Ochrona danych w systemach i sieciach komputerowych - Szacowanie ryzyka
1. Podczas oceny prawdopodobieństwa urzeczywistnienia się określonych zagrożeń należy rozważyć m.in. :
- motywację źródła zagrożenia;
- możliwości dostępne dla ewentualnych atakujących;
- akcyjność i wrażliwość zasobów;
- lokalizację prowadzenia działalności gospodarczej (np. bliskie sąsiedztwo zakładów chemicznych, naftowych);
- możliwość występowania ekstremalnych warunków atmosferycznych;
- czynniki determinujące powstawanie błędów i pomyłek.
2. Incydent związany z bezpieczeństwem informacji to niepożądane zdarzenie lub seria zdarzeń, które mogą zagrozić bezpieczeństwu informacji.
3. Metoda PHA (Preliminary Hazard Analysis) to technika analizy ryzyka, która polega na:
- Identyfikacji potencjalnych zagrożeń i zdarzeń, które mogą prowadzić do awarii lub wypadku w danym systemie, procesie lub procedurze.
- Oszacowaniu prawdopodobieństwa i skutków każdego zidentyfikowanego zagrożenia lub zdarzenia.
- Przypisaniu ryzyka do każdego zagrożenia lub zdarzenia na podstawie skali ustalonej przez zespół analizy.
- Określeniu wymaganych środków zapobiegawczych i zaradczych oraz działań następczych.
Metoda PHA jest stosowana we wstępnej fazie projektowania, gdy dostępne są podstawowe informacje o systemie, procesie lub procedurze. Metoda PHA jest nieznormalizowana i oparta na metodzie "burzy mózgów". Metoda PHA ma na celu:
- Porównanie różnych koncepcji projektowych pod kątem ryzyka.
- Skupienie się na istotnych zagadnieniach związanych z ryzykiem.
- Dostarczenie informacji wejściowych do bardziej szczegółowej analizy ryzyka.
Wzory:
R = (Sd+Si+Sp) * P
P - prawdopodobieństwo:
0–zdarzenie nieprawdopodobne (zagrożenie nie występuje),
1–zdarzenie prawie nieprawdopodobne,
2–zdarzenie mało prawdopodobne,
3–zdarzenie wysoce prawdopodobne,
4–zdarzenie niemal pewne.
Sd – dostępności informacji,
Si – integralności informacji,
Sp – poufności informacji:
Si:
0 –zdarzenie nie powoduje skutku (brak podatności),
1 –zdarzenie wywołuje niewielki skutek,
2 –zdarzenie wywołuje znaczący skutek,
3 –zdarzenie wywołuje bardzo znaczący skutek,
4 –zdarzenie wywołuje skutek katastrofalny.
R = S * P
S - znaczenie
P - prawdopodobieństwo
𝑹=((𝑺𝒑+𝑺𝒊+𝑺𝒅)/𝒁𝒃)*𝑷
Sp:
1 pkt - nielegalny dostęp i możliwość wprowadzenie zmian w treści dokumentu;
1 pkt - podszywanie się pod innego użytkownika błędy, pomyłki;
1 pkt - brak mechanizmów uniemożliwiających skasowanie lub zmianę logów przez administratora lub innego użytkownika niewłaściwe administrowanie;
1 pkt - wadliwe działanie systemu błędy oprogramowania lub sprzętu;
1 pkt - błędy, pomyłki brak w aplikacjach mechanizmów weryfikacji wprowadzanych danych;
1 pkt - niedobór pracowników, współdzielenie funkcji;
1 pkt - celowe lub przypadkowe uszkodzenie, zniszczenie lub nieuprawniona modyfikacja danych,
1 pkt - działanie złośliwego oprogramowania (wirusy);
1 pkt – wadliwe działanie aplikacji brak synchronizacji danych;
1 pkt – błędy administratora (brak kontroli).
Sd:
1 pkt - niewłaściwa konfiguracja systemu informatycznego;
1 pkt – zagubienie lub zniszczenie nośnika zawierającego dane;
1 pkt – choroba lub śmierć ważnych osób i brak zastępowalności;
1 pkt – starzenie się sprzętu awaria systemu informatycznego;
1 pkt – kradzież i włamania;
1 pkt - celowe lub przypadkowe skasowanie danych;
1 pkt – awaria zasilania,
1 pkt - działanie złośliwego oprogramowania (wirusy);
1 pkt - pożar, zalanie, uderzenie pioruna, itp.;
1 pkt - zagrożenia zewnętrzne (klęski żywiołowe, atak terrorystyczny, katastrofa budowlana).
Zb:
Zb = K1+K2+K3+K4+K5+K6
K1 – szafy - max 16 pkt (typ szafy, typ zamka)
K2 – pomieszczenie - max 16 pkt (rodzaj pomieszczenia, rodzaj drzwi, zamki, okna)
K3 – budynek - max 4 pkt (czy wiata, czy są łatwe do sforsowania, czy są ściany są kartonowe, czy jest to kontener, czy budynek jest murowany nieruchomy)
K4 – kontrola dostępu - max 8 pkt (system kontroli dostępu, identyfikacja osób znajdujących się w budynku)
K5 – system bezpieczeństwa - max 10 pkt (system bezpieczeństwa, system sygnalizacji napadu)
K6 – granice - max 7 pkt (czy jest ogrodzenie, czy jest kontrola w punktach dostępu, system kontroli osób i przedmiotów, system naruszenia ogrodzenia, oświetlenie, dozór wizyjny)
