PRIMJENA METODE ANALIZE GREAKA I NJIHOVIH POSLEDICA (FMEA) U ANALIZI INFORMACIONO BEZBJEDONOSNIH RIZIKA AN ILLUSTRATION OF FAILURE MODES AND

EFFECTS ANALYSIS (FMEA) TECHNIQUES TO THE ANALYSIS OF INFORMATION SECURITY RISKS *

Slobodan ivkovi1)
Rezime: Rad je namjenjen da demonstrira kako se moe koristiti FMEA metoda za analizu informaciono - sigurnosnih rizika kao dio oblikovanja i/ili pregleda Sistema menadmenta bezbednou informacija ISO 27000 (ISMS). Rad ima za cilj da pomogne svima onima koji provode ili planiraju implementirati ISO / IEC 27000 standarde. Kljune rei: FMEA metoda, rizik, ISO 27000 Abstract: This work is intended to demonstrate how the FMEA method can be used to analyze information security risks as part of the design and/or review of organization Information Security Management System ISO 27000 (ISMS). The work is meant to help those implementing or planning to implement the ISO/IEC information security management standards. Key words: FMEA method, Risk, ISO 27000

1. UVOD
Krajem dvadesetog vijeka na svjetsku poslovnu scenu poseban "oiljak" ostavio je nagli razvoj informacione tehnologije. Ve poetkom treeg milenijuma informacione tehnologije imaju toliku rasprostranjenost da se moe govoriti o informacionoj eri ili eri znanja. Znanje proizilazi iz informacije, to jest, znanje je formalizovana informacija na koju se poziva ili koja se koristi u procesu zakljuivanja. U literaturi je najee isticana i sa stanovita sistema najprihvatljivija definicija informacije u kojoj se navodi da je informacija mjera organizacije. Imajui ovo u vidu moe se jasno istai znaaj bezbjednosti informacija, jer je to uvanje informacije od sutinskog resursa za dananje poslovne sisteme. U uslovima visoke konkurentnosti, pravovremena i prava informacija je novac, opstanak i presti na tritu. Sve to je bio razlog da se pojave meunarodni standardi sistema menadmenta bezbjednosti informacionih sistema ISMS. Imajui u vidu navedene uslove u poslovnim sistemima i na tritu i svjesni injenice "preuzimanja" informacija i znanja kroz nelegalne

tokove, meunarodna organizacija za standardizaciju je usvojila standard ISO 27001 (odgovara standardu ISO 17799) i standard ISO 27002 (odgovara standardu ISO 17799). Ovi standardi ukazuju na to TA organizacije treba da urade da bi zatitile svoje povjerljive informacije. U pomenutim standardima se ne definie KAKO treba zatititi povjerljive informacije i tu se ostavlja sloboda organizacijama kako da zadovolje standardima definisane zahtjeve u skladu sa svojim potrebama, djelatnostima, veliini i stepenu tehnolokog razvoja. ISO / IEC 27005:2008 obezbjeuje smjernice za informacionu bezbednost upravljanja rizikom. Ovi standardi podravaju opte pojmove navedene u ISO / IEC 27001 i dizajnirani su da pomognu implementaciji informacione bezbjednost na osnovu upravljanja rizicima. Poznavanje koncepata, modela, procesa i terminologije opisano u ISO / IEC 27001 i ISO / IEC 27002 je vano za razumjevanje ISO / IEC 27005:2008. ISO / IEC 27005:2008 je primenjiv za sve vrste organizacija (npr. komercijalna preduzea, dravnie agencije, neprofitnie organizacije), koje nameravaju da upravljaju rizicima koji bi mogli uticati na informacionu bezbjednost. Revidirana verzija ISO 31000 e uskoro biti objavljen. Zbog toga e vjerovatno ISO/IEC 27005

1) Slobodan ivkovi dipl. ing., Mainski fakultet Podgorica, mail: zivkoviccg@gmail.com

biti potrebno uskladiti sa izmijenjenim standardima ISO 31000. Standardni serije ISO 270000 ne navede ime, niti preporuuju bilo koje specifine metode za smanjenje rizika. U ovom radu kao metoda koja moe pomoi smanjenju rizika informacione bezbjednosti koristi se FMEA.

2. METODA ANALIZA GREAKA I NJIHOVIH POSLEDICA FMEA

Analiza greaka i njihovih posledica (Failure Modes and Effects Analysis) ili skraeno FMEA je postupak za analizu potencijalnih graka unutar sistema koje se klasifikuju po teini ili se u odnosu na njih odreuje uink istih na sistem. Ona se nairoko koristi u proizvodnim sistemim, a u razliitim fazama ivotnog ciklusa proizvoda, a u zadnje vrijeme sve veu primjenu ima i u sveri usluga. Uzroci greka (Failure causes) su bilo koje greke ili manjkavosti u procesu, projektovanjau ili u samom proizvodu, a posebno one koje utiu na kupca, a mogu biti potencijalne ili stvarne. Analiza efekata - posledica (Effects analysis) odnosi se na prouavanje i posledice tih kvarova. Iako je prvobitno razvijena od strane vojske, FMEA metodologija se sada intenzivno koristi u razliitim industrijama, ukljuujui industriju za preradu hrane, plastike, softvera i zdravstvene zatite. Razlikujemo vie vrsta FMEA i to: Sistema fokusira se na globalne funkcije sistema, procesa - fokusira na procese proizvodnje i montae, dizajna analiza proizvoda prije proizvodnje, koncepta - analiza sistema ili podsistema u ranim fazama koncept dizajna, opreme - analiza maina i opreme za dizajn prije kupovine, usluga - fokusira na funkciju usluge, softvera - fokusira na funkcije softvera. FMEA je osmiljena kako bi pomogala inenjerima da poboljaju kvalitet i pouzdanost proizvoda. Ispravno korienje FMEA prua inenjerima nekoliko pogodnosti. Izmeu ostalog, ove prednosti ukljuuju: Poboljanje pouzdanost i kvaliteta proizvoda/ procesa, poveavamo zadovoljstva kupaca, rana identifikacija i izdvajanje potencijalnih greaka proizvoda/procesa omoguuje prioritizaciju greaka proizvoda/ procesa, istie problem prevencije,

dokumentuju se rizici i akcije preduzete za smanjenje rizika, osigurava fokus na poboljanje testiranja i razvoja, minimizira kasnije promjene i nepotrebne dodatne trokove, katalizator za timski rad i razmjenu ideja. FMEA se primjenjuje u sluajevima kada se: novi proizvod ili proces pokree (na poetku ciklusa), promjene uine u radnim uslovima proizvoda ili procesa, promjene naprave na dizajnu bilo proizvoda ili procesa, novi propisi postave, uoe problemi prizvoda ili procesa na osnovu korisnikog feedback-a.

3.

SMJERNICA ZA SPROVOENJE PROCJENE RIZIKA KORIENJEM FMEA

Analize rizika je vie umjetnost nego nauka. Iz tih razloga, postupak e najbolje provesti tim ljudi sa solidnom strunost i praktina iskustvima za: (a) procjenu i upravljanje rizicima informacione bezbjednost, te, (b) organizaciju, njene unutranje i spoljne situacije s obzirom na informacionu bezbjednost. Netrebamo oekivati da emo dobiti konane odgovore od bilo koga. Nemogue je garantovati da su svi rizici koji se razmotraju analizirani ispravno. ak nekoliko vrlo iskusnih praktiara u ovoj oblasti tvrde da su sve analize rizika u osnovi besmislica. Rezultati analize zasigurno bi trebao biti pregledani od strane menadmenta (ukljuujui IT revizore, HR strunjake, strunjake iz ostalih funkcije podrke i/ili informaciono bezbjedonosne konsultante) i trebalo bi ih prilagoditi u skladu sa njhovim iskustvom. Ne treba zaboraviti ni to da samo zato to organizacija ima malo iskustva, ako ga uopte i ima, u sveri bezbednosnih rizika informacija, ne znai da se ti rizici mogu zanemarit. Takoe prilikom korienja FMEA treba imati u vidu da: Ova metoda ne uzima u obzir vrijednosti imovine. Rizici su identifikovani za svako sredstvo bez voenja rauna o vrijednosti imovine. Kumulativni rizik identifikovane imovine za svaku prijetnju se razazna na osnovu RPN. Svako sredstvo moe imati vie od jedne greke i svaki neuspeh moe biti sainjen od vie uzroka.

B-67

4.

KORACI PRI SPROVOENJU PROCJENE RIZIKA (RISK ASSESSMENT - RA) INFORMACIONE BEZBJEDNOSTI POMOU FMEA

7.

Zatim iz tabele uticaja - tete (severity of effect) izabrati broj koji je relevantan za uticaj greke. Efekt Effect Uticaj tete Severity of Effect Resurs nije dostupan / Problem nepoznat Resurs nije dostupan / Problem poznat i ne moe biti pod kontrolom Resurs nije dostupan / Problem poznat i moe da se kontrolie Resurs raspoloiv/ Veliko krenje pravila Resurs raspoloiv/ Veliko krenja procesa Resurs raspoloiv/ Veliko krenja procedure Resurs raspoloiv/ sitna krenja pravila Resurs raspoloiv/ sitna krenja procesa Resurs raspoloiv/ sitna krenja procedure Bez efekta Rang 10 9

Sutina metode se sastoji u realizaciji vie koraka. Koraci su manje vie standardizovani kod primjene ove metode ali takoe moraju biti prilagoeni vrsti organizacije i njenim specifinim potrebama. Za procjenu rizika informacione bezbjednosti preporuuju se slijedei koraci:

Katastrofalan Ekstreman

Vrlo visok Visok Umjeren Nizak Vrlo nizak Minoran Vrlo Minoran Bez uticaja

8 7 6 5 4 3 2 1

Slika 1 - Osnovni koraci kod FMEA metode 1. Sastaviti unakrsno funkcionalni tim ljudi sa raznolikim znanjem iz oblasti: projektovanja, proizvodnje, kvaliteta, testiranja, pouzdanosti, odravanja, prodaje, marketinga, korisnikih slubi i sl.
Korisnik kupac Markrting Razvoj proizvoda Razvoj tehnologija

Kvalitet Proizvodnja

Nabavka

Isporuilac

2. 3. 4. 5. 6.

Slika 2 - Sastav FMEA tima Oznaiti broj informacione imovine kako ne bi dolo do dupliranja iste. Zabiljeiti funkciju informacione imovine. Zatim je potrebno da analiziramo uticaj greaka, ali treba imati na umu da jedna greka moe uticati na vie funkcija. Odrediti tehnike mogunosti nastajanja greke. Odrediti potencijalne efekte ako se greka desi

Tabla 1 - Tabela uticaja (teta) 8. Zatim detektujemo potencijalne uzroke greaka. Napomenimo da svaka greka moe imati vie od jednog uzroka. 9. Pogledati na tabelu vjerovatnoe pojave neke opasnosti (Probability of Failure) i izabrati relevatnu vrijednost. 10. Na listi tekue kontrole paljivo odrediti vrstu kontrole preventivna ili detektivna kontrola. 11. Na osnovu tabele detekcije - vjerovatnoe otkrivanja (Detection) odretiti kolika je vjerovatnoa otkrivanja greke, odnosno kolika je efikasnost kontrole. Verovatnoa Vjerovatnoa greke neuspjeha Rang Probability of Failure Failure Probability >1 in 2 > 1 u 2 Vrlo visoka: 10 Neuspjeh je 1 in 3 1 od 3 gotovo 9 neizbean 1 in 8 1 na 8 Najvia: 8 ponovljanje 1 in 20 1 u 20 7 kvarova

B-68

Umerena: Povremeni kvarovi Niska: relativno mali broj kvarova

1 in 80 1 u 80 1 in 400 1 u 400 1 in 2,000 1 u 2000

6 5 4

1 in 15,000 1 u 3 15000 1 in 150,000 1 u 2 150000 Mala: Greka je <1 in 1,500,000 <1 1 malo vjerovatna u 1500000 Tabla 3 - Tabela vjerovatnoe pojave greke 12. Sad moemo da odredimo RPN (Risk Priority Number) kao RPN = S * P * D i na osnovu toga izvriti prioritizaciju rizika.
Definisanje zahtjeva i oekivanih rezultata

Nakon sprovedene FMEA mogue je kategorisati rizike po RPN-u. 5% od 1000 (maksimalna vrijednost RPN) je 50. I sve rizike koji prelaze ovu vrijednost potrebno ih je preispitati i unaprijediti njihovu kontrolu. Ako organizacija procjeni i ako je dobro kontrolie odreene procese moe da revidira ovaj procenat sa 5% na npr. 15%. Prioritizovana lista rizika omoguuje menadmentu da na realnoj osnovi procjeni koliko e resursa da koristi za revidiranje istih. Detekcija Detection Apsolutno nesigurna Verovatno otkrivanja Likelihood of Detection Kontrola ne moe sprijeiti / otkriti potencijalne uzroke i naknadne greke Vrlo teko e kontrola sprijeiti / otkriti potencijalni uzrok i naknadnu greku Mala mogunost da kontrola sprijeiti / otkriti potencijalni uzrok i greku Vrlo niska verovatnoa da e kontrola sprijeiti / otkriti potencijalni uzrok i greku Vrlo niska verovatnoa da e kontrola sprijeiti / otkriti potencijalni uzrok i greku Kontrola ima priliku da otkrije sprijei potencijalni uzrok i greku Umjereno visoka kontrole e sprijeiti / otkriti potencijalni uzrok i naknadnu greku Kontrole e sprijeiti / otkriti potencijalni uzrok i greku Vrlo visoka verovatnoa da e kontrola sprijeiti / otkriti potencijalni uzrok i greku Kontrola e skoro sigurno sprijeiti / otkriti potencijalni uzrok i greku Rang

10

Kako moemo indentifikovati uzroke greaka?

Identifikacija greaka

Koji su potencijalni uzroci greaka?

Vrlo teka

Kontrolni plan

Indentifikacija potencijalnih uzroka

Koliko su ozbiljni ti efekti greaka?

Remote Daljinski

Detekcija Detection

Verovatnoa greke Probability of Failure

Uticaj tete Severity of Effect

Vrlo niska

Niska Slika 3 - Odreivanje RPN-a - Risk Priority Number 13. Ovako izraunati indeks prioriteta rizika se uporeuje sa unaprijed utvrenom granicom intervencije koja se definie. Ako je RPN iznad dozvoljene granice to nam govori da je rizik veliki i da je potrebno preduzeti odgovarajue mjere (preporuene kontrole). 14. Indentifikovati preporiene kontrole i zapisati ko je odgovoran za njih i vrijeme do kad moraju biti izvrene. 15. Na kraju je potrebno analizirati akcione rezultate. Izraunava se novi RPN. Ako je novi RPN prihvatljive vrijednosti tada rizik pokazuje status "nizak" u suprotnom je visok. Ako je RPN visoko rizian tada se proces mora ponaviti iz korak 1. Prioritizacija rizika se vri na osnovu navedenih napomena: Menadment odluuje o doljnjoj granici prihvatljivosti rizika, npr 5% od ukupne mogue vrijednosti rizika (1000).

Umjerena

Umjereno Visoka Visoka Vrlo visoka

Gotovo sigurna

Tabla 3 - Tabela vjerovatnoe otkrivanja greke

B-69

Na osnovu svega navedenog na tabeli 4 prikazan je jedan primjer primjene FMEA na informacionu bezbjednost, kao primjer informacione imovine se uzima firewall i analiziraju se greke i njihove eventualne posledice na ukupnu bezbjednost. U tabelama 2,3 i 4 dati su rangirane vrijednosti faktora S, P i D. Da jo napomenemo da bi tabela 4 bila potpuna potrebno je da sadri zaglavlje tabele u kojem se unose podaci vezani za sam proces sprovoenja analiza greaka i njihovih posledica FMEA. To su podaci koje treba da sadri svaki standardizovani document (naziv dokumenta, tim koji uestvuje u realizaciji, odgovorno lice, period na koji se dokument odnosi sl.). ovi podaci nijesu ucrtani samo zbog nedostatka prostora. Ovo su samo neke mogue mjere koje je poeljno sprovesti u cilju obezbjeenja podataka i smanjenja rizika. Pored ovih mjera postoje mnoge druge, a koje e se mjere sprovesti zavisi od vrste organizacije i njenog informacionog sistema kao i od finansijskih mogunosti i isplativosti za ulaganje u sisteme zatite koja nekada mogu da budu veoma znaajna. Osim toga organizacije moraju da uspostave model za upravljanje rizikom koji je u skladu sa principom stalnog poboljavanja.

U nastavku navedene su neke osnovne zamke i ogranienja koje se javljaju prilikom sprovoenja FMEA: FMEA vri prioritizaciju a ne korekciju rizika. FMEA funkcionie samo ako postoji dobro tim. Potrebno je vrijeme da se ue u detalje. Pravilno se ne rangira rizik. FMEA se ne primjenjuje od samog poetka. Uzima se prevelika cjelina da bi se vrila procjena rizika. Nijesu ukljueni ljudu sa operativnog nivoa nit se uvaavaju njihova miljenja. Ne uzima se u obzir glas kupca, klijenta. Ne ukljuuju se dobavljai u proces analize rizika. Ne ulazi se previe u detalje. Zaboravlja se da greke mogu biti uzrokavane kako spoljnim tako i unutranjm faktorima. Ne gleda se svaki proizvod ponaosob. Postoji veliki broj ablona, ali svaki proizvod koji je u procesu nije ba isto. Predpostavlja se da je detektivna kontrola bolja nego to jeste. FMEA nije povezana ni ukjuena u Plan kontrole. FMEA nee biti ivi dokument ako se ne vee na kontrolni plan. Ne auriranje FMEA i dr..
Tehnike mogu. Nastajanja greke IP Spoofing Napad Hakera DDoS napad CIA kompromitovane Korisnik nema pristup uslugama Napad Hakera DDoS napad Podaci izloeni kao tekst Kraa podataka Potencijalne posledice Diverzija na podatke, kraa Izmjena poslovne evidencije Nemogunost obrade elec.transak. Obljavljivanje DB o kupcima Slubenici nesposobni Izmjena poslovne evidencije Nemogunost obrade elec.transak. Obljavljivanje DB o kupcima Posledice po privatnost Potencijalni uzroci Procedure nijesu slijeene Procedure nijesu slijeene Procedure nijesu slijeene Procedure nijesu slijeene Naela nijesu ispotovana Procedure nijesu slijeene Procedure nijesu slijeene Naela nijesu ispotovana Procedure nijesu slijeene

B Poslovanje r /servis 9 8 7 6 5 4 3 2 1 Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine

Naziv imovine firewall firewall firewall firewall firewall firewall firewall firewall firewall

Br imov 3000 3000 3000 3000 3000 3000 3000 3000 3000

funkcija Za blokiranje ne ovlatenih zahtjeva Za blokiranje ne ovlatenih zahtjeva Za blokiranje ne ovlatenih zahtjeva Identifikacija trusted zona Identifikacija trusted zona Za blokiranje ne ovlatenih zahtjeva Za blokiranje ne ovlatenih zahtjeva Identifikacija trusted zona Za blokiranje ne ovlatenih zahtjeva

Potencijalne greke Pravila nepotovana Pravila nepotovana Pravila nepotovana Korisnika svijest Nepravilne konfiguracije Pravila nepotovana Pravila nepotovana Nivo enkripcije Pravila nepotovana

S 8 7 10 5 6 7 10 7 7

Tabla 4 - Primjer FMEA (zbog veliine podjeljena je u dva dijela)

B-70

Tekua kontrola P preven tivna Proced ura dost.

Prijaviti

Preporuena kontrola D RPN prevent ivna detekti vna Vie revizija Vie revizija Vie revizija Nepotr ebna Korisn. svijest Nepotr ebna

Akcioni rezultati Odgovorn osti i rokovi X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. Korisn. svijest Korisn. svijest Sprovedena kontrola preventi vna detektivna Vie revizija Vie revizija Vie revizija Vie revizija Korisn. svijest Vie revizija Vie revizija Novi S 5 5 2 5 1 1 1 2 2 Novi P 3 3 5 2 5 4 4 2 2 Novi D 2 2 2 2 3 2 2 2 1 Novi RPN 30 30 20 20 15 8 8 8 4

detekti vna

2 2 2 6 1 2 2 2 2

4 4 2 1 5 2
Prijaviti

64 56 40 30 30 28 20 14 14 Korisn. svijest Korisn. svijest

monito ring Proced ura dost. Naela def. Naela def. Proced ura dost. monito ring Naela def. Nita

Vie revizija Vie revizija

1 1 1

Tabla 4 - Primjer FMEA (zbog veliine podjeljena je u dva dijela)

5.

ZAKLJUAK

LITERATURA [1] Perovi Milan, Zdravko Krivokapi, Menadment uslugama, Mainski fakultet Podgorica, Fakultet za turizam i ugostiteljstvo Kotor, 2007 [2] D. H. Stamatis, Failure mode and effect analysis: FMEA from theory to execution, Edition: 2, American Society for Quality, 2003 [3] Robin E. Mcdermott, Raymond J. Mikulak, Michael R. Beauregard, Edition: 2, The Basics of FMEA, CRC Press, 2008 [4] Yacov Y. Haimes, Risk Modeling, Assessment, and Management, Edition: 3, John Wiley and Sons, 2009 [5] R. Kosti, Prirunik za obuku iz oblasti FMEA analize, zastava automobili, a.d.april 2007 [6] Alan Calder, Jan Van Bon, Van Haren, Information Security Based on ISO 27001/ISO 17799: A Management Guide, Van Haren Publishing, 2006 [7] Michael E. Whitman, herbert J. Mattord, principles of information security, Cengage Learning EMEA, 2008 [8] Nina Godbole, Information Systems Security: Security Mangement, Metrics, Frameworks And Best Practices, W/cd, Wiley-India, 2008

ISO/IEC 27005 definie rizik kao kombinaciju posledica koje nastaju poslije nekog neeljenog dogaaja i verovatnoe od nastanka neeljenog dogaaja. U procesu analize rizika navedenoj u standardu ukazuje se na potrebu da se identifikuju informacione imovine, potencijalne prijetnje ili izvori prijetnji, potencijalna ranjivost i potencijalne posledice (uticaji). Standardni govore o kvantitativnim i kvalitativnim metodama za procjenu rizika. Oni ne preporuuju niti ijednu metodu, u sutini preporuuju da korisnici odaberu metodu koja im najbolje odgovara. Treba napomenuti i da obje vrste metoda procjenjuju, ali ne definiu, rizike. Koraci u procesu su (uglavnom) definisani na nivou input aktivnosti izlaz, sa dodatnim "implementacijskim smjernicama" u stilu slinom kao u ISO/IEC 27002. Obraena FMEA je jedna od metoda koja moe pomoi svim onim organizacijama, koje imaju ISO 27000 ili onima koje tek planiraju da ga uvedu, da bi na adekvatan nain vrili procjenu informacione sigurnosti. Naravno od metode ne treba oekivati uda pogotovo kada se ima pogled koliko je oblast upravljanja rizikom kompleksna, ali i te kako moe da pomogne da se rizik svede na prihvatljiv nivo. Procjenu rizika je potrebno raditi permanentno i na osnovu principa stalnog unapreenja. Ako su rezultati procjene nezadovoljavajui, vrimo loop - back na ulazima.

B-71

[9] Firewalls and Internet security: repelling the wily hacker, William R. Cheswick, Aviel D. Rubin, Edition: 2, Addison-Wesley, 2003 [10] Hossein Bidgoli, Handbook of information security, John Wiley and Sons, 2006 [11] Dameon D. Welch-Abernathy, Essential Check Point FireWall-1 NG: an installation, configuration, and troubleshooting guide, Addison-Wesley, 2004 [12] ISO/IEC 27000 Information technology Security techniques - Information security management systems - Fundamentals and vocabulary (draft) [13] ISO/IEC 27001:2005 Information technology - Security techniques - Specification for an Information Security Management System [14] ISO/IEC 27005:2008 Information technology - Security techniques -- Information security risk management [15] Www.ansi.org [16] Http://en.wikipedia.org [17] Http://www.softwaretestingwiki.com [18] Www.worldwidestandards.com