Analýza rizik: Kvantifikace aktiv z pohledu důvěrnosti
Tento příspěvek se snaží přinést jiný pohled na kvantifikaci datových aktiv.
V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.
Pokud jde o důvěrnost, musíme si položit otázku, jaký finanční a nefinanční dopad na organizaci by měl únik nebo nežádoucí zpřístupnění citlivých informací. Je otázka, zda nutit společnost, která již má zavedený proces klasifikace informací, aby prováděla kvantifikaci datových aktiv z pohledu důvěrnosti a zda za tímto účelem nevyjít při stanovení hodnoty dopadu z klasifikačního stupně, který byl dané informace přidělen. Pro orientační analýzu rizik by toto přiřazení mohlo stačit.
Vzhledem k tomu, že v praxi není dost dobře možné, aby každý vlastník informace prováděl analýzu dopadů, bývá obvykle stanoven interním předpisem pro jednotlivé typy informací odpovídající klasifikační stupeň, který by měl být každé informaci přidělen v okamžiku, kdy dojde k jejímu pořízení. Klasifikační stupeň je informacím přidělen proto, aby informace byly odpovídajícím způsobem chráněny a to během celého jejich životního cyklu.
Za tímto účelem organizace zpravidla přijímá určitá bezpečnostní opatření, jejichž zavedení, vynucení a kontrola něco stojí. I proto je potřeba důkladně zvážit, jak budou chráněny informace označené příslušným klasifikačním stupněm. Organizace se třeba může rozhodnout, že přístup k interním informacím budou mít všichni zaměstnanci, přístup k důvěrným informacím bude povolen pouze pro vybrané zaměstnance a přísně důvěrné informace budou navíc šifrovány, bude vyžadována dvoufaktorová autentizace atd.
Jestliže tedy byl určitým typům informací přiřazen na základě analýzy odpovídající klasifikační stupeň, mohli bychom vztah mezi klasifikačním stupněm a hodnotou dopadu definovat takto: interní informace – střední dopad, důvěrná informace – vysoký dopad a přísně důvěrná informace – kritický dopad. U informací, které byly klasifikovány jako veřejné, hodnotu dopadu stanovit nemůže, protože k narušení jejich důvěrnosti nemůže dojít.
Vždy bychom měli uvažovat o nejhorším možném scénáři (worst case scenario), ke kterému by mohlo dojít, takže pokud si teď říkáte, že mohou nastat situace, kdy únik interní informace může mít pro organizaci mnohem závažnější následky, než únik důvěrné informace, tak si položte otázku, zda byl dané informaci opravdu správně přidělen odpovídající klasifikační stupeň. Organizace dost často mají vydán nějak interní předpis ohledně klasifikace informací, ale zpravidla ho nedodržují nebo informace příslušným klasifikačním stupněm označují nesprávně.
Poznámka: Jak zabránit úniku citlivých informací jsme se věnovali v příspěvku Data Loss Prevention.
Štítky: analýza rizik, řízení informačních rizik
K článku “Analýza rizik: Kvantifikace aktiv z pohledu důvěrnosti” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.