Bezpečnostní incident: stanovení závažnosti incidentu

V tomto příspěvku se pokusím nastínit možnosti, jak stanovit závažnost bezpečnostního incidentu.

Stanovit správně závažnost bezpečnostního incidentu bývá velice často problém. Navíc se závažnost může v průběhu životního cyklu incidentu měnit. Např. na počátku vyšetřování bezpečnostního incidentu se může zdát, že se jedná o bezpečnostní incident se zanedbatelným dopadem na společnost, a teprve až v průběhu šetření se může ukázat, že původní předpoklad byl mylný.

Pokud už mají společnosti zavedený nějaký proces, který by se dal s trochou nadsázky označit jako incident management a v rámci tohoto procesu stanovují závažnost jednotlivých bezpečnostních incidentů, tak se jejich přístup značně liší. To, že jednotlivé společnosti používají různý počet stupňů pro vyjádření závažnosti bezpečnostního incidentu a jednotlivé stupně mají i různě pojmenovány, je pochopitelné. Zarážející však je, že pro stanovení stupně závažnosti nemají definována jasná pravidla.

Pokud společnost provedla analýzu rizik např. v souladu s metodikou popsanou v knize Řízení informačních rizik v praxi, může poměrně snadno stanovit závažnost bezpečnostního incidentu podle hodnoty aktiva, jehož důvěrnost, integrita nebo dostupnost byla nebo by mohla být narušena. Jak již ale bylo naznačeno v článku Bezpečnostní incident, možností je více. Pojďme se nyní zamyslet nad tím, na základě jakých kritérií můžeme závažnost stanovit.

Jednotlivé stupně závažnosti si pojmenujme např. takto:

  • nízká (N)
  • střední (S)
  • vysoká (V)
  • kritická (K)

Podle množství postižených uživatelů:

  • jeden nebo několik málo uživatelů (N)
  • celá pobočka (S)
  • celý region (V)
  • celá společnost (K)

Podle úrovně, která se bude incidentem zabývat:

  • referent (N)
  • nižší management (S)
  • střední management (V)
  • vrcholový management (K)

Podle toho, kdo musí být s incidentem seznámen:

  • Jeden nebo několik málo zaměstnanců společnosti (N)
  • Všichni zaměstnanci společnosti (S)
  • Kromě vlastních zaměstnanců i osoby mimo společnost (V)
  • Kromě vlastních zaměstnanců i veřejnost (K)

Podle úrovně odbornosti:

  • první úroveň podpory (N)
  • správce systému (S)
  • bezpečnostní expert (V)
  • bezpečnostní firma (K)

Bez ohledu na velikost organizace a předmět podnikání by měly čtyři stupně pro stanovení závažnosti bezpečnostního incidentu většině společností stačit.

A podle čeho stanovujete závažnost bezpečnostních incidentů ve vaší společnosti vy?


Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on FacebookShare on LinkedInTweet about this on TwitterShare on Google+Email this to someonePrint this page

Štítky: ,


K článku “Bezpečnostní incident: stanovení závažnosti incidentu” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: