Professional Documents
Culture Documents
URIZ Seminar
URIZ Seminar
1. Uvod
2. Pregled
Troak dogaaja je kvantni iznos gubitka koji nastaje ako se ranjivost iskoritava.
Jedna od stvari koje ini rizike tako tekima je njihova nesigurnost. To je razlog zato se
naziva rizik.
Da bi razumjeli proces procjene rizika, bitno je definirati pojam rizik [3], kao "funkciju
vjerojatnosti od zadane prijetnje koja rezultira kao nepovoljni dogaaj u organizaciji." Cilj
postupka procjene rizika je identificirati i procijeniti rizike za zadano okruenje. Dubina
procjene rizika se uvelike razlikuju i odreuje kritinost i osjetljivost sustava, koji se
primjenjuje na povjerljivost, integritet i dostupnost [4]. Kako bi se postigao cilj procjene
rizika, definiran je proces devet koraka (NIST SP 800-30). Kako bi se pojednostavio proces
devet koraka ,opisan u NIST SP 800-30, on je skraen na est koraka, pri emu se koraci 4, 5,
i 6 kombiniraju i tvore analize rizika kako je prikazano na slici.
Slika 2. Devet koraka -NIST SP 800-30
Proces procjene rizika se obino ponavlja najmanje svake tri godine za federalne agencije.
Meutim, procjene rizika treba provoditi i integrirati u SDLC za informacijske sustave, ne
zato to je po zakonu ili propisu, ve zato to je to dobra praksa i podrava ciljeve ili misije
poslova organizacije.
Tu su uobiajeni izvori prijetnji koji se obino pojavljuju, bez obzira na sustav, koji bi trebao
biti oteen. Te zajednike prijetnje mogu se svrstati u tri podruja: (a) prirodne prijetnje (npr,
poplave, potresi, tornada, klizita, lavine, oluje), (b) ljudska prijetnje (namjerne ili
nenamjerne), i (c) ekoloke prijetnje (npr nestanak struje). Openito, informacije o prirodnim
prijetnjama (primjerice, poplava, potresa, oluje) trebaju biti lako dostupne. Alati za otkrivanje
upada postaju dostupniji, a vlada i industrijske organizacije kontinuirano prikupljaju podatke
o sigurnosnim dogaajima, ime se poboljava sposobnost za realnu procijenu nadolazee
prijetnje. Izvori informacija ukljuuju, ali nisu ogranieni na, sljedee:
Intelligence agencies;
United States Computer Emergency Readiness Team (US-CERT); and
Masovne medije, ukljuujui i Web-bazirane izvore.
1. Analiza kontrole
2. Odreivanje vjerojatnosti prijetnje
3. Analiza utjecaja prijetnje
4. Odreivanje rizika
Cilj ovog koraka je da se analiziraju kontrole koje su primijenjene ili su planirane za primjenu
u organizaciji da bi smanjile ili uklonile vjerojatnost da prijetnja iskoristi ranjivost sustava.
Sigurnosne kontrole obuhvaaju upotrebu tehnikih i ne-tehnikih metoda. Tehnike kontrole
su zatitni alati koji su ugraeni u raunalni hardver, softver ili firmver (npr. mehanizmi za
kontrolu pristupa, mehanizmi za identifikaciju i autentifikacija, enkripcijske metode, softver
za otkrivanje upada). Ne-tehnike kontrole su kontrole upravljanja i radne kontrole, kao to su
sigurnosne politike, radne procedure, te sigurnost osoblja, fizika sigurnost i sigurnost
okolia. I tehnike i ne-tehnike kontrole mogu se dalje klasificirati na preventivne i aktivne:
Preventivne kontrole sprjeavaju pokuaje prekraja sigurnosne politike i ukljuuju takve
kontrole kao to su kontrola pristupa, enkripcija i autentifikacija. Aktivne kontrole
upozoravaju na prekraje sigurnosne politike i sadre takve kontrole kao to su nadzorna
praenja (audit trails), metode otkrivanja upada i kontrolne sume (checksums).
Slijedei vaan korak u mjerenju nivoa rizika je da se odredi tetni utjecaj koji je rezultat
uspjenog iskoritavanja ranjivosti od strane prijetnje. Prije poetka analize utjecaja, potrebno
je dobiti slijedee informacije:
Svrha ovog koraka je procjena nivoa rizika za informacijski sustav. Odreivanje rizika za
odreeni par prijetnja/ranjivost moe se prikazati kao umnoak vjerojatnosti odreene
prijetnje da iskoristi odreenu ranjivost i veliine utjecaja ako je prijetnja uspjeno iskoristila
ranjivost. Tablica 2. prikazuje kako izraunati ukupnu vrijednost razine rizika
Vjerojatnost Utjecaj
prijetnje Niski (10) Srednji (50) Visoki (100)
Kako je odreivanje razine rizika za vjerojatnost i utjecaj subjektivne prirode, najbolja metoda
za lake izraunavanje bi bila dodijeliti numeriku vrijednost za svaki nivo.
Tablica 3. daje opis za svaku vrijednost razine rizika prikazane u prethodnoj matrici.
Nivo rizika Opis rizika i potrebne akcije
Ako je neka pojava procijenjena kao visoki rizik, postoji jaka potreba
Visoki za korektivnim mjerama. Postojei sustav moe nastaviti s radom, 45
ali plan korektivnih akcija mora se ostvariti to prije mogue.
Ako je neka pojava procijenjena kao srednji rizik, potrebne su
Srednji korektivne akcije i mora se razviti plan da se te akcije ostvare u
razumnom vremenu.
Ako je neka pojava procijenjena kao nizak rizik, mora se odluiti da li
Nizak
su potrebne korektivne akcije ili se rizik moe prihvatiti.
Preporuka kontrola je rezultat procesa procjene rizika i daje smjernice za proces ublaavanja
rizika, za vrijeme kojeg se preporuene proceduralne i tehnike sigurnosne kontrole
procjenjuju, klasificiraju i primjenjuju. Za vrijeme ovog koraka u procesu upravljanja
rizikom, preporuuju se kontrole koje mogu ublaiti ili eliminirati rizik, na nain koji
odgovara radnim operacijama organizacije.
Cilj preporuke kontrola je smanjiti nivo rizika za sustav i njegove podatke na prihvatljivi nivo.
Slijedei faktori trebaju se razmotriti u preporuci kontrola:
Ublaavanje rizika, drugi proces upravljanja rizikom, sadri klasifikaciju, procjenu i primjenu
odgovarajuih kontrola za smanjenje rizika koje su preporuene u procesu procjene rizika.
Budui da je eliminacija ukupnog rizika obino nepraktina ili nemogua, na upravi lei
odgovornost za upotrebu najisplativijeg pristupa i primjenu najvie odgovarajuih kontrola za
smanjenje rizika misije na prihvatljivi nivo, sa minimalnim tetnim utjecajem na resurse i
misiju organizacije. Prilikom provoenja mjera potrebno je posebnu pozornost posvetiti
smanjenju najznaajnijih rizika (kombinacija prijetnja i ranjivosti koje mogu potencijalno
uzrokovati znaajan negativan uinak) na prihvatljivu razinu uz najmanji mogui utjecaj na
ostale poslovne procese. Smanjivanje rizika identificiranih u procesu procjena rizika moe se
postii na sljedee naine:
Proces procjene rizika se mora ponavljati svake godine. Upravljanje rizikom trebalo bi
ugraditi u SDLC (Systems Development Life Cycle) za informacijski sustav, ne zato to to
zahtijeva zakon ili uredba, nego i zato to je to dobra praksa i podrava poslovne ciljeve i
misiju organizacije. Trebao bi postojati specifian redoslijed za procjenu i ublaavanje rizika,
ali taj periodiki proces bi trebao takoer biti i dovoljno fleksibilan da omogui promjene u
informacijskom sustavu i radnom okoliu zbog promjena u politikama i tehnologiji.
Vrednovanje rizika znai odreivanje vjerojatnosti pojave i utjecaja rizika., pri emu se ocjena
kolika je vjerojatnost pojave rizika moe razlikovati od njegova utjecaja.
Vanost vrednovanja rizika oituje se u injenici da rizici za koje je sigurno da e se pojaviti
te da e vrlo negativno utjecati na projekt mogu znaajno ugroziti isti. U takvim je
sluajevima poeljno revidirati stavove o nunosti provedbe projekta i isti otkazati.
Reference
http://www.hnb.hr/supervizija/h-smjernice-za-upravljanje-informacijskim-sustavom.pdf
http://www.cis.hr/files/Celuska-Osnove_upravljanja_rizikom.pdf
http://www.infotrend.hr/clanak/2009/6/kako-upravljati-it-rizicima,37,767.html