Poslat e-mailem

Zpráva byla odeslána. Děkujeme za Váš zájem.
Poslat další.
Kontakt:
E-mail příjemce:   
Text zprávy:

Analýza rizik (2.část)

 

Základní přístup 

Cílem základní ochrany (ČSN ISO/IEC TR 13335-3) je stanovit minimální sadu ochranných opatření k ochraně všech nebo některých systémů IT. Při tomto přístupu je možné aplikovat základní ochranu na takto definovaných systémech. Odpovídající ochrany je možné dosáhnout použitím katalogů ochranných opatření, které navrhují a popisují sadu ochranných opatření k ochraně systému IT proti nejobecnějším hrozbám. Nejčastěji je použita sada ochranných opatřeních popsaná v normě ISO/IEC TR 13335-4.

Identifikace plánovaných a existujících ochranných opatření

Součástí Analýzy rizik je tzv. identifikace plánovaných nebo existujících bezpečnostních opatření. Jednoduše řečeno jedná se o to, aby existující nebo plánovaná bezpečnostní opatření byla identifikována a popsána. Vyhneme se tak zbytečné práci, zvýšeným nákladům apod, které jsou způsobeny zdvojením ochranných opatření. Často se také stane, že identifikované ochranné opatření je revidováno a je buď zcela odebráno nebo nahrazeno opatřením vhodnějším nebo lépe vyhovujícím novým podmínkám bezpečnosti.

Dalším významným důvodem proč provádět revizi těchto opatření je kontrola sladění jednotlivých řešení. Při implementaci systému řízení bezpečnosti informací dochází často k souběžné práci jednotlivých týmů. Může nastat situace, kdy jednotlivá bezpečnostní opatření, ať už existující nebo navržená si mohou vzájemně překážet. Výsledným efektem je pak místo bezpečnostního opatření bezpečnostní díra a následně bezpečnostní incident.

Při identifikaci existujících ochranných opatření je vhodné provést kontrolu, jinými slovy otestovat je, zda fungují, zda fungují tak jak se předpokládá a zda nejsou v rozporu s navrhovanými bezpečnostními opatřeními.

Výsledkem tohoto kroku je mimo výše zmiňovaného, také seznam všech existujících a všech plánovaných bezpečnostních opatření. Podcenění tohoto kroku, může vést k vážným bezpečnostním zranitelnostem.

Výběr ochranných opatření

Princip ochranných opatření spočívá v minimalizaci případných rizik na minimum. Aby se usnadnil popis různých typů ochranných opatření, jsou v rámci normy zavedeny kategorie ochranných opatření. Podrobně jsou popsána v normě ČSN ISO/IEC TR 13335-4. mezi nejdůležitější jsou řazena tzv. „všeobecně aplikovatelná ochranná opatření". Jedná se o základní kategorie:

  • řízení a politiky bezpečnosti IT
  • kontrola bezpečnostní shody
  • řešení incidentů
  • personální opatření
  • provozní problémy
  • plánování kontinuity činnosti organizace
  • fyzická bezpečnost

 

Ochranná opatření těchto kategorií vytváří základ pro úspěšné řízení bezpečnosti IT. Doporučuje se rozhodně tyto základní kategorie nepodceňovat. Každá z těchto kategorií je dále dělena. Veškeré podrobnosti jsou popsány v normě.

Při výběru ochranných opatření je také důležité uvažovat z pohledu velikosti organizace, tak potřeby ochrany. Je jasné, že potřeba ochrany informací budou daleko vyšší v nemocnici nebo státním úřadě, než v potravinářském družstvu. Nemocnice má nejen povinnost se o data postarat, ale má také možnosti (personální, finanční) data zabezpečit. Zda se tak děje, je problém, který neřeší tento seriál. Důležité je, že nejpozději v této chvíli, by měla být zřízena funkce „bezpečnostního ředitele". Osoby nebo role, která bude plně odpovědná za zavádění systému řízení bezpečnosti. Samozřejmě odpovědná, ale i s odpovídajícími pravomocemi.

Odhad rizik

Cílem tohoto kroku je identifikovat a odhadnout rizika, kterým jsou systém IT a její aktiva vystavena. Tedy jednoduše řečeno, musíme zjistit co nám hrozí a „odkud vítr vane", tedy a proč nám ta rizika hrozí.

Existují různé metody vzájemného vztahu rizika a hrozeb. Nejjednodušší je stanovení si škály 1-5 od nejnižší míry rizika po nejvyšší. Pro každé riziko použijeme tuto škálu. Následně sečteme všechny hodnoty a podělíme je počtem jednotlivých rizik. Výsledná hodnota nám určuje celkovou míru rizika pro dané aktivum.

Tabulka popisující metodu odhadu rizik

Analýza rizik

Samozřejmě je možné vytvořit si metodiku vlastní, případně využít automatizované softwarové nástroje. Ať je použita jakákoliv metoda k odhadu míry rizika, výsledkem musí být seznam naměřených rizik. Je důležité si uvědomit, že čím přesnější budou vstupy, tím přesnější a pravděpodobnější budou odhady a výstupy.

Přijetí rizik

Po identifikaci a odhadu rizik, po výběru a revizi ochranných opatření, vždy zůstávají tzv. zbytková rizika. Úplně bezpečný systém je pouze teoretická hypotéza, ke které není možno se v reálném provozu přiblížit. Tato zbytková rizika mohou být rozdělena a být buď akceptována (akceptace rizika) nebo neakceptována. Je věcí nejvyššího managementu, kterému jsou tato zbytková rizika předložena, jak rozhodne. Jakákoliv odpovědnost nenáleží implementačnímu týmu, ale jen a pouze nejvyššímu managementu společnosti. Bohužel, často o zbytkových rizicích nerozhoduje nejvyšší management, ale informatik z pověření managementu.

Jestliže riziko není akceptováno, probíhá znovu výběr ochranných opatření a odhadování rizik. Je zde vysoké riziko, že může být přijato dodatečně ochranné opatření, které je příliš nákladné nebo z hlediska bezpečnosti zbytečné.

Politika bezpečnosti systému IT

Politika bezpečnosti systému IT by měla obsahovat podrobnosti požadovaných ochranných opatření a popis, proč jsou nezbytná. Mnoho systémů vyžaduje své vlastní politiky bezpečnosti, které popisují specifické a podrobné řešení. Politika bezpečnosti všechny tyto dílčí materiály zastřešuje. Je založena na výsledcích analýzy rizik a identifikace ochranných opatření. Jedná se tedy o dokument, který zajistí, že množství již existujících dílčích „politik" je revidováno s probíhající analýzou rizik a dáno do souladu se zaváděnými bezpečnostními pravidly.

Plán bezpečnosti IT

Jedná se o shrnující dokument, který stručně popisuje veškeré akce, které se musí uskutečnit, aby mohla být implementována ochranná opatření. Stručně řečeno, vše co jsme v předchozích dílech popisovali, by mělo být popsáno v tomto dokumentu. Je vhodné rozčlenit jej v logické posloupnosti, stejně jak byl popisován v tomto seriálu. Výsledkem by měl být podrobný plán bezpečnosti který zohledňuje výsledky celé analýzy rizik, včetně popisu ochranných opatření, postupů, rizik apod. Měl by také popisovat časový rozvrh pro následné postupy (implementace, revize, certifikace).

 

 

 



Potřebujete poradit? Mám zájem… F.A.Q.

 

Bezpečnost - GiTy

Více o ocenění