Professional Documents
Culture Documents
T 9 Upravljanje Bezbednsonim Rizikom
T 9 Upravljanje Bezbednsonim Rizikom
9. UPRAVLJANJE BEZBEDNOSNIM
RIZIKOM
18.10.2012 1
Ciljevi
Razumeti i nauiti:
koncept bezbednosnog rizika
elemente procene bezbednosnog rizika
vrste modela za upravljanje rizikom
metodologiju procene rizika ISO/IEC 27005
vrste i primeri metoda za upravljanje/procenu rizika
Kvalitativne
Kvantitativne
18.10.2012 2
Kljuni termini
Rizik
Upravljanje (menadment) rizika
Analiza (procena) rizika
Kvantitativna metoda
Kvalitativna metoda
Model upravljanja (menadmenta) rizika
....
18.10.2012 3
PRIMER: ta je bezbednosni rizik?
18.10.2012 4
Primer: Fiziki model rizika
18.10.2012 5
Primer: Relacijski pristup fizikom modelu rizika
18.10.2012 6
Primer: Oporavak bezbednosnog incidenta
18.10.2012 7
Primer: Model pristupa proceni rizika
= * *
18.10.2012 8
Primer: Model pristupa proceni rizika
Graani
Admin
ORG
Topologija:
18.10.2012
razliita 11
Primer: Model pristupa proceni rizika
Dimenzije rizika
Rizik se kree u granicama (0 Rmax):
Rmax zavisi od unapred usvojenih granica vrednosti, od strane
menadmenta, kroz politiku i procedure zatite
Rmax = 1, ako se izvri normiranje rizika
R=0 rizik se ne razmatra :
predstavlja nemogu dogaaj (nema nesigurnosti)
Rmax rizik se ne razmatra:
predstavlja siguran dogaaj (nema nesigurnosti)
18.10.2012 12
Menadment rizika (ISO/IEC 27005)
18.10.2012 13
Primer: Menadment bezbednosnog rizika ISO/IEC 27005
18.10.2012 14
1. Osnovni parametri menadmenta rizika
18.10.2012 15
1. Osnovni parametri menadmenta rizika
18.10.2012 16
1. Osnovni parametri menadmenta rizika
18.10.2012 17
1. Osnovni parametri menadmenta rizika
18.10.2012 18
1. Osnovni parametri menadmenta rizika
18.10.2012 19
1. Osnovni parametri menadmenta rizika
Mere zatite
18.10.2012 20
2. Definisanje obima i granica menadmenta rizika
18.10.2012 21
2. Definisanje obima i granica menadmenta rizika
18.10.2012 22
3. Uspostavljanje i organizacija tima za menadment rizika
18.10.2012 24
4. Uspostavljanje procesa analize i procene rizika
18.10.2012 25
4. Uspostavljanje procesa analize i procene rizika
Monitoring:
identifikuje promene okruenja i faktore rizika u ranoj fazi
inicira regularnu proveru menadmenta rizika kod glavnih
promena
Cilj revizije:
odrediti relevantnost procene rizika , ako nije, redefinisati:
kontekst za procenu i kriterijume za evaluaciju rizika
pristup i metodologiju za procenu rizika i opcije tretmana
metod komunikacije u procesu procene rizika
pristup i analizu rezultata monitoringa (rizika
18.10.2012 26
4. Uspostavljanje procesa analize i procene rizika
18.10.2012 27
4. Uspostavljanje procesa analize i procene rizika
Ukljuuje:
a. Analizu rizika:
identifikaciju i
estimaciju rizika
b. Evaluaciju rizika
18.10.2012 28
4. Uspostavljanje procesa analize i procene rizika
a. Analiza rizika
Identifikacija -sveobuhvatna, struktuirana
faktora rizika koje treba tretirati, pod i izvan kontrole organizacije
imovine (A), pretnji (T), ranjivosti (V), (verovatnoe pojave-PT,
frekvencije -f, intenziteta - i) i uticaja (poslovnih posledica, tete)
ili verovatnoe da e pretnja/e iskoristiti ranjivost/i
neprihvatljivih posledica rizika
metodi za identifikaciju faktora rizika:
ek liste, Intervjui, sistemska analiza i
sistem inenjerske tehnike
Izlaz 1: Inventar (vrednosti) informacione imovine
Izlaz 2: Taksonomija relevantnih pretnji
Izlaz 3: Taksonomija relevantnih ranjivosti
18.10.2012 29
4. Uspostavljanje procesa analize i procene rizika
a. Analiza rizika
Estimacija (kvalitativna) parametara rizika:
Vrednosti imovine - A: N, S, V
Pretnji -T: N. S, V
Ranjivosti - V: N, S, V
A = Pv + R+ I (ili +Po)
Pv-poverljivost, R-raspoloivost, I-integritet, Po-pouzdanost/ iskoristivost
V = DxKxTrxIsxZa
D-detektibilnost, K -korisnost, Tr -trajnost, Is -iskoristivost, Za zatienost
T=T1+T2+...+T8= T
Rr = AxVx T
Rrp= (Rr/Mz) x Ut = ((AxVx T)/Mz) x Ut - nivo preostalog rizika
Mzmere zatite (k/z - osnovne, poboljane)
Ut (uticaj = AxTixTfxTv OGG
18.10.2012 30
4. Uspostavljanje procesa analize i procene rizika
a. Analiza rizika
Estimacija ukupnog rizika:
Kvalitativna aproksimacija, ukljuuje faktor neodreenosti
rizika nizak (N), srednji (S), visok (V)
Relativni rizik - Rr= AxVxT (ili Rr=A+V+T manje taan)
Relativni preostali rizik - Rpr = (AxVxT)/Mz,
Mz - efektivnosti postojeih/implementiranih kontrola zatite
Kvantitativna aproksimacija (statistika, numerika, ukljuuje
faktor neodreenosti rizika) u novanim vrednostima:
Metodi rentabiliteta (cost-benefit) smanjenja rizika:
Atributi rizika: A, verovatnoa realizacije pretnje Tp
OGG (oekivani godinji gubici)= Tp x A
18.10.2012 31
4. Uspostavljanje procesa analize i procene rizika
b. Evaluacija rizika
18.10.2012 32
4. Uspostavljanje procesa analize i procene rizika
18.10.2012 33
4. Uspostavljanje procesa analize i procene rizika
18.10.2012 35
4. Uspostavljanje procesa analize i procene rizika
18.10.2012 36
Metodi za procenu rizika
1. Kvantitativne metode (statistika, numerika, ukljuuje faktor
neodreenosti rizika) u novanim vrednostima:
Metodi rentabiliteta (cost-benefit) smanjenja rizika:
Atributi rizika: A, verovatnoa realizacije T Tv, V
OGG (oekivani godinji gubici)= Tv x A
Vrste: NIST, IBM, vlade SAD/FIPS 65 , RISKCALC, BDSS,
RISKWATCH...
2. Kvalitativne metode:
Rangiranje A,V,T i R sa: N, S, V; 1, 2, 3, 4, 5
Vrste: CRAMM, OCTAVE, RISKPAC, MARION, Buddy System....
CRAMM:
Faza 1 - Identifikacija i evaluacija imovine (A)
Faza 2 - Procena T i V
Faza 3 - Identifikacija, izbor kontrola zatite, provera
Problem: odravanje aurne baze podataka, cena komponenti
18.10.2012 37
Primer: Metodi za procenu rizika
OCTAVE (Operationally Critical, Threat, Asset, and Vulnerability Evaluation)
18.10.2012 38
Primer: Metodi za procenu rizika
OCTAVE i drugi metodi evaluacije rizika
OCTAVE Drugi tipovi evaluacije
Analitiki tim:
identifikuje objekte organizacije
usmerava analizu rizika na kritine objekte (KO)
razmatra pretnje i ranjivosti (proceduralne i tehnoloke) KO
evaluira faktore rizika u operativnom kontekstu
planira strategiju zatite na bazi prakse zatite
Trofazni metod evaluacije:
Faza 1: Identifikacija i izrada profila pretnji (T)
Faza 2: Analiza ranjivosti (V)
Faza 3: Planiranje i razvoj strategije i plana zatite
18.10.2012 40
Primer: Metodi za procenu rizika
-Kriterijumi metoda OCTAVE-
Skup kriterijuma ukljuuje zahteve metoda :
principa (npr. samo-voenja)
atributa (razliiti kvaliteti ili karakteristike procesa evaluacije)
izlaznih rezultata (oekivani rezultati svake faze i procesa evaluacije)
Metodi OCTAVE:
OCTAVE metod (za srednje i velike organizacije) i
OCTAVE S metod (za male organizacije)
Proces OCTAVE je evaluacioni, definisan i zatvoren, a ne neprekidni:
planiranje, implementacija, kontrola i korekcija sistema zatite
Poboljanje prakse zatite:
planira implementaciju strategije zatite kroz detaljne akcione planove
(dnevne, nedeljne, mesene,..),
monitorie dinamiku sprovoenja i efektivnosti realizacije akcionih planova
kontrolie varijacije i preduzima odgovarajue korektivne aktivnosti
18.10.2012 41
Primer: Kritini koraci za automatizovano
smanjenje rizika (QualysGuard)
18.10.2012 43