Professional Documents
Culture Documents
30
30
1. UVOD
Krajem dvadesetog vijeka na svjetsku poslovnu scenu poseban "oiljak" ostavio je nagli razvoj informacione tehnologije. Ve poetkom treeg milenijuma informacione tehnologije imaju toliku rasprostranjenost da se moe govoriti o informacionoj eri ili eri znanja. Znanje proizilazi iz informacije, to jest, znanje je formalizovana informacija na koju se poziva ili koja se koristi u procesu zakljuivanja. U literaturi je najee isticana i sa stanovita sistema najprihvatljivija definicija informacije u kojoj se navodi da je informacija mjera organizacije. Imajui ovo u vidu moe se jasno istai znaaj bezbjednosti informacija, jer je to uvanje informacije od sutinskog resursa za dananje poslovne sisteme. U uslovima visoke konkurentnosti, pravovremena i prava informacija je novac, opstanak i presti na tritu. Sve to je bio razlog da se pojave meunarodni standardi sistema menadmenta bezbjednosti informacionih sistema ISMS. Imajui u vidu navedene uslove u poslovnim sistemima i na tritu i svjesni injenice "preuzimanja" informacija i znanja kroz nelegalne
tokove, meunarodna organizacija za standardizaciju je usvojila standard ISO 27001 (odgovara standardu ISO 17799) i standard ISO 27002 (odgovara standardu ISO 17799). Ovi standardi ukazuju na to TA organizacije treba da urade da bi zatitile svoje povjerljive informacije. U pomenutim standardima se ne definie KAKO treba zatititi povjerljive informacije i tu se ostavlja sloboda organizacijama kako da zadovolje standardima definisane zahtjeve u skladu sa svojim potrebama, djelatnostima, veliini i stepenu tehnolokog razvoja. ISO / IEC 27005:2008 obezbjeuje smjernice za informacionu bezbednost upravljanja rizikom. Ovi standardi podravaju opte pojmove navedene u ISO / IEC 27001 i dizajnirani su da pomognu implementaciji informacione bezbjednost na osnovu upravljanja rizicima. Poznavanje koncepata, modela, procesa i terminologije opisano u ISO / IEC 27001 i ISO / IEC 27002 je vano za razumjevanje ISO / IEC 27005:2008. ISO / IEC 27005:2008 je primenjiv za sve vrste organizacija (npr. komercijalna preduzea, dravnie agencije, neprofitnie organizacije), koje nameravaju da upravljaju rizicima koji bi mogli uticati na informacionu bezbjednost. Revidirana verzija ISO 31000 e uskoro biti objavljen. Zbog toga e vjerovatno ISO/IEC 27005
biti potrebno uskladiti sa izmijenjenim standardima ISO 31000. Standardni serije ISO 270000 ne navede ime, niti preporuuju bilo koje specifine metode za smanjenje rizika. U ovom radu kao metoda koja moe pomoi smanjenju rizika informacione bezbjednosti koristi se FMEA.
dokumentuju se rizici i akcije preduzete za smanjenje rizika, osigurava fokus na poboljanje testiranja i razvoja, minimizira kasnije promjene i nepotrebne dodatne trokove, katalizator za timski rad i razmjenu ideja. FMEA se primjenjuje u sluajevima kada se: novi proizvod ili proces pokree (na poetku ciklusa), promjene uine u radnim uslovima proizvoda ili procesa, promjene naprave na dizajnu bilo proizvoda ili procesa, novi propisi postave, uoe problemi prizvoda ili procesa na osnovu korisnikog feedback-a.
3.
Analize rizika je vie umjetnost nego nauka. Iz tih razloga, postupak e najbolje provesti tim ljudi sa solidnom strunost i praktina iskustvima za: (a) procjenu i upravljanje rizicima informacione bezbjednost, te, (b) organizaciju, njene unutranje i spoljne situacije s obzirom na informacionu bezbjednost. Netrebamo oekivati da emo dobiti konane odgovore od bilo koga. Nemogue je garantovati da su svi rizici koji se razmotraju analizirani ispravno. ak nekoliko vrlo iskusnih praktiara u ovoj oblasti tvrde da su sve analize rizika u osnovi besmislica. Rezultati analize zasigurno bi trebao biti pregledani od strane menadmenta (ukljuujui IT revizore, HR strunjake, strunjake iz ostalih funkcije podrke i/ili informaciono bezbjedonosne konsultante) i trebalo bi ih prilagoditi u skladu sa njhovim iskustvom. Ne treba zaboraviti ni to da samo zato to organizacija ima malo iskustva, ako ga uopte i ima, u sveri bezbednosnih rizika informacija, ne znai da se ti rizici mogu zanemarit. Takoe prilikom korienja FMEA treba imati u vidu da: Ova metoda ne uzima u obzir vrijednosti imovine. Rizici su identifikovani za svako sredstvo bez voenja rauna o vrijednosti imovine. Kumulativni rizik identifikovane imovine za svaku prijetnju se razazna na osnovu RPN. Svako sredstvo moe imati vie od jedne greke i svaki neuspeh moe biti sainjen od vie uzroka.
B-67
4.
KORACI PRI SPROVOENJU PROCJENE RIZIKA (RISK ASSESSMENT - RA) INFORMACIONE BEZBJEDNOSTI POMOU FMEA
7.
Zatim iz tabele uticaja - tete (severity of effect) izabrati broj koji je relevantan za uticaj greke. Efekt Effect Uticaj tete Severity of Effect Resurs nije dostupan / Problem nepoznat Resurs nije dostupan / Problem poznat i ne moe biti pod kontrolom Resurs nije dostupan / Problem poznat i moe da se kontrolie Resurs raspoloiv/ Veliko krenje pravila Resurs raspoloiv/ Veliko krenja procesa Resurs raspoloiv/ Veliko krenja procedure Resurs raspoloiv/ sitna krenja pravila Resurs raspoloiv/ sitna krenja procesa Resurs raspoloiv/ sitna krenja procedure Bez efekta Rang 10 9
Sutina metode se sastoji u realizaciji vie koraka. Koraci su manje vie standardizovani kod primjene ove metode ali takoe moraju biti prilagoeni vrsti organizacije i njenim specifinim potrebama. Za procjenu rizika informacione bezbjednosti preporuuju se slijedei koraci:
Katastrofalan Ekstreman
Vrlo visok Visok Umjeren Nizak Vrlo nizak Minoran Vrlo Minoran Bez uticaja
8 7 6 5 4 3 2 1
Slika 1 - Osnovni koraci kod FMEA metode 1. Sastaviti unakrsno funkcionalni tim ljudi sa raznolikim znanjem iz oblasti: projektovanja, proizvodnje, kvaliteta, testiranja, pouzdanosti, odravanja, prodaje, marketinga, korisnikih slubi i sl.
Korisnik kupac Markrting Razvoj proizvoda Razvoj tehnologija
Kvalitet Proizvodnja
Nabavka
Isporuilac
2. 3. 4. 5. 6.
Slika 2 - Sastav FMEA tima Oznaiti broj informacione imovine kako ne bi dolo do dupliranja iste. Zabiljeiti funkciju informacione imovine. Zatim je potrebno da analiziramo uticaj greaka, ali treba imati na umu da jedna greka moe uticati na vie funkcija. Odrediti tehnike mogunosti nastajanja greke. Odrediti potencijalne efekte ako se greka desi
Tabla 1 - Tabela uticaja (teta) 8. Zatim detektujemo potencijalne uzroke greaka. Napomenimo da svaka greka moe imati vie od jednog uzroka. 9. Pogledati na tabelu vjerovatnoe pojave neke opasnosti (Probability of Failure) i izabrati relevatnu vrijednost. 10. Na listi tekue kontrole paljivo odrediti vrstu kontrole preventivna ili detektivna kontrola. 11. Na osnovu tabele detekcije - vjerovatnoe otkrivanja (Detection) odretiti kolika je vjerovatnoa otkrivanja greke, odnosno kolika je efikasnost kontrole. Verovatnoa Vjerovatnoa greke neuspjeha Rang Probability of Failure Failure Probability >1 in 2 > 1 u 2 Vrlo visoka: 10 Neuspjeh je 1 in 3 1 od 3 gotovo 9 neizbean 1 in 8 1 na 8 Najvia: 8 ponovljanje 1 in 20 1 u 20 7 kvarova
B-68
6 5 4
1 in 15,000 1 u 3 15000 1 in 150,000 1 u 2 150000 Mala: Greka je <1 in 1,500,000 <1 1 malo vjerovatna u 1500000 Tabla 3 - Tabela vjerovatnoe pojave greke 12. Sad moemo da odredimo RPN (Risk Priority Number) kao RPN = S * P * D i na osnovu toga izvriti prioritizaciju rizika.
Definisanje zahtjeva i oekivanih rezultata
Nakon sprovedene FMEA mogue je kategorisati rizike po RPN-u. 5% od 1000 (maksimalna vrijednost RPN) je 50. I sve rizike koji prelaze ovu vrijednost potrebno ih je preispitati i unaprijediti njihovu kontrolu. Ako organizacija procjeni i ako je dobro kontrolie odreene procese moe da revidira ovaj procenat sa 5% na npr. 15%. Prioritizovana lista rizika omoguuje menadmentu da na realnoj osnovi procjeni koliko e resursa da koristi za revidiranje istih. Detekcija Detection Apsolutno nesigurna Verovatno otkrivanja Likelihood of Detection Kontrola ne moe sprijeiti / otkriti potencijalne uzroke i naknadne greke Vrlo teko e kontrola sprijeiti / otkriti potencijalni uzrok i naknadnu greku Mala mogunost da kontrola sprijeiti / otkriti potencijalni uzrok i greku Vrlo niska verovatnoa da e kontrola sprijeiti / otkriti potencijalni uzrok i greku Vrlo niska verovatnoa da e kontrola sprijeiti / otkriti potencijalni uzrok i greku Kontrola ima priliku da otkrije sprijei potencijalni uzrok i greku Umjereno visoka kontrole e sprijeiti / otkriti potencijalni uzrok i naknadnu greku Kontrole e sprijeiti / otkriti potencijalni uzrok i greku Vrlo visoka verovatnoa da e kontrola sprijeiti / otkriti potencijalni uzrok i greku Kontrola e skoro sigurno sprijeiti / otkriti potencijalni uzrok i greku Rang
10
Identifikacija greaka
Vrlo teka
Kontrolni plan
Remote Daljinski
Detekcija Detection
Vrlo niska
Niska Slika 3 - Odreivanje RPN-a - Risk Priority Number 13. Ovako izraunati indeks prioriteta rizika se uporeuje sa unaprijed utvrenom granicom intervencije koja se definie. Ako je RPN iznad dozvoljene granice to nam govori da je rizik veliki i da je potrebno preduzeti odgovarajue mjere (preporuene kontrole). 14. Indentifikovati preporiene kontrole i zapisati ko je odgovoran za njih i vrijeme do kad moraju biti izvrene. 15. Na kraju je potrebno analizirati akcione rezultate. Izraunava se novi RPN. Ako je novi RPN prihvatljive vrijednosti tada rizik pokazuje status "nizak" u suprotnom je visok. Ako je RPN visoko rizian tada se proces mora ponaviti iz korak 1. Prioritizacija rizika se vri na osnovu navedenih napomena: Menadment odluuje o doljnjoj granici prihvatljivosti rizika, npr 5% od ukupne mogue vrijednosti rizika (1000).
Umjerena
Gotovo sigurna
B-69
Na osnovu svega navedenog na tabeli 4 prikazan je jedan primjer primjene FMEA na informacionu bezbjednost, kao primjer informacione imovine se uzima firewall i analiziraju se greke i njihove eventualne posledice na ukupnu bezbjednost. U tabelama 2,3 i 4 dati su rangirane vrijednosti faktora S, P i D. Da jo napomenemo da bi tabela 4 bila potpuna potrebno je da sadri zaglavlje tabele u kojem se unose podaci vezani za sam proces sprovoenja analiza greaka i njihovih posledica FMEA. To su podaci koje treba da sadri svaki standardizovani document (naziv dokumenta, tim koji uestvuje u realizaciji, odgovorno lice, period na koji se dokument odnosi sl.). ovi podaci nijesu ucrtani samo zbog nedostatka prostora. Ovo su samo neke mogue mjere koje je poeljno sprovesti u cilju obezbjeenja podataka i smanjenja rizika. Pored ovih mjera postoje mnoge druge, a koje e se mjere sprovesti zavisi od vrste organizacije i njenog informacionog sistema kao i od finansijskih mogunosti i isplativosti za ulaganje u sisteme zatite koja nekada mogu da budu veoma znaajna. Osim toga organizacije moraju da uspostave model za upravljanje rizikom koji je u skladu sa principom stalnog poboljavanja.
U nastavku navedene su neke osnovne zamke i ogranienja koje se javljaju prilikom sprovoenja FMEA: FMEA vri prioritizaciju a ne korekciju rizika. FMEA funkcionie samo ako postoji dobro tim. Potrebno je vrijeme da se ue u detalje. Pravilno se ne rangira rizik. FMEA se ne primjenjuje od samog poetka. Uzima se prevelika cjelina da bi se vrila procjena rizika. Nijesu ukljueni ljudu sa operativnog nivoa nit se uvaavaju njihova miljenja. Ne uzima se u obzir glas kupca, klijenta. Ne ukljuuju se dobavljai u proces analize rizika. Ne ulazi se previe u detalje. Zaboravlja se da greke mogu biti uzrokavane kako spoljnim tako i unutranjm faktorima. Ne gleda se svaki proizvod ponaosob. Postoji veliki broj ablona, ali svaki proizvod koji je u procesu nije ba isto. Predpostavlja se da je detektivna kontrola bolja nego to jeste. FMEA nije povezana ni ukjuena u Plan kontrole. FMEA nee biti ivi dokument ako se ne vee na kontrolni plan. Ne auriranje FMEA i dr..
Tehnike mogu. Nastajanja greke IP Spoofing Napad Hakera DDoS napad CIA kompromitovane Korisnik nema pristup uslugama Napad Hakera DDoS napad Podaci izloeni kao tekst Kraa podataka Potencijalne posledice Diverzija na podatke, kraa Izmjena poslovne evidencije Nemogunost obrade elec.transak. Obljavljivanje DB o kupcima Slubenici nesposobni Izmjena poslovne evidencije Nemogunost obrade elec.transak. Obljavljivanje DB o kupcima Posledice po privatnost Potencijalni uzroci Procedure nijesu slijeene Procedure nijesu slijeene Procedure nijesu slijeene Procedure nijesu slijeene Naela nijesu ispotovana Procedure nijesu slijeene Procedure nijesu slijeene Naela nijesu ispotovana Procedure nijesu slijeene
B Poslovanje r /servis 9 8 7 6 5 4 3 2 1 Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine Zatita IT imovine
Naziv imovine firewall firewall firewall firewall firewall firewall firewall firewall firewall
Br imov 3000 3000 3000 3000 3000 3000 3000 3000 3000
funkcija Za blokiranje ne ovlatenih zahtjeva Za blokiranje ne ovlatenih zahtjeva Za blokiranje ne ovlatenih zahtjeva Identifikacija trusted zona Identifikacija trusted zona Za blokiranje ne ovlatenih zahtjeva Za blokiranje ne ovlatenih zahtjeva Identifikacija trusted zona Za blokiranje ne ovlatenih zahtjeva
Potencijalne greke Pravila nepotovana Pravila nepotovana Pravila nepotovana Korisnika svijest Nepravilne konfiguracije Pravila nepotovana Pravila nepotovana Nivo enkripcije Pravila nepotovana
S 8 7 10 5 6 7 10 7 7
B-70
Preporuena kontrola D RPN prevent ivna detekti vna Vie revizija Vie revizija Vie revizija Nepotr ebna Korisn. svijest Nepotr ebna
Akcioni rezultati Odgovorn osti i rokovi X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. X do juna 2009.g. Korisn. svijest Korisn. svijest Sprovedena kontrola preventi vna detektivna Vie revizija Vie revizija Vie revizija Vie revizija Korisn. svijest Vie revizija Vie revizija Novi S 5 5 2 5 1 1 1 2 2 Novi P 3 3 5 2 5 4 4 2 2 Novi D 2 2 2 2 3 2 2 2 1 Novi RPN 30 30 20 20 15 8 8 8 4
detekti vna
2 2 2 6 1 2 2 2 2
4 4 2 1 5 2
Prijaviti
monito ring Proced ura dost. Naela def. Naela def. Proced ura dost. monito ring Naela def. Nita
1 1 1
5.
ZAKLJUAK
LITERATURA [1] Perovi Milan, Zdravko Krivokapi, Menadment uslugama, Mainski fakultet Podgorica, Fakultet za turizam i ugostiteljstvo Kotor, 2007 [2] D. H. Stamatis, Failure mode and effect analysis: FMEA from theory to execution, Edition: 2, American Society for Quality, 2003 [3] Robin E. Mcdermott, Raymond J. Mikulak, Michael R. Beauregard, Edition: 2, The Basics of FMEA, CRC Press, 2008 [4] Yacov Y. Haimes, Risk Modeling, Assessment, and Management, Edition: 3, John Wiley and Sons, 2009 [5] R. Kosti, Prirunik za obuku iz oblasti FMEA analize, zastava automobili, a.d.april 2007 [6] Alan Calder, Jan Van Bon, Van Haren, Information Security Based on ISO 27001/ISO 17799: A Management Guide, Van Haren Publishing, 2006 [7] Michael E. Whitman, herbert J. Mattord, principles of information security, Cengage Learning EMEA, 2008 [8] Nina Godbole, Information Systems Security: Security Mangement, Metrics, Frameworks And Best Practices, W/cd, Wiley-India, 2008
ISO/IEC 27005 definie rizik kao kombinaciju posledica koje nastaju poslije nekog neeljenog dogaaja i verovatnoe od nastanka neeljenog dogaaja. U procesu analize rizika navedenoj u standardu ukazuje se na potrebu da se identifikuju informacione imovine, potencijalne prijetnje ili izvori prijetnji, potencijalna ranjivost i potencijalne posledice (uticaji). Standardni govore o kvantitativnim i kvalitativnim metodama za procjenu rizika. Oni ne preporuuju niti ijednu metodu, u sutini preporuuju da korisnici odaberu metodu koja im najbolje odgovara. Treba napomenuti i da obje vrste metoda procjenjuju, ali ne definiu, rizike. Koraci u procesu su (uglavnom) definisani na nivou input aktivnosti izlaz, sa dodatnim "implementacijskim smjernicama" u stilu slinom kao u ISO/IEC 27002. Obraena FMEA je jedna od metoda koja moe pomoi svim onim organizacijama, koje imaju ISO 27000 ili onima koje tek planiraju da ga uvedu, da bi na adekvatan nain vrili procjenu informacione sigurnosti. Naravno od metode ne treba oekivati uda pogotovo kada se ima pogled koliko je oblast upravljanja rizikom kompleksna, ali i te kako moe da pomogne da se rizik svede na prihvatljiv nivo. Procjenu rizika je potrebno raditi permanentno i na osnovu principa stalnog unapreenja. Ako su rezultati procjene nezadovoljavajui, vrimo loop - back na ulazima.
B-71
[9] Firewalls and Internet security: repelling the wily hacker, William R. Cheswick, Aviel D. Rubin, Edition: 2, Addison-Wesley, 2003 [10] Hossein Bidgoli, Handbook of information security, John Wiley and Sons, 2006 [11] Dameon D. Welch-Abernathy, Essential Check Point FireWall-1 NG: an installation, configuration, and troubleshooting guide, Addison-Wesley, 2004 [12] ISO/IEC 27000 Information technology Security techniques - Information security management systems - Fundamentals and vocabulary (draft) [13] ISO/IEC 27001:2005 Information technology - Security techniques - Specification for an Information Security Management System [14] ISO/IEC 27005:2008 Information technology - Security techniques -- Information security risk management [15] Www.ansi.org [16] Http://en.wikipedia.org [17] Http://www.softwaretestingwiki.com [18] Www.worldwidestandards.com