Poslat e-mailem

Zpráva byla odeslána. Děkujeme za Váš zájem.
Poslat další.
Kontakt:
E-mail příjemce:   
Text zprávy:

Analýza rizik (1. část)

 

V dnešním díle našeho seriálu budeme rozebírat snad nejdůležitější část zavádění systému řízení bezpečnosti - Analýzu rizik. V předchozích dílech jsme si vysvětlili všechny principy a náležitosti. Vysvětlili jsme postup identifikace a ohodnocení aktiv.

Analýza rizika, dále jen AR, je prováděna za účelem identifikace zranitelných míst Informačního systému organizace (BS ISO 17799:2005).

Následně zachycuje seznam hrozeb působících na IS a stanovuje rizika příslušná každému zranitelnému místu a hrozbě. Účelem takového dokumentuje snížení rizik na přijatelnou úroveň, respektive akceptaci zbytkových rizik tam, kde je jejich minimalizace neefektivní.

 

Analýzy rizik se je rozdělována:

  • Analýza rizik - hrubá úroveň
  • Analýza rizik - neformální přístup
  • Analýza rizik - kombinovaný přístup
  • Analýza rizik - podrobný přístup

 

Nejčastější průběh analýzy rizik je je popsán ve směrnici ČSN ISO/IEC TR 13335-3. Doporučuje se použít kombinaci metod pragmatické (neformální) a detailní analýzy rizik. Nejprve je provedena počáteční analýza rizik na hrubé úrovni pro všechny systémy IT. U systémů, které budou identifikovány jako významné pro činnost organizace, případně vystavené vysokým rizikům, provádíme podrobnou analýzu rizik.

Analýza rizik na hrubé úrovni

Tato analýza na hrubé úrovni bere v úvahu hodnotu systému IT pro činnost organizace a zpracovávaných informací a rizika z pohledu činnosti organizace. Pro rozhodnutí, který přístup je pro který systém IT vhodný, bude mít význam zohlednění následujících skutečností:

  • jakých cílů má být použitím systému IT dosaženo
  • úroveň investic do tohoto systému IT (vývoj, údržba, nahrazení)
  • aktiva systému IT, kterým organizace přiřazuje určitou hodnotu
  • stupeň, vjakém činnost organizace závisí na systému IT (zda funkce, které organizace považuje pro své přežití za kritické nebo efektivní, jsou závislé na tomto systému IT)

 

Po tomto základním rozdělení budeme vědět, které systémy jsou vhodné k nasazení základního přístupu (ty méně kritické, nákladné apod.) a ty u kterých je nutné provést podrobnou analýzu rizik.

 

Poznámka:

Základní přístup

Cílem základní ochrany (ČSN ISO/IEC TR 13335-3) je stanovit minimální sadu ochranných opatření k ochraně všech nebo některých systémů IT. Při tomto přístupu je možné aplikovat základní ochranu na takto definovaných systémech. Odpovídající ochrany je možné dosáhnout použitím katalogů ochranných opatření, které navrhují a popisují sadu ochranných opatření k ochraně systému IT proti nejobecnějším hrozbám. Nejčastěji je použita sada ochranných opatřeních popsaná v normě ISO/IEC TR 13335-4.

Analýza rizik - neformální přístup

Tato možnost představuje neformální, pragmatickou analýzu rizik. Neformální přístup není založen na strukturovaných metodách, ale využívá znalosti a zkušenosti jednotlivců. Výhodou této volby je, že nevyžaduje obvykle mnoho zdrojů nebo času. K provedení této neformální analýzy není nutné se naučit nové dodatečné dovednosti a tato analýza je provedena rychleji než podrobná analýza rizik.

Existuje však také několik nevýhod. Bez určitého typu formálního přístupu nebo detailních seznam kontrol vzrůstá pravděpodobnost opomenutí některých důležitých detailů, je obtížné obhájit implementaci ochranných opatření ve vztahu k rizikům odhadnutým tímto způsobem.

V minulosti byly některé přístupy založeny na zranitelnostech, tj. byla implementována bezpečnostní ochranná opatření založená na identifikovaných zranitelnostech, aniž by se zvažovalo, zda existovaly konkrétní hrozby, které by pravděpodobně využily tyto zranitelnosti, tj. zda vůbec existovala reálná potřeba ochranných opatření. Tímto způsobem může docházet ke zbytečnému navyšování finančních prostředků.

Analýza rizik - kombinovaná metoda

Třetí možností je nejprve provést počáteční analýzu rizik na hrubé úrovni pro všechny systémy IT, která se soustřeďuje u každého případu na hodnotu systému IT pro činnost organizace a na vážná rizika, jimž je systém IT vystaven. U systémů IT, které jsou identifikovány jako významné pro činnost organizace a/nebo vystavené vysokým rizikům, by měla být přednostně provedena podrobná analýza rizik. Pro všechny zbývající systémy IT by měl být zvolen základní přístup. Tato volba, která je kombinací nejlepších charakteristik možností umožňuje minimalizaci času a úsilí věnovaného na identifikaci ochranných opatření, přičemž stále ještě zajišťuje, že jsou vysoká rizika systému chráněna příslušným způsobem.

Podrobná Analýza rizik

Podrobná analýza rizik systému IT obsahuje identifikaci souvisejících rizik, a odhad jejich velikosti. AR se provádí identifikací potenciálních nepříznivých dopadů nežádoucích událostí na činnost organizace a pravděpodobnost jejich výskytu. Pravděpodobnost výskytu bude záviset na tom, jak atraktivní jsou aktiva pro potencionálního útočníka, na pravděpodobnosti výskytu hrozeb a na snadnosti s kterou mohou být zranitelnosti využity.

Podrobná AR zahrnuje hloubkovou revizi v každém z kroků, uvedených na obrázku.Analýza rizik

Tímto dosáhneme vhodného výběru oprávněných ochranných opatření jako část procesu managementu. Požadavky na tato ochranná opatření musí být zakomponovány do bezpečnostní politiky systému IT.

 

V následujících odstavcích jsou popsány některé kroky naznačené obrázkem.

Stanovení hranic revize

Stanovení hranic revize bude provedeno ještě před identifikací a hodnocením aktiv. Pečlivá definice hranic nám umožní vyvarovat se zbytečných činností. Jinými slovy budeme definovat, kterých prvků se bude analýza rizik týkat, například aktiva IT (HW, SW, data).

Identifikace aktiv

ktivum je komponenta nebo část celkového systému, které organizace přímo přiděluje hodnotu a pro kterou tudíž organizace požaduje ochranu. Při identifikaci aktiv vezmeme v úvahu i to, že systém IT netvoří jen HW a SW. Druhy aktiv mohou být například data, komunikační zařízení, dokumenty, zboží, personál, image firmy.

Ohodnocení aktiv

Ve chvíli, kdy budeme mít identifikovaná aktiva, musíme k nim přiřadit hodnoty. Tyto hodnoty reprezentují význam aktiv pro činnost organizace. Vstupní údaje pro hodnocení aktiv budou zajištěny vlastníky a uživateli aktiv, například formou dotazníku, případně pomocí interview. Hodnota aktiv nemusí být určena finančním ohodnocením, ale například z hlediska nepříznivých dopadů na činnost organizace, plynoucí ze ztráty důvěrnosti, integrity, dostupnosti, individuální odpovědnosti, autenticity a spolehlivosti. Nejčastěji bývá použita hodnotová škála 1-5, přičemž 1 znamená nízká hodnota 5 velmi vysoká hodnota.

Hodnocení hrozeb

Hrozba představuje možnost poškodit zkoumaný systém IT a jeho aktiva. Hrozby mohou být přírodního nebo lidského původu a mohou být úmyslné nebo náhodné. Jako základní katalog hrozeb lze využít seznam uvedený v normě ČSN ISO/IEC TR 13335-3 v příloze C. Hodnocení hrozeb bude dáno do souvislosti s identifikovanými aktivy společnosti. Tento katalog bude součástí příštího dílu našeho seriálu.

Odhad zranitelnosti

Tento odhad odhalí slabá místa ve fyzickém prostředí, organizaci, postupech, personálu managementu, administraci HW, SW, nebo komunikačním zařízení, která mohou být využita zdrojem hrozby a způsobit tak škodu na aktivech.

 

Následnými úkony, které budou následovat se rozumí:

  • identifikace existujících/plánovaných ochranných opatření
  • odhad rizik
  • přijetí/nepřijetí rizik
  • implementace nápravných opatření

 

 

 



Potřebujete poradit? Mám zájem… F.A.Q.

 

Bezpečnost - GiTy

Více o ocenění