|
|
<Firma>
Księga Bezpieczeństwa Informacji
|
Strona:
|
1/10
|
|
Edycja:
|
2009-12-15
|
|
Wersja:
|
01
|
|
Numer:
|
SZBI_Pol_01
|
|
Polityka
szacowania ryzyka
|
|
Opracował (imię,nazwisko,podpis): <Imię i nazwisko>
Sprawdził: (imię,nazwisko,podpis): <Imię i nazwisko>
Zatwierdził (imię,nazwisko,podpis): <Imię i nazwisko>
|
1.
DEFINICJE
·
Aktywa informacyjne – wszelkie istotne informacje, objęte ochroną
w zakresie poufności, dostępności, integralności, niezaprzeczalności i
rozliczalności
·
Wartość aktywów – wartość aktywów informacyjnych wyceniana wg
kosztu ich niedostępności lub szkód jakie mogą być wyrządzone przy utracie
poufności lub integralności informacji
·
Zasoby (wszelkie nośniki informacji, np. systemy informatyczne,
ludzie, dokumentacja papierowa na których informacja jest przechowywana lub
które służą do wytwarzania lub prezentacji informacji)
·
Podatności zasobów – cechy zasobów (wadu usterki, inne słabości),
które w połączeniu z zagrożeniami mogą przyczynić się do utraty poufności,
dostępności lub integralności aktywów informacyjnych.
·
Zagrożenia – zdarzenia, rzeczy lub osoby które intencjonalnie lub
przypadkowo mogą przyczynić się do utraty poufności, dostępności lub
integralności aktywów informacyjnych.
2.
CEL
Zapewnienie, że metodyka szacowania ryzyka przyjęta w <firma>
jest spójna ze zidentyfikowanymi wymaganiami biznesowymi i prawnymi w zakresie
ochrony bezpieczeństwa informacji, zawiera kryteria akceptacji ryzyka i że
zapewnia uzyskanie porównywalnych wyników w całej organizacji podczas kolejnych
szacowań ryzyka.
·
Referat Informatyki
·
Komitet ds. Bezpieczeństwa Informacji
·
Każdy pracownik – właściciel zasobów informacyjnych
·
……
4.
ZAŁOŻENIA
4.1.
Nieprzestrzeganie niniejszej Polityki
będzie skutkować pociągnięciem do odpowiedzialności dyscyplinarnej.
4.2.
Szacowanie ryzyka koordynowane jest
przez Komitet ds. Bezpieczeństwa Informacji.
4.3.
Szacowanie ryzyka przeprowadzane jest
raz do roku oraz w przypadku zajścia następujących zdarzeń:
·
zidentyfikowania zasobów informacyjnych, co do których dotychczas
nie przeprowadzono szacowania ryzyka
·
zmian w technologii (w tym informatycznej), mogących powodować
zmianę zagrożenia bezpieczeństwa informacji
·
zidentyfikowania nowych lub zmienionych procesów zachodzących w
Urzędzie, które wykraczają poza dotychczas zdefiniowany zakres systemu SZJiBI.
4.4.
W szacowaniu ryzyka biorą udział właściciele
zasobów po to, aby:
·
zapewnić poczucie odpowiedzialności właściciela za powierzony mu
zasób i zwiększyć jego świadomość co do wagi bezpieczeństwa informacji
·
zapewnić realistyczne oszacowanie rodzaju zagrożeń, wartości
zasobu, podatności i prawdopodobieństwa wystąpienia zagrożeń.
4.5.
Aby zapewnić udział właścicieli
zasobów, szacowanie ryzyka jest przeprowadzone w formie ankiety rozesłanej
do właścicieli. Wyniki poszczególnych ankiet są następnie scalane przez Komitet
ds. Bezpieczeństwa Informacji.
5.
CZYNNOŚCI
5.1.
Zatwierdzenie metodyki szacowania ryzyka
jej parametrów
Komitet
ds. Bezpieczeństwa Informacji zatwierdza metodykę szacowania ryzyka i jej
parametry, która jest odpowiednia dla <firma> w kontekście wymagań
biznesowych i prawnych związanych z bezpieczeństwem informacji. Metodyka
ta zapewnia jednolite rozumienie, w obrębie całej organizacji, wszelkich skal
ocen i kryteriów przyjętych podczas szacowania ryzyka i uzyskanie
porównywalnych wyników w całej organizacji podczas kolejnych szacowań ryzyka.
Metodyka zawiera również kryteria akceptacji ryzyka, które zawarte są w
Załączniku nr … ..
5.2.
Przygotowanie do szacowania ryzyka
Komitet ds. Bezpieczeństwa
Informacji jest odpowiedzialny za przygotowanie do szacowania ryzyka
5.2.1
Przygotowanie kategoryzacji
Przed przystąpieniem do oszacowania
ryzyka należy utworzyć wielopoziomową kategoryzację obiektów :
·
Kategoryzacja
aktywów informacyjnych
·
Kategoryzację
zasobów (nośników informacji)
·
Kategoryzację
zagrożeń
5.2.2
Określenie parametrów kategorii
Aktywa informacyjne
Po
utworzeniu kategoryzacji aktywów informacyjnych należy określić ich
standardowe wartości. Wartość aktywów należących do kategorii opisuje się za
pomocą wartości w następujących klasach:
·
Klasa poufności WAp
·
Klasa integralności WAi
·
Klasa dostępności WAd
·
Klasa niezaprzeczalności WAn
·
Klasa rozliczalności WAr
Wartości
WAp,WAi, WAd, WAn, WAr oznaczają wartość straty dla firmy w przypadku
odpowiednio utraty poufności , integralności , dostępności pojedynczej
informacji należącej do kategorii. Wartość ta jest określana w punktach (które
podczas analizy mogą być przeliczone na wartości pieniężne).
Sposób
określenia wartości WAp,WAi, WAd, WAn, WAr
Wartość
punktowa WAp,WAi, WAd, WAn, WAr
|
Wartość
straty
|
0
|
urata
poufności , integralności itd. Nie powoduje straty dla firmy
|
20
|
urata
poufności , integralności itd. Nie powoduje straty dla firmy w wysokości
miesięcznego przychodu
|
240
|
urata
poufności , integralności itd. Nie powoduje straty dla firmy w wysokości
rocznego przychodu
|
500
|
urata
poufności , integralności itd. Powoduję stratę w wysokości powodującej
konieczność zakończenia działalności firmy
|
Wartości
pośrednie są dopuszczalne i powinny posiadać wartość proporcjonalną do
przedziału, w którym występują
|
|
Podczas
rejestracji poszczególnych aktywów informacja ta będzie przypisywana do aktywu
(z możliwością modyfikacji ) .
Zasoby i ich podatności
Dla
poszczególnych kategorii zasobów przypisywane są standardowe podatności
związane z kategorią zasobu.
Kategoria
zasobu
|
Podatność
|
|
|
|
|
|
|
Zagrożenia
Podobnie
jak w przypadku określenia wartości aktywów informacyjnych należy określić
prawdopodobieństwa dla kategorii zagrożeń. Podczas rejestracji poszczególnych
zagrożeń prawdopodobieństwo z kategorii przypisywane jest do rejestrowanych
zagrożeń ( z możliwością modyfikacji).
5.3.
Inwentaryzacja aktywów informacyjnych,
zasobów oraz modyfikacja standardowych podatności
.
W
tym kroku należy przeprowadzić inwentaryzacje istotnych aktywów informacyjnych wraz
z określeniem ich właścicieli oraz zasobów stanowiących nośniki informacji.
Właściciele
aktywów informacyjnych są odpowiedzialni za inwentaryzację aktywów i zasobów na
których aktywa występują. Podczas inwentaryzacji poszczególne aktywa
informacyjne i zasoby przypisywane są do kategorii, na podstawie, których
określane są ich domyślne parametry w zakresie wartości aktywów i lisy
podatności zasobów. Podczas rejestracji zasobów wartości domyślne mogą być
modyfikowane.
Lista
aktywów
Symbol aktywa
|
Nazwa
aktywa
|
Kategoria
|
Właściciel
|
Klasa poufności
WAp
|
Klasa integralności
WAi
|
Klasa dostępności
WAd
|
Klasa niezaprzeczalności
WAn
|
Klasa rozliczalności
WAr
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Lista
zasobów
Symbol
zasobu
|
Nazwa
zasobu
|
Kategoria
|
Właściciel
|
Lokalizacja
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
5.4.
Określenie miejsc przechowywania i
przetwarzania aktywów informacyjnych
Po
zakończeniu inwentaryzacji aktywów należy określić (zadanie właścicieli
aktywów), na których nośnikach występują lub są przetwarzane. Podczas wiązania
aktywów z zasobami należy określić rodzaj operacji dokonywanej na aktywie
przez zasób. W ten sposób aktywa zostają połączone z zasobami oraz ich
podatnościami.
|
Symbol
aktywa
|
Symbol
zasobu
|
Rodzaj
operacji na aktywach*
|
|
|
|
|
|
|
|
|
|
|
|
|
*Rodzaje
operacji na aktywach
·
Wytwarzanie/przetwarzanie
·
Przechowywanie
·
Publikowanie
·
Niszczenie
5.5.
Identyfikacja zagrożeń i określenie ich
zasięgu oraz prawdopodobieństw
Na
tym etapie należy przeprowadzić inwentaryzację zagrożeń..
|
Symbol
zagrożenia
|
Nazwa
zagrożenia
|
Kategoria
zagrożenia
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Dla
każdego z zagrożeń należy określić jakiego obszaru dotyczy: np. wybranego zasobu
(serwera z archiwum), wszystkich notebooków, lub określonego biura.
Po
wprowadzeni zagrożeń ich prawdopodobieństwa wynikają z prawdopodobieństwa
określonego na poziomie kategorii zagrożenia. Po określeniu zakresu zagrożenia
należy zweryfikować prawdopodobieństwo szczegółowe zaistnienia zagrożenia w
danym zakresie.
|
Symbol
zagrożenia
|
Zakres zagrożenia*
|
Prawdopodobieństwo
zagrożenia
(PRzp)
|
|
Kategoria
zasobów
|
Typ
zasobu
|
Pojedynczy
zasób
|
Podatność
|
Lokalizacja
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Zakres
zagrożenia może obejmować jedne lub wiele z obszarów:
·
kategorię zasobów (np. komputery przenośne)
·
typ zasobów (np. komputery przenośne typu Compaq nx8220)
·
pojedynczy zasób (np. komputer o nr środka trwałego KP1234, dany
pracownik)
·
Podatność (np. mobilność urządzeń przenośnych)
·
lokalizację (biuro handlowe w Radomiu)
·
oraz przecięcie tych rodzajów
Prawdopodobieństwo
ryzyka określane jest procentowo w skali 0-100% (przedział otwarty).
5.6.
Kalkulacja ryzyka
Po
wprowadzeniu aktywów ich wartości, zasobów, podatności oraz zagrożeń następuje
kalkulacja ryzyka. Kalkulacja ryzyka prowadzona jest przez dedykowane
oprogramowania, która ma zaimplementowany poniższe algorytmy kalkulacji ryzyka:
kalkulacja
ryzyka dla pojedynczego aktywa umieszczonego na pojedynczym zasobie 
(uwzględnia
prawdopodobieństwo wszystkich zagrożeń dotyczących zasobu, podatność zasobu na
poszczególne kategorie zagrożeń i wartość aktywów informacyjnych)
Gdzie
:
·
W(Ak,Nm) oznacza ryzyko związane pojedynczym aktywem (Ak) umieszczonym
na pojedynczym zasobie (Nm)
·
E (Ak, Zi, Pmj) – wartość oczekiwana straty dla firmy w przypadku
realizacji Zagrożenia Zi na podatności Pmj zasobu Nm przechowującego aktywo
informacyjne Ak)
·
WAp,WAi, WAd, WAn, WAr oznaczają wartość straty dla firmy w
przypadku odpowiednio utraty poufności , integralności , dostępności
pojedynczej informacji
·
Fp, Fi, Fd, Fn, Fr (Pj,Zi) ) funkcja prawdopodobieństwa realizacji
zagrożenia Zi w kontekście podatności Pj zasobu na którym znajduje się
informacja w kontekście odpowiednio poufności, integralności, dostępności,
niezaprzeczalności i rozliczalności
kalkulacja
ryzyka dla pojedynczego aktywa z uwzględnieniem wszystkich zasobów, na których
występuje ( w zależności od kalkulacji wpływu lub dostępność zwiększenie
liczby zasobów na którym występują aktywa podnosi lub obniża ryzyko z nim
związane)
Gdzie
·
W(Ak) – ryzyko związane z aktywem Ak
FW(AK)
– funkcja obliczająca ryzyka pojedynczego aktywu Ak występującego na wielu
zasobach . Prawdopodobieństwo utraty wartości dla firmy jest zależne od
krotności występowania aktywa na wielu zasobach. W zależności od kalkulacji
ryzyka związanego z poufnością lub dostępnością ryzyko aktywu jest sumą lub
iloczynem ryzyk związanych z aktywem występującym na poszczególnych zasobach.
kalkulacja
ryzyka dla wszytych aktywów
Ryzyko ogólne dla organizacji
wyliczane jest jako suma ryzyk dla poszczególnych aktywów
5.7.
Decyzja co do postępowania z ryzykiem
·
Podejmij decyzję co do każdego ryzyka
Na
podstawie wyliczonego wcześniej poziomu ryzyka (wyniku), , należy określić
decyzję co do postępowania z danym ryzykiem. Kryteria akceptacji ryzyka zawarte
są w Załączniku nr …
Możliwe
decyzje to:
·
zastosowanie zabezpieczeń,
·
akceptacja ryzyka ,
·
unikanie ryzyka,
·
przeniesienie ryzyka.
·
Wybierz cele i zabezpieczenia
W
przypadku podjęcia decyzji o zastosowaniu zabezpieczeń (redukcji ryzyka), należy
w stosunku do danych ryzyk wybrać odpowiednie cele i zabezpieczenia, biorąc pod
uwagę poniższe:
·
wybrane zabezpieczenia muszą wynikać z szacowania ryzyka dla
danego zasobu i uwzględniać również wymagania prawne oraz kontraktowe.
·
zabezpieczeniem może być procedura (polityka) albo zabezpieczenie
fizyczne (np. zamontowanie bramek fizycznego dostępu do pomieszczeń).
·
należy przejrzeć wszystkie zabezpieczenia z załącznika A do normy
ISO 27001:2005 i podjąć decyzję co do ich zastosowania lub nie. Przy
podjęciu decyzji pomocne są wyjaśnienia zabezpieczeń zawarte w normie ISO
17779:2005. Można zastosować również zabezpieczenia nie zawarte w powyższych
normach.
·
Wybrane zabezpieczenia (proceduralne i fizyczne) należy zapisać w
PlanPostepowaniaZRyzykiem. Każde zabezpieczenie zapisane może modyfikować
prawdopodobieństwa wykorzystania podatności przez zagrożenia.
|
Symbol
zabezpieczenia
|
Zakres zabezpieczenia
|
Współczynnik
modyfikacji prawdopodobieństwa (Wmp)
|
|
Kategoria
zasobów
|
Typ
zasobu
|
Pojedynczy
zasób
|
Podatność
|
Lokalizacja
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Współczynnik modyfikacji prawdopodobieństwa
określany jest w skali
·
0 – brak modyfikacji
·
-1 – całkowita eliminacja (prawdopodobieństwo = 0%)
·
1 – podniesienie prawdopodobieństwa o 100%
·
Wartości pośrednie są dopuszczalne
·
W celu kalkulacji ryzyka szczątkowe należy zweryfikować czy
planowane zabezpieczenia nie wprowadzają dodatkowych zagrożeń lub podatności
zasobów.
·
Kalkulacja ryzyka szczątkowe odbywa się automatycznie za pomocą
algorytmu opisanego w punkcie 5.6 ze zmodyfikowaną funkcją kalkulacji
prawdopodobieństwa ryzyka
Gdzie
:
·
WZ(Ak,Nm) oznacza ryzyko związane pojedynczym aktywem (Ak)
umieszczonym na pojedynczym zasobie (Nm)
·
EZ (Ak, Zi, Pmj) – wartość oczekiwana straty dla firmy w
przypadku realizacji Zagrożenia Zi na podatności Pmj zasobu Nm przechowującego
aktywo informacyjne Ak) przy uwzględnieniu wpływy planowanych zabezpieczeń
·
WAp,WAi, WAd, WAn, WAr oznaczają wartość straty dla firmy w
przypadku odpowiednio utraty poufności , integralności , dostępności
pojedynczej informacji
·
Fp, Fi, Fd, Fn, Fr (Pj,Zi) ) funkcja prawdopodobieństwa
realizacji zagrożenia Zi w kontekście podatności Pj zasobu na którym znajduje
się informacja w kontekście odpowiednio poufności, integralności,
dostępności, niezaprzeczalności i rozliczalności z uwzględnieniem współczynnika
modyfikacji prawdopodobieństwa wynikającego z listy planowanych zabezpieczeń
(Pr = P * (1+Wmp) )
5.8.
Przygotowanie Deklaracji Stosowania
Na
podstawie wyników szacowania ryzyka należy przygotować Deklarację Stosowania i
umieścić ją w pliku DeklaracjaStosowania. Deklaracja Stosowania stanowi
podsumowanie decyzji podjętych w wyniku szacowania ryzyka.
Deklaracja
Stosowania zawiera:
·
wybrane zabezpieczenia wraz z określeniem przyczyn ich wyboru,
·
zabezpieczenia obecnie stosowane,
·
wyłączenia zabezpieczeń zawartych w załączniku A do normy ISO
27001:2005 wraz o określeniem przyczyn ich wyłączenia.
5.9.
Przygotowanie Planu Postępowania z
Ryzykiem
Na
podstawie wyników szacowania ryzyka oraz Deklaracji Stosowania należy
przygotować Plan Postępowania z Ryzykiem i umieścić go
PlanPostepowaniaZRyzykiem.
Plan
Postępowania z Ryzykiem zawiera:
·
działania, które należy podjąć w związku ze zidentyfikowanym i
ocenionym ryzykiem (wdrożenie zabezpieczeń),
·
zasoby potrzebne do wdrożenia Planu,
·
odpowiedzialności, priorytety i terminy wdrożenia poszczególnych
elementów Planu.
5.10. Zatwierdzenie Planu Postępowania z Ryzykiem i
przekazanie go do realizacji
Wyniki
szacowania ryzyka Komitet ds. Bezpieczeństwa Informacji przedstawia
Kierownictwu organizacji podczas najbliższego przeglądu zarządzania po to, aby
Kierownictwo:
·
zaakceptowało pozostałe ryzyko (szczątkowe),
·
zaakceptowało wyniki szacowania ryzyka i proponowany Plan
Postępowania z Ryzykiem.
Działania
zawarte w Planie Postępowania z Ryzykiem przekazywane są wymienionym w nim
osobom do wdrożenia.
6.
ZAPISY
·
Inwentaryzacja
·
SzacowanieRyzyka
·
DeklaracjaStosowania
·
PlanPostepowaniaZRyzykiem
·
Kryteria akceptacji ryzyka
·
Parametry metodyki szacowania ryzyka
·
Księga Bezpieczeństwa Informacji
·
Księga Jakości
·
Procedury ZSZJ i BI (przegląd zarządzania)
·
Polityki SZBI
·
Norma ISO 27001:2005
·
Norma ISO 17779:2005
·
Wewnętrzne akty regulujące, w tym: ……
8.
HISTORIA ZMIAN DOKUMENTU
|
DATA EDYCJI
|
WERSJA
|
TREŚĆ ZMIANY
|
|
|
|
|