Analýza rizik: Jemný úvod do analýzy rizik
Publikováno dne: 20.05.2010
Cílem tohoto příspěvku je vysvětlit základní pojmy a stručně charakterizovat jednotlivé fáze analýzy rizik.
Analýza rizik by měla přinést odpověď na otázku, působení jakých hrozeb je společnost vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na společnost mohlo mít. V analýze rizik se používají následující pojmy:
Pokud jde o vlastní přístup k provedení analýzy, tak např. ISO/IEC 13335 uvádí čtyři různé přístupy:
Závěr: Analýza rizik nám říká, co všechno se může stát, proč se to může stát, jak se to může stát, kde se to může stát a koho se to bude týkat.
Zdroj: [1] Miroslav Čermák, Řízení informačních rizik v praxi
***
Analýza rizik by měla přinést odpověď na otázku, působení jakých hrozeb je společnost vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na společnost mohlo mít. V analýze rizik se používají následující pojmy:
- aktivum (asset) – vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno,
- hrozba (threat) – jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti aktiva
- zranitelnost (vulnerability) – vlastnost aktiva nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou.
- riziko – pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení důvěrnosti, integrity nebo dostupnosti.
- opatření (countermeasure) – opatření na úrovni fyzické logické nebo administrativní bezpečnosti, které snižuje zranitelnost a chrání aktivum před danou hrozbou.
- ohrožení (exposure) – skutečnost, že existuje zranitelnost, která může být zneužita hrozbou
- narušení (breach) – situace, kdy došlo k narušení důvěrnosti, integrity nebo dostupnosti v důsledku překonání bezpečnostních opatření.
- Základní přístup – žádná analýza rizik se neprovádí, pouze je vybrána a implementována základní sada opatření z nějakého katalogu.
- Neformální přístup – jedná se o pragmatický přístup k analýze rizik, kdy se provádí rychlá, orientační analýza rizik založená na zkušenostech expertů a vyhodnocení možných scénářů.
- Formální přístup – jedná se o detailní analýzu rizik, kdy se provádí hodnocení aktiv, hrozeb a zranitelností nejčastěji za použití matematického aparátu.
- Kombinovaný přístup – na základě provedené orientační analýzy rizik, kdy byla pro organizaci identifikována kritická aktiva nebo procesy, se provede detailní analýza rizik.
- identifikace respondentů – určit osoby, se kterými budeme komunikovat a na které se budeme s žádostí o poskytnutí informace obracet
- získání informací – informace budeme získávat od osob, které jsme identifikovali v předchozím kroku a to formou interview nebo dotazníků.
- analýza informací – informace, které jsme v předchozím kroku získali, musíme analyzovat,
- interpretace informací – výsledky analýzy musíme vhodným způsobem interpretovat, a to tak, aby byly pro respondenta srozumitelné
- verifikace informací – odpovědi jednotlivých respondentů a závěry, ke kterým jsme dospěli, bychom si měli nechat jednotlivými respondenty schválit.
- dokumentace informací – to jediné, co zákazníkovi po skončení projektu zbyde, je dokumentace.
Analýza aktiv
V rámci analýzy rizik musíme identifikovat pro společnost kritická aktiva a určit jejich hodnotu. Tento krok se někdy označuje jako inventarizace aktiv, v rámci kterého se vytváří tzv. registr aktiv. Dále musíme provést dekompozici aktiv a tam kde to bude vhodné jejich agregaci, tyto kroky jsou rovněž detailně popsány v [1].Analýza hrozeb
Dalším krokem je identifikace hrozeb a kvantifikace hrozeb. Tato fáze se také někdy nazývá analýza hrozeb (threat analysis), při pkteré vycházíme buď ze seznamu obecných (generických) hrozeb nebo specifických hrozeb, které můžeme identifikovat např. za použití ATM (Attack Tree Model), který je též popsán v [1].Analýza zranitelností
V tomto kroku musíme identifikovat a kvantifikovat všechna slabá místa na úrovni fyzické, logické a administrativní bezpečnosti. Tato fáze se někdy nazývá analýza zranitelností (vulnerability analysis/ vulnerability assessment).Stanovení výše rizika nebo škody
V okamžiku, kdy známe hodnotu aktiv, pravděpodobnost hrozeb a míru zranitelnosti, může přistoupit k vyjádření rizika. Pokud jsme provedlikvantitativní analýzu rizik, vyjádříme výši rizika v peněžních jednotkách a pokud byla provedena kvalitativní analýza rizik, vyjádříme výši rizika ve stupních.Závěr: Analýza rizik nám říká, co všechno se může stát, proč se to může stát, jak se to může stát, kde se to může stát a koho se to bude týkat.
Zdroj: [1] Miroslav Čermák, Řízení informačních rizik v praxi
***
Analýza rizik: kvalitativní analýza rizik
Publikováno dne: 11.07.2010
Cílem tohoto příspěvku je poskytnout čtenáři jednoduchý návod, jak provést kvalitativní analýzu rizik a doplnit informace uvedené v knize „Řízení informačních rizik v praxi“.
Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.
Poznámka: V mezinárodních standardech se dočtete, že jediná podmínka je, aby metodika výpočtu rizika byla uvedena, poskytovala porovnatelné a měřitelné výsledky a v případě, že dojde ke změně hodnoty aktiva, hrozby nebo zranitelnosti, tak aby došlo i ke změně hodnoty rizika. To vede k tomu, že kromě asi nejčastěji používaného vzorce, kde se riziko počítá jako součin jednotlivých veličin (R=A*T*V), je možné použít i vzorec, který stejné veličiny sčítá (R=A+T+V), neboť i ten splňuje výše uvedený požadavek. Že v obou případech dojdeme při použití stejných měřítek k rozdílnému výsledku, snad není nutné zdůrazňovat.
Závěr: V praxi musíme učinit několik zcela zásadních rozhodnutí a to, jakou metodiku výpočtu použít a kolik použít stupňů pro hodnocení aktiv, hrozeb, zranitelností a výsledného rizika. Dále, pokud máme rizika prioritizovat, musíme určit, nejen kolik úrovní rizik budeme používat, ale i kde budou jednotlivé úrovně začínat a končit resp. jakých hodnot mohou jednotlivé úrovně rizik nabývat. Ale o tom si povíme někdy příště.
***
Kvalitativní analýza rizik je založena na expertním odhadu jednotlivých aktiv, hrozeb a zranitelností a pro jejich vyjádření používá slovního nebo číselného hodnocení. Umožňuje tak poměrně snadno a rychle identifikovat ta největší rizika.
Analýza aktiv
V tomto kroku bychom měli identifikovat všechna pro společnost kritická aktiva a následně stanovit jejich hodnotu. Uvědomte si, že v případě nežádoucího zpřístupnění, změny nebo zničení informací nejenže přijdete o zisk, ale budete muset i zaplatit pokutu nebo penále, protože např. nebudete schopni poskytovat své služby v souladu s SLA. Obvykle se nejprve sepíší všechna aktiva a poté se slovně ohodnotí jejich důležitost pro společnost např. jako nízká, střední, vysoká nebo kritická. Kolik stupňů používáte pro stanovení hodnoty aktiva vy a na základě čeho tuto hodnotu stanovujete?Analýza hrozeb
V tomto kroku bychom měli analyzovat hrozby, kterým je společnost vystavena. U každé hrozby bychom měli stanovit pravděpodobnost jejího výskytu tzv. probability nebo likelihood. Jestliže se hrozba vyskytuje minimálně jedenkrát ročně, můžeme hovořit o tom, že pravděpodobnost výskytu hrozby je jistá. Pokud se daná hrozba prakticky nevyskytuje, můžeme hovořit o tom, že pravděpodobnost výskytu dané hroby je nízká. Kolik stupňů používáte pro stanovení pravděpodobnosti hrozby vy a na základě čeho ji stanovujete?Analýza zranitelností
V tomto kroku bychom se měli zamyslet nad tím, jaká je míra zranitelnost daného aktiva vůči působení dané hrozby. V okamžiku, kdy stanovujeme míru zranitelnosti, již bereme v úvahu implementovaná opatření, která účinnost hrozby snižují. V případě, že víme, že žádné opatření ke snížení zranitelnosti nasazeno není, můžeme míru zranitelnosti daného aktiva označit jako kritickou. Pokud se obáváme, že opatření spíše selže, můžeme zranitelnost označit jako vysokou. Pokud doufáme, že opatření spíše neselže, můžeme zranitelnost označit jako střední. A konečně, pokud jsme přesvědčeni, že opatření nikdy neselže, můžeme zranitelnost daného aktiva označit jako nízkou. Kolik stupňů používáte pro stanovení míry zranitelnosti vy a na základě čeho ji stanovujete?Stanovení výše rizika
V okamžiku, kdy známe hodnotu dopadu (A), pravděpodobnost hrozby (T) a hodnotu zranitelnosti (V), můžeme přistoupit ke stanovení rizika (R). Oproti kvantitativní analýze rizik, kde je způsob výpočtu víceméně daný a nikdo ho nezpochybňuje, tak v případě kvalitativní analýzy rizik neexistuje pouze jediná možnost, jak se dobrat výsledku. Možnost zvolit si v podstatě jakoukoliv stupnici pro stanovení hodnoty aktiv, hrozeb a zranitelností představuje sice na jednu stranu výhodu, ale na stranu druhou to komplikuje srovnávání výsledků AR provedených nejrůznějšími společnostmi.Poznámka: V mezinárodních standardech se dočtete, že jediná podmínka je, aby metodika výpočtu rizika byla uvedena, poskytovala porovnatelné a měřitelné výsledky a v případě, že dojde ke změně hodnoty aktiva, hrozby nebo zranitelnosti, tak aby došlo i ke změně hodnoty rizika. To vede k tomu, že kromě asi nejčastěji používaného vzorce, kde se riziko počítá jako součin jednotlivých veličin (R=A*T*V), je možné použít i vzorec, který stejné veličiny sčítá (R=A+T+V), neboť i ten splňuje výše uvedený požadavek. Že v obou případech dojdeme při použití stejných měřítek k rozdílnému výsledku, snad není nutné zdůrazňovat.
Závěr: V praxi musíme učinit několik zcela zásadních rozhodnutí a to, jakou metodiku výpočtu použít a kolik použít stupňů pro hodnocení aktiv, hrozeb, zranitelností a výsledného rizika. Dále, pokud máme rizika prioritizovat, musíme určit, nejen kolik úrovní rizik budeme používat, ale i kde budou jednotlivé úrovně začínat a končit resp. jakých hodnot mohou jednotlivé úrovně rizik nabývat. Ale o tom si povíme někdy příště.
***
Analýza rizik: kvantitativní vs. kvalitativní
Publikováno dne: 25.07.2010
Cílem tohoto příspěvku je popsat základní rozdíly mezi kvalitativní a kvantitativní analýzou rizik.
Kvantitativní analýza rizik je náročnější na zdroje a její provedení trvá mnohem déle než kvalitativní analýza rizik. Je tomu tak proto, že hodnotu aktiva je nutné vyjádřit v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. Vyjádření škody ve finančních jednotkách však umožňuje jednodušší rozhodování ve fázi zvládání rizik, kdy vybíráme vhodná opatření.
Kvalitativní analýza rizik je méně náročná na zdroje a trvá kratší mnohem kratší dobu než kvantitativní analýza rizik. Především proto, že hodnotu aktiva není nutné vyjadřovat v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. To však vede k horší kontrole nákladů ve fázi zvládání rizik, kdy vybíráme vhodná opatření.
Vyjádření škody ve finančních jednotkách má jednu obrovskou výhodu a to, že nám umožňuje porovnat výši škody a celkové náklady na opatření. To u slovního popisu rizika není dost dobře možné, protože chápaní stupňů nízký, střední, vysoký nebo kritický, může být značně subjektivní. V takovém případě totiž nevíme, jak velkou finanční škodu tyto stupně vlastně vyjadřují. Následující tabulka se snaží zachytit výhody a nevýhody kvantitativní a kvalitativní analýzy rizik.
Pokud jste teď začali počítat plusy a mínusy ve snaze zjistit, která metodika je lepší, zapomeňte na to. Výše zmíněné metodiky nestojí proti sobě, ale vzájemně se doplňují. Kvalitativní analýzu rizik obvykle provádíme v okamžiku, kdy potřebujeme rychle zhodnotit a určit největší rizika, která společnost ohrožují. Jakmile tato rizika známe, můžeme je začít detailně zkoumat. V tuto chvíli je již použití kvantitativní metodiky na místě.
Poznámka: To, že kvantitativní analýza rizik poskytuje poměrně přesné, nikoliv zcela přesné výsledky, je uvedeno záměrně, protože i zde dochází k odhadu pravděpodobnosti výskytu dané hrozby a výše škody.
Závěr: V předchozích příspěvcích jsme si uvedli, jak provést kvalitativní a kvantitativní analýzu rizik. V tomto příspěvku jsme si popsali výhody a nevýhody těchto metodik. Obě metodiky, ač jsou v této podobě ve světě běžně používány, obsahují jednu zásadní slabinu, která při kvantifikaci rizika nebo vyjádření výše škody může být příčinou značně nepřesných nebo zavádějících výsledků. To, že lze analýzu rizik provést i jinak a tuto slabinu eliminovat, je uvedeno v knize „Řízení informačních rizik v praxi“.
***
Kvantitativní analýza rizik je náročnější na zdroje a její provedení trvá mnohem déle než kvalitativní analýza rizik. Je tomu tak proto, že hodnotu aktiva je nutné vyjádřit v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. Vyjádření škody ve finančních jednotkách však umožňuje jednodušší rozhodování ve fázi zvládání rizik, kdy vybíráme vhodná opatření.
Kvalitativní analýza rizik je méně náročná na zdroje a trvá kratší mnohem kratší dobu než kvantitativní analýza rizik. Především proto, že hodnotu aktiva není nutné vyjadřovat v penězích stejně jako možnou škodu v případě realizace konkrétní hrozby. To však vede k horší kontrole nákladů ve fázi zvládání rizik, kdy vybíráme vhodná opatření.
Vyjádření škody ve finančních jednotkách má jednu obrovskou výhodu a to, že nám umožňuje porovnat výši škody a celkové náklady na opatření. To u slovního popisu rizika není dost dobře možné, protože chápaní stupňů nízký, střední, vysoký nebo kritický, může být značně subjektivní. V takovém případě totiž nevíme, jak velkou finanční škodu tyto stupně vlastně vyjadřují. Následující tabulka se snaží zachytit výhody a nevýhody kvantitativní a kvalitativní analýzy rizik.
| Kvantitativní analýza | Kvalitativní analýza |
| - náročnější na výpočet | + jednodušší na výpočet |
| + transparentní | - diskutabilní |
| - celkově dražší | + celkově levnější |
| - náročná na prog. vybavení | + nenáročná na prog. vybavení |
| - náročná na lidské zdroje | + nenáročná na lidské zdroje |
| - časově velice náročná | + časově nenáročná |
| + lepší kontrola nákladů | - horší kontrola nákladů |
| + poměrně přesná | - méně přesná |
Poznámka: To, že kvantitativní analýza rizik poskytuje poměrně přesné, nikoliv zcela přesné výsledky, je uvedeno záměrně, protože i zde dochází k odhadu pravděpodobnosti výskytu dané hrozby a výše škody.
Závěr: V předchozích příspěvcích jsme si uvedli, jak provést kvalitativní a kvantitativní analýzu rizik. V tomto příspěvku jsme si popsali výhody a nevýhody těchto metodik. Obě metodiky, ač jsou v této podobě ve světě běžně používány, obsahují jednu zásadní slabinu, která při kvantifikaci rizika nebo vyjádření výše škody může být příčinou značně nepřesných nebo zavádějících výsledků. To, že lze analýzu rizik provést i jinak a tuto slabinu eliminovat, je uvedeno v knize „Řízení informačních rizik v praxi“.
***
Analýza rizik: Identifikace datových aktiv
Publikováno dne: 22.05.2011
Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.
Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:
***
Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na:
- HDD, SSD počítačů a serverů;
- přenosných médiích jako jsou pásky, CD, DVD, flash disky;
- v interní paměti přenosných zařízení.
- Aplikace
- Dokumenty
- Spreadsheety
- Prezentace
- Obrázky
- Audio
- Video
- Text
- Maily
- Výstupy z nejrůznějších aplikací
- HR
- Osobní údaje o zaměstnancích (osobní číslo, kontaktní informace, pracovní zařazení, výše mzdy, výsledky hodnocení)
- Seznam a popis pracovních pozic
- Motivační systém (bonusy, zaměstnanecké výhody, systém hodnocení)
- Marketing
- Informace o klientech
- Informace o dodavatelích
- Detaily o proběhlých, stávajících nebo budoucích obchodech
- Informace o nových produktech a službách
- Informace o připravovaných marketingových kampaních
- Výsledky průzkumu trhu, nejrůznější analýzy
- Management
- Strategické plány
- Taktické plány
- Operativní plány
- Pracovní postupy
- Projektová dokumentace
- Bezpečnostní politika, standardy a směrnice
- Finanční řízení
- Účetní doklady
- výkazy
- IT
- Síťová infrastruktura (nastavení, dokumentace, hesla)
- Systémy (nastavení, dokumentace, hesla)
- Aplikace (nastavení, dokumentace, hesla)
- Databáze (nastavení dokumentace, hesla)
- Zdrojové kódy
- Facility
- Plány budov
- Umístění kamer, čidel, spínačů
- Počet členů ostrahy a jejich úkolů
***
Vyhodnocení rizik: identifikace opatření
Publikováno dne: 18.04.2010
Cílem tohoto příspěvku je popsat jednotlivé typy bezpečnostních opatření a doplnit tak informace uvedené v knize „Řízení informačních rizik v praxi“.
Pro termín opatření, někdy též protiopatření, se v informační bezpečnosti používají více či méně zaměnitelná synonyma security measures, countermeasures, safeguards nebo controls. Ať už je ale použit jakýkoliv termín, vždy se jedná o opatření, jehož cílem je snížit riziko na akceptovatelnou úroveň a ochránit tak cenná aktiva. Podle způsobu implementace můžeme opatření rozdělit na:
Závěr: Vždy bychom měli implementovat minimálně základní sadu opatření a prosazovat tzv. security-in-depth přístup, který spočívá v zavedení preventivních, odstrašujících, zdržujících, detekčních, reaktivních a obnovujících opatření na úrovni fyzické, logické a administrativní bezpečnosti.
***
Pro termín opatření, někdy též protiopatření, se v informační bezpečnosti používají více či méně zaměnitelná synonyma security measures, countermeasures, safeguards nebo controls. Ať už je ale použit jakýkoliv termín, vždy se jedná o opatření, jehož cílem je snížit riziko na akceptovatelnou úroveň a ochránit tak cenná aktiva. Podle způsobu implementace můžeme opatření rozdělit na:
- fyzická (physical) – kontrola pohybu osob ve střežených prostorách a zabránění průniku neautorizovaných osob do těchto prostor,
- logická (logical/technical) – řízení a vyhodnocování přístupu k informačním zdrojům prostřednictvím identifikace, autentizace, autorizace a odpovědnosti uživatele, bezpečné nastavení HW a SW komponent,
- administrativní (administrative) – politiky, standardy, procedury a směrnice, které definují určitá závazná pravidla a postupy. Dále sem patří aktivity jako řízení rizik a školení v oblasti bezpečnosti.
- systémová (system) – specifické nastavení na úrovni operačního systému
- aplikační (application) – specifické nastavení na úrovni aplikace
- databázová (database) – specifické nastavení na úrovni databáze
- komunikační (communication) – specifické nastavení aktivních síťových prvků
- kryptografická (cryptography) – správná implementace symetrické a symetrické kryptografie
- preventivní (preventive) – měly by útočníkovi zabránit v realizaci jeho úmyslu a tím předcházet nežádoucím aktivitám,
- detekční (detection) – slouží k odhalení nežádoucí aktivity např. sensorem, analýzou záznamů z kamer a logů,
- nápravná (corrective) – jejich cílem je zabránit opakování dané události např. změnou stávajícího procesu.
- odstrašující (deterrent) – tato opatření by měla být viditelná, aby útočníka odradila od nežádoucího jednání,
- zdržující (delay) – měla by postup útočníka co nejvíce zpomalit, aby mohla být jeho aktivita detekována,
- reaktivní (reactive) – poté co je nežádoucí aktivita odhalena, je nutné na ni nějak reagovat, reakce může být ofenzivní nebo defenzivní,
- obnova (recovery) - slouží k obnově funkčnosti systému.
- kompenzační (compensation) – mohou nahradit některé běžně nasazované opatření, které však v daném případě z nejrůznějších důvodů nasadit nelze.
- direktivní (directive) – funkčnost jednotlivých opatření musí někdo kontrolovat a musí existovat i postup jak tuto kontrolu provádět.
Závěr: Vždy bychom měli implementovat minimálně základní sadu opatření a prosazovat tzv. security-in-depth přístup, který spočívá v zavedení preventivních, odstrašujících, zdržujících, detekčních, reaktivních a obnovujících opatření na úrovni fyzické, logické a administrativní bezpečnosti.
***
Žádné komentáře:
Okomentovat