Tehničko Veleučilište u Zagrebu

Sigurnost i zaštita informacijskih sustava

Procjena rizika i ocjenjivanje kritičnih

informacijskih resursa

Studentica: Dora Korenić Profesor: dr.sc. Krunoslav Antoliš

0246069695
Sadržaj

1. Uvod .................................................................................................................................... 3
2. Općenito o rizicima ............................................................................................................. 4
3. Procjena rizika .................................................................................................................... 6
4. Strategije upravljanja rizicima ............................................................................................ 9
5. Metode za procjenu rizika ................................................................................................. 11
5.1. Sustavna identifikacija i klasifikacija ........................................................................ 13
5.2. Prikupljanje tehničkih podataka ................................................................................ 13
5.3. Identifikacija prijetnji ................................................................................................ 14
6. Popis literature .................................................................................................................. 16
 1. Uvod

Razvojem raznih tehnologija razvili su se i novi problemi s kojima se prije ljudi nisu suočavali.
Mnogo podataka i informacija se pohranjuje pomoću različitih tehnoloških rješenja, kao što su
osobni i organizacijski podatci(institucije, vojska, državna uprava, školstvo, firme…).
Pohranjenim podacima prijete razne stvari, kao što su prirodne nepogode, krađe podataka s
mogućom zlouporabom, uništavanje i trajni gubitak istih. Vrlo je važno štiti podatke ali mnoge
tvrtke ne vide pravu važnost zaštite nego vide to samo kao prevelik trošak pa uvode polovična
i nekvalitetna sigurnosna rješenja. Kako bi se implementirao pouzdani sigurnosni sustav,
potrebne su brojne analize te kvalitetna planiranja.

Kada se priča o sigurnosti neizostavan pojam je rizik. Sa rizicima se čovjek sreće oduvijek.
Prve rizike proživljavao je prvi pračovjek koji je išao u lov. U starom Babilonu se pojavljuju
prve procjene rizika. Trgovci koji su prenosili robu bili su česta meta pljačkaša, oni su tražili
jamčevinu za ukradenu robu kako bi se osigurali. Prvi zapisi procjene rizika potječu iz 17.
stoljeća razvojem vjerojatnosti i statistike. 1954. godine znanstvenici su stvorili alat za
kvantifikaciju rizika te se od 18. do sredine 20. stoljeća kvantitativna procjena rizika služi u
državnim agencijama, financijama i bankarstvu. U drugoj polovici 20. stoljeća razvijaju se nove
metode kvantitativne procjene rizika koje su znatno profinjenije i služe u nuklearnoj industrije
i energetici. Daljnjim razvojem tehnologije i računala dobili smo mogućnost analizirati na
tisuće različitih scenarija te koja je njihova slučajnost. Poslovne organizacije danas ulažu velike
količine kapitala i pridaju veliku pažnju upravljanju rizikom.

3
 1. Općenito o rizicima

Prilikom donošenja odluka jako je bitno znati koji su potencijalni rizici za poduzeće te kako
pravilno i učinkovito upravljati rizicima.

Nekada su poduzeća poslovala u mnogo sigurnijoj okolini koju je bilo puno lakše pratiti,
predviđati te je upravljanje rizicima bio znatno jednostavniji posao. Danas poduzeća djeluju u
okolini koja je nesigurna, prevrtljiva, nepredvidiva i turbulentna te ljudi koji se bave procjenom
rizika imaju veoma zahtjevan posao pronaći način da se tvrtka što bolje prilagodi i da
proživljava što manje rizike.

Rizici s kojima se poduzeća svakodnevno susreću su plasiranje novog proizvoda na tržište. To

može biti aplikacija, sigurnosni sustav, novi software ili bilo koja nova tehnologija. Rizik
poduzeća koji predstavlja tu tehnologiju jest hoće li proizvod uspjeti na tržištu, ili će ga morati
povući sa tržišta zbog nedovoljne ili nikakve zarade. Kako se poduzećima ne bi dešavalo to da
moraju povući proizvod sa tržišta, ona veliku pozornost pridaju analizi tržišta i upravljanju
rizikom.

Ukoliko u poduzeću ne postoji grana koja se bavi upravljanjem rizicima ili je to upravljanje
neučinkovito, to može donijeti velike štete za napredak i razvoj poduzeću, a tako i kapitalne
štete. Učinkovito upravljati rizikom znači konkurirati na tržištu te se zaštititi od konkurencije.
Poduzeću omogućuje lakše i brže prepoznavanje i reagiranje na povoljne poslovne prilike te
pravodobnu reakciju na poslovne promjene.

