Professional Documents
Culture Documents
Metodologija Procene Rizika
Metodologija Procene Rizika
Principi UR
Uspostavljanje
sistema za
centralno
upravljanje
rizikom/
zatitom (CRT)
Implementacija
politike i
odgovarajuih
kontrola zatite
Razvoj svesti o
potrebi i obuka
korisnika o zatiti
Nadzor i revizija
(kontrola)
efektivnosti
sistema zatite i
evaluacija
usklaenosti
politike i prakse
zatite
pridruuju kvalitativni teinski faktori (numeriki: 15; 110 itd. ili tekstualni:
nizak, srednji, visok; nizak, srednje nizak, srednji, srednje visok, visok itd.) koji
se, zatim, kombinuju proizvodei meru relativnog rizika Rr za specifinu
ranjivost. Vrednost rizika se smatra relativnom, zato to se relacija zasniva na
subjektivnom vrednovanju i rangiranju vrednosti atributa A,T,V,U bez formalnog
prorauna faktora neodreenosti ovih atributa. Za razumevanja procesa procene
rizika korisno je razumeti prirodu i doprinos svakog pojedinanog atributa
ukupnom riziku, kroz primer intuitivne kvalitativne procene atributa Rr, (Tabeli
3.1).
Tabela T. 3.1 Primer intuitivne procene atributa A,V,T i relativnog rizika (Rr)
Primer scenarija
Procena Rr
Visoka
Visoka
Visoka
Visoka
Niska
Visoka
Visoka
Niska
Visoka
Niska
Visoka
Niska
Visoka
Visoka
Niska
Niska
Analiza rizika podrazumeva analizu svakog faktora rizika, u odnosu na to zato i kako
moe nastati. U tom smislu faktore rizika treba identifikovati, a zatim izvriti estimac
svakog identifikovanog faktora rizika.
Identifikacija
faktora
rizika
mora
biti
sveobuhvatna,
struktuirana
i
argumentovana. Korisno je identifikovati faktore rizike koje treba tretirati pod
kontrolom organizacije, ali i izvan te kontrole. Faktori rizika se mogu nalaziti u
oblasti informacione imovine-A, kombinovanih pretnji-T i ranjivosti sistema-V, a
identifikuju se u odnosu na parametre verovatnoe (frekvencije pojave i
intenziteta) i uticaja-U (posledica, tete) na poslovne procese, ili verovatnoe
uticaja da e pretnja/e iskoristiti ranjivost/i. U ovoj fazi se definiu i neprihvatljive
posledice uticaja faktora rizika, kao i primenljivi metodi za identifikaciju faktora
rizika: ek liste, intervjui, sistemska analiza i sistem inenjerske tehnike.
Oekivani izlazi iz ove faze procesa analize rizika su:
NIST politiku zatite definie na nivou IKTS organizacije, sistema zatite (ISMS) i komponenti
sistema zatite pravila.
Tein
ski
fakto
r
najvei
srednje
visok
srednji
srednje
nizak
srednje
nizak
Definicija - kriterijumi
Ovi objekti imaju najviu vrednost za
organizaciju i mogu se vrednovati i vie od
mrene i tekue trine oekivane vrednosti.
Njihov gubitak ili unitenje moe imati ozbiljan
uticaj na ukupno poslovanje organizacije.
Ovi objekti imaju vrlo visoku vrednost za
procese rada i njihov gubitak ili unitenje moe
imati ozbiljan uticaj na neke poslove
organizacije.
Ovo su znaajni objekti organizacije koji mogu
biti zamenjeni, a njihov gubitak ili unitenje
moe imati trenutne i ozbiljne posledice za
profitabilnost poslova.
Ovo su zamenljivi objekti, a poto je cena
zamene relativno visoka, mogu imati samo
umeren uticaj na ukupnu profitabilnost
poslova.
Ovo su objekti koji nemaju stvarnu ekonomsku
vrednost unutar procesa rada i mogu se lako i
jeftino zameniti.
Estimacij
a
Najvii
Drugi
Trei
Definicija
Ova informaciona imovina (A) ima najveu vrednost za
organizaciju, a moe se vrednovati vie od nabavne vrednosti, ili
oekivane, ili marketinke vrednosti. Gubici ili destrukcija ove
imovine moe imati veoma ozbiljan uticaj na poslovanje.
Ova informaciona imovina je veoma vredna za poslovne procese,
a gubitak ili destrukcija ove imovine moe imati ozbiljan uticaj na
poslovanje.
Ovo je vana informaciona imovina koja se moe zameniti tamo
gde njeni gubici ili destrukcija mogu imati ozbiljan i neposredan
uticaj na profitabilno poslovanje.
Nivo
(A)
Estimacij
a
etvrti
Najnii
Definicija
Ovo je zamenljiva informaciona imovina, a poto su trokovi
zamene relativno visoki bie samo srednji uticaj na ukupno
poslovanje.
Ovo je informaciona imovina koja nema stvarnu ekonomsku cenu
u poslovnim procesima i moe se lako zameniti uz minimalne
trokove.
Procena ranjivostiV
Verovatnoa da kompetentan agent pretnje postane
svestan vrednosti informacije i da moe pristupiti ovim
informacijama.
Verovatnoa da agent pretnje uvidi korisnost
informacije, da e informacija zadovoljiti neku
zainteresovanu (konkurenciju).
10
Atributi
ranjivosti
sistema
(3) Trajnost
(Tr)
(4)
Iskoristivost
(Is)
(5)
Zatienost
(Za)
Procena ranjivostiV
Datum iza koga informacija vie nee biti korisna
napadau i mogunost korienja informacije pre toga
datuma.
Mogunost upotrebe informacije na vreme i na nain
koji su kritini za vlasnika informacije. Potreba za
dodatne informacije da bi napada iskoristio
postojee, stekao prednost ili ugrozio vlasnika.
Postojanje dokumentovane politike zatite poslovnih
tajni ili intelektualne svojine. Pristup korisnika
informacijama ogranien u skladu sa politikom zatite.
Korisnici su potpisali sporazum o neotkrivanju
informacija NDA (Non Disclosure Agreement).
11
Nivo
Teinski
faktor
Definicija
12
Vrlo visok
Visok
Srednji
Nizak
Vrlo nizak
Teinsk
i faktor
Eliminie
Razoran
Kritian
Kontrolisan
Iritirajui
Definicija
Posledica je potpuno unitenje objekata i organizacija se
teko moe oporaviti. Incidenti su teki za kontrolu i zatitu.
Incidenti mogu biti razorni i bez neposrednog i adekvatnog
odgovora potpuno unititi objekte. Dovode do znaajnih
finansijskih gubitaka i gubitka javnog ugleda.
Incidenti od kojih se organizacija moe oporaviti dobrim
upravljanjem incidentom i implementacijom odgovarajuih
mera zatite. Dovode do srednjih gubitaka i neprijatnosti.
Uticaj incidenta je verovatno kratkoroan i moe se
kontrolisati. Sa pravom zatitom i odgovorom, uticaj moe
bit smanjen na minorne neprijatnosti i minimalne trokove.
Incidenti su obino beznaajni i izazivaju samo lokalnu
iritaciju. Merama zatite treba ih izbei ili kontrolisati.
Nivo
Tenski
faktor
Definicija
Vrlo visok
Visok
13
Srednji
Nizak
Vrlo nizak
14
Teinski
faktori
1 5 (1 je
najvei)
1 5 (1 je
najvei)
1 5 (1 je
najvei)
1 5 (1 je
najvei)
1. V (visok), svaki faktor rizika R: 1 < R < 200; svaki faktor rizika R<
50 je vrlo kritian i zahteva trenutno ispitivanje i reagovanje;
2. S (srednji), svaki faktor rizika R: 200 < R < 400
3. N - (nizak), svaki faktor rizika R: 400 < R < 625
Faza evaluacije faktora rizika je procena rizika na bazi strogo utvrenih
kriterijuma predefinisanih u fazi definisanja parametara za upravljanje rizikom
(Odreivanje konteksta za procenu rizika), a obuhvata aktivnosti kao to su:
15
U ovoj fazi faktore rizika procenjene kao niske - N, treba smatrati prihvatljivim i
mogue je da menadment/vlasnik sistema ne zahteva tretman ovih faktora
rizika. Faktore rizika procenjene kao srednje-S i visoke-V treba tretirati, pri emu
faktore sa visokim uticajem tretirati prioritetno.
Ukupan relativni rizik Rr za informacionu imovinu organizacije, odreuje se na
bazi evaluacije faktora rizika, kojih za neku prosenu organizaciju moe biti na
hiljade (zavisno od dubine procene rizika), na prihvatljive (P) i neprihvatljive (N)
faktore rizika. Predefinisane kriterijume P i N faktora rizika (u fazi definisanja
konteksta za procenu rizika) odreuje menadment, a definitivno ih potvruje
potpisivanjem dokumenta Izjava o primenljivosti-SOA (Statement of Aplicability),
kojim menadment prihvata predloene kontrole zatite za tretman rizika, kao i
preostali relativni rizik Rpr.
Izlazne veliine u fazi evaluacije faktora rizika su prioriteti za tretman rizika i to :
Izlaz 1: Lista prioriteta faktora neprihvatljivog rizika i
Izlaz 1: Lista prihvatljivih faktora rizika (prihvaenih i sa N uticajem).
Estimacija faktora preostalog rizika: Rizik koji ostaje posle implementacije
novih ili poboljanih kontrola zatite naziva se preostali relativni rizik Rrp. To
znai da ni jedan IKTS nije osloboen rizika i da sve implementirane kontrole ne
eliminiu u potpunosti odnosne faktore rizika. Nivo Rrp moe se analizirati kao
iznos redukovanog rizika uvoenjem novih, poboljanih kontrola zatite u odnosu
na procenu uticaja pretnji. Implementacija novih i poboljanih kontrola zatite
moe smanjiti rizik eliminisanjem nekih ranjivosti, dodavanjem kontrola zatite i
smanjenjem veliine negativnog uticaja. Kako je rizik identifikovan prema tipu
specifinih objekata i ranjivosti sistem e imati jednu vrednost rizika po jednoj
taki ranjivosti koju pretnja iskoristi, a svaka ranjivost e imati jednu vrednost
rizika po objektu na koji utie. Ne postoji egzaktna matematika relacija za
kvantitativan proraun relativnog preostalog rizikaRrp koji namee u datoj
situaciji kombinovana pretnjaT na ranjivost objektaV sa implementiranim
merama (kontrolama) zatiteMz za ublaavanje rizika. Proces procene rizika daje
dva rezultata: preostali relativni rizik bez uea mera zatiteRrp i prihvaeni
preostali rizik sa merama zatiteRpp. Priblino se nivo preostalog relativnog
rizika sa merama zatiteRpp moe proraunati iz jednaine, , (Sl.3.4), [18]:
16
17
18
19
20