Vyhodnocení rizik: identifikace opatření

Cílem tohoto příspěvku je popsat jednotlivé typy bezpečnostních opatření a doplnit tak informace uvedené v knize „Řízení informačních rizik v praxi“.
Pro termín opatření, někdy též protiopatření, se v informační bezpečnosti používají více či méně zaměnitelná synonyma security measures, countermeasures, safeguards nebo controls. Ať už je ale použit jakýkoliv termín, vždy se jedná o opatření, jehož cílem je snížit riziko na akceptovatelnou úroveň a ochránit tak cenná aktiva. Podle způsobu implementace můžeme opatření rozdělit na:
- fyzická (physical) – kontrola pohybu osob ve střežených prostorách a zabránění průniku neautorizovaných osob do těchto prostor,
- logická (logical/technical) – řízení a vyhodnocování přístupu k informačním zdrojům prostřednictvím identifikace, autentizace, autorizace a odpovědnosti uživatele, bezpečné nastavení HW a SW komponent,
- administrativní (administrative) – politiky, standardy, procedury a směrnice, které definují určitá závazná pravidla a postupy. Dále sem patří aktivity jako řízení rizik a školení v oblasti bezpečnosti.
Logická opatření lze dále dělit na:
- systémová (system) – specifické nastavení na úrovni operačního systému
- aplikační (application) – specifické nastavení na úrovni aplikace
- databázová (database) – specifické nastavení na úrovni databáze
- komunikační (communication) – specifické nastavení aktivních síťových prvků
- kryptografická (cryptography) – správná implementace symetrické a symetrické kryptografie
Další velice často používaný způsob dělení opatření je na:
- preventivní (prevention) – měly by útočníkovi zabránit v realizaci jeho úmyslu a tím předcházet nežádoucím aktivitám,
- detekční (detection) – slouží k odhalení nežádoucí aktivity např. sensorem, analýzou záznamů z kamer a logů,
- reaktivní (reaction) – poté co je nežádoucí aktivita odhalena, je nutné na ni nějak reagovat, reakce může být ofenzivní nebo defenzivní.
Toto běžně používané schéma lze rozšířit o další typy opatření:
- odstrašující (deterrent) – tato opatření by měla být viditelná, aby útočníka odradila od nežádoucího jednání,
- zdržující (delay) – měla by postup útočníka co nejvíce zpomalit, aby mohla být jeho aktivita detekována,
- obnova (recovery) – slouží k obnově funkčnosti systému.
Kombinací výše uvedených opatření získáme zajímavou sadu opatření. Je zřejmé, že některá opatření mohu plnit více cílů. Např. mříže nejenže slouží jako preventivní opatření, neboť není možné se do objektu, jejichž okna jsou jimi vybavena snadno dostat, ale zároveň i jako odstrašující, protože útočníka odrazují od útoku nebo jeho postup alespoň zpomalí. Kromě výše uvedených opatření se někdy hovoří též o opatřeních, která lze označit jako:
- kompenzační (compensation) – mohou nahradit některé běžně nasazované opatření, které však v daném případě z nejrůznějších důvodů nasadit nelze.
- direktivní (directive) – funkčnost jednotlivých opatření musí někdo kontrolovat a musí existovat i postup jak tuto kontrolu provádět.
- nápravná (corrective) – jejich cílem je zabránit opakování dané události např. změnou stávajícího procesu.
Reaktivní opatření se někdy označují také jako represivní (repressive) např. v ITIL. Ten dále jako typ opatření uvádí opatření redukující (reductive), které by měly minimalizovat škody např. tím, že se provádí zálohování, testují se DRP, v rámci SDLC se provádí testování, apod. Z tohoto pohledu by se dalo na reduktivní opatření nahlížet jako na preventivní. Pokud jde o nápravná opatření, tak ta mají mezi ostatními opatřeními specifické postavení podobně jako kompenzační nebo direktivní, a proto jsem je vyčlenil zvlášť.
Závěr: Vždy bychom měli implementovat minimálně základní sadu opatření a prosazovat tzv. security-in-depth přístup, který spočívá v zavedení preventivních, odstrašujících, zdržujících, detekčních, reaktivních a obnovujících opatření na úrovni fyzické, logické a administrativní bezpečnosti.
ČERMÁK, Miroslav. Vyhodnocení rizik: identifikace opatření. Online. Clever and Smart. 2010. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/vyhodnoceni-rizik-identifikace-opatreni/. [cit. 2025-02-16].
Štítky: bezpečnostní opatření, řízení informačních rizik, vyhodnocení rizik
K článku “Vyhodnocení rizik: identifikace opatření” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.