Założenia do ćwiczeń seria 1 do wykładów Wymagania normatywno-prawne dla zarządzania ryzykiem bezpieczeństwa informacji niejawnych dr inż. Andrzej Wójcik
Opis działalności firmy (JO) JO. z siedzibą w mieście o dużym znaczeniu gospodarczym dla kraju, działa na rynku od 1992 roku. Początek jej działalności to usługi integracyjne w zakresie teleinformatyki oraz przygotowywanie na indywidualne zamówienia Klientów (dużych firm korporacyjnych) specjalistycznego oprogramowania zarządzającego dla kadr, finansów oraz projektami. Od 2002 roku firma zainwestowała w usługi hostingowe i kolokacji. JO. stał się operatorem telekomunikacyjnym obsługującym przede wszystkim klientów biznesowych oraz administrację państwową. Serwerownie znajdują się w na terenie siedziby firmy, ale JO. zainwestowała w budowę i wyposażenie nowych serwerowni ukierunkowanych wyłącznie pod klientów biznesowych, z lokalizacją w dwóch dużych miastach w Polsce. Firma korzysta z infrastruktury czołowych operatorów, ale także posiada i swoje zasoby telekomunikacyjne. JO. sprzedaje swoje usługi na terenie całego kraju. Na kluczowych rynkach firma działa przez swoich partnerów, podpisując z nimi umowy na wyłączność na danym obszarze. W Polsce sprzedaż K prowadzą mobilni handlowcy podlegające bezpośrednio Departamentowi Sprzedaży (DS). W roku obecnym firma podpisała kontrakt na dostarczenie dla resortu obronny narodowej MON, urządzeń kryptograficznych do wynajmowanej serwerowni.
Lokalizacja JO (firmy) Firma zlokalizowana jest blisko centrum miasta. Na terenie firmy znajduje się VII piętrowy gł. budynek biurowy, budynek kolokacji, budynek magazynu, serwerownia nr 3 oraz stacja trafo. Kancelaria tajna wraz z pomieszczeniem do przetwarzania informacji niejawnych w systemach TI znajduje się w zabezpieczonej strefie, na IV piętrze. Teren jest ogrodzony płotem o konstrukcji betonowo-stalowej z lat 80-stych ubiegłego wieku. Teren jest chroniony przez 4 pracowników agencji ochrony w trybie 24H. Na teren można wjechać oraz wejść od strony zachodniej oraz północnej poprzez chronione i nadzorowane bramy ze szlabanami oraz chronione przez pracowników agencji ochrony. Od strony zachodniej obok płotu znajduje centrum handlowe wraz z zapleczem parkingowym Od strony wschodniej teren firmy otacza zalesiony przy ogrodzeniu park miejski będący miejscem spotkań młodzieży z pobliskiej szkoły zawodowej Przez park płynie rzeka, która już kilka razy zalewała teren parku i okoliczna drogę. Około 200m od ogrodzenia od strony południowej zlokalizowana jest stacja benzynowa. Poprzez ulicę od strony północnej firma sąsiaduje z Ratuszem miejskim, w którym ma siedzibę także biuro poselskie lidera partii rządzącej. W odległości ok. 2 km na zachód zlokalizowane są nowoczesne biura i apartamenty W dalszej części znajduje się jednostka straży pożarnej oraz stacja kolejowa.
Infrastruktura techniczna firmy (JO) Firma inwestuje w rozwój nowoczesnej infrastruktury technicznej. Budynek główny oraz serwerownie wyposażone są nowoczesną technologię automatyki obiektowej sterującej parametrami środowiska, w tym klimatyzacja, wilgotnością i temperatura niezbędną do pracy ludzi i urządzeń IT. Wszystkie obiekty firmy podłączone są do sieci LAN. Firma posiada komunikacyjne wyjścia światłowodowe do transmisji w sieci WAN. Na stanie firmy znajduje się własna, jak i dzierżawiona oraz klientów (w serwerowniach) nowoczesna infrastruktura IT, w tym szafy, serwery, routery, urządzenia do transmisji itd.. Każdy pracownik ma dostęp do sieci LAN poprzez stacje komputerowe a pracownicy w terenie oraz handlowcy dodatkowo wyposażeni są w laptopy oraz mobilne urządzenia komunikacyjne umożliwiające pracę zdalną. Teren i obiekty firmy chronione są systemami alarmowymi, wejścia do pomieszczeń oraz stref wrażliwych nadzorowane są systemem kontroli dostępu oraz nadzorowane systemem telewizji dozorowej CCTV. Dodatkowo serwerownie chronione są systemem automatycznego gaszenia gazem obojętnym.
Zabezpieczenie elektroniczne strefy bezpieczeństwa – kancelarii tajnej
Objaśnienie symboli
Ćwiczenie nr 1. Inwentaryzacja zasobów informacyjnych, klasyfikacja, określenie zagrożeń, podatności
Polecenia do wykonania w ćwiczeniu nr 1: Dokonaj inwentaryzacji zasobów (aktywów) lub grupy zasobów informacji niejawnych , wskaż ich właścicieli oraz lokalizację. Wskaż główne procesy biznesowe firmy oraz przydziel do nich niezbędne zasoby, pamiętając, że jeden zasób może uczestniczyć w kilku procesach. Oceń ważność procesów i zasobów w nich użytych jako: Niska (Bez większego na skutki) =1 Średnia (Normalne, nie zbyt odczuwalne skutki) = 2 Wysoka (Wrażliwe dla procesu ze względu na skutki) = 3 B. wysoka (Krytyczne dla procesu ze względu na katastrofalne skutki) - 4 Wskaż procesy oraz zasoby krytyczne i wrażliwe dla funkcjonowania firmy. Analiza każdego zagrożenia powinna być oceniana w ujęciu poufności, integralności i dostępności . Wszystkie analizy przeprowadź stosując zintegrowane tabele analityczne, pozwalające odczytać kolejne fazy zależności.
Szacowanie ryzyka realizacji systemu alarmowego zgodnie z wymaganiami PN ISO/IEC 27005:2010 Tabela nr 1 Inwentaryzacja aktywów niezbędnych w procesie przetwarzania IN w JO Lp. Wyszczególnienie aktywu Lokalizacja aktywu/właściciel Skala ważności aktywu (wartości) w procesie Zagrożenia podstawowe Przyczyny podatności (słabości aktywa) ze względu na poufność/integralność/dostępność Przyczyny podatności (słabości aktywa) ze względu na poufność/integralność/dostępność I Aktywa podstawowe- podać nazwę niska = 1 średnia = 2 wysoka (aktywo wrażliwe) = 3 b.wysoka (aktywo krytyczne) = 4 a b c d e f g h i 1 Procesy i działania biznesowe 1.1 2 Informacje 2.1 II Aktywa wspierające Sprzęt Oprogramowanie 2.4 Aplikacje biznesowe 2.4.1 3 Sieć 3.1 Media i usługi wspierające 4 Personel 4.1 5 Siedziba 5.1 Lokalizacja 5.1.1 6 Organizacja 6.1
Ćwiczenie nr 2. zagrożenia i ich ocena (określenie zagrożeń, pomiar ryzyka)
Polecenia do wykonania w ćwiczeniu nr 2: Proszę wykonać szacowanie ryzyka na podstawie danych opracowanych w ćwiczeniu nr 1. Przyjąć metodykę szacowania ryzyka – klasyfikację prawdopodobieństwa wystąpienia zagrożenia, skutku i ryzyka; Określić wartość następstw zmaterializowania się zagrożeń wg tabeli od 0 (b.niskie) do 4 (b.wysokie); Prawdopodobieństwo urzeczywistnienia się zagrożenia (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4); Dokonać pomiaru poziomu ryzyka, określając prawdopodobieństwo wystąpienia zagrożenia x nastepstw Na podstawie analizy ryzyka proszę wskazać krytyczne i wrażliwe procesy.
Określenie poziomów ryzyka Tabele oceny Wartość następstw: Prawdopodobieństwo wystąpienia zagrożenia: Bardzo niskie - 0 Niskie -1 Średnie -2 Wysokie -3 Bardzo wysokie - 4 Tabela nr 2 Analiza zagrożeń i szacowanie ryzyka lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Opis zagrożenia (rodzaje zagrożeń wg znormalizowanej tabeli w zakładce typy zagrożeń lub własnych określeń) Przyczyny podatności (słabości aktywa) ze względu na poufność/integralność/dostępność Wartość następstw biznesowych (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4) Prawdopodobieństwo urzeczywistnienia się zagrożenia (Bardzo niskie - 0, Niskie -1, Średnie -2, Wysokie -3, Bardzo wysokie -4) Miara ryzyka (dxe) wg atrybutu d x f a b c d f g 1 2 3 4 5
Ćwiczenie nr 3. plan postępowania z ryzykiem
Polecenia do wykonania w ćwiczeniu nr 3: Na podstawie danych opracowanych w ćwiczeniu nr 2 proszę przygotować plan postępowania z ryzykiem, uwzględniający m.in.: Określić ranking zagrożeń dla określonych aktywów (zasobów) wg najwyższej wartości Koncepcję postępowania z ryzykiem na podstawie dokonanego pomiaru ryzyka. Opisać planowane zadania Przydzielić zasoby i odpowiedzialności Przygotować harmonogram realizacji oraz zasady kontroli przebiegu.
Określenie rankingu zagrożeń Tabela nr 3 Analiza zagrożeń i szacowanie ryzyka – ranking zagrożeń lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tab. 1 Opis zagrożenia (rodzaje zagrożeń wg znormalizowanej tabeli w zakładce typy zagrożeń lub własnych określeń) z tab. 2 Miara ryzyka Z tab. 2 Ranking zagrożeń (wg najwyższych wartości obliczonego ryzyka) a b c d e 1 2 3 4 5
Opracowanie planu postępowania z ryzykiem Tabela oceny wg wartości punktowej: Unikanie: > 16 pktów Redukowanie: 8 - 15 pktów Przeniesienie: 5 - 7 pktów Zachowanie: poniżej 4 Tabela nr 4 Plan postępowania z ryzykiem lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Wartość szacowania ryzyka (przeniesienie z tab. 2) Warianty postępowania z ryzykiem (wpisać wynik) Czy postępowanie satysfakcjonujące? T- dalej; Nie - powrót do tab. 2 Czy odpowiedzialny za proces szacowania ryzyka potwierdza akceptację? T- dalej; Nie - powrót do tab. 2 R -Redukowanie; Z - Zachowanie; U - Unikanie; P - Przeniesienie a b c d h i 1 2 3 4 5
Harmonogram realizacji postępowania z ryzykiem Tabela nr 5 Realizacja planu postępowania z ryzykiem lp. Aktywa krytyczne lub wrażliwe zdefiniowane w tabeli nr 1 Warianty postępowania z ryzykiem z tab. 4 Podjęte działania postępowania z ryzykiem (opisać) Niezbędne aktywa (środki) postępowania z ryzkiem (opis) Planowany termin realizacji Odpowiedzialny Kontrola wykonania Ocena efektywności wykonania a b c d e f g h i 1 2 3 4 5