Bezpečnostní incident: stanovení závažnosti incidentu
V tomto příspěvku se pokusím nastínit možnosti, jak stanovit závažnost bezpečnostního incidentu.
Stanovit správně závažnost bezpečnostního incidentu bývá velice často problém. Navíc se závažnost může v průběhu životního cyklu incidentu měnit. Např. na počátku vyšetřování bezpečnostního incidentu se může zdát, že se jedná o bezpečnostní incident se zanedbatelným dopadem na společnost, a teprve až v průběhu šetření se může ukázat, že původní předpoklad byl mylný.
Pokud už mají společnosti zavedený nějaký proces, který by se dal s trochou nadsázky označit jako incident management a v rámci tohoto procesu stanovují závažnost jednotlivých bezpečnostních incidentů, tak se jejich přístup značně liší. To, že jednotlivé společnosti používají různý počet stupňů pro vyjádření závažnosti bezpečnostního incidentu a jednotlivé stupně mají i různě pojmenovány, je pochopitelné. Zarážející však je, že pro stanovení stupně závažnosti nemají definována jasná pravidla.
Pokud společnost provedla analýzu rizik např. v souladu s metodikou popsanou v knize Řízení informačních rizik v praxi, může poměrně snadno stanovit závažnost bezpečnostního incidentu podle hodnoty aktiva, jehož důvěrnost, integrita nebo dostupnost byla nebo by mohla být narušena. Jak již ale bylo naznačeno v článku Bezpečnostní incident, možností je více. Pojďme se nyní zamyslet nad tím, na základě jakých kritérií můžeme závažnost stanovit.
Jednotlivé stupně závažnosti si pojmenujme např. takto:
- nízká (N)
- střední (S)
- vysoká (V)
- kritická (K)
Podle množství postižených uživatelů:
- jeden nebo několik málo uživatelů (N)
- celá pobočka (S)
- celý region (V)
- celá společnost (K)
Podle úrovně, která se bude incidentem zabývat:
- referent (N)
- nižší management (S)
- střední management (V)
- vrcholový management (K)
Podle toho, kdo musí být s incidentem seznámen:
- Jeden nebo několik málo zaměstnanců společnosti (N)
- Všichni zaměstnanci společnosti (S)
- Kromě vlastních zaměstnanců i osoby mimo společnost (V)
- Kromě vlastních zaměstnanců i veřejnost (K)
Podle úrovně odbornosti:
- první úroveň podpory (N)
- správce systému (S)
- bezpečnostní expert (V)
- bezpečnostní firma (K)
Bez ohledu na velikost organizace a předmět podnikání by měly čtyři stupně pro stanovení závažnosti bezpečnostního incidentu většině společností stačit.
A podle čeho stanovujete závažnost bezpečnostních incidentů ve vaší společnosti vy?
ČERMÁK, Miroslav, 2009. Bezpečnostní incident: stanovení závažnosti incidentu. Online. Clever and Smart. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/bezpecnostni-incident-stanoveni-zavaznosti-incidentu/. [citováno 07.12.2024].
Štítky: bezpečnostní incident, informační bezpečnost
K článku “Bezpečnostní incident: stanovení závažnosti incidentu” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.