Analýza rizik: Jemný úvod do analýzy rizik

Cílem tohoto příspěvku je vysvětlit základní pojmy a stručně charakterizovat jednotlivé fáze analýzy rizik.

Analýza rizik by měla přinést odpověď na otázku, působení jakých hrozeb je společnost vystavena, jak moc jsou její aktiva vůči těmto hrozbám zranitelná, jak vysoká je pravděpodobnost, že hrozba zneužije určitou zranitelnost a jaký dopad by to na společnost mohlo mít. V analýze rizik se používají následující pojmy:

  • aktivum (asset) – vše co má pro společnost nějakou hodnotu a mělo by být odpovídajícím způsobem chráněno,
  • hrozba (threat) – jakákoliv událost, která může způsobit narušení důvěrnosti, integrity a dostupnosti aktiva
  • zranitelnost (vulnerability) – vlastnost aktiva nebo slabina na úrovni fyzické, logické nebo administrativní bezpečnosti, která může být zneužita hrozbou.
  • riziko – pravděpodobnost, že hrozba zneužije zranitelnost a způsobí narušení důvěrnosti, integrity nebo dostupnosti.
  • opatření (countermeasure) – opatření na úrovni fyzické logické nebo administrativní bezpečnosti, které snižuje zranitelnost a chrání aktivum před danou hrozbou.

Kromě toho se můžeme ještě setkat s následujícími pojmy, které již nejsou tak časté, nicméně je vhodné o nich vědět:

  • ohrožení (exposure) – skutečnost, že existuje zranitelnost, která může být zneužita hrozbou
  • narušení (breach) – situace, kdy došlo k narušení důvěrnosti, integrity nebo dostupnosti v důsledku překonání bezpečnostních opatření.

Na tomto místě bych chtěl tak upozornit na skutečnost, že dost často dochází ke ztotožnění pojmu riziko a hrozba. Je třeba si však uvědomit, že hrozba může být zdrojem pro jedno nebo více rizik a že hrozba sama o sobě riziko nepředstavuje. Hrozby pouze zneužívají zranitelnosti vedoucí k ohrožení, což je riziko, které lze snížit prostřednictvím opatření chránící aktiva před působením těchto hrozeb. Tuto skutečnost nejlépe ilustruje následující obrázek.

Analýza rizik

Pokud jde o vlastní přístup k provedení analýzy, tak např. ISO/IEC 13335 uvádí čtyři různé přístupy:

  • Základní přístup – žádná analýza rizik se neprovádí, pouze je vybrána a implementována základní sada opatření z nějakého katalogu.
  • Neformální přístup – jedná se o pragmatický přístup k analýze rizik, kdy se provádí rychlá, orientační analýza rizik založená na zkušenostech expertů a vyhodnocení možných scénářů.
  • Formální přístup – jedná se o detailní analýzu rizik, kdy se provádí hodnocení aktiv, hrozeb a zranitelností nejčastěji za použití matematického aparátu.
  • Kombinovaný přístup – na základě provedené orientační analýzy rizik, kdy byla pro organizaci identifikována kritická aktiva nebo procesy, se provede detailní analýza rizik.

Od určité velikosti a komplexnosti informačního systému, který je předmětem analýzy, je vhodné analýzu rizik pojmout jako projekt. Vlastní analýza rizik se skládá z několika fází: identifikace a kvantifikace aktiv, hrozeb, zranitelností a stanovení výsledného rizika. Z pohledu projektového řízení by se daly tyto fáze označit jako milníky. Samotná analýza rizik může být provedena interně nebo externě. Výhody a nevýhody interně a externě prováděných analýz rizik jsou stejně jako popis jednotlivých fází projektu detailně popsány v [1]. V každém případě budeme muset v rámci každé fáze provést těchto několik kroků:

  • identifikace respondentů – určit osoby, se kterými budeme komunikovat a na které se budeme s žádostí o poskytnutí informace obracet
  • získání informací – informace budeme získávat od osob, které jsme identifikovali v předchozím kroku a to formou interview nebo dotazníků.
  • analýza informací – informace, které jsme v předchozím kroku získali, musíme analyzovat,
  • interpretace informací – výsledky analýzy musíme vhodným způsobem interpretovat, a to tak, aby byly pro respondenta srozumitelné
  • verifikace informací – odpovědi jednotlivých respondentů a závěry, ke kterým jsme dospěli, bychom si měli nechat jednotlivými respondenty schválit.
  • dokumentace informací – to jediné, co zákazníkovi po skončení projektu zbyde, je dokumentace.

Nyní si stručně popíšeme jednotlivé fáze analýzy rizik. Stručně proto, že detailně jsou popsány v [1] a dále v samostatných příspěvcích na tomto webu.

Analýza aktiv

V rámci analýzy rizik musíme identifikovat pro společnost kritická aktiva a určit jejich hodnotu. Tento krok se někdy označuje jako inventarizace aktiv, v rámci kterého se vytváří tzv. registr aktiv. Dále musíme provést dekompozici aktiv a tam kde to bude vhodné jejich agregaci, tyto kroky jsou rovněž detailně popsány v [1].

Analýza hrozeb

Dalším krokem je identifikace hrozeb a kvantifikace hrozeb. Tato fáze se také někdy nazývá analýza hrozeb (threat analysis), při pkteré vycházíme buď ze seznamu obecných (generických) hrozeb nebo specifických hrozeb, které můžeme identifikovat např. za použití ATM (Attack Tree Model), který je též popsán v [1].

Analýza zranitelností

V tomto kroku musíme identifikovat a kvantifikovat všechna slabá místa na úrovni fyzické, logické a administrativní bezpečnosti. Tato fáze se někdy nazývá analýza zranitelností (vulnerability analysis/ vulnerability assessment).

Stanovení výše rizika nebo škody

V okamžiku, kdy známe hodnotu aktiv, pravděpodobnost hrozeb a míru zranitelnosti, může přistoupit k vyjádření rizika. Pokud jsme provedli kvantitativní analýzu rizik, vyjádříme výši rizika v peněžních jednotkách a pokud byla provedena kvalitativní analýza rizik, vyjádříme výši rizika ve stupních.

Závěr: Analýza rizik nám říká, co všechno se může stát, proč se to může stát, jak se to může stát, kde se to může stát a koho se to bude týkat.

Zdroj: [1] Miroslav Čermák, Řízení informačních rizik v praxi

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , , , ,

  1. Ivan V. Bartoš

    Zdravím
    Rychle jsem si potřeboval oživit už poněkud zaprášené znalosti a měl jsem štěstí – tohle je logicky propracovaný materiál, který, ačkoliv hutný obsahem, se dá pochopit na první přečtení a fundovaně uvede do problematiky.

    Dík! Ivan V. Bartoš


K článku “Analýza rizik: Jemný úvod do analýzy rizik” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: