Vyhodnocení rizik: identifikace opatření
Publikováno dne: 18.04.2010
Cílem tohoto příspěvku je popsat jednotlivé typy bezpečnostních opatření a doplnit tak informace uvedené v knize „Řízení informačních rizik v praxi“.
Pro termín opatření, někdy též protiopatření, se v informační bezpečnosti používají více či méně zaměnitelná synonyma security measures, countermeasures, safeguards nebo controls. Ať už je ale použit jakýkoliv termín, vždy se jedná o opatření, jehož cílem je snížit riziko na akceptovatelnou úroveň a ochránit tak cenná aktiva. Podle způsobu implementace můžeme opatření rozdělit na:
Závěr: Vždy bychom měli implementovat minimálně základní sadu opatření a prosazovat tzv. security-in-depth přístup, který spočívá v zavedení preventivních, odstrašujících, zdržujících, detekčních, reaktivních a obnovujících opatření na úrovni fyzické, logické a administrativní bezpečnosti.
***
Pro termín opatření, někdy též protiopatření, se v informační bezpečnosti používají více či méně zaměnitelná synonyma security measures, countermeasures, safeguards nebo controls. Ať už je ale použit jakýkoliv termín, vždy se jedná o opatření, jehož cílem je snížit riziko na akceptovatelnou úroveň a ochránit tak cenná aktiva. Podle způsobu implementace můžeme opatření rozdělit na:
- fyzická (physical) – kontrola pohybu osob ve střežených prostorách a zabránění průniku neautorizovaných osob do těchto prostor,
- logická (logical/technical) – řízení a vyhodnocování přístupu k informačním zdrojům prostřednictvím identifikace, autentizace, autorizace a odpovědnosti uživatele, bezpečné nastavení HW a SW komponent,
- administrativní (administrative) – politiky, standardy, procedury a směrnice, které definují určitá závazná pravidla a postupy. Dále sem patří aktivity jako řízení rizik a školení v oblasti bezpečnosti.
- systémová (system) – specifické nastavení na úrovni operačního systému
- aplikační (application) – specifické nastavení na úrovni aplikace
- databázová (database) – specifické nastavení na úrovni databáze
- komunikační (communication) – specifické nastavení aktivních síťových prvků
- kryptografická (cryptography) – správná implementace symetrické a symetrické kryptografie
- preventivní (preventive) – měly by útočníkovi zabránit v realizaci jeho úmyslu a tím předcházet nežádoucím aktivitám,
- detekční (detection) – slouží k odhalení nežádoucí aktivity např. sensorem, analýzou záznamů z kamer a logů,
- nápravná (corrective) – jejich cílem je zabránit opakování dané události např. změnou stávajícího procesu.
- odstrašující (deterrent) – tato opatření by měla být viditelná, aby útočníka odradila od nežádoucího jednání,
- zdržující (delay) – měla by postup útočníka co nejvíce zpomalit, aby mohla být jeho aktivita detekována,
- reaktivní (reactive) – poté co je nežádoucí aktivita odhalena, je nutné na ni nějak reagovat, reakce může být ofenzivní nebo defenzivní,
- obnova (recovery) - slouží k obnově funkčnosti systému.
- kompenzační (compensation) – mohou nahradit některé běžně nasazované opatření, které však v daném případě z nejrůznějších důvodů nasadit nelze.
- direktivní (directive) – funkčnost jednotlivých opatření musí někdo kontrolovat a musí existovat i postup jak tuto kontrolu provádět.
Závěr: Vždy bychom měli implementovat minimálně základní sadu opatření a prosazovat tzv. security-in-depth přístup, který spočívá v zavedení preventivních, odstrašujících, zdržujících, detekčních, reaktivních a obnovujících opatření na úrovni fyzické, logické a administrativní bezpečnosti.
***
Vyhodnocení rizik: kvantifikace opatření
Publikováno dne: 09.05.2010
V tomto příspěvku se dozvíte, jakým způsobem provést vyhodnocení jednotlivých opatření a zvolit to nejefektivnější.
V okamžiku, kdy jsme provedli analýzu rizik a známe již celkovou škodu, kterou by mohly jednotlivé hrozby způsobit, měli bychom se zamyslet nad volbou vhodných opatření. Rozhodnutí, zda bude dané opatření vůbec implementováno, by měla předcházet tzv. cost/benefit analýza. V rámci této analýzy bychom měli posoudit, jaká je hodnota aktiva a jaké jsou náklady na jeho ochranu. Pro výpočet hodnoty lze použít následující vzorec:
ALE1 je roční ztráta před implementací opatření
ALE2 je roční ztráta po implementaci opatření
ACS (Annual Cost of the Safeguard) jsou roční náklady na opatření
Netřeba snad dodávat, že čím vyšší nám vyjde VOS, tím efektivnější dané opatření je a naopak čím více se VOS blíží k nule, tím méně se opatření jeví jako efektivní. A konečně, pokud VOS dosáhne záporné hodnoty, nemá smysl o jeho nasazení vůbec uvažovat. Tímto způsobem můžeme zároveň velice snadno porovnat jednotlivá opatření mezi sebou. V praxi však budeme muset pro jednotlivá opatření spočítat náklady ne na jeden rok, ale spíše na několik let. V podstatě se bude jednat o výpočetTCO. Dále je třeba vzít v úvahu, že některá opatření, ač mají horší VOS, mohou snižovat více hrozeb nebo zranitelností a tak ač na první pohled mohou vypadat jako méně efektivní, nemusí tomu tak být. Do výpočtu celkových nákladů na opatření by měly být zahrnuty náklady na:
Poznámka: Pokud jste provedli kvalitativní analýzu rizik, tak není možné výše uvedený vzorec pro vyhodnocení účinnosti opatření použít, protože hodnotu opatření neznáte, ale pouze ji odhadujete a můžete se tak pouze ptát, jak moc dané opatření vlastně snižuje riziko. Nejčastěji používaný vzorec pro výpočet rizika R=AxTxV upravíme na RR=AxTxV/C, kde RR je zbytkové riziko (residual risk) a C je opatření (countermeasure). Pokud výsledné riziko po implementaci opatření není akceptovatelné, měli bychom se zamyslet nad dodatečnými opatřeními, v opačném případě ho můžeme prohlásit za zbytkové.
***
V okamžiku, kdy jsme provedli analýzu rizik a známe již celkovou škodu, kterou by mohly jednotlivé hrozby způsobit, měli bychom se zamyslet nad volbou vhodných opatření. Rozhodnutí, zda bude dané opatření vůbec implementováno, by měla předcházet tzv. cost/benefit analýza. V rámci této analýzy bychom měli posoudit, jaká je hodnota aktiva a jaké jsou náklady na jeho ochranu. Pro výpočet hodnoty lze použít následující vzorec:
VOS = ALE1 – ALE2 – ACS
VOS (Value Of the Safeguard) představuje hodnotu opatřeníALE1 je roční ztráta před implementací opatření
ALE2 je roční ztráta po implementaci opatření
ACS (Annual Cost of the Safeguard) jsou roční náklady na opatření
Netřeba snad dodávat, že čím vyšší nám vyjde VOS, tím efektivnější dané opatření je a naopak čím více se VOS blíží k nule, tím méně se opatření jeví jako efektivní. A konečně, pokud VOS dosáhne záporné hodnoty, nemá smysl o jeho nasazení vůbec uvažovat. Tímto způsobem můžeme zároveň velice snadno porovnat jednotlivá opatření mezi sebou. V praxi však budeme muset pro jednotlivá opatření spočítat náklady ne na jeden rok, ale spíše na několik let. V podstatě se bude jednat o výpočetTCO. Dále je třeba vzít v úvahu, že některá opatření, ač mají horší VOS, mohou snižovat více hrozeb nebo zranitelností a tak ač na první pohled mohou vypadat jako méně efektivní, nemusí tomu tak být. Do výpočtu celkových nákladů na opatření by měly být zahrnuty náklady na:
- pořízení,
- implementaci,
- údržbu,
- podporu.
- účinnost,
- spolehlivost,
- zranitelnost samotného opatření,
- snadná správa,
- integrace s ostatními opatřeními,
- nezávislost na platformě,
- životnost,
- možnost upgradu.
Poznámka: Pokud jste provedli kvalitativní analýzu rizik, tak není možné výše uvedený vzorec pro vyhodnocení účinnosti opatření použít, protože hodnotu opatření neznáte, ale pouze ji odhadujete a můžete se tak pouze ptát, jak moc dané opatření vlastně snižuje riziko. Nejčastěji používaný vzorec pro výpočet rizika R=AxTxV upravíme na RR=AxTxV/C, kde RR je zbytkové riziko (residual risk) a C je opatření (countermeasure). Pokud výsledné riziko po implementaci opatření není akceptovatelné, měli bychom se zamyslet nad dodatečnými opatřeními, v opačném případě ho můžeme prohlásit za zbytkové.
***
Vyhodnocení rizik: prioritizace rizik
Publikováno dne: 11.08.2011
Je celkem jedno, kolik úrovní rizik používáte a jak jste si je pojmenovali. I když tak úplně jedno to zase není, jak se dočtete dále.
Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.
Pokud se podíváme na hodnoty, které nám vyšly, zjistíme, že výsledkem je nespojitá funkce, jejíž obor hodnot je dán intervalem <1,16>. Pokud použijeme např. MS Excel 2007, a jeho funkci podmíněného formátování a podbarvíme hodnoty v jednotlivých buňkách, získáme následující matici.
Na první pohled vidíme, kde jsou ta největší rizika. Ovšem těch barevných odstínů je tam nějak moc, že? Pokud bychom považovali každý barevný odstín za jiný stupeň rizika, dostali bychom se dokonce na 9 stupňů. To je moc, a proto zredukujeme počet barev na pouhé čtyři odstíny a tím získáme 4 rizikové stupně.
Musí však být jednotlivé úrovně rizika znázorněny zrovna takhle? Nemusí. Narazili jsme však na poměrně zajímavý problém a to, kde bude končit jedna úroveň a kde bude začínat druhá. Je mi jasné, že ve výsledku si stejně rizika asi rozdělíte na ta, která budete řešit hned, poté na ta, co budete řešit později a konečně na rizika, která nebudete řešit vůbec. A začít byste měli logicky těmi riziky, která vám vyšla jako nejvyšší. Stačí je jen seřadit sestupně.
***
Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.
2 úrovně rizik
Jistě vás napadlo, že by se rizika dala rozdělit na pouhé dvě skupiny a to na rizika co se budou řešit a dále na rizika co se prostě řešit nebudou. Ovšem používání pouhých dvou úrovní náš problém neřeší, protože opět si budete klást otázku, která rizika z těch, co máte řešit, byste měli řešit jako první.3 úrovně rizik
Rozumným kompromisem je proto rozdělení rizik do tří skupin, kde rozlišujeme riziko nízké, kdy žádné kroky nepodnikáme, riziko střední, které je vhodné řešit hned poté, co byla vyřešena rizika vysoká a konečně samotná vysoká rizika, která by se měla řešit, jakmile to je možné. Ale toto rozdělení, byť v praxi poměrně oblíbené, není jediné možné.4 úrovně rizik
Zde se nám nabízí možnost rozdělit rizika podle úrovně managementu, který se jimi bude zabývat a který bude v konečném důsledku za jejich zvládání zodpovědný na tři stupně, neboť obvykle rozlišujeme i tři úrovně řízení: operativní, taktické a strategické a tedy nižší, střední a vyšší management. Vzhledem k tomu, že zcela jistě vyjdou i taková rizika, kterým se nebude věnovat nikdo, dostaneme se ve výsledku na čtyři stupně rizika: nízké, střední, vysoké a kritické.X úrovní rizik
Větší počet úrovní rizik je extrém, stejně jako v prvním případě, kdy jsme se zamýšleli nad pouhými dvěma úrovněmi. V obou případech je správa takto klasifikovaných rizik značně komplikovaná. Je tomu tak proto, že jen s obtížemi budeme hledat pro jednotlivé úrovně rizik slovní popis, který by byl srozumitelný a jednoznačný.Matice rizik
Matice rizik (risk matrix) by nám měla pomoci stanovit prioritu řešení jednotlivých rizik. Pokud pro vizualizaci rizik použijeme nějaký spreadsheet, a pro stanovení pravděpodobnosti hrozby a hodnoty dopadu použijme 4bodovou stupnici, bude pravděpodobnost hrozby a hodnota dopadu nabývat hodnot z intervalu <1,4>. Pokud riziko vyjádříme jako součin pravděpodobnosti hrozby a hodnoty dopadu, vyjde nám matice rizik, která je zachycena na následujícím obrázku.
***
Žádné komentáře:
Okomentovat