OSNOVI ZATITE INFORMACIJA

9. UPRAVLJANJE BEZBEDNOSNIM
RIZIKOM

18.10.2012 1
 Ciljevi

Razumeti i nauiti:
koncept bezbednosnog rizika
elemente procene bezbednosnog rizika
vrste modela za upravljanje rizikom
metodologiju procene rizika ISO/IEC 27005
vrste i primeri metoda za upravljanje/procenu rizika

Kvalitativne

Kvantitativne

18.10.2012 2
 Kljuni termini

Rizik
Upravljanje (menadment) rizika
Analiza (procena) rizika
Kvantitativna metoda
Kvalitativna metoda
Model upravljanja (menadmenta) rizika
....

18.10.2012 3
 PRIMER: ta je bezbednosni rizik?

18.10.2012 4
 Primer: Fiziki model rizika

18.10.2012 5
 Primer: Relacijski pristup fizikom modelu rizika

18.10.2012 6
 Primer: Oporavak bezbednosnog incidenta

18.10.2012 7
 Primer: Model pristupa proceni rizika

Poveati bezbednost = smanjiti faktore rizika

Rizik = Ranjivost * Pretnja* Uticaj

= * *

18.10.2012 8
 Primer: Model pristupa proceni rizika

Zato je ovo vano?

Uticaj Ranjivost Pretnja

Motivacioni Problem Katalizator

Razlog zato neko Indicira na ta se Nepredvidljiv

treba da uradi neko treba dogaaj koji nas
neto usmeriti primorava da neto
uradimo

Uzrokuje uticaj Iskoriava ranjivost

18.10.2012 9
 Primer: Model pristupa proceni rizika

Zato je ovo vano?

Uticaj Ranjivost Pretnja

finansijski gubitak Ljudske greke Namerne pretnje

gubitak ugleda nedostatak know-how iznutra
gubitak vremena nedostatak interesa izvana
gubitak know -how zamor fizike
logike
Tehnike ranjivosti Nenamerne pretnje
nepeovan OS greke
nepeovane aplikacije kvarovi
otvorene mree konfiguracija
Struktura znanja WiFi Bluetooth
pogrena konfiguracija
18.10.2012 10
sistema
 Primer: Model pristupa proceni rizika
Ciljevi:
procena rizika za lica, organizacije i dravnu
administraciju
nisu jednaki, ali su slini !!!!

Graani
Admin
ORG

Topologija:

18.10.2012
razliita 11
 Primer: Model pristupa proceni rizika

Dimenzije rizika
Rizik se kree u granicama (0 Rmax):
Rmax zavisi od unapred usvojenih granica vrednosti, od strane
menadmenta, kroz politiku i procedure zatite
Rmax = 1, ako se izvri normiranje rizika
R=0 rizik se ne razmatra :
predstavlja nemogu dogaaj (nema nesigurnosti)
Rmax rizik se ne razmatra:
predstavlja siguran dogaaj (nema nesigurnosti)

18.10.2012 12
 Menadment rizika (ISO/IEC 27005)

1. Osnovni parametri menadmenta rizika (A,V,T)

2. Definisanje obima i granica analize rizika
3. Uspostavljanje i organizacija tima za menadment
rizika
4. Uspostavljanje strukture i procesa procene rizika

18.10.2012 13
 Primer: Menadment bezbednosnog rizika ISO/IEC 27005

18.10.2012 14
 1. Osnovni parametri menadmenta rizika

Kontekst za procenu rizika:

a. Izbor odgovarajueg pristupa za procenu rizika
b. Uspostavljanje kriterijuma za evaluaciju rizika
c. Uspostavljanje kriterijuma za procenu verovatnoe uticaja,
d. Uspostavljanje kriterijuma za prihvatanje i tretman rizika
e. Odreivanje potencijalno raspoloivih resursa

18.10.2012 15
 1. Osnovni parametri menadmenta rizika

a. Izbor odgovarajueg pristupa za procenu rizika

Formalna metodologija za analizu rizika:
ISO/IEC TR 13335-3, ISO/IEC 27005
Interaktivne programske aplikacije:
HESTIA, CRAMM, COBRA, vsRISK, RA2,
OCTAVE (Organizational Critical Treats Assessment and and
Vulnerability Estimation):
analiza operativno kritinih faktora rizika
BAR-brza analiza kritinih faktora rizika:
procenu A, T i V vri tim organizacije (brainstorming)
procenu rizika vri specijalista za upravljanje rizikom

18.10.2012 16
 1. Osnovni parametri menadmenta rizika

b. Kriterijumi za evaluaciju bezbednosnog rizika informacija

1. Neki tipini kriterijumi
legalni i normativni zahtevi i ugovorne obaveze
posledice gubitka poverljivosti informacija i servisa
posledice gubitka integriteta informacija i servisa
posledice gubitka raspoloivosti informacija i servisa
negativan uticaj na reputaciju, konkurentnost i poslovanje

18.10.2012 17
 1. Osnovni parametri menadmenta rizika

c. Uspostavljanje kriterijuma za procenu verovatnoe

uticaja,
Uspostavljanje kriterijuma zasniva se na:
operativnim, tehnikim, finansijskim, legalnim, normativnim,
socijalnim ili drugim kriterijumima,
zavisi od interne politike organizacije, poslovnih ciljeva i interesa
relevantnih uesnika,
mogui su viestruki kriterijumi (npr, normativne, zakonske,
ugovorne obaveze bez obzira na procenjeni nivo rizika)

18.10.2012 18
 1. Osnovni parametri menadmenta rizika

f. Odreivanje potencijalno raspoloivih resursa

izbor tima za ublaavanje (tretman) i upravljanje
rizikom u organizaciji
izbor kontrola zatite
implementacija kontrola zatite
sertifikacija i akreditacija sistema zatite

18.10.2012 19
 1. Osnovni parametri menadmenta rizika

d. Prihvatanje i tretman rizika

Tretman (obrada) rizika zavisi od:
odluke da li je faktor rizika, ispod ili iznad predefinisanog praga
prihvatljivosti,
mogui su i razliiti nivoi praga prihvatanja rizika u rezliitim
odeljenjima iste organizacije

Mere zatite
18.10.2012 20
 2. Definisanje obima i granica menadmenta rizika

a. Obim procesa menadmenta rizika odreuju:

strateki i kratkoroni poslovni ciljevi organizacije, procesi i
strategije
politika zatite organizacije
legalni i normativni zahtevi
oblast primene, npr., definisan sistem ili granica lokacije
opravdanje za iskljuivanje nekog objekta iz obima procesa
upravljanja rizikom

18.10.2012 21
 2. Definisanje obima i granica menadmenta rizika

b. Granice procesa upravljanja rizikom mogu ukljuivati:

ciljeve i politiku poslovanja

informacionu imovinu organizacije - istu, hardversku i
humanu (zaposlene, partnere, podugovorae, spoljne
saradnike, klijente)
fiziko okruenje (zgrade i druge objekte)
drutveno-kulturoloko okruenje
poslovne procese i aktivnosti

18.10.2012 22
 3. Uspostavljanje i organizacija tima za menadment rizika

identifikacija i analiza relevantnih uesnika

izbor lidera tima
izbor lanova tima iz organizacije:
izvrni menaderi
praktiari koji rade u poslovnom procesu
pravnik organizacije
informatiari administratori sistema i mree
specijalisti zatite,
digitalni forenziar
definisanje uloga i odgovornosti relevantnih uesnika
Uspostavljanje odnosa i potpune komunikacije izmeu lanova tima i
tima i organizacije
18.10.2012 23
 4. Uspostavljanje procesa analize i procene rizika

1.4.1. Komunikacija u procesu procene rizika

Predmet komunikacije-lanova Tima za procenu rizika sa
relevantnim internim i eksternim uesnicima u svakoj fazi
Cilj komunikacije-razumevanje procesa procene rizika za sve
lanove tima:
sakupljanje informacija za identifikaciju faktora rizika
analizu toka informacija za izbegavanje ili redukciju
bezbednosnih incidenata
konsultacije za bolje meusobno razumevanja procesa
upravljanja rizikom kod relevantnih uesnika,
plan komunikacije odnosnih pitanja treba razviti u ranoj
fazi procesa procene rizika.

18.10.2012 24
 4. Uspostavljanje procesa analize i procene rizika

1.4.2. Procedura za upravljanje rizikom

Ciljevi:
da eksplicitno prenese stav organizacije prema zatiti
da proaktivno smanji potencijalni uticaj proboja SZ
Namena:
da obezbedi ponovljivost i sigurnost procesa upravljanja
bezbednosnim rizikom organizacije.
da obezbedi sakupljanje i agregaciju informacija o riziku za
svaku procenu rizika
da smanji verovatnou proboja sistema zatite, zbog
nerazumevanja relevantnih uesnika i donosioca odluka

18.10.2012 25
 4. Uspostavljanje procesa analize i procene rizika

1.4.3. Monitoring i revizija procesa menadmenta rizika

Monitoring:
identifikuje promene okruenja i faktore rizika u ranoj fazi
inicira regularnu proveru menadmenta rizika kod glavnih
promena
Cilj revizije:
odrediti relevantnost procene rizika , ako nije, redefinisati:
kontekst za procenu i kriterijume za evaluaciju rizika
pristup i metodologiju za procenu rizika i opcije tretmana
metod komunikacije u procesu procene rizika
pristup i analizu rezultata monitoringa (rizika

18.10.2012 26
 4. Uspostavljanje procesa analize i procene rizika

1.4.3. Monitoring i revizija procesa menadmenta rizika

Predmet revizije (provere):

legalni okvir i kontekst upravljanja rizikom
kontekst konkurencije/
potencijalnih napadaa
kriterijumi za evaluaciju rizika
kategorizacija i vrednovanje imovine (A)
prag za odluivanje o tretmanu rizika (R) (prihvatljiv/neprihvatljiv)
vrednovanje trokova kontrola zatite za ublaavanje rizika

18.10.2012 27
 4. Uspostavljanje procesa analize i procene rizika

1.4.4. Proces procene rizika (Risk assessment)

Ukljuuje:
a. Analizu rizika:
identifikaciju i
estimaciju rizika
b. Evaluaciju rizika

18.10.2012 28
 4. Uspostavljanje procesa analize i procene rizika

a. Analiza rizika
Identifikacija -sveobuhvatna, struktuirana
faktora rizika koje treba tretirati, pod i izvan kontrole organizacije
imovine (A), pretnji (T), ranjivosti (V), (verovatnoe pojave-PT,
frekvencije -f, intenziteta - i) i uticaja (poslovnih posledica, tete)
ili verovatnoe da e pretnja/e iskoristiti ranjivost/i
neprihvatljivih posledica rizika
metodi za identifikaciju faktora rizika:
ek liste, Intervjui, sistemska analiza i
sistem inenjerske tehnike
Izlaz 1: Inventar (vrednosti) informacione imovine
Izlaz 2: Taksonomija relevantnih pretnji
Izlaz 3: Taksonomija relevantnih ranjivosti

18.10.2012 29
 4. Uspostavljanje procesa analize i procene rizika

a. Analiza rizika
Estimacija (kvalitativna) parametara rizika:
Vrednosti imovine - A: N, S, V
Pretnji -T: N. S, V
Ranjivosti - V: N, S, V
A = Pv + R+ I (ili +Po)
Pv-poverljivost, R-raspoloivost, I-integritet, Po-pouzdanost/ iskoristivost
V = DxKxTrxIsxZa
D-detektibilnost, K -korisnost, Tr -trajnost, Is -iskoristivost, Za zatienost
T=T1+T2+...+T8= T
Rr = AxVx T
Rrp= (Rr/Mz) x Ut = ((AxVx T)/Mz) x Ut - nivo preostalog rizika
Mzmere zatite (k/z - osnovne, poboljane)
Ut (uticaj = AxTixTfxTv OGG

18.10.2012 30
 4. Uspostavljanje procesa analize i procene rizika

a. Analiza rizika
Estimacija ukupnog rizika:
Kvalitativna aproksimacija, ukljuuje faktor neodreenosti
rizika nizak (N), srednji (S), visok (V)
Relativni rizik - Rr= AxVxT (ili Rr=A+V+T manje taan)
Relativni preostali rizik - Rpr = (AxVxT)/Mz,
Mz - efektivnosti postojeih/implementiranih kontrola zatite
Kvantitativna aproksimacija (statistika, numerika, ukljuuje
faktor neodreenosti rizika) u novanim vrednostima:
Metodi rentabiliteta (cost-benefit) smanjenja rizika:
Atributi rizika: A, verovatnoa realizacije pretnje Tp
OGG (oekivani godinji gubici)= Tp x A

18.10.2012 31
 4. Uspostavljanje procesa analize i procene rizika

b. Evaluacija rizika

priprema za izradu plana tretmana rizika

razmatranje/izbor kriterijuma za evaluaciju rizika
priprema procene rizika na bazi strogo utvrenih kriterijuma:
bezbednosnih
znaaja poslovnog procesa podranog informacionom imovinom
potrebe tretmana rizika
potrebe preduzimanja hitnih aktivnosti za tretman rizika
komparacije nivoa estimacije faktora rizika sa pre-definisanim kriterijumima
(rezultatima prethodne procene rizika),

Izlaz 1: Lista prioriteta faktora neprihvatljivog rizika i

Izlaz 2: Lista prihvatljivih faktora rizika (i sa N uticajem)

18.10.2012 32
 4. Uspostavljanje procesa analize i procene rizika

1.4.5. Proces procene (assessment) bezbednosnog rizika

Identifikovanje potencijalnih uticaja na poslovanje

Identifikovanje verovatnoe dogaanja bezbednosno
relevantnih incidenata (realizovanih tetnih napada)
Incident moe uticati na ljude, poslovanje, procese,
informacije itd.
Na verovatnou uticaja (izloenost - verovatnou da e
pretnja iskoristiti datu ranjivost) utiu:
atraktivnost imovine za napadaa
stepen teine iskorienja ranjivosti
motivacija napadaa i
sposobnost napadaa

18.10.2012 33
 4. Uspostavljanje procesa analize i procene rizika

1.4.5. Proces procene (assessment) bezbednosnog rizika IS

Rezultate procene rizika treba:
koristiti za identifikovanje opcija za tretman rizika i
dokumentovati u politici zatite i planu tretmana rizika.
rangirati faktore rizika po prioritetu tretmana
grupisati faktore riziku u grupe sa N, S, V rizikom
faktore rizika procenjene kao N-niske smatrati prihvatljivim iako
se tretman ovih faktora rizika ne zahteva
faktore rizika procenjene sa S i V treba tretirati (V- prioritetno)
dokumentovati u izjavi o prihvatljivoti rizika (SoA)

Izlaz: Izjava o primenljivosti (SoA) ili

Izvetaj o proceni rizika
18.10.2012 34
 4. Uspostavljanje procesa analize i procene rizika

1.4.6. Plan tretmana rizika

Razmotriti opseg opcija za tretman rizika:
izbegavanje, transfer, prihvatanje, ublaavanje faktora rizika
Priprema:
Plana tretmana rizika i
Implementacija plana tretman rizika
Plan tretmana rizika:
obezbediti odluku menadmenta o prihvatanju rizika (SOA)
identifikovati faktore rizika koji se izbegavaju, transferiu ili prihvataju
identifikovati izabrane opcije za tretman neprihvatljivih faktora rizika
identifikovati kombinacije opcija za tretman rizika
izabrati kontrole osnovne zatite za ublaavanja neprihvatljivih faktora rizika

Izlaz: Plan tretmana rizika

18.10.2012 35
 4. Uspostavljanje procesa analize i procene rizika

1.4.7. Implementacija plana tretmana bezbednosnog rizika IS

Rpr- preostali relativni rizik ostaje posle procesa tretmana:

uvek ga ima - uticaj nizak, tretman skup
Provera Rpr posle tretmana:
prema kriterijumima za prihvatanje rizika u procesu C&A SZ
Ako se pojavi neprihvatljivi faktor rizika posle revizije (provere):
treba ga ili prihvatiti ili ponovo procenjivati
Rezultati procesa tretmana i prihvatanja rizika su osnova za Plan (zatite)
implementacije tretmana rizika koji obuhvata:
akcije upravljanja, odgovornosti, prioritete, dinamiku, budet, oekivani
izlazi, merenja performansi i proces revizije
mehanizme za procenu nivoa implementacije na bazi kriterijuma za
ocenu performansi, individualnih odgovornosti i drugih ciljeva i
monitorisanje kritinih kontrolnih taaka implementacije

Izlaz: Plan implementacije tretmana rizika ili Plan zatite

18.10.2012 36
 Metodi za procenu rizika
1. Kvantitativne metode (statistika, numerika, ukljuuje faktor
neodreenosti rizika) u novanim vrednostima:

Metodi rentabiliteta (cost-benefit) smanjenja rizika:

Atributi rizika: A, verovatnoa realizacije T Tv, V

OGG (oekivani godinji gubici)= Tv x A

Vrste: NIST, IBM, vlade SAD/FIPS 65 , RISKCALC, BDSS,
RISKWATCH...
2. Kvalitativne metode:

Rangiranje A,V,T i R sa: N, S, V; 1, 2, 3, 4, 5

Vrste: CRAMM, OCTAVE, RISKPAC, MARION, Buddy System....
CRAMM:
 Faza 1 - Identifikacija i evaluacija imovine (A)
 Faza 2 - Procena T i V
 Faza 3 - Identifikacija, izbor kontrola zatite, provera
Problem: odravanje aurne baze podataka, cena komponenti
18.10.2012 37
 Primer: Metodi za procenu rizika
OCTAVE (Operationally Critical, Threat, Asset, and Vulnerability Evaluation)

nije mogue redukovati ili otkloniti sav rizik

resursi za zatitu uvek su ogranieni
ne mogu se spreiti svi napadi na sistem
incidente treba prepoznati/neutralisati, sistem oporaviti
optimalno iskoristiti resurse za preivljavanje
neophodnih funkcija IKTS i organizacije
koristi tri kataloga informacija:
1. kritine imovine (A),
2. pretnji (T) i ranjivosti (V)
3. kontrole zatite (praksa zatite)

18.10.2012 38
 Primer: Metodi za procenu rizika
OCTAVE i drugi metodi evaluacije rizika
OCTAVE Drugi tipovi evaluacije

evaluacija organizacije (ne samo evaluacija IKT sistema

IKTS)
panja usmerena na praksu zatite panja usmerena na
tehnologiju zatite
strategijska pitanja taktika pitanja

samo-voena metodologija voena od strane eksperta

(skupa)
adaptivna za veinu organizacija specifina za svaku
organizaciju
uravnoteuje: operativni rizik,
praksu zatite i tehnologiju zatite
 Primer: Metodi za procenu rizika
-Metod OCTAVE-

Analitiki tim:
identifikuje objekte organizacije
usmerava analizu rizika na kritine objekte (KO)
razmatra pretnje i ranjivosti (proceduralne i tehnoloke) KO
evaluira faktore rizika u operativnom kontekstu
planira strategiju zatite na bazi prakse zatite
Trofazni metod evaluacije:
Faza 1: Identifikacija i izrada profila pretnji (T)
Faza 2: Analiza ranjivosti (V)
Faza 3: Planiranje i razvoj strategije i plana zatite

18.10.2012 40
 Primer: Metodi za procenu rizika
-Kriterijumi metoda OCTAVE-
Skup kriterijuma ukljuuje zahteve metoda :
principa (npr. samo-voenja)
atributa (razliiti kvaliteti ili karakteristike procesa evaluacije)
izlaznih rezultata (oekivani rezultati svake faze i procesa evaluacije)
Metodi OCTAVE:
OCTAVE metod (za srednje i velike organizacije) i
OCTAVE S metod (za male organizacije)
Proces OCTAVE je evaluacioni, definisan i zatvoren, a ne neprekidni:
planiranje, implementacija, kontrola i korekcija sistema zatite
Poboljanje prakse zatite:
planira implementaciju strategije zatite kroz detaljne akcione planove
(dnevne, nedeljne, mesene,..),
monitorie dinamiku sprovoenja i efektivnosti realizacije akcionih planova
kontrolie varijacije i preduzima odgovarajue korektivne aktivnosti
18.10.2012 41
 Primer: Kritini koraci za automatizovano
smanjenje rizika (QualysGuard)

1. Otkriti glavnu imovinu IS (A)

2. Izvriti bezbednosnu klasifikaciju imovine A
3. Izvriti brzu i tanu identifikaciju ranjivosti imovine (V)
4. Transformisati sirove podatake u informaciju procena
rizika u realnom vremenu
5. Obezbediti merenje trenda stanja bezbednosti IS za
dinamiku kontrolu rizika
6. Integrisati procese za tretman rizika
7. Kontrolisati usaglaenosti (interne, eksterne) i redovno
izvetavanje
18.10.2012 42
 Zakljuci

1. Upravljanje rizikom redukuje faktore rizika na prihvatljivi

nivo, implementacijom odobrenog skupa kontrola zatite
2. Analiza rizika pomae merenje rizika u IKT i definisanje
kontrola zatite za smanjenje Rr
3. Kvantitativne metode svode Rr na novanu vrednost
4. Kvalitativne metode obuhvataju neodreenost
5. Izbor metoda za procenu rizika: OCTAVE, CRAMM, ISO
27005

18.10.2012 43