Bezpečnostní incident: stanovení závažnosti incidentu

Publikováno: 03. 07. 2009, v rubrice: Bezpečnost, autor: , zobrazeno: 9 024x

V tomto příspěvku se pokusím nastínit možnosti, jak stanovit závažnost bezpečnostního incidentu.

Stanovit správně závažnost bezpečnostního incidentu bývá velice často problém. Navíc se závažnost může v průběhu životního cyklu incidentu měnit. Např. na počátku vyšetřování bezpečnostního incidentu se může zdát, že se jedná o bezpečnostní incident se zanedbatelným dopadem na společnost, a teprve až v průběhu šetření se může ukázat, že původní předpoklad byl mylný.

Pokud už mají společnosti zavedený nějaký proces, který by se dal s trochou nadsázky označit jako incident management a v rámci tohoto procesu stanovují závažnost jednotlivých bezpečnostních incidentů, tak se jejich přístup značně liší. To, že jednotlivé společnosti používají různý počet stupňů pro vyjádření závažnosti bezpečnostního incidentu a jednotlivé stupně mají i různě pojmenovány, je pochopitelné. Zarážející však je, že pro stanovení stupně závažnosti nemají definována jasná pravidla.

Pokud společnost provedla analýzu rizik např. v souladu s metodikou popsanou v knize Řízení informačních rizik v praxi, může poměrně snadno stanovit závažnost bezpečnostního incidentu podle hodnoty aktiva, jehož důvěrnost, integrita nebo dostupnost byla nebo by mohla být narušena. Jak již ale bylo naznačeno v článku Bezpečnostní incident, možností je více. Pojďme se nyní zamyslet nad tím, na základě jakých kritérií můžeme závažnost stanovit.

Jednotlivé stupně závažnosti si pojmenujme např. takto:

  • nízká (N)
  • střední (S)
  • vysoká (V)
  • kritická (K)

Podle množství postižených uživatelů:

  • jeden nebo několik málo uživatelů (N)
  • celá pobočka (S)
  • celý region (V)
  • celá společnost (K)

Podle úrovně, která se bude incidentem zabývat:

  • referent (N)
  • nižší management (S)
  • střední management (V)
  • vrcholový management (K)

Podle toho, kdo musí být s incidentem seznámen:

  • Jeden nebo několik málo zaměstnanců společnosti (N)
  • Všichni zaměstnanci společnosti (S)
  • Kromě vlastních zaměstnanců i osoby mimo společnost (V)
  • Kromě vlastních zaměstnanců i veřejnost (K)

Podle úrovně odbornosti:

  • první úroveň podpory (N)
  • správce systému (S)
  • bezpečnostní expert (V)
  • bezpečnostní firma (K)

Bez ohledu na velikost organizace a předmět podnikání by měly čtyři stupně pro stanovení závažnosti bezpečnostního incidentu většině společností stačit.

A podle čeho stanovujete závažnost bezpečnostních incidentů ve vaší společnosti vy?

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print
Související články:
  1. Bezpečnostní incident: Drahý incident management
  2. Bezpečnostní incident
  3. Bezpečnostní incidenty: taxonomie incidentů
  4. Co je a není bezpečnostní incident
  5. Bezpečnostní incident: role vyšetřovatele

Štítky: ,


K článku “Bezpečnostní incident: stanovení závažnosti incidentu” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Témata
analýza rizik Android APT autentizace bankovní malware bezpečnostní incident buzzword BYOD cloud computing cybercrime DLP Flash GDPR hodnocení zranitelností HR hrozby informační bezpečnost internetové bankovnictví internetový marketing iOS IT governance IT náklady kryptografie kybernetická bezpečnost LinkedIn lámání hesel malware n-tier nové hrozby OTP phishing ransomware rizika rozhovor SEO smartphone socialní sítě strategický management tablety Testování SW Windows zranitelnosti zákon o kybernetické bezpečnosti řízení informační bezpečnosti řízení informačních rizik