Jak stanovit hodnotu dopadu na základě ohodnocení primárních a podpůrných aktiv

O tom, jak identifikovat primární a podpůrná aktiva a stanovit závislost mezi nimi, jsem psal posledně, nyní se zamysleme nad tím, jak určit jejich hodnotu.

Poměrně jasnou odpověď na otázku, jak stanovit hodnotu aktiva, přináší norma ČSN ISO/IEC 27005:2013, která uvádí, že bychom měli vzít v úvahu následující dvě kritéria:

  • náklady, které musíme vynaložit na opětovné pořízení daného (podpůrného) aktiva a obnovu informací a služeb (zpravidla se jedná především o náklady na opětovné pořízení informací anebo obnovu HW, SW, dat a prostor z důvodu jejich fyzického poškození nebo zničení). Vyčíslení těchto nákladů by mělo provést IT oddělení.
  • následky, které sebou přináší narušení důvěrnosti, integrity nebo dostupnosti (primárního) aktiva (zpravidla se jedná o ztrátu obchodní příležitosti z důvodu nedostupnosti služby nebo pokutu udělenou za únik informací). Vyčíslení následků by měl provést obchodní útvar.

Hodnota stanovená dle druhého kritéria bude až na výjimky zpravidla vždy vyšší, protože zatímco cena samotného systému a nákladů na obnovu se může pohybovat v řádu desítek nebo stovek tisíc, tak následky vyplývající z narušení důvěrnosti, integrity a dostupnosti mohou dosahovat mnohonásobků této částky.

Vzhledem k proběhnuvší konsolidaci a virtualizaci IT infrastruktury v minulých letech a rovněž i zavedení vybraných procesů a opatření dle ITIL a ISMS, lze předpokládat, že náklady na obnovu systémů v různých společnostech se nebudou, za jinak stejných podmínek, příliš lišit a neovlivní je ani to, jaká primární aktiva jich budou využívat, a jaké budou z jejich narušení vyplývat následky.

A rovněž i následky budou v dané firmě zpravidla stejné bez ohledu na to, jaká podpůrná aktiva byla použita a jaké budou náklady na jejich obnovu. Z pohledu následků je víceméně jedno, jestli lehne systém za pár stovek tisíc nebo za několik miliónů, protože v okamžiku, kdy dojde k selhání sítě, serveru, diskového pole nebo pádu aplikace, tak daná služba a informace prostě z pohledu koncového uživatele není dostupná. A totéž bude platit, když dojde k úniku informací nebo narušení jejich integrity.

Jenže v některých případech může být cena podpůrných aktiv značná, např. krátce po spuštění dané služby, a může dokonce i vysoce převyšovat hodnotu následků, protože systém ještě žádné nebo téměř žádné informace neobsahuje a jeho služeb využívá jen omezené množství klientů.

Ovšem vzhledem k tomu, že investice do daného systému zcela jistě počítala s nějakým cash flow, měli bychom se zamyslet nad tím, zda v důsledku incidentu nedojde ke snížení i tohoto peněžního toku anebo k jeho úplnému zastavení a tuto skutečnost rovněž promítnout do hodnoty aktiva.

Otázka je, zda vůbec a za jak dlouhé období cash flow a potažmo i odpisy do následků zahrnout a přepočítávat je na současnou hodnotu. Vzhledem k tomu, že ani odborná literatura ocenění účetní hodnoty aktiv pro účely provedení analýzy rizik neřeší, tak to v praxi vede obvykle k tomu, že se tato skutečnost opomíjí.

Jak stanovit hodnotu primárního aktiva

Pokud bychom měli stanovit hodnotu primárního aktiva, tak zde není příliš efektivní stanovovat onu hodnotu jako součet nákladů na obnovu podpůrných aktiv a následků, protože, ne vždy je nutné podpůrné aktivum nebo aktiva, na kterých je primární aktivum závislé, pořizovat znovu. Ono je to prakticky nutné jen v jednom jediném případě, a to když dojde k naprostému zničení podpůrného aktiva. V ostatních případech se celkem logicky nabízí hodnotu primárního aktiva stanovit jen na základě následků.

