Jak (ne)provést analýzu rizik dle ZoKB

cyber-security-lawAnalýzu rizik je možné provést dle doporučení uvedených ve vyhlášce č. 316/2014 Sb. Problém je, že vyhláška, tak jak je napsána, neposkytuje kompletní návod, jak analýzu rizik provést, a také požadavky v ní uvedené, lze vyložit různě.

Doporučuji vám, držet se vyhlášky, co to jde, protože se tím vyhnete pozdějšímu vysvětlování, proč jste to či ono udělali jinak. I tak ale narazíte na několik zásadních problémů, které budete muset vyřešit, abyste mohli vůbec analýzu rizik provést.

Vyhláška sice ve formě tabulek definuje v příloze 2 vodítka pro hodnocení dopadů, hrozeb, zranitelností a rizika, ale bohužel už neuvádí, jakým způsobem se má k výpočtu rizika přistoupit.

Vzorec pro výpočet rizika uvedený v příloze 2 sice evokuje, že by se jednotlivé hodnoty mohly mezi sebou násobit, a věřím, že většina z vás k tomu tak i přistoupí nebo přistoupila. Nicméně znaménko x nemusí nutně znamenat násobení.

Ve vyhlášce dále není nikde uvedeno, jakých hodnot mohou dopady, hrozby a zranitelnosti nabývat. Můžeme se proto jen domnívat, že dopady, hrozby a zranitelnosti mohou nabývat hodnot <1,4> a výsledné riziko pak hodnot <1,64>.

Vyhláška rovněž neuvádí, jak rizika rozdělit na nízká, střední, vysoká a kritická, což je poměrně zásadní rozhodnutí, a lze předpokládat, že se v onom rozdělení budou jednotlivé organizace podstatně lišit, takže nebude snadné výsledky rizikových analýz mezi sebou porovnávat.

Další problém, na který narazíte, spočívá v požadavku na rozdělení aktiv na primární a podpůrná, protože vyhláška blíže nespecifikuje, jak to udělat. Kromě toho můžete mít i pochybnosti o tom, zda dané aktivum je primární nebo podpůrné a zda vůbec ho do hodnocení zahrnout.

Samotnou kapitolou jsou pak bezpečnostní opatření, která zpravidla každý provozovaný systém již obsahuje, a která mají nemalou hodnotu. Otázkou je, zda lze považovat technická opatření za podpůrná aktiva nebo ne a zda i u nich zkoumat, jaká hrozba na ně působí a jaké zranitelnosti obsahují.

Další problém, na který narazíte je, že vyhláška požaduje, abyste identifikovali závislost mezi primárními a podpůrnými aktivy. Vyhláška však neuvádí, jak onu závislost máte evidovat a hodnotit.

V okamžiku, kdy máte identifikována primární a podpůrná aktiva, tak se můžete pokusit o stanovení jejich hodnoty. Vyhláška požaduje, abyste hodnocení primárních aktiv provedli z pohledu důvěrnosti, integrity a dostupnosti. Jak to provést, je jasně uvedeno v příloze 1, takže by to nemělo nikomu činit problém.

Problém ovšem je, že hrozby nepůsobí na primární aktiva přímo, ale zprostředkovaně přes podpůrná aktiva, takže musíme stanovit, jaká bude hodnota jednotlivých podpůrných aktiv, a zde narážíme na další problém, jak to udělat. A ve vyhlášce odpověď opět nenajdeme.

Všimněte si, že zatímco hodnocení primárních aktiv probíhá z pohledu důvěrnosti, integrity a dostupnosti, tak ve vzorci pro výpočet rizika v příloze 2 je uvedeno, že riziko je vyjádřeno jako funkce, kterou ovlivňuje dopad, hrozba a zranitelnost. Jenže dopad není totéž co hodnota aktiva.

Když se navíc podíváte na stupnici pro hodnocení dopadů v příloze 2, tak byť používá stejný počet stupňů, je zcela jiná, než stupnice pro hodnocení dopadů. Co s tím? Pokud chcete být v souladu s vyhláškou, tak si musíte u stanovení hodnoty dopadu u každého podpůrného aktiva položit otázku, jaký by mohlo mít narušení jeho důvěrnosti, integrity nebo dostupnosti dopad na primárním aktivum.

Vlastně nemusíte, můžete tuto hodnotu odvodit přes závislost mezi primárním a podpůrným aktivem. Nemůžete však evidovat jen jednu hodnotu dopadu, nýbrž 3. Pak se ale nabízí otázka, proč jste měli nejprve hodnotit primární aktiva podle přílohy 1, když se s touto hodnotu už nikde nepočítá. Ve vzorci pro výpočet rizika je totiž uveden dopad, nikoliv hodnota aktiva.

V okamžiku, kdy máte stanovenou hodnotu dopadu, přichází na řadu identifikace a kvantifikace hrozeb. Hrozby, které byste měli vzít v úvahu, najdete v § 4, nicméně s tímto seznamem zcela jistě nevystačíte a budete si muset udělat seznam vlastní. Hrozby uvedené ve vyhlášce jsou formulovány trochu nešťastně, a není vždy zřejmé, co si pod tím má člověk představit.

Abych byl konkrétní, co jsou to třeba trvale působící hrozby? Setkal jsem se třeba i s názorem, zda to není vyšší moc, která působí trvale, ale nejspíš to budou pokročilé přetrvávající hrozby?

Jenže pokud jsou tím myšleny opravdu pokročilé přetrvávající hrozby, tak není to pak více méně totéž, co cílený kybernetický útok pomocí sociálního inženýrství a použití špionážních technik?

Nebo si vezměte třeba nedostatky při poskytování služeb informačního systému kritické informační infrastruktury, komunikačního systému kritické informační infrastruktury nebo významného informačního systému. To je jako hrozba?

V okamžiku, kdy máte identifikována všechny hrozby, tak doporučuji provést namapování hrozeb na jednotlivá aktiva a tam kde to má smysl, označit, na jaký atribut bezpečnosti hrozba působí. Vytvořit byste si měli rovněž seznam opatření a opět provést mapování opatření na jednotlivé hrozby.

Poznámka: Toto je živý příspěvek a bude průběžně aktualizován. Postupně do něj budu přidávat odkazy na další články, kde budou výše uvedené problémy řešeny.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: , ,

  1. J.Hlaváč

    Dobré postřehy, uvidíme, co s tím provede připravovaná novela. Bojím se, že nic moc.


K článku “Jak (ne)provést analýzu rizik dle ZoKB” se zde nachází 1 komentář.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: