Kā sadzīvot ar bubuļiem. Ieskats informācijas drošības risku analīzē
Kā sadzīvot ar bubuļiem ieskats informācijas
drošības risku analīzē
Risks potenciāls, kas
norāda apdraudējuma iespējamību nodarīt kaitējumu
vai pilnībā iznīcināt kādu vērtību vai
vērtību grupu. Riska realizēšanās izmaksas ir tieši
proporcionālas apdraudējuma objekta (informācijas sistēmas,
uzņēmuma, iestādes, organizācijas vai konkrētas
informācijas) vērtībai un apdraudējuma
atkārtošanās biežumam.
Informācija,
neatkarīgi no veida, kādā tiek nodrošināta tās
aprite (elektroniska, verbāla, rakstiska), ir prece. Kā katrai
precei, arī informācijai ir cena. Tāpat kā katra prece,
vieniem informācija var šķist nevērtīga, bet citiem
kārojamākais guvums.
Risku
līmenis
Ja
informācijas īpašnieks šo preci novērtē
zemāk nekā tas, kurš vēlas to iegūt,
īpašnieks cietīs zaudējumus (turklāt, neizprotot
informācijas patieso vērtību, zaudējumi var būt
neparedzēti lieli). Informācijas īpašnieku, kā
jebkuras materiālas vērtības turētāju, apdraud
varbūtība zaudēt tam piederošo vērtību. Ļoti
daudzi, ja ne visi, zina, ka aizsardzības pasākumu izmaksām
jābūt sabalansētām ar aizsargājamo vērtību.
Problēma
rodas, kad jāsāk šo izmaksu sabalansēšana, jo nav
viegli atrast atbildes uz jautājumiem, cik maksā informācija un
kas un kādā mērā to apdraud. Informācijas
apdraudējumu raksturo riska līmenis. Risks šajā
gadījumā nav vienkārši vārds, kas bieži tiek
lietots sadzīvē. Attiecībā uz informācijas
drošību risks ir mērāms lielums ar noteiktu vērtību.
Jebkuras informācijas sistēmas drošības
pārvaldība balstās (laikam pareizāk būtu teikt tai
vajadzētu balstīties) uz šīs vērtības
līmeņa noteikšanu.
Informācijas
drošības risku līmeni raksturo šādi komponenti:
apdraudējumu,
kas vērsti pret informācijas aprites un glabāšanas
nodrošināšanas procesiem un vērtībām (par
vērtību ir uzskatāmi gan fiziski objekti, gan informācija),
veids vai raksturs;
nepilnības
(vājības), kas piemīt šiem procesiem un
vērtībām (piemēram, tehnoloģisko rīku
izstrādātāju pieļautās kļūdas,
kļūdaini izstrādātas procedūras vai to trūkums
utt.);
apdraudējuma
ietekme uz informācijas aprites un glabāšanas
nodrošināšanas procesiem un vērtībām
(ievērojot apdraudējumu raksturu, kā arī procesiem un
vērtībām piemītošās nepilnības);
apdraudējumu
realizēšanās varbūtība un to
atkārtošanās iespējamais periodiskums.
Iespējamie
apdraudējumi informācijas sistēmai ir atkarīgi ne tikai no
tās tehniskā raksturojuma, ģeogrāfiskā izvietojuma,
organizatoriskiem un sociāliem procesiem, bet arī no
uzņēmuma vai iestādes darbības rakstura, kas nosaka tā
galvenās funkcijas, klientu un partneru loku, konkurentus, kriminālas
un politiskas intereses utt. Šie un daudzi citi aspekti tiek ņemti
vērā, realizējot procesu, kas tiek saukts par risku
analīzi.
Risku
analīze
Risku
analīzes gaitā tiek identificētas aizsargājamās
vērtības un noteikts to riska līmenis. Šis process ir viens
no informācijas drošības pārvaldības pamatkomponentiem
informācijas drošības pārvaldības uzdevums ir
kontrolēt risku līmeni un noteikt pasākumus, lai tas
nepārsniegtu pieļaujamās robežas.
Ko
nozīmē noteikt riska līmeni? Tas nozīmē, ka
jānosaka, kādi varētu būt zaudējumi (gan tiešie,
gan netiešie), kas rastos uzņēmumam vai organizācijai, ja
šī vērtība (informācija, iekārta u. c.) tiktu bojāta
vai iznīcināta. Tas ir samērā vienkāršs uzdevums,
ja tiek analizētas iekārtas (kuru cenas ir zināmas) un
iespējamie tiešie zaudējumi (kas, piemēram, radušies,
ja iekārtu nozog), bet ļoti sarežģīts uzdevums, ja
tiek analizēta informācija, kas ir uzņēmuma vai iestādes
apritē, un tās bojāšanas vai zaudēšanas
rezultātā gūtie tiešie vai netiešie zaudējumi.
Jebkura
uzņēmuma vai organizācijas vadītājam ir svarīgi
saprast, ka biznesa riski ir nesaraujami saistīti ar informācijas
drošības riskiem. Jāatceras, ka, veicot risku analīzi, var
nonākt pie negaidītiem atklājumiem, piemēram, ka,
pazaudējot disketi, kuras tirgus cena ir daži santīmi, var
nodarīt kaitējumu daudzu tūkstošu latu apmērā,
vai kāda darbinieka aizvainošana var novest pie plaukstoša
uzņēmuma bankrota.
Informācijas
drošības risku analīze sastāv no vairākiem posmiem:
aizsargājamo
vērtību apzināšana;
iespējamo
apdraudējumu raksturošana;
apdraudējumu
realizēšanās iespējamās ietekmes uz
aizsargājamām vērtībām noteikšana (risku
prioritizācija);
risku
vērtēšana;
risku
mazināšanas pasākumu noteikšana.
Risku
analīzi parasti veic tad, kad notiek kādas izmaiņas
informācijas sistēmā (piemēram, ievieš jaunas
sistēmas), kad mainās uzņēmuma vai iestādes
darbības raksturs (mainās pamatfunkcijas, klientu raksturojums u.c.),
kad mainās uz uzņēmumu vai iestādi attiecināmās
likumdošanas normas utt. (piemēram, elektroniskā paraksta
ieviešana bez iepriekšējas risku analīzes būtu visai
drosmīgs eksperiments).
Risku
vērtēšana
Risku
vērtēšanai tiek pakļauti visi informācijas
sistēmas komponenti gan fiziskas vērtības, gan
informācija. Riska lielums ir atkarīgs no apdraudējuma
realizēšanās varbūtības (apdraudējuma
atkārtošanās biežuma) un iespējamā kaitējuma
apjoma. Vadoties pēc šīs sakarības, riska
vērtēšanas procesā tiek iegūta skaitliska
vērtība (nosacīts lielums vai konkrēta summa latos).
Lai
noteiktu apdraudējuma realizēšanās varbūtību,
jānosaka tā raksturs. Drošības apdraudējumus
nosacīti var sadalīt trīs grupās:
fizikālie apdraudējumi
(fiziska nopostīšana, ielaušanās, dabas stihija utt.),
tehniskie apdraudējumi
(datorvīrusi, energoapgādes pārtraukumi, iekārtu
bojāšanās, programmatūru nepilnības u.c.),
sociālie apdraudējumi
(personāla nekompetence, kļūdīšanās, paroļu
zaudēšana, aizmāršība utt.).
Ir
simtiem iespējamo apdraudējumu, bet to realizēšanās
varbūtība ir atkarīga no daudziem gan objektīviem
(piemēram, iekārtas tehniskie parametri, atrašanās vieta u.
c.), gan subjektīviem (piemēram, personāla
savstarpējās attiecības, materiālais
nodrošinājums, profesionālās zināšanas u. c.)
faktoriem.
Lai
vienkāršotu kāda konkrēta apdraudējuma
iespējamā kaitējuma noteikšanu, visiem informācijas
sistēmas komponentiem (resursiem) jābūt sagrupētiem
klasifikācijas kategorijās, vadoties pēc šādām
prasībām:
konfidencialitāte nosaka, cik
nozīmīga ir informācijas slepenības
nodrošināšana;
integritāte nosaka, cik
nozīmīga ir informācijas uzticamības
nodrošināšana;
pieejamība nosaka, cik
nozīmīga ir informācijas pieejamības
nodrošināšana lietotājam vēlamajā
brīdī.
Resursa
klasifikācijas kategorija norāda tā nozīmību
(vērtību) konkrētam uzņēmumam vai iestādei,
tātad rodas iespēja noteikt iespējamā kaitējuma apjomu.
Balstoties uz risku vērtību, tiek gatavoti informācijas
sistēmu attīstības plāni un ieviesti pasākumi risku
līmeņa mazināšanai.
Risku
līmeņa mazināšana
Informācijas
drošības pārvaldības principu ieviešana nav
vienīgi lielu informācijas sistēmu prerogatīva.
Jēdziens risks ir attiecināms gan uz maziem, gan uz lieliem
uzņēmumiem, starpība būs vienīgi šo risku
vērtībā (naudas izteiksmē). Risku analīze ir tas
instruments, kas ļauj pieņemt pareizu lēmumu, ieviešot
jaunas sistēmas, kā arī novērtēt to ieviešanas
rezultātā iegūtos labumus un iespējamos zaudējumus.
Riska
līmenis ir tieši proporcionāls apdraudējuma objekta
vērtībai (iespējamā kaitējuma summai) un
apdraudējuma atkārtošanās biežumam. Tātad risku
līmeņa mazināšanas pasākumiem tiešā vai
netiešā veidā ir jāsamazina kāds no šiem
faktoriem objekta vērtība (maksa par objekta pilnīgu vai
daļēju atjaunošanu), apdraudējuma
atkārtošanās varbūtība. Piemēram, ugunsgrēka
atkārtošanās varbūtību var samazināt, izmantojot
ugunsdzēsības signalizāciju un citus ugunsdrošības
pasākumus; programmatūras kļūmju ietekmi var
samazināt, nodrošinot to uzlabojumu regulāru lejupielādi;
lietotāju nesankcionētas piekļuves apdraudējumus
iespējams mazināt, ieviešot lietotāju tiesību
piešķiršanas un anulēšanas procedūras;
kaitējuma varbūtību var samazināt, paaugstinot objekta
drošības prasības (paredzot sertificētu risinājumu
lietošanu, nodrošinot personāla kvalifikācijas
paaugstināšanu, ieviešot īpašus aizsardzības
pasākumus utt.). Ja riski apzināti un novērtēti,
vienmēr pastāv iespēja veikt nepieciešamos pasākumus
to mazināšanai.
Vadlīnijas
šādu pasākumu plānam varētu izskatīties
šādi:
definēta
organizatoriskā struktūra, noteikti darbinieku pienākumi un
atbildība;
klasificēti
informācijas un tehniskie resursi;
noteiktas
fiziskās drošības prasības;
noteiktas
drošības prasības personālam un informācijas
lietotājiem;
noteiktas
prasības un standarti tehnoloģiskajam aprīkojumam un
iekārtām;
realizēta
informācijas sistēmas drošības pārvaldība;
kontrolēta
sistēmas attīstība.
Risku
līmeņa mazināšana ir kolektīvs darbs, kura pamatā
ir izpratne par notiekošajiem procesiem, to attīstības gaitu un
mērķiem. Lai nokļūtu pie mērķa, ir jāzina,
kur atrodies. Risku analīze var sniegt atbildes, kas palīdzēs
izvairīties no smagiem zaudējumiem, bet nepietiekamās
zināšanas tās realizēšanai var papildināt, gan
apmācot savus darbiniekus, gan pieaicinot speciālistus, gan
izmantojot specializētas lietojumprogrammas.
Dainis RUMENTS,
IS drošības konsultants
SIA E-protect
dainis.ruments@e-protect.lv
Risks potenciāls, kas norāda apdraudējuma iespējamību nodarīt kaitējumu vai pilnībā iznīcināt kādu vērtību vai vērtību grupu. Riska realizēšanās izmaksas ir tieši proporcionālas apdraudējuma objekta (informācijas sistēmas, uzņēmuma, iestādes, organizācijas vai konkrētas informācijas) vērtībai un apdraudējuma atkārtošanās biežumam.
Informācija, neatkarīgi no veida, kādā tiek nodrošināta tās aprite (elektroniska, verbāla, rakstiska), ir prece. Kā katrai precei, arī informācijai ir cena. Tāpat kā katra prece, vieniem informācija var šķist nevērtīga, bet citiem kārojamākais guvums.
Risku līmenis
Ja informācijas īpašnieks šo preci novērtē zemāk nekā tas, kurš vēlas to iegūt, īpašnieks cietīs zaudējumus (turklāt, neizprotot informācijas patieso vērtību, zaudējumi var būt neparedzēti lieli). Informācijas īpašnieku, kā jebkuras materiālas vērtības turētāju, apdraud varbūtība zaudēt tam piederošo vērtību. Ļoti daudzi, ja ne visi, zina, ka aizsardzības pasākumu izmaksām jābūt sabalansētām ar aizsargājamo vērtību.
Problēma rodas, kad jāsāk šo izmaksu sabalansēšana, jo nav viegli atrast atbildes uz jautājumiem, cik maksā informācija un kas un kādā mērā to apdraud. Informācijas apdraudējumu raksturo riska līmenis. Risks šajā gadījumā nav vienkārši vārds, kas bieži tiek lietots sadzīvē. Attiecībā uz informācijas drošību risks ir mērāms lielums ar noteiktu vērtību. Jebkuras informācijas sistēmas drošības pārvaldība balstās (laikam pareizāk būtu teikt tai vajadzētu balstīties) uz šīs vērtības līmeņa noteikšanu.
Informācijas drošības risku līmeni raksturo šādi komponenti:
apdraudējumu, kas vērsti pret informācijas aprites un glabāšanas nodrošināšanas procesiem un vērtībām (par vērtību ir uzskatāmi gan fiziski objekti, gan informācija), veids vai raksturs;
nepilnības (vājības), kas piemīt šiem procesiem un vērtībām (piemēram, tehnoloģisko rīku izstrādātāju pieļautās kļūdas, kļūdaini izstrādātas procedūras vai to trūkums utt.);
apdraudējuma ietekme uz informācijas aprites un glabāšanas nodrošināšanas procesiem un vērtībām (ievērojot apdraudējumu raksturu, kā arī procesiem un vērtībām piemītošās nepilnības);
apdraudējumu realizēšanās varbūtība un to atkārtošanās iespējamais periodiskums.
Iespējamie apdraudējumi informācijas sistēmai ir atkarīgi ne tikai no tās tehniskā raksturojuma, ģeogrāfiskā izvietojuma, organizatoriskiem un sociāliem procesiem, bet arī no uzņēmuma vai iestādes darbības rakstura, kas nosaka tā galvenās funkcijas, klientu un partneru loku, konkurentus, kriminālas un politiskas intereses utt. Šie un daudzi citi aspekti tiek ņemti vērā, realizējot procesu, kas tiek saukts par risku analīzi.
Risku analīze
Risku analīzes gaitā tiek identificētas aizsargājamās vērtības un noteikts to riska līmenis. Šis process ir viens no informācijas drošības pārvaldības pamatkomponentiem informācijas drošības pārvaldības uzdevums ir kontrolēt risku līmeni un noteikt pasākumus, lai tas nepārsniegtu pieļaujamās robežas.
Ko nozīmē noteikt riska līmeni? Tas nozīmē, ka jānosaka, kādi varētu būt zaudējumi (gan tiešie, gan netiešie), kas rastos uzņēmumam vai organizācijai, ja šī vērtība (informācija, iekārta u. c.) tiktu bojāta vai iznīcināta. Tas ir samērā vienkāršs uzdevums, ja tiek analizētas iekārtas (kuru cenas ir zināmas) un iespējamie tiešie zaudējumi (kas, piemēram, radušies, ja iekārtu nozog), bet ļoti sarežģīts uzdevums, ja tiek analizēta informācija, kas ir uzņēmuma vai iestādes apritē, un tās bojāšanas vai zaudēšanas rezultātā gūtie tiešie vai netiešie zaudējumi.
Jebkura uzņēmuma vai organizācijas vadītājam ir svarīgi saprast, ka biznesa riski ir nesaraujami saistīti ar informācijas drošības riskiem. Jāatceras, ka, veicot risku analīzi, var nonākt pie negaidītiem atklājumiem, piemēram, ka, pazaudējot disketi, kuras tirgus cena ir daži santīmi, var nodarīt kaitējumu daudzu tūkstošu latu apmērā, vai kāda darbinieka aizvainošana var novest pie plaukstoša uzņēmuma bankrota.
Informācijas drošības risku analīze sastāv no vairākiem posmiem:
aizsargājamo vērtību apzināšana;
iespējamo apdraudējumu raksturošana;
apdraudējumu realizēšanās iespējamās ietekmes uz aizsargājamām vērtībām noteikšana (risku prioritizācija);
risku vērtēšana;
risku mazināšanas pasākumu noteikšana.
Risku analīzi parasti veic tad, kad notiek kādas izmaiņas informācijas sistēmā (piemēram, ievieš jaunas sistēmas), kad mainās uzņēmuma vai iestādes darbības raksturs (mainās pamatfunkcijas, klientu raksturojums u.c.), kad mainās uz uzņēmumu vai iestādi attiecināmās likumdošanas normas utt. (piemēram, elektroniskā paraksta ieviešana bez iepriekšējas risku analīzes būtu visai drosmīgs eksperiments).
Risku vērtēšana
Risku vērtēšanai tiek pakļauti visi informācijas sistēmas komponenti gan fiziskas vērtības, gan informācija. Riska lielums ir atkarīgs no apdraudējuma realizēšanās varbūtības (apdraudējuma atkārtošanās biežuma) un iespējamā kaitējuma apjoma. Vadoties pēc šīs sakarības, riska vērtēšanas procesā tiek iegūta skaitliska vērtība (nosacīts lielums vai konkrēta summa latos).
Lai noteiktu apdraudējuma realizēšanās varbūtību, jānosaka tā raksturs. Drošības apdraudējumus nosacīti var sadalīt trīs grupās:
fizikālie apdraudējumi (fiziska nopostīšana, ielaušanās, dabas stihija utt.),
tehniskie apdraudējumi (datorvīrusi, energoapgādes pārtraukumi, iekārtu bojāšanās, programmatūru nepilnības u.c.),
sociālie apdraudējumi (personāla nekompetence, kļūdīšanās, paroļu zaudēšana, aizmāršība utt.).
Ir simtiem iespējamo apdraudējumu, bet to realizēšanās varbūtība ir atkarīga no daudziem gan objektīviem (piemēram, iekārtas tehniskie parametri, atrašanās vieta u. c.), gan subjektīviem (piemēram, personāla savstarpējās attiecības, materiālais nodrošinājums, profesionālās zināšanas u. c.) faktoriem.
Lai vienkāršotu kāda konkrēta apdraudējuma iespējamā kaitējuma noteikšanu, visiem informācijas sistēmas komponentiem (resursiem) jābūt sagrupētiem klasifikācijas kategorijās, vadoties pēc šādām prasībām:
konfidencialitāte nosaka, cik nozīmīga ir informācijas slepenības nodrošināšana;
integritāte nosaka, cik nozīmīga ir informācijas uzticamības nodrošināšana;
pieejamība nosaka, cik nozīmīga ir informācijas pieejamības nodrošināšana lietotājam vēlamajā brīdī.
Resursa klasifikācijas kategorija norāda tā nozīmību (vērtību) konkrētam uzņēmumam vai iestādei, tātad rodas iespēja noteikt iespējamā kaitējuma apjomu. Balstoties uz risku vērtību, tiek gatavoti informācijas sistēmu attīstības plāni un ieviesti pasākumi risku līmeņa mazināšanai.
Risku līmeņa mazināšana
Informācijas drošības pārvaldības principu ieviešana nav vienīgi lielu informācijas sistēmu prerogatīva. Jēdziens risks ir attiecināms gan uz maziem, gan uz lieliem uzņēmumiem, starpība būs vienīgi šo risku vērtībā (naudas izteiksmē). Risku analīze ir tas instruments, kas ļauj pieņemt pareizu lēmumu, ieviešot jaunas sistēmas, kā arī novērtēt to ieviešanas rezultātā iegūtos labumus un iespējamos zaudējumus.
Riska līmenis ir tieši proporcionāls apdraudējuma objekta vērtībai (iespējamā kaitējuma summai) un apdraudējuma atkārtošanās biežumam. Tātad risku līmeņa mazināšanas pasākumiem tiešā vai netiešā veidā ir jāsamazina kāds no šiem faktoriem objekta vērtība (maksa par objekta pilnīgu vai daļēju atjaunošanu), apdraudējuma atkārtošanās varbūtība. Piemēram, ugunsgrēka atkārtošanās varbūtību var samazināt, izmantojot ugunsdzēsības signalizāciju un citus ugunsdrošības pasākumus; programmatūras kļūmju ietekmi var samazināt, nodrošinot to uzlabojumu regulāru lejupielādi; lietotāju nesankcionētas piekļuves apdraudējumus iespējams mazināt, ieviešot lietotāju tiesību piešķiršanas un anulēšanas procedūras; kaitējuma varbūtību var samazināt, paaugstinot objekta drošības prasības (paredzot sertificētu risinājumu lietošanu, nodrošinot personāla kvalifikācijas paaugstināšanu, ieviešot īpašus aizsardzības pasākumus utt.). Ja riski apzināti un novērtēti, vienmēr pastāv iespēja veikt nepieciešamos pasākumus to mazināšanai.
Vadlīnijas šādu pasākumu plānam varētu izskatīties šādi:
definēta organizatoriskā struktūra, noteikti darbinieku pienākumi un atbildība;
klasificēti informācijas un tehniskie resursi;
noteiktas fiziskās drošības prasības;
noteiktas drošības prasības personālam un informācijas lietotājiem;
noteiktas prasības un standarti tehnoloģiskajam aprīkojumam un iekārtām;
realizēta informācijas sistēmas drošības pārvaldība;
kontrolēta sistēmas attīstība.
Risku līmeņa mazināšana ir kolektīvs darbs, kura pamatā ir izpratne par notiekošajiem procesiem, to attīstības gaitu un mērķiem. Lai nokļūtu pie mērķa, ir jāzina, kur atrodies. Risku analīze var sniegt atbildes, kas palīdzēs izvairīties no smagiem zaudējumiem, bet nepietiekamās zināšanas tās realizēšanai var papildināt, gan apmācot savus darbiniekus, gan pieaicinot speciālistus, gan izmantojot specializētas lietojumprogrammas.
Dainis RUMENTS,
IS drošības konsultants
SIA E-protect
dainis.ruments@e-protect.lv