Bitni pojmovi s kojima se poduzeće susreće tokom rješavanja rizika su: rizik, upravljanje
rizikom, metode i tehnike upravljanja rizikom, analiza rizika…

Što su ciljevi poslovanja i zaštite (sigurnosti) više usklađeni, bit će uspješnije ostvareni. [1]

4
Postoje razne vrste rizika, a jedna od tih je opća podjela: [2]

o Financijski (s financijskim posljedicama) i nefinancijski ,

o Statički (prisutni bez obzira na promjene u gospodarstvu) i dinamički,
o Osnovni (nevezani za osobu) i posebni (pojedinačna odgovornost),
o Jasni i osigurivi - osobni
 životno osiguranje,
 imovinski – direktni i indirektni gubici,
 odgovornosti – nenamjerne štete i propusti drugih,
o Špekulativni (postoji vjerojatnost i gubitka i dobitka) – kockanje, klađenje, investicije.

U poslovnom sustavu postoje specifičnosti rizika, pa je jedna od podjela poslovnih rizika: [3]

o strateški - najčešće vezano uz strategiju poduzeća, ali i osobnu, mogu imati teške
posljedice, kao npr. propast poduzeća ili osobni bankrot,
o poslovno-financijski – oni koji utječu na posao i financije (kao npr. tržišni i kreditni ),
o programsko-projektni – slaba definiranost (svrhe, opsega posla, termina, troškova, i sl.),
previše projekata, vanjski suradnici, nekvalitetna komunikacija, nedostatak podrške
višeg rukovodstva, itd.,
o operativni – greške upravljanja, računalna greška, ljudska greška, greška u procesu i
proceduri,
o tehnički – novi proizvodi, nove tehnologije, greška u konstrukciji, materijal,
o vanjski – politički, lokalna zajednica, utjecaj dioničara,
o zaštita okoliša – dozvole, promjena uvjeta okoline, nedostatak stručnjaka po nekom
pitanju zaštite okoliša, lokalna zajednica,
o organizacijski – gubitak značajnog osoblja, dodatne potrebe osoblja, čekanje odobrenja,
nedostatak vremena za kvalitetno planiranje, promjena prioriteta, nerazumljivost
(procedure, odgovornosti).

5
 2. Procjena rizika

Procjena rizika (engl. risk assessment) je dio većeg procesa koji se naziva upravljanje rizikom
(engl. risk management).

„Procjena rizika je proces prepoznavanja, kvantificiranja i razvrstavanja rizika po prioritetima

prema kriterijima za prihvaćanje rizika i ciljevi važnih za organizaciju. Procjena rizika sastoji
se od dva potprocesa, a to su analiza rizika i vrednovanje rizika.” [4]

Kada se procjenjuje rizik procjenjuju se različiti događaji i njihova vjerojatnost a pritom se

uzimaju u obzir svi elementi koju mogu utjecati na rizik.

Procjena rizika se određuje po iskustvu, a ovisna je o projektu. Na temelju toga stvara se matrica
procjene koja govori gdje su najveći i najvažniji rizici.

Može se procjenjivati kolika je vjerojatnost za neki rizik ali i kolika je vjerojatnost da smo
pogriješili pri procjeni rizika. Što je veći rizik to je veća vjerojatnost da će se nešto dogoditi,
što ne mora značiti veličinu novčanog gubitka.

Slika 1. Model procjene rizika

6
Vjerojatnosti i utjecaji na rizike se dijele na slijedeći način : [5]

o niska vjerojatnost (1) – rizici su identificirani i postoji jasan plan akcije po tom pitanju
o srednja vjerojatnost (2) – postoji više mogućnosti pristupa rješavanju identificiranih rizika
i mogućnosti dodatnih promjena za vrijeme izvršenja projekta, te je stoga prisutan viši nivo
nesigurnosti vezano uz rješavanje istih
o velika vjerojatnost (3) – postoje ograničenja i nemogućnost značajnijeg utjecaja na
rješavanje i upravljanje rizicima

Mali utjecaj (1)

o novčani utjecaj znatno ispod neto zarade (Net Margin)

o vremenski utjecaj je manji od x dana i unutar y dana
o sve će biti napravljeno
o nema rizika od prekida ugovora

Srednji utjecaj (2)

o novčani utjecaj je znatan dio neto zarade

o vremenski utjecaj je veći od x dana, ali unutar w dana
o međuizvedbe se ne mogu ostvariti
o nema rizika od prekida ugovora

Velik utjecaj (3)

o novčani utjecaj prelazi neto zaradu

o vremenski utjecaj je veći od ukupno potrebnog za cijeli projekt
o ugovoreno se ne može ostvariti - postoji rizik od prekida ugovora

7
 Tablica 1. Matrica rizika

Tablica 2. Razine rizika

Tablica 2. prikazuje opis razine rizika koje su prikazane u tablici 1. Ljestvica rizika s
pripadajućim ocjenama predstavlja stupanj ili razinu rizika kojem si izloženi resursi
informacijskog sustava ako je iskorištena određena ranjivost. Stupanj ili razina rizika određuje
aktivnosti koje bi se trebale poduzeti.[6]

8
 3. Strategije upravljanja rizicima

Strategije upravljanja rizicima su : [7]

a) izbjeći ili ''pokriti'' rizik

b) zaštita putem osiguranja

c) nadgledati i upravljati rizikom

d) redukcija ciljeva (zahtjeva)

a) Izbjegavanje ili ''pokrivanje'' rizika može se raditi na više načina, a neke od mogućnosti su :

o izrada ponude u više valuta

o podjela ugovora u dijelove
o fleksibilna cijena
o predaja odgovornosti prije prelaza granice (primopredaja u krugu tvornice, na lokalnoj
željezničkoj postaji, lokalna zračna luka, lokalna morska luka, itd. )

b) Zaštita putem osiguranja se najčešće očituje kroz :

o osiguranje naplate
o osiguranje izvršenja posla
o osiguranje prijevoza

c) Nadgledanje i upravljanje rizikom se najčešće koristi kad su u pitanju :

o tehnički rizici
o rokovi
o kad se mora uključiti već postojeća oprema

9
d) Reduciranjem ciljeva (zahtjeva) reduciraju se rizici, jer viši i složeniji ciljevi sadrže i više
potencijalnih rizika. U slučaju procjene prevelikog rizika treba razmotriti i samu mogućnost
zadovoljenja cilja (ugovora), ili redefiniranja postavki, kako bi se rizici sveli u granice
mogućnosti.

Kojom se strategijom poslužiti ovisi o situaciji. Rizici koji se ne mogu kontrolirati se

pokušavaju potpuno izbjeći, a rizike koji se mogu kontrolirati smanjiti na najmanju moguću
mjeru.

10
 4. Metode za procjenu rizika

Metode za procjenu rizika su:

o NIST
o CRAMM
o COBRA
o RuSecure
o OCTAVE
o COBIT
o Ostalo

NIST-ov pristup

Proces procjene rizika sastoji se od devet koraka : [8]

Korak 1: Sustavna identifikacija i klasifikacija (eng. Asset Identification);

Korak 2 : Identifikacija prijetnji (eng. Threat Identification);

Korak 3: Identifikacija ranjivosti (eng. Vulnerability Identification);

Korak 4: Analiza postojećih kontrola (eng. Control Analysis);

Korak 5: Vjerojatnosti pojave neľeljenih događaja (eng. Likelihood Determination);

Korak 6: Analiza posljedica (eng. Impact Analysis);

Korak 7: Određivanje rizika (eng. Risk Determination);

Korak 8: Preporuka kontrola za umanjivanje rizika (eng. Control Recommendation);

Korak 9: Dokumentacija (Rezultati (eng. Result Documentation)).

Koraci 2, 3, 4 i 6 se mogu odvijati paralelno nakon što je završen korak 1.

11
Rizik možemo i izraziti kao funkciju koja je ovisna o paremetrima: prijetnji, ranjivosti i
vrijednosti resursa.

Izraženo formulom:

Rizik = f (Prijetnja, Ranjivost, Vrijednost resursa)

Slika 1. Faze u procjeni rizika po metodi NIST

12
 4.1. Sustavna identifikacija i klasifikacija

Pri procjeni rizika IT sustava prvi korak je definiranje domene unutar koje djelujemo. To znači
identifikacija i klasifikacija resursa. Kako bismo kvalitetno identificirali resurse unutar IT
sustava važno je dobro razumjeti okruženje u kojem taj sustav radi, ali i sve ostale resurse koji
su značajni za organizaciju a tako i za kvalitetnu procjenu rizika.

Osobe koje se bave procjenom rizika prikupljaju informacije koje su sistemski povezane te se
dijele na:

o sklopovlje,
o programe,
o sustavno sučelje (unutarnje i vanjske veze),
o podaci i informacije,
o osoblje koje upravlja i koristi IT sustav,
o kritični dio sustava i kritični podaci i
o osjetljivi dio sustava i podataka.

4.2. Prikupljanje tehničkih podataka

Ukoliko se nekoliko tehnika prikupljanja informacija povežu i stvore kombinacije dobivenih

informacija, to će rezultirati boljoj procjeni rizika.

Tehnike koje se koriste su:

o Anketa – anketa mora biti reprezentativna, što znači da uzorak ispitanika koji će
sudjelovati u anketi mora biti reprezentativan i razumljiv osobama koje jesu i nisu
tehnički obrazovne,

13
 o On-site intervju – razgovor sa osobljem i vodstvom IT sustava koji se odvija gdje se
sam taj sustav nalazi. To omogućava osobama koje procjenjuju rizik da dobe uvid kako
sustav funkcionira u konkretnom poslovanju. Također, omogućava uvid u operacijsku
sigurnost sustava.
o Dokumenti o strategiji - Dokumentacija politike (zakonski dokumenti, direktive),
dokumentacija sustava (vodič kroz sustav, administracija sustava, dizajn sustava i
potrebita dokumentacija, prikupljena dokumentacija) i dokumentacija o sigurnosnim
elementima (izvještaji o prijašnjim stanjima sustava, izvješće o procjeni rizika, rezultati
testiranja sustava, plan sigurnosti sustava, sigurnosna politika). [9]
o Alati za automatsko skeniranje sustava – omogućuje identificiranje servisa/osobe koja
pokreće testirani IT sustav te gradi osobni profil korisnika te se oni koriste u daljnjim
analizama.

4.3. Identifikacija prijetnji

Sigurnosne prijetnje (eng. threat) se smatraju događaju koji se negativno mogu odraziti na
poslovanje organizacije, IT sustava ili na povjerljivost i raspoloživost resursa. Cilj identifikacije
prijetnji je prepoznati moguće prijetnje koje bi se mogle primijeniti na postojeći IT sustav, te
sam izvor prijetnje. Izvor prijetnji jest slučaj ili okolnost koji šteti IT sustavu ili poslovanju
organizacije.

Izvori prijetnje dijele se na dva dijela:

o Namjerni – izvori koji su pronašli nedostatak u sustavu te ciljano neovlašteno pristupaju

povjerljivim podacima. To mogu biti razni programi (virusi) ili ljudi.
o Nenamjerni – izvori koji slučajno iskorištavaju ranjivi sustav. To su na primjer prirodne
nepogode, potresi, požari, nestanak električne struje, udari groma i slične nepogode.

Pri identifikaciji prijetnji radi se lista prijetnji. Na listi se nalaze namjerne i nenamjerne prijetnje
koje su potencijalna opasnost IT sustavu. Osobe koje izrađuju liste često se konzultiraju i

14
surađuju sa administratorima sustava i ostalim ljudima koji rade ili su stvarali sustav te
svakodnevno rade na njemu i najbolje su upoznati s radom samog sustava. Kako bi lista bila
što kvalitetnija važno je i uključiti već ranije napade na sustav i događaje koji su u prošlosti bili
prijetnja ali i lokacije o resursima koje sustav koristi i sve ostale faktore koji mogu negativno
utjecati na rad sustava.

Neke od prijetnji su :

o Neovlašteni korisnici,
o Virusi
o Greške u programiranju
o Industrijska špijunaža
o Krađa
o Neispravno rukovanje

15
5. Popis literature

1. Upravljanje rizicima u sustavu poslovanja na primjeru „“Vnuk d.o.o.“, Klaudija Mance,

2. Upravljanje rizicima u sustavu poslovanja na primjeru „“Vnuk d.o.o.“, Klaudija Mance,
3. Upravljanje rizicima u sustavu poslovanja na primjeru „“Vnuk d.o.o.“, Klaudija Mance,
4. Procjena rizika - wiki stranica kolegija Sigurnost informacijskih sustava Fakulteta
organi acije i infor atike u Varaždinu,
5. Upravljanje rizicima u sustavu poslovanja na primjeru „“Vnuk d.o.o.“, Klaudija Mance,
6. http://sigurnost.zemris.fer.hr/ISMS/rizik/2006_zorcec/marinjo_diplomski.html#5
7. Upravljanje rizicima u sustavu poslovanja na primjeru „“Vnuk d.o.o.“, Klaudija Mance,
8. http://sigurnost.zemris.fer.hr/ISMS/rizik/2006_zorcec/marinjo_diplomski.html#5,
9. http://sigurnost.zemris.fer.hr/ISMS/rizik/2006_zorcec/marinjo_diplomski.html#5,

16