Zde je však třeba si uvědomit, že hodnota primárního aktiva vyplývající z následků bude jiná, když dojde k narušení důvěrnosti, a jiná zase v případě narušení integrity nebo dostupnosti. Musíme proto u každého primárního aktiva evidovat 3 hodnoty, protože jsou hrozby, které mohou narušit jen jeden z těchto atributů bezpečnosti, anebo také všechny.

Pokud bychom hodnotu dopadu vyjádřili jen jedním stupněm, obvykle se chybně používá ta nejvyšší hodnota, tak pak by nám pak do výpočtu rizika vstupovala hodnota následku odvozená např. od narušení dostupnosti nebo integrity a to i u hrozby, která by se týkala jen důvěrnosti! A vyšlo by nám zde nejspíš i vysoké riziko a to by si žádalo investice do irelevantních opatření.

Jak stanovit hodnotu podpůrného aktiva

Pokud jde o hodnotu podpůrného aktiva, tak zde můžeme jednoznačně vyjít z nákladů. Opět zde ale narazíme na otázku, jak pro účely analýzy rizik účetně ohodnotit podpůrná aktiva. Zda použít cenu pořizovací, pořízení nebo reprodukční.

Ovšem zajímat by nás měla především hodnota následků, protože zcela jistě bude mít narušení bezpečnosti podpůrného aktiva nějaký dopad na primární aktivum a bude se více či méně blížit hodnotě primárního aktiva.

V okamžiku, kdy jsou např. informace v případě vícevrstvé architektury zpracovávány a přenášeny ke klientovi přes řadu podpůrných aktiv, typicky, DB, aplikační, webový server a síťovou infrastrukturu, tak kdekoliv po cestě mohou být data odchycena, zahozena nebo modifikována, a tudíž bychom u každého podpůrného aktiva měli vyhodnotit, jaký dopad by mohlo mít narušení jeho bezpečnosti na primární aktivum, resp. jaký z něho vyplývá následek.

Jak stanovit hodnotu dopadu

Na prvním místě je třeba uvést, že hodnota aktiva není totéž, co hodnota dopadu. Hodnota dopadu sice vyplývá z hodnoty aktiva, ale v čase by se měla v důsledku přijatých bezpečnostních opatření snižovat.

A jestliže vlastník primárního aktiva tento následek již odhadl, tak potom bychom měli u každého podpůrného aktiva jen posoudit, zda stávající bezpečnostní opatření tento následek nějak nesnižují. Protože pokud jsou již určitá opatření zavedena, tak nemusí vždy dojít k tomu nejhoršímu možnému scénáři.

Což je celkem logické, protože v okamžiku, kdy máme nějaké hodnotné aktivum, tak se ho snažíme chránit zavedením odpovídajících bezpečnostních opatření a ta by pak měla snižovat pravděpodobnost hrozby, míru zranitelnosti nebo samotný dopad.

V okamžiku, kdy v analýze rizik počítáme riziko jako součin hodnoty dopadu, pravděpodobnosti hrozby a míry zranitelnosti, tak pak počítáme právě s hodnotou dopadu. Ta se však může lišit podle typu hrozby, aktiva a úrovně zavedení bezpečnostních opatření, od kterých se zase odvíjí míra zranitelnosti. Ve výsledku tak můžeme mít u každé dvojice hrozba – aktivum jinou hodnotu dopadu, ale také nemusíme.

Rozhodně není možné přijmout myšlenku, že se jednou stanoví hodnota dopadu z pohledu důvěrnosti, integrity a dostupnosti a tak pak bude vstupovat v nezměněné podobě do výpočtu všech rizik. Je třeba si uvědomit, že různé hrozby mohou vést k různým následkům, a tudíž se hodnota dopadu může měnit.

Dal by se také vyslovit závěr, že hodnota dopadu se blíží hodnotě primárního aktiva a po zavedení vhodných bezpečnostních opatření technické a organizační povahy by měla být nižší.

Ovšem pozor, v okamžiku, kdy na daném podpůrném aktivu závisí více primárních aktiv, tak potom hodnota dopadu vyplývajícího z narušení bezpečnosti daného podpůrného aktiva může být součtem jednotlivých následků pro primární aktiva, ale také nemusí. Ale o tom zase příště.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Jak stanovit hodnotu dopadu na základě ohodnocení primárních a podpůrných aktiv” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: