Publikováno: 02. 09. 2013, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 5 011x
Tento příspěvek doplňuje informace uvedené v knize „Řízení informačních rizik v praxi“ a upozorňuje na co si dát pozor při výpočtu zbytkového rizika.
V naší úvaze budeme vycházet z předpokladu, že riziko je dáno vztahem R=A*H*Z, kde R je riziko, A je hodnota dopadu, H je pravděpodobnost hrozby a Z je míra zranitelnosti. Dále budeme předpokládat, že zbytkové riziko po implementaci opatření lze vyjádřit jako RR=R/O, přičemž RR je zbytkové riziko a O je opatření, které dané riziko R snižuje.
Publikováno: 12. 08. 2013, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 02. 08. 2014, zobrazeno: 3 687x
V tomto příspěvku se zamyslíme nad otázkami, které by nám měly pomoci určit závažnost zranitelnosti.
Podobné otázky pro hodnocení zranitelností používá např. Common Vulnerability Scoring System (CVSS) nebo i taková společnosti jako je Microsoft.
Publikováno: 04. 06. 2013, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 02. 08. 2014, zobrazeno: 4 316x
Zranitelnost (vulnerability) je v oblasti informační bezpečnosti definována jako slabina systému, aplikace nebo služby, která může být zneužita hrozbou.
Při stanovení závažnosti zranitelnosti hodnotíme, zda dané zranitelnosti může být v konečném důsledku zneužito k narušení důvěrnosti, integrity nebo dostupnosti. Jinými slovy zda nemůže dojít k získání informací, k jejich změně, zničení nebo způsobení nedostupnosti systému.
Publikováno: 26. 03. 2013, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 02. 08. 2014, zobrazeno: 3 723x
Zavedení určitého opatření byste měli dokumentovat proto, abyste byli schopni i po letech jeho smysluplnost obhájit a vysvětlit, proč není vhodné dané opatření kvůli snižování nákladů rušit, a že se v případě administrativních opatření dokonce nejedná ani o nějakou zbytečnou byrokracii, jak se mnozí mylně domnívají.
Vždy je nutné si uvědomit, že máme bezpečnostní opatření, která slouží k prevenci, k detekci a k reakci na incident. Zatímco u posledních dvou opatření můžeme poměrně přesně vyčíslit, kolik pokusů o průnik do systému nebo narušení bezpečnosti jsme detekovali, tak u prvně zmíněného můžeme jen hádat.
Publikováno: 29. 01. 2013, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 13 165x
Inherent risk můžeme do češtiny přeložit též jako vlastní, neodmyslitelné riziko a residual risk pak jako riziko zbytkové.
Za inherentní riziko je běžně označováno takové riziko, které nebere v úvahu již zavedená opatření snižující hrozbu, zranitelnost nebo dopad.
Publikováno: 18. 11. 2012, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 5 707x
Pokud zavedete ta správná opatření, mělo by to vést ke snížení rizika.
Na první pohled se zdá, že následující obrázek je srozumitelný a naprosto přesně vystihuje podstatu. Jenže opravdu se v okamžiku, kdy zavedete nějaké opatření, zmenší všechny tři hodnoty, jak se obrázek snaží naznačit? Řekl bych, že ve většině případů tomu tak není.
Publikováno: 24. 03. 2012, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 16 282x
V rámci analýzy rizik musíme provést zhodnocení aktiv, hrozeb a zranitelností. Pojďme se společně zamyslet nad tím, čím vlastně začít.
Teoreticky by bylo možné v rámci analýzy rizik přistoupit k hodnocení aktiv, hrozeb a zranitelností šesti různými způsoby. Pokud si aktiva označíme jako A (assets), hrozby jako T (threat) a zranitelnosti jako V (vulnerability), pak by mohly být tyto faktory vyhodnoceny v tomto pořadí: A-T-V, A-V-T, T-V-A, T-A-V, V-T-A, V-A-T, přičemž T-A-V a V-A-T je asi nejméně pravděpodobný přístup k hodnocení těchto rizikových faktorů.
Publikováno: 11. 08. 2011, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 21. 11. 2012, zobrazeno: 28 802x
Je celkem jedno, kolik úrovní rizik používáte a jak jste si je pojmenovali. I když tak úplně jedno to zase není, jak se dočtete dále.
Jistě jste si všimli, že určité kombinace hodnoty dopadu a pravděpodobnosti hrozby dávají stejnou výši rizika. To nás sice v tuto chvíli nemusí příliš trápit, nicméně měli bychom tuto skutečnost zohlednit ve fázi zvládáni rizik, protože je rozdíl, zda riziko vyšlo jako střední z důvodu vysoké pravděpodobnosti hrozby nebo vysoké hodnoty aktiva. Pojďme se nyní zamyslet nad tím, jak si rizika rozdělit.
Publikováno: 02. 07. 2011, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 6 112x
Tento příspěvek se snaží přinést jiný pohled na kvantifikaci datových aktiv.
V okamžiku, kdy v rámci analýzy rizik provádíme kvantifikaci aktiv, klademe si obvykle otázku, jaký by byl finanční a nefinanční dopad v případě, že by došlo k narušení důvěrnosti, integrity a dostupnosti těchto aktiv.
Publikováno: 22. 05. 2011, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 7 822x
Cílem tohoto příspěvku je zamyslet se nad tím, jaké informace a na jakém médiu mohou být uloženy.
Byť se již před mnoha lety hovořilo o tzv. paperless office (bezpapírová kancelář), tak i dnes je spousta informací, které organizace shromažďuje a zpracovává, uložena v papírové podobě. Nezapomínejte prosím na tuto skutečnost, až budete provádět identifikaci datových aktiv. Pokud jsou informace uloženy v elektronické podobě, tak se obvykle nachází na: