Analýza rizik: hodnocení aktiv, hrozeb a zranitelností

V rámci analýzy rizik musíme provést zhodnocení aktiv, hrozeb a zranitelností. Pojďme se společně zamyslet nad tím, čím vlastně začít.

Teoreticky by bylo možné v rámci analýzy rizik přistoupit k hodnocení aktiv, hrozeb a zranitelností šesti různými způsoby. Pokud si aktiva označíme jako A (assets), hrozby jako T (threat) a zranitelnosti jako V (vulnerability), pak by mohly být tyto faktory vyhodnoceny v tomto pořadí: A-T-V, A-V-T, T-V-A, T-A-V, V-T-A, V-A-T, přičemž T-A-V a V-A-T je asi nejméně pravděpodobný přístup k hodnocení těchto rizikových faktorů.

Obvykle se začíná hodnocením aktiv, a poté se pokračuje hodnocením hrozeb a zranitelností. Ale je možné začít i naopak, tj. nejprve identifikovat hrozby a zranitelnosti a stanovit na tomto základě pravděpodobnost (likelihood) zneužití dané zranitelnosti hrozbou, a teprve poté přejít na stanovení hodnoty dopadu (impact). A konečně je možné začít i hodnocením zranitelností a pokračovat hledáním hrozeb, které by mohly těchto zranitelností využít a skončit hodnocením aktiv resp. stanovením hodnoty dopadu.

Pravděpodobnost hrozby lze v případě neúmyslných hrozeb odhadnout na základě historických dat, ovšem v případě pokročilých přetrvávajících hrozeb (Advanced Persistent Threat zkr. APT) je nutné vyhodnotit i faktory jako je velikost, významnost, známost, a oblíbenost dané organizace, neboť je zřejmé, že vždy se najde někdo, kdo bude mít motiv, příležitost i schopnost danou hrozbu realizovat. Tím se dostáváme k tomu, že pravděpodobnost hrozby je v některých případech do značné míry závislá i na hodnotě aktiva. Je nasnadě, že čím je daná organizace větší, významnější nebo má ve společnosti nějaký vliv, tím lákavějším je pro útočníka cílem.

Ne vždy je však snadné nahlížet na hrozbu a zranitelnost jako na dva na sebe nezávislé faktory, obzvlášť když hrozba se stává tím pravděpodobnější, čím snadnější je určitou zranitelnost možné zneužít. Zvýše uvedeného důvodu se proto mnohdy můžeme při hodnocení rizik setkat jen se dvěma faktory a to likelihood (L) a impact (I), které vstupují do výpočtu rizika (R). Přičemž likelihood již v sobě zahrnuje jak pravděpodobnost hrozby, tak i míru zranitelnosti. Je asi zbytečné dodávat, že riziko je v takovém případě dáno vztahem R = L x I.

Mezi aktivem, hrozbou a zranitelností existuje určitý vztah a v okamžiku, kdy začnete diskutovat o tom, jaká je pravděpodobnost uplatnění určité hrozby, tak přijdete na to, že se v systému nachází zranitelnost, které by tato hrozba mohla využít. A logicky se budete ptát, zda je zavedeno nějaké opatření, a jak je účinné. Podobná situace může nastat, když se dozvíte, že systém, který používáte, obsahuje nějakou zranitelnost. V takovém případě se budete zase ptát, jaká je pravděpodobnost, že bude tato zranitelnost zneužita nějakou hrozbou. Naprosto přirozeným způsobem tak budete přecházet od hodnocení hrozeb k hodnocení zranitelnosti a naopak.

Závěr: Ať už se rozhodnete vyhodnocovat jednotlivé faktory v jakémkoliv pořadí, tak brzy zjistíte, že ne vždy je možné se tohoto postupu držet. Analýzu rizik tak musíme chtě nechtě označit jako iterativní, a ne zcela lineární proces, neboť kolikrát je potřeba se i vracet zpět a některé faktory přehodnotit.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Analýza rizik: hodnocení aktiv, hrozeb a zranitelností” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: