Professional Documents
Culture Documents
Pregled Metodologija Za Procjenu Rizika
Pregled Metodologija Za Procjenu Rizika
1-32
Juraj Ljubei, mag.ing.el.
Konar - Inenjering za energetiku i transport d.d.
juraj.ljubesic@koncar-ket.hr
especially important during the risk assessment phase, because every change in methodology impairs
repeatability and potentially consistency.
There is a large number of various risk assessment methodologies in use, each one having its
own set of advantages and disadvantages. There is also strong geographical bias present in the choice of
methodologies. Considering multitude of risk assessment methodologies, recommendations, frameworks
and standards it is difficult to present them all. This article will give comparison of most common risk
assessment methodologies.
Key words: Information security management systems, ISMS, risk assessment methodologies,
ISO/IEC 27000
1.
UVOD
Metodologija procjene rizika definira naine odreivanja vrijednosti ulaznih veliina na kojima se
zasniva procjena rizika. Ulazne veliine pri procjeni rizika su najee vjerojatnost (eng. probability) i
utjecaj (eng. impact), a mogu biti i mnoge druge. Koje sve ulazne veliine e biti koritene definirano je u
svakoj pojedinoj metodologiji. Osim ulaznih veliina metodologijom je odreen nain izraunavanja razine
rizika te kriteriji za odreivanje prihvatljivosti, odnosno neprihvatljivosti razine rizika. Vrijednosti ulaznih
veliina mogu se odreivati na razne naine: odabirom iz predefiniranih tablica, neposrednim mjerenjem i
sl. Metodologija mora osigurati ponovljivost vrijednosti, to je u praktinoj primjeni nije jednostavno
postii.
Ne postoji najbolja metodologija za procjenu rizika. Na postoji ak ni najbolja metodologija
procjene rizika za neko podruje primjene. Svaki korisnik mora ili odabrati neku od postojeih
metodologija ili na temelju postojeih razviti vlastitu metodologiju. Postojee, etablirane metodologije u
odreenim primjenama mogu biti nepotrebno komplicirane. Neke metodologije nisu javno dostupne te je
za njihovo koritenje potrebno je plaanje odreenih naknada. Ograniavajui imbenik moe biti i
nepostojanje adekvatnog ili slubenog prijevoda to u zemljama gdje neki od svjetskih jezika nije u
svakodnevnoj upotrebi dodatno komplicira primjenu odreenih metodologija.
U Sjedinjenim Amerikim Dravama esto se koriste The Department of Homeland Securitys
Risk Assessment Methodology razvijena od strane ministarstva domovinske sigurnosti, Risk Assessment
Methodology (RAM) razvijena u Sandia National Laboratories te komplet preporuka i smjernica iz
podruja informacijske sigurnosti razvijenih od strane National Institute of Standards and Technology
(NIST) i U.S. Department of Commerce.
U Europi su meu poznatijim metodologijama francuska Mehari 2007 razvijena u Club de la
Scurit de l'Information Franais (CLUSIF) i britanska Sherwood Applied Business Security Architecture
(SABSA).
Meu neovisne i svjetski rairenije metodologije moe se svrstati komplet CobiT-ValIT-RiskIT
razvijen od strane Information Systems Audit and Control Association (ISACA) te komplet normi ISO/IEC
27000 Information technology -- Security techniques od kojih je do sada objavljeno 10 od planirane 32
pojedinane norme.
Zbog svega toga vrlo esto korisnici ponu s primjenom neke poznatije metodologije te je
prilagode je svojim potrebama. Na takav nain zapravo razviju vlastitu metodologiju procjene rizika.
Budui da takve novostvorene metodologije nisu ope namjene, ve su prilagoene za konkretnu
organizaciju, pokazalo se da u primjeni mogu postii zavidne rezultate. Glavna mana metodologija
nastalih vlastitim razvojem je to to se organizacija mora sama brinuti o odravanju i prilagoavanju
metodologije dinaminom svijetu informacijske sigurnosti.
2.
Ovim prikazom obuhvaene su svjetski poznatije metodologije. Neke od njih su vie orijentirane
prema informatikim tehnologijama (CobiT), neke prema elektroenergetskom sektoru (RAM), a neke
imaju izrazitu geografsku zastupljenost bez obzira na podruje primjene (DHS, MEHARI, SABSA).
Primjenom ISO/IEC 27001 grupe normi formalna standardizacija sve vie uzima maha i u podruju
sustava upravljanja informacijskom sigurnou. Ovaj prikaz obuhvaa najpoznatije metodologije procjene
rizika bez obzira na podruja primjene i zemljopisnu zastupljenost.
2.1.
2
U Sandia National Laboratories razvili su na prvi pogled jednostavnu metodologiju procjene rizika
ija se razina izraunava po formuli (izvor: http://www.sandia.gov/ram/index.htm):
Risk = PA * (1 - PE ) * C
(1)
gdje je:
PA - vjerojatnost napada protivnika
PE - uinkovitost sigurnosnog sustava
(1 - PE) - uspjenost protivnika
C - posljedice gubitka imovine
Proces poinje s karakterizacijom pogona, ukljuujui identifikaciju neeljenih dogaaja i
odgovarajue kritine imovine. Smjernice za definiranje prijetnje, opasnosti i vjerojatnosti napada su
vezane uz procjene za odreeni objekt. Relativne vrijednosti posljedica i uinkovitosti sigurnosnih sustava
se procjenjuju. Konkretne naine procjene ulaznih veliina mogue je saznati pohaanjem odgovarajueg
seminara.
2.3
Mehari 2007
Francuski Club de la Scurit de l'Information Franais (CLUSIF) razvio je prilino sloenu, dobro
dokumentiranu i javno dostupnu metodologiju. Dostupna je na francuskom i engleskom jeziku, a
zajednica Mehari korisnika je otvorena i stalno poziva na prevoenje i prilagodbu svoje metodologije.
Metodologija vrlo detaljno definira sve postupke. Osim opisa dostupna je i baza znanja
pohranjena je u MS Excel formatu koji se sastoji od dvadesetak meusobno povezanih listova s detaljima
izrauna i primjerima to je ilustrirano donjim tablicama.
Table T1 (Example)
CL ASSIFICATION
Business Processes
o r activity d omains
and
Co mmon Services
Service
types
Typ
column nam e for Classificati on -->
Applicatio n
and/or
procedures
Ap plication
data
(d atabases)
Application data
in transit
Messag es
INFRASTRUCTURE
Associated
deskto p files
Aap Iap Cap AAa IAa CAa Atm I tm Ctm Afb Ifb Cfb
Hand
Listin gs or w ritten
printouts docs or
archives
C
Cli
email o r
postmail
Fax
Appli.
Serv.
desktop
serv.
LAN
WAN
PDN
Sp ec
equipt.
ASA
ASB
ARL
ARE
ARP
AED
1
1
RLC
Process 1 : HR
Process 2 : Sales management
Process 3 : Strategic planni ng
Process 4 : Financial and accounting
domain
Process 5 :
Process 6 : CAD/CAM
Process 7 : commercial website
/
Process N
Common Services
e-mail
postal service
Archiving of IT files
Document archives
System admi nistration
User help & support
MSG
COU
ARI
ARD
ADM
HLP
2
2
3
2
1
4
2
2
3
2
2
4
2
2
3
2
2
4
2
3
3
3
3
3
1
3
1
2
3
3
3
3
3
1
3
1
2
3
3
3
3
3
1
3
1
2
3
1
3
3
1
1
3
1
3
3
3
3
3
1
3
3
2
3
1
1
2
1
3
2
3
3
3
2
1
1
1
3
3
1
3
3
3
2
3
3
3
3
1
1
1
1
1
1
1
1
1
1
1
3
1
1
1
1
1
2
4
1
1
1
Ulysse
1
1
2
2
1
1
1
1
1
1
1
1
1
1
Interne t
Wan
1
1
1
1
1
3
1
1
1
1
1
2
1
1
1
3
1
Ta ble T2 (Example)
Infrastructural components
FUNCTION (description)
Optional
SCA
RL
RE
RT
SV
SS
PF
PA
ET
1
2
1
I
Ifc
3
3
3
2
3
System
program
library
A
Cfc Alp
1
3
2
1
1
3
1
1
1
1
1
1
Ilp
2
2
2
2
3
Clp
1
1
1
1
1
2
2
1
1
2.4
SABSA
Slino kao to je u Francuskoj razvijena Mehari metodologija, u Velikoj Britaniji je razvijena Sherwood
Applied Business Security Architecture (SABSA) metodologija. Ova metodologija kontinuirano se razvija
na SABSA Institute. Metodologija je takoer besplatna. U metodologiji su razraeni naini obrade rizika,
pa osim modela sigurnosne arhitekture ilustriranog na slici 3 (izvor: http://www.sabsa.org/the-sabsamethod/the-sabsa-model.aspx) definira i atribute pojedinog segmenta poslovanja na nain prikazan na
slici 4 (izvor: http://www.sabsa.org/the-sabsa-method/sabsa-attributes.aspx).
CobiT-ValIT-RiskIT
Information Systems Audit and Control Association (ISACA) je meunarodna udruga osnovana
1967. od strane grupe IT auditora. Osim razvijanja metodologija bavi se i certificiranjem osoba
osposobljenih za rad u podruju informatike sigurnosti. Control Objectives for Information and related
Technology (CobiT) je radni okvir (eng. framework) orijentiran prvenstveno na informatiki dio
informacijske sigurnosti. RiskIT i ValIT radni okviri su proirenja u smjeru vrijednosti isporuka i upravljanja
rizicima. Meuovisnost pojedinih komponenti CobiT radnih okvira prikazana je na slici 5 (izvor: CobiT 4.1
http://www.isaca.org/AMTemplate.cfm?Section=Downloads&Template=/ContentManagement/ContentDis
play.cfm&ContentID=34172).
Norma
Naziv
ISO/IEC
27000
ISO/IEC
27001
ISO/IEC
27002
ISO/IEC
27003
Podruje pokrivanja /
namjena
Status
Objava
Objavljeno
2009-04-30
Objavljeno
2005-10-14
Objavljeno
2005-06-15
Smjernice za primjenu
Objavljeno
2010-02-01
Objavljeno
2009-12-15
ISO/IEC
27004
Mjerenja u sustavu
upravljanja sigurnou
(sigurnosna metrika)
ISO/IEC
27005
Upravljanje rizikom
Objavljeno
2008-06-04
ISO/IEC
27006
Information technology -- Security techniques -Requirements for bodies providing audit and certification of
information security management systems
Proces certifikacije i
akreditacije za
certifikacijska tijela
Objavljeno
2007-02-13
ISO/IEC
27007
U razvoju
***
Norma
Naziv
ISO/IEC
27008
ISO/IEC
27010
ISO/IEC
27011
ISO/IEC
27013
ISO/IEC
27014
ISO/IEC
27015
ISO/IEC
27031
ISO/IEC
27032
ISO/IEC
27033-1
ISO/IEC
27033-2
ISO/IEC
27033-3
ISO/IEC
27033-4
ISO/IEC
27033-5
ISO/IEC
27033-6
ISO/IEC
27033-7
ISO/IEC
27034-1
ISO/IEC
27034-2
ISO/IEC
27034-3
ISO/IEC
27034-4
ISO/IEC
27034-5
Smjernice za audit
kontrola informacijske
sigurnosti
Smjernice za ISMS u
meusektorskoj
komunikaciji
Smjernice za ISMS u
telekomunikacijskim
organizacijama
Smjernice za integriranu
primjenu ITIL-a i ISMS-a
Upravljanje
informacijskom
sigurnou
Smjernice za ISMS u
financijskim
organizacijama
Kontinuitet poslovanja
usmjereno na ICT
Smjernice za
cybersecurity
Zamjena za IT mrenu
sigurnost u ISO/IEC
18028
Smjernice za aplikacijsku
sigurnost
ISO/IEC
27036
ISO/IEC
27037
Objava
Prednacrt
***
Odobren
projekt
***
Objavljeno
2008-12-15
Prijedlog
***
Prijedlog
***
Prijedlog
***
U razvoju
***
U razvoju
***
Objavljeno
2009-12-10
U razvoju
***
U razvoju
***
Odobren
projekt
***
Odobren
projekt
***
U razvoju
Odobren
projekt
Odobren
projekt
Odobren
projekt
Odobren
projekt
Status
Odobren
projekt
Odobren
projekt
ISO/IEC
27035
ISO 27799
Podruje pokrivanja /
namjena
Zamjena za upravljanje
sigurnosnim incidentima u
ISO TR 18044
Smjernice za sigurnost
outsorcinga
Smjernice za digitalne
zapise
Smjernice za primjenu
ISMS u zdravstvu
U razvoju
Odobren
projekt
Odobren
projekt
Objavljeno
***
***
***
***
***
***
***
***
***
***
2008-06-12
Uz ISO/IEC skupinu normi svakako treba spomenuti i ISO27k forum na kojem se mogu nai
mnogobrojne korisne informacije i ideje iz primjene ISO27k normi. Na forumu se mogu razmijeniti
iskustava iz primjene normi ISO/IEC 27000, ukljuujui i prijevode raznih uputa i pomonih radnih
materijala na razne jezike, ukljuujui i hrvatski. Na slici 6 prikazan je osnovni tijek procesa uspostave
ISMS-a gdje se vidi u kojoj se fazi procesa primjenom metodologije provodi procjena rizika (izvor:
http://www.iso27001security.com/html/iso27k_toolkit.html).
(2)
8
gdje je:
R - razina rizika
Ut - utjecaj (teta)
Vj - vjerojatnost izraena kao uestalost na godinjoj razini
Ek - efikasnost kontrole u % (raspon vrijednosti 0 1)
Ulazni podaci (Ut, Vj, Ek) dobivaju se procjenom od strane kompetentnih osoba koje su dobro
upoznate sa konkretnim procesom, statistikih podataka, te podataka prikupljenih kroz suradnju i
kontakte s posebnim interesnim skupinama (specijalistiki sigurnosni forumi, profesionalne udruge i sl.).
Utjecaj se procjenjuje na temelju moguih posljedica realizacije neeljenog dogaaja. Utjecaj
moe biti na financije, konkurentnost i ugled, ivot i zdravlje, poslovne procese, te utjecaj na drutvo i
prirodu. Za svaki od tih vidova utjecaja procijeni se njegova razina te se iz prvog stupca tablice 4 oita
numerika vrijednost. Npr. dogaaj koji moe prouzroiti oteano odvijanje pomonih poslovnih procesa
za utjecaj na poslovne procese dobiva vrijednost 10. Na taj nain se dobije pet numerikih vrijednosti
utjecaja, po jedna kao mjera financijskog utjecaja, utjecaja na ugled i konkurentnost, utjecaja na sigurnost
i zdravlje ljudi, utjecaja na poslovne procese, te utjecaja na prirodu i drutvo. Zbroj svih pet vrijednosti
utjecaja se uvrtava u formulu (2) kao ukupna vrijednost svih utjecaja nekog mogueg sigurnosnog
dogaaja. Utjecaj nastao uslijed nelegalnog postupanja, postupanja mimo propisa, normi i pravila struke,
te posljedice postupaka koji su u suprotnosti s naelima postupanja "dobrog gospodara" smatraju se
neprihvatljivima, te se za njih ne radi procjena razina rizika. Takva postupanja se ne smiju dozvoliti niti u
kom sluaju.
Utjecaj
Financijska teta
Konkurentnost i
ugled
Sigurnost i zdravlje
ljudi
Poslovni
procesi
1.000
objava informacija
o incidentu u vie
drava
povrede s trajnim
posljedicama
(gubitak trajne radne
sposobnosti >30%)
prekid kljunih
(glavnih)
procesa
100
objava informacija
o incidentu u
jednoj dravi
potreba za
medicinskim
tretmanom, ali bez
trajnih
posljedica
oteani glavni
i/ili prekinuti
pomoni
procesi
10
umjerena financijska
teta - iziskuje izmjene
u financijskim
planovima
informacija o
incidentu koja je
dola do
potencijalnih
kupaca
bez potrebe za
medicinskim
tretmanom
oteani
pomoni
procesi
statistiki
oekivani
incidenti
bez posljedica
bez utjecaja
ZAKLJUAK
procjene rizika kao i primjer kako se na temelju postojeih metodologija moe razviti vlastita. Paljivim
odabirom i eventualnim prilagoavanjem metodologije za procjenu rizika osigurava se prilagoenost
specifinim potrebama te dosljednost i ponovljivost kao najvanije znaajke koje neka metodologija
procjene rizika mora zadovoljavati.
5.
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
10
LITERATURA
ISO/IEC 27001:2005, "Information technology Security techniques Information security
management systems Requirements".
ISO/IEC 27004:2009, "Information technology -- Security techniques -- Information security
management -- Measurement".
"The Department of Homeland Security's Risk Assessment Methodology: Evolution, Issues, and
Options for Congress", February 2, 2007.
RAM-TSM is a risk assessment process designed to analyze the current security risks for electrical
transmission systems and provide information to support effective risk reduction decisions.
(http://www.sandia.gov/ram/)
Mehari 2007 knowledge bases are free (http://www.clusif.asso.fr/)
SABSA is a six-layer model for security architecture widely accepted today (http://www.sabsa.org/)
With more than 86,000 constituents in more than 160 countries, ISACA is a leading global
provider of knowledge, certifications, community, advocacy and education on information systems
(IS) assurance and security, enterprise governance of IT, and IT-related risk and compliance
(http://www.isaca.org/)
International Organization for Standardization
(http://www.iso.org/iso/iso_catalogue/management_standards/specific_applications/specificapplications_it-security.htm)
International Electrotechnical Commission (http://www.iec.ch/)
The FREE ISO27k Toolkit consists of a collection of materials contributed by members of the
ISO27k Forum. (http://www.iso27001security.com/)