezultatima procene rizika, metod procene verovatnoe uticaja i
moguih posledica i metod distinkcije izmeu prihvatljivog i neprihvatljivog rizika.
Takoe, na raspolaganju su brojni pomoni, inetraktivni alati za procenu
bezbednosnog rizika, kao to aplikacije tipa COBRA, HESTIA, RA2 itd. Dobar
interaktivni (programovek) kvalitativni metod za analizu rizika je CRAMM, kojeg
koristi vie od 40 zemalja u svetu na nacionalnom nivou (za dravne potrebe).
Primena metoda nije jednostavna i zahteva dobru obuku analitiara. Metod
OCTAVE je evaluacija bezbednosnog rizika organizacije fokusirana na rizik za
kritine objekte imovine organizacije. Metod je sveobuhvatan, sistematian,
adaptivan promenama realne situacije i samonavodei. Omoguava svim
zaposlenim na svim nivoima organizacije da rade zajedno na identifikaciji i
razumevanju faktora rizika i da donesu pravilne odluke za smanjenje rizika i
sistem zatite. Metod brze (brainstorming) analize rizika (BAR) omoguava brzu i
efektivnu analizu glavnih faktora rizika, sa ukljuivanjem kapaciteta organizacije i
bez potrebe posebnog angaovanja specijalista za analizu rizika.

20