Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi“ a přináší další pohled na kvantifikaci datových aktiv.

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.V případě dostupnosti datových aktiv bychom měli sledovat dvě hodnoty a to RPO (Recovery Point Objective) a RTO (Recovery Time Objective). Běžně se však hodnota dopadu stanovuje jen na základě RTO. Takovýto přístup však nemusí být zrovna ten nejvhodnější. Vždy bychom si měli položit tyto dvě otázky:

RTO
Jaké by byly finanční a nefinanční dopady, kdyby data, která jsou předmětem hodnocení, nebyla dostupná po dobu několika: 

• sekund
• minut
• hodin
• dní

RPO
Jaké by byly finanční a nefinanční dopady, kdyby došlo ke ztrátě dat za posledních několik: 

• sekund
• minut
• hodin
• dní

Všimněte si, že se jedná o dvě naprosto rozdílné otázky. Zatímco v prvním případě uvažujeme, že data nebudou dostupná jen po danou dobu, ve druhém případě o data za dané období přijdeme. Vidíme, že hodnota dopadu, co se týká dostupnosti datových aktiv, může teoreticky nabývat až 8 různých hodnot (4 x RPO + 4 x RTO).

Na základě znalosti vztahu mezi hodnotami RTO a RPO můžeme ve fázi zvládání rizik volit vhodná opatření pro zajištění požadované dostupnosti dat.

Z obrázku je zřejmé, že v okamžiku, kdy se požadovaná dostupnost (RPO nebo RTO) pohybuje řádově v sekundách, musíme volit clusterové řešení. Pro dostupnost v řádově minutách se můžeme spokojit s replikací a v případě dostupnosti v hodinách je možno provádět zálohu na disky, a v případě dnů můžeme provádět tradiční zálohu na pásky.

Pro stanovení hodnoty dopadu v případě orientační analýzy rizik můžeme volit i zcela pragmatický přístup a hodnotu aktiva stanovit čistě podle požadavků na dostupnost a to takto: sekunda – kritická hodnota aktiva, minuta – vysoká hodnota aktiva, hodina – střední hodnota aktiva, dny – nízká hodnota aktiva.

Poznámka: Replikaci je možno řešit kopírováním dat do vzdálené lokality a na jiná disková úložiště. Jsou systémy, které umí kopírovat jen data, která se změnila, to znamená, že se nepřenáší celý soubor, ale jen změněná část. Některé systémy navíc umí detekovat data, která se již někde na diskovém úložišti vyskytují a na ty se pak pouze odkazují. Tímto způsobem lze výrazně snížit dobu potřebnou k vytvoření identické kopie dat produkčního prostředí a nároky na diskový prostor. V případě obnovy jsou zase tato řešení schopna obnovit data tak, že jednotlivé datové bloky jsou obnovovány postupně.

Související články:

1. Analýza rizik: kvantitativní analýza rizik
2. Analýza rizik: kvantifikace hrozeb
3. Analýza rizik: Jemný úvod do analýzy rizik

Štítky: aktiva, analýza aktiv, analýza rizik, řízení informačních rizik

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno) E-mail:(požadováno - nebude zobrazen) Web:

Text vaší reakce: