Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi“ a upozorňuje na co si dát pozor při výpočtu zbytkového rizika.

V naší úvaze budeme vycházet z předpokladu, že riziko je dáno vztahem R=A*H*Z, kde R je riziko, A je hodnota dopadu, H je pravděpodobnost hrozby a Z je míra zranitelnosti. Dále budeme předpokládat, že zbytkové riziko po implementaci opatření lze vyjádřit jako RR=R/O, přičemž RR je zbytkové riziko a O je opatření, které dané riziko R snižuje.

V tomto příspěvku se zamyslíme nad otázkami, které by nám měly pomoci určit závažnost zranitelnosti.

Podobné otázky pro hodnocení zranitelností používá např. Common Vulnerability Scoring System (CVSS) nebo i taková společnosti jako je Microsoft.

Zranitelnost (vulnerability) je v oblasti informační bezpečnosti definována jako slabina systému, aplikace nebo služby, která může být zneužita hrozbou.

Při stanovení závažnosti zranitelnosti hodnotíme, zda dané zranitelnosti může být v konečném důsledku zneužito k narušení důvěrnosti, integrity nebo dostupnosti. Jinými slovy zda nemůže dojít k získání informací, k jejich změně, zničení nebo způsobení nedostupnosti systému.

Zavedení určitého opatření byste měli dokumentovat proto, abyste byli schopni i po letech jeho smysluplnost obhájit a vysvětlit, proč není vhodné dané opatření kvůli snižování nákladů rušit, a že se v případě administrativních opatření dokonce nejedná ani o nějakou zbytečnou byrokracii, jak se mnozí mylně domnívají.

Vždy je nutné si uvědomit, že máme bezpečnostní opatření, která slouží k prevenci, k detekci a k reakci na incident. Zatímco u posledních dvou opatření můžeme poměrně přesně vyčíslit, kolik pokusů o průnik do systému nebo narušení bezpečnosti jsme detekovali, tak u prvně zmíněného můžeme jen hádat.

Inherent risk můžeme do češtiny přeložit též jako vlastní, neodmyslitelné riziko a residual risk pak jako riziko zbytkové.

Za inherentní riziko je běžně označováno takové riziko, které nebere v úvahu již zavedená opatření snižující hrozbu, zranitelnost nebo dopad.

Pokud zavedete ta správná opatření, mělo by to vést ke snížení rizika.

Na první pohled se zdá, že následující obrázek je srozumitelný a naprosto přesně vystihuje podstatu. Jenže opravdu se v okamžiku, kdy zavedete nějaké opatření, zmenší všechny tři hodnoty, jak se obrázek snaží naznačit? Řekl bych, že ve většině případů tomu tak není.

V rámci analýzy rizik musíme provést zhodnocení aktiv, hrozeb a zranitelností. Pojďme se společně zamyslet nad tím, čím vlastně začít.

Teoreticky by bylo možné v rámci analýzy rizik přistoupit k hodnocení aktiv, hrozeb a zranitelností šesti různými způsoby. Pokud si aktiva označíme jako A (assets), hrozby jako T (threat) a zranitelnosti jako V (vulnerability), pak by mohly být tyto faktory vyhodnoceny v tomto pořadí: A-T-V, A-V-T, T-V-A, T-A-V, V-T-A, V-A-T, přičemž T-A-V a V-A-T je asi nejméně pravděpodobný přístup k hodnocení těchto rizikových faktorů.

Je celkem jedno, kolik úrovní rizik používáte a jak jste si je pojmenovali. I když tak úplně jedno to zase není, jak se dočtete dále.

Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.

Tento příspěvek se snaží přinést jiný pohled na kvantifikaci datových aktiv.

V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.

Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.

Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na: