Rzen rizik. PV 017 Bezpecnost informacnch technologi. Jan Staudek Verze : podzim 2018

Transkript

1 Rzen rizik PV 017 Bezpecnost informacnch technologi Jan Staudek Ð Û Å«Æ ±²³ µ ¹º»¼½¾ Ý Verze : podzim 2018

2 Rizika Proc organizace stanovuje / modikuje / rozsiruje pozadavky na informacn bezpecnost? Protoze existuj / nov e se odhaluj nebo vznikaj rizika v oblasti informacn bezpecnosti, jimz organizace (kazdodenn e) mus celit Riziko { pojem, kter y oznacuje nejist y v ysledek dan y mozn ym nez adoucm stavem Riziko znamen a potenci aln probl em, nebezpec vzniku skody, moznost selh an a ne usp echu, poskozen, ztr aty ci znicen,,n eceho" (aktiva) Riziko vyjadruje urcitou mru nejistoty, pravd epodobnost dosazen v ysledku, kter y je rozdln y od ocek avan eho v ysledku Riziko reprezentuje negativn dopad vyuzit zranitelnosti, utoku, pricemz zohled nuje jak pravd epodobnost tak i dopad v yskytu utoku Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 1

3 Rizika Rizika mohou plynout { z cl u a resen podnikatelsk ych proces u { z nedokonal eho vyhoven z akonn ym/smluvnm z avazk um { z urovn e kvality n avrhov ych, implementacnch a provoznch procedur aplikacnch syst em u... Rizika mohou existovat nez avisle na nas v uli { v ypadek energie, z aplava, zemetresn, poz ar,... ISO/IEC :2013, odst : organizace musí přistupovat k výběru a k provozování bezpečnostních opatření na základě znalosti rizik k rizik um se pristupuje na b azi sc en ar u, nikoli pouze na b azi aktiv riizika se je nutn e zvazovat naprc cel e chr anen e oblast, nikoli jednotliv e v uci jednotliv ym aktiv um Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 2

4 Spekulativn / nespekulativn rizika Spekulativn rizika { jsou mimo sf eru naseho studia rizika dan a konglomer aty princip u, cl u a pozadavk u na zpracov an informac nutn ych pro podporu cinnost organizace, kter e vybocuj z dobr e praxe organizace tato vybocen mohou generovat zisk (nebo ztr aty), jedn a se oblast strategi cinnost organizace, nikoli o sf eru informacn bezpecnosti Nespekulativn rizika { jsou zdrojem nezam yslen ych ztr at mohou prpadn e generovat pouze ztr aty, skody mela by b yt identikovan a mely by existovat pl an jak jim predch azet zkoum ame jejich minimalizaci v oblasti informacn bezpecnosti pouzit a metodologie minimalizace { rzen rizik (risk management) { nepominuteln a souc ast/etapa tvorby politiky informacn bezpecnosti a zaveden ISMS Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 3

5 Rzen rizik (Risk Management) Rzen rizik je generick y pojem m a se uplat novat ve vsech oblastech podnik an/cinnosti organizace obecn e principy proces u rzen rizik jsou validn pro vsechny oblasti cinnosti organizace nejde o pouhou technickou funkci / sluzbu zajist'ovanou experty na informacn bezpecnost, jde o jednu z nejd ulezit ejsch obecn ych manazersk ych funkci Cl naseho v ykladu { { porozumet obecn ym princip um proces u rzen rizik a { naucit se tyto principy aplikovat pro tvorbu politiky informacn bezpecnosti a ISMS Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 4

6 Cl rzen rizik pro informacn bezpecnost ISO/IEC 27005: 2011, Information technology - Security techniques - Information security risk management identikace potreb organizace { z pohledu zajist en informacn bezpecnosti a { z pohledu vytvoren ucinn eho (efektivnho) ISMS Proces rzen rizik pro informacn bezpecnost lze aplikovat na organizaci jako celek, na kazdou samostatnou c ast organizace (napr. na odd elen, na fyzick e umst en, na sluzbu), na kter ykoliv st avajc nebo pl anovan y informacn syst em nebo na konkr etn rdic oblast (napr. rzen kontinuity podnik an business continuity planning) Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 5

7 Procesy rzen rizik (Risk Management) { v ycet Ustanoven kontextu, stanoven oblasti, krit eri,... Ohodnocen rizik, Risk Assessment tvor podprocesy: Identikace rizik (Risk Identification) Anal yza rizik (Risk Analysis) { urcen velikosti rizik Vyhodnocen rizik (Risk Evaluation) { urcen urovn rizik porovn anm v uci stanoven ym krit erim Zvl adnut rizik, Risk Treatment, Risk Mitigation { proces modikujc rizika, v yb er a implementace opatren snizujcch rizika Akceptace rizik, Risk Acceptance { rozhodov an o prijatelnosti rizika dle stanoven ych krit eri Informov an o rizicch, Risk Communication { sd elen informace o rizicch vsem, kdo m uze rizika ovlivnit ci b yt riziky ovlivnen Monitorov an a prezkoum av an rizik a procesu rzen rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 6

8 Procesy r zen rizik (Risk Management) { architektura Jan Staudek, FI MU Brno zen rizik PV017, Bezpecnost IT, R 7

9 Procesy rzen rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 8

10 Cle dlcch proces u rzen rizik (Risk Management) Ustanoven kontextu vymezen ucelu proveden rzen rizik vymezen spravovan e oblasti a jejch hranic zajist en zdroj u (ekonomick ych, profesnch) pro rzen rizik stanoven krit eri pro vyhodnocen dopad u utok u, urovn rizik, akceptovatelnosti rizik stanoven organizacnho zajist en a odpov ednostnch rol za rzen rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 9

11 Cle dlcch proces u rzen rizik (Risk Management) Ohodnocen rizik, Risk Assessment Aktiva jsou vystaven a hrozb am, hrozby jsou dan e existenc utocnk u a zranitelnosti, n ekter e utoky jsou pravd epodobn ejs nez jin e, kazd y utok m uze mt vets ci mens dopad Ohodnocen rizik identikuje vsechny tyto aspekty pro kazdou hrozbu Jde o zsk an informac pro ucinn e urcen / volbu opatren potrebn ych ke zmene rizik na prijatelnou urove n pomoc proces u { identikace rizik { anal yza rizik { urcen velikosti rizik { vyhodnocen, evaluace rizik porovn anm v uci stanoven ym krit erim V ystupem ohodnocen rizik je { prioritn e razen y seznam ohodnocen ych rizik, razen y podle krit eri hodnocen rizik { Prohl asen o aplikovatelnosti, Statement of Aplication, vhodn ych opatren rescch snizov an / eliminaci ohodnocen ych rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 10

12 Metodologie ohodnocen rizik Element arn ohodnocen rizik prevzet opatren na z aklade analogie podobn ych syst em u a ze vseobecn ych standard u Neform aln ohodnocen rizik ohodnocen rizik na z aklad e znalost jednotlivc u { odbornk u na bezpecnost (internch/externch) metodick y postup obv. sleduje nekter y z standard u (NIST SP , ISO/IEC 27005,... ) bez pouzit standardizovan ych strukturovan ych n astroj u Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 11

13 Metodologie ohodnocen rizik Detailn (form aln) ohodnocen rizik ohodnocen rizik standardnmi strukturovan ymi metodami a n astroji ve vsech f azch (Identikace aktiv, identikace zraniteln ych mst,... ) CRAMM (CCTA Risk Analysis and Management Method) CCTA { v UK, agentura st atn spr avy, Central Computer and Telecommunications Agency Datab aze znalost, sablon zpr av, sablon veden interview, sc en ar u dopad u, doporucen ych opatren. Metodick y pr uvodce resenm proces u rzen rizik. Pouziteln y pouze proskolen ymi analytiky, cena r adov e CZK cesk a rma RAC { RAMSES (Risk Analysis and Management System for Enhanced Security) Kombinovan e ohodnocen rizik jak kde je to nutn e (vc. ekonomick ych hledisek) se pouzije element arn, neform aln nebo detailn (form aln) ohodnocen rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 12

14 Deset krok u procesu ohodnocen rizik 1. Stanov se krit eria pro klasikaci rizik a akceptovatelnost rizik 2. Identikuj se hrozby porusen d uv ernosti, integrity a dostupnosti aktiv v r amci oblasti rzen e ISMS 3. Identikuj se,,vlastnci"rizik (pro kazdou hrozbu mus management urcit odpov ednou osobu/entitu za monitorov an hrozby, snizov an jejho uplatn en { kazd a hrozba mus mt sv eho,,vlastnka" 4. Posoud se dopady utok u dan ych materializac identikovan ych hrozeb 5. Posoud se pravd epodobnosti v yskyt u utok u dan ych materializac identikovan ych hrozeb 6. Urc se urovn e rizik 7. Porovnaj se urovn e identikovan ych rizik s kriterii akceptovatelnosti rizik 8. Stanov se priority analyzovan ych rizik pro jejich zvl adnut 9. Cel y proces se zdokumentuje 10. Zajist se, aby opakovan e ohodnocov an rizik pro InSec poskytlo konzistentn, validn a porovnateln e v ysledky Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 13

15 Cle dlcch proces u rzen rizik (Risk Management) Zvl adnut rizik, Risk Treatment Rizika pro InSec organizace lze zvl adnout az kdyz jsou identikovan a, analyzovan a a posouzen a rizika pro d uv ernost, integritu a dostupnost informacnch aktiv organizace Denuje se pl an zvl ad an rizik, kter y m a ctyri souvisejc cle: { urc rizika, kter a se eliminuj (nez stav et protipovod novou hr az, rad eji servrovnu premstit na kopec) { urc rizika, kter a nelze eliminovat a snz se na akceptovatelnou urove n (zvl adnou se) implementac urcen ych opatren { urc tolerovan a rizika, pro kter a se po zv azen odmtla opatren, kter a by je udrzovala na akceptovateln e urovni, akceptovateln a rizika (zabudov an n aklad u na skodn rzen do byznys modelu) { urc rizika, kter a se prenesou smluvne nebo pojistenm na jinou organizaci (resen sdlenm n aklad u na skodn rzen) Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 14

16 Cle dlcch proces u rzen rizik (Risk Management) Akceptace rizik odsouhlasen pl anu zvl ad an rizik a soupisu akceptovateln ych rizik managementem organizace Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 15

17 Cle dlcch proces u rzen rizik (Risk Management) Informov an o rizicch sd elov an v ysledk u rzen rizik managementu a zam estnanc um N asleduje implementace zvolen ych opatren a zabudov an jejich prosazov an do proces u organizace Monitorov an a prezkoum av an rizik a procesu rzen rizik Rizika nejsou statick a odhalov an zm en v kontextu, v rizicch, ve faktorech ovliv nujcch urovne rizik,... pri b ezn e cinnosti organizace Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 16

18 Procesy rzen rizik, detailn ejs rozbor Nejprve jedna obecn a pravda Ohodnocov an a zvl ad an rizik jsou slozit e procesy nad obrovsk ymi mnozstvmi dat Organizace by m ela udrzovat datab azi aktiv v oblasti ISMS, prslusn ych rizik, pravd epodobnost, vlastnictv, klasikac citlivost,... Tato datab aze se mus aktualizovat pri zmene aktiv, vzniku nov ych rizik,... Existuj mnoh e (destky) automatizovan e n astroje pro ohodnocov an rizik, aktu aln prehled viz napr. Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 17

19 Procesy rzen rizik, ustanoven kontextu Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 18

20 Ustanoven kontextu proces u rzen rizik vymezen ucelu proveden proces u rzen rizik, prklady ucel u: Podpora zaveden ISMS, vypracov an politiky informacn bezpecnosti Vyhov en z akon um, d ukaz n alezit e peclivosti (due diligence) Prprava pl anu kontinuity podnik an (business continuity plan) Prprava pl anu reakc na incidenty Popis pozadavk u na informacn bezpecnost pro produkt, sluzbu nebo mechanismus... zajist en zdroj u (ekonomick ych, profesnch) na Proveden ohodnocen rizik a vypracov an pl anu zvl adnut rizik Denici a implementaci politik a procedur, vcetn e implementace vybran ych opatren Monitorov an opatren Monitorov an procesu rzen rizik pro informacn bezpecnost Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 19

21 Ustanoven kontextu proces u rzen rizik vymezen spravovan e oblasti a jejch hranic oblast: IT aplikace, IT infrastruktura, podnikatelsk y proces, denovan a c ast organizace,... (typick e) prklady v ychodisek pro vymezen oblasti organizace uvnitr oblasti mus b yt fyzicky a/nebo logicky separov ana od tretch stran a dalsch organizac v r amci v ets skupiny strategick e podnikatelsk e cle, strategie a politiky podnikatelsk e procesy funkce organizace a struktura organizace pr avn, licencn a smluvn pozadavky na organizaci politiky informacn bezpecnosti organizace celkov y prstup organizace k rzen rizik informacn aktiva umst en organizace a jeho zem episn e charakteristiky omezen majc vliv na organizaci a ocek av an z ucastn en ych stran soci aln e-kulturn prostred a rozhran (tj. v ym eny informac s okolm) Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 20

22 Ustanoven kontextu proces u rzen rizik stanoven organizace a odpov ednostnch rol za rzen rizik pro informacn bezpecnost (role a odpov ednosti mus schv alit management predem) V yvoj procesu rzen rizik pro informacn bezpecnosti Identikace a anal yza uzivatel u Denice rol a odpov ednost vsech internch i externch zainteresovan ych stran Stanoven { potrebn ych vztah u mezi organizac a z ucastn en ymi stranami, { jakoz i rozhran na funkce rzen rizik vyss urovn e (rzen provoznch rizik,... ) { a rozhran na dals relevantn projekty nebo cinnosti Denice cest eskalace rozhodnut Specikace uchov avan ych zpr av a informac Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 21

23 Ustanoven kontextu proces u rzen rizik stanoven krit eri pro vyhodnocen dopad u utok u (v pojmech vhodn e sk aly v yse skod, resp. vznikl ych n aklad u) na b azi klasikacnch urovn dotcen ych aktiv mry prolomen informacn bezpecnosti (ztr ata dostupnosti,... ) poskozen provoznch cinnost podnikatelsk ych ci nancnch ztr at narusen pl an u a casov ych limit u prklad sk aly velikosti skod { zanedbateln a / akceptovateln a skoda v destk ach tisc u Kc { b ezn a skoda ve statisicch Kc { katastrock a skoda v milionech Kc Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 22

24 Ustanoven kontextu proces u rzen rizik stanoven krit eri pro vyhodnocen urovn rizik (lze je vyuzt pro urcen priorit pro zvl ad an rizik) z pohled u strategick ych hodnot podnikatelsk ych informacnch proces u kriticnosti dotcen ych informacnch aktiv pr avnch a regulatornch pozadavk u a smluvnch z avazk u provozn a podnikatelsk e z avaznosti dostupnosti, d uv ernosti a integrity ocek av an a vnm an ucastnk u a negativnch dopad u na d uveryhodnost a povest prklad sk aly urovn rizik { akceptovateln e riziko, stovky tisc Kc / dek adu { bezn e riziko, jednotky mili on u Kc / dek adu { katastrock e riziko, destky a vce mili on u Kc / dek adu Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 23

25 Prklad odvozen sk aly urovn rizik urove n rizika = F (pravd epodobnost utoku) F(dopad utoku) vse ve vhodn em sk alov an, nikdy v absolutnch mr ach, napr. pravd epodobnostn charakter rizika: 1, (L, Low), zanedbateln y v yskyt utoku, jednou za dek adu let 2, (M, Medium), bezn y v yskyt utoku, jednou rocne 3, (H, High), v yskyt utoku hranicc s jistotou, kazd y den dopad odpovdajcho utoku: 1, (L) zanedbateln y / akceptovateln y, v destk ach tisc u Kc 2, (M) b ezn y, ve statiscch Kc 3, (H) katastrock y, v milionech Kc Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 24

26 Prklad odvozen sk aly urovn rizik urove n rizika, resp. v yznamnost rizika (VL) zanedbateln e riziko, (soucin = 1) (L) akceptovateln e riziko, (souciny = 2) (M) bezn e riziko, (souciny = 3,4) (H) vysok e riziko, (souciny = 6) (VH) katastrock e riziko, (soucin = 9) resp. tabulkou pravd ep./dopad L M H L VL L M M L M H H M H VH Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 25

27 Ustanoven kontextu proces u rzen rizik stanoven krit eri pro akceptovatelnosti rizik zanedbateln e riziko, zanedbateln e skody akceptovateln e riziko skody nevad obchodnmu modelu, lze je prp. osetrit pojist enm bezn e riziko clem je (bezpecnostnmi) opatrenmi riziko eliminovat nebo alespo n snzit na zanedbateln e riziko snzenm pravd epodobnosti utoku vysok e riziko clem je bez zbytecn eho odkladu a prpadne i n akladn ymi (bezpecnostnmi) opatrenmi riziko eliminovat nebo alespo n snzit na zanedbateln e riziko snzenm pravd epodobnosti utoku katastrock e riziko je neakceptovateln e riziko, clem je preventivn e bezpecnostnmi opatrenmi riziko eliminovat nebo alespo n je zmenit na bezn e nebo na zanedbateln e riziko Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 26

28 Procesy rzen rizik, ohodnocen rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 27

29 Procesy rzen rizik, ohodnocen rizik, identikace rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 28

30 Ohodnocen rizik { Identikace rizik Ucelem identikace rizik je urcit, co by mohlo zp usob skodu, a pochopit jak, kde a proc m uze ke skode dojt, a to pomoc proces u pro nalezen, rozpozn an a pops an rizik identikace aktiv vypracov an seznamu aktiv zahrnut ych do oblasti a s nimi souvisejcch relevantnch podnikatelsk ych proces u Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 29

31 Ohodnocen rizik { Identikace rizik identikace zranitelnost vypracov an seznamu zranitelnost aktiv v oblasti na z aklad e info. o aktivech, hrozb ach a existujcch opatrench s prp. indikac zn am ych zjevn ych hrozeb a relevantnch opatren rada hrozeb m uze vyuzvat i vce zranitelnost je vhodn e vyuzvat standardn pr umyslov e zdroje informac o zranitelnostech, napr. CVE, Common Vulnerabilities and Exposures, Bugtraq,... z adn y publikovan y seznam zranitelnost nen a nem uze b yt dlouhodob e vycerp avajc organizce mus b yt schopna identikovat nov e zranitelnosti bez zbytecn ych prodlev po jejich v yskytu Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 30

32 Ohodnocen rizik { Identikace rizik identikace hrozeb vypracov an seznamu hrozeb a jejich zdroj u ( utocnci, zranitelnosti), kategorizovan eho podle typu (d uvernost, integrita,... ), aktiv,... Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 31

33 Ohodnocen rizik { Identikace rizik identikace dopad u utok u, skod identikace mozn ych skod na z aklad e znalosti aktiv a relevantnch podnikatelsk ych proces u, hrozeb a zranitelnost souvisejcch s aktivy vypracovan a jako soubor sc en ar u utok u ilustrujcch jak dan a hrozba vyuzije jistou zranitelnost nebo skupinu zranitelnost a zp usob skodu na konkr etnm(ch) aktivu(ech). V ysi skod ovliv nuj faktory typu: doba opravy, ztr ata pracovn doby, usl a prlezitost, ujmy na zdrav a bezpec, nancn n aklady na uhradu specick ych dovednost na n apravu skod, poskozen pov esti, ztr ata d uvery,... V yse skod je vhodn ejs sk alovat ve zvolen e stupnici odpovdajc velikosti organizace nez ud avat jejch presn e hodnoty. identikace existujcch a jiz pl anovan ych opatren vypracov an seznamu opatren a stavu jejich pouzv an / implementac Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 32

34 Souhrnn e k identikaci hrozeb a zranitelnost ex. typov e seznamy generick ych hrozeb a zraniteln ych mst ex. znalostn DB, expertn syst emy,... lze vyuzt znalost expert u (externch / internch) lze vyuzt princip podobnosti Pozor na vazby mezi hrozbami, zranitelnostmi a aktivy: { uklzec fa necht en e vyhod dokument spadl y ze stolu reditele { (nev yznamn a hrozba { nez amern a chyba tret strany) { (m alo pravd epodobn y incident { nepozornost reditele) { byla to ale jedin a kopie tajn eho dokumentu { ztratila se data, doslo k narusen dostupnosti aktiva { skoda (dopad) m uze b yt mal a, dokument se vytvor znovu { skoda (dopad) m uze b yt extr emn, kdyz dokument v odpadu najde agent / spion konkurence Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 33

35 Souhrnn e k identikaci hrozeb a zranitelnost V ysledkem identikace hrozeb a zranitelnost je matice Aktiva x Hrozby, s prvky reprezentujcmi urove n relevantnch rizik (... ). Nyn se vyznac pouze relevance jist e hrozby v uci konkr etnmu aktivu. Urove n, v yse, odpovdajcho rizika se dopln v kroku pri Vyhodnocení rizik aktivum / hrozba d uv ernost d uv ernost d uv ernost integrita integrita integrita dostupnost hrozba d1 hrozba d2 hrozba d3 hrozba i1 hrozba i2 hrozba i3 hrozba av1 syst em syst em DB klient u Po anal yz ach aktiv, hrozeb a zranitelnost kazd e aplikace v oblasti zn ame o kterou aplikaci jde, proc se aplikace pouzv a, kdo aplikaci pouzv a kdo m a z ajem na aplikaci utocit, jak lze na aplikaci utocit Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 34

36 Procesy rzen rizik, ohodnocen rizik, anal yza rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 35

37 Ohodnocen rizik { Anal yza rizik Anal yza rizik { urcen velikosti rizik res se kvantitativn anal yza rizik { obvykle se pouzv a pouze pro hlavn rizika { je zalozena na,,soucinech"pravd epodobnost utok u a numerick ych v ys skod, poctaj se (potenci aln) rocn ztr aty,... { prednost { v ysledky jsou bezprostredn e pouziteln e pro n akladovou anal yzu prnos u doporucen ych opatren { probl emy: Cle { jsou dostupn e pouze vesm es nepresn e znalosti pravd epodobnost { hodnocen v ys potenci alnch skod je casto subjektivn { o nov ych slabin ach informacn bezpecnosti data chyb Posouzen dopad u/skod: seznam skod pro jednotliv e sc en are utok u na aktiva respektujc zvolen a krit eria hodnocen dopad u Posouzen pravd epodobnosti v yskyt u pro jednotliv e sc en are utok u Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 36

38 Ohodnocen rizik { Anal yza rizik { Posouzen dopad u Vstupy anal yza dopad u na podnikatelsk e procesy, dokumentace organizace { anal yzy dopad u podnikatelsk e cinnosti a kritick e ohodnocen aktiv, ze kter y lze odvodit identikaci kritick ych aktiv a dat a citlivost dat podporujcch kritickou podnikatelskou misi organizace Odhad skod zp usoben ych usp esn ym utokem po narusen d uv ernosti, integrity, dostupnosti kritick ych syst em u / aktiv z hlediska potenci alnch skod: na d uv ernosti, integrit e a dostupnosti aktiv na cinnosti organizace, konkurenceschopnosti, nancch, pov esti na smluvnch z avazcch z hlediska pr avnch odpov ednost V ystupy sk alovac stupnice dopad u Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 37

39 Ohodnocen rizik { Anal yza rizik { Posouzen dopad u Sk alovac stupnice hodnocen dopad u dle SP (NIST) High Exercise of the vulnerability (1) may result in the highly costly loss of major tangible assets or resources; (2) may significantly violate, harm, or impede an organization s mission, reputation, or interest; or (3) may result in human death or serious injury. Medium Exercise of the vulnerability (1) may result in the costly loss of tangible assets or resources; (2) may violate, harm, or impede an organization s mission, reputation, or interest; or (3) may result in human injury. Low Exercise of the vulnerability (1) may result in the loss of some tangible assets or resources or (2) may noticeably affect an organization s mission, reputation, or interest. Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 38

40 Ohodnocen rizik { Anal yza rizik { Posouzen dopad u Sk alovac stupnice skod se sk alov anm podle v yse skod v ys skody lze charakterizovat i n aklady na opravu, na odstranen probl emu apod., ztr atu povesti nelze merit penezi, vhodn ejs mrou je sk alov an typu vysok a-stredn-mal a skoda 1, nepatrn a do CZK 2, mal a az CZK 3, stredn az CZK 4, velk a az CZK 5, extr emn az CZK 6, katastrock a ohrozujc schopnost dost at nancnm z avazk um do v yse skody je potreba zahrnout vsechny identikovateln e n aklady, (prm e, neprm e, d usledkov e { vc. ztr at v ypadkem cinnosti) je leps mt priblizn e dobr y nez,,presn y"chybn y odhad Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 39

41 Ohodnocen rizik { Anal yza rizik { Pravd epodobnosti utok u Sk alovac stupnice pravd epodobnost podle ISO/IEC , Very Low velmi nepravd epodobn a ud alost 2, Low nepravd epodobn a ud alost 3, Medium mozn a ud alost 4, High pravd epodobn a ud alost 5, Very High cast a ud alost Sk alovac stupnice pravd epodobnost se podle odhadu frekvence utok u 1, nepatrn a ne vce nez 1x / vce nez 5 let 2, velmi mal a 1 x / 1 { 5 let 3, mal a 1 x / p ul roku 4, stredn 1 x / ctvrt roku 5, velk a 1 x / t yden 6, velmi velk a 1 x / den 7, extr emn prakticky kdykoliv, trval a hrozba Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 40

42 Ohodnocen rizik { Anal yza rizik { Pravd epodobnosti utok u Sk alovac stupnice pravd epodobnost dle SP (NIST) sk alov an podle motivace utocnka a efektivnosti opatren High The threat-source is highly motivated and sufficiently capable, and controls to prevent the vulnerability from being exercised are ineffective. Medium The threat-source is motivated and capable, but controls are in place that may impede successful exercise of the vulnerability. Low The threat-source lacks motivation or capability, or controls are in place to prevent, or at least significantly impede, the vulnerability from being exercised. Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 41

43 Procesy rzen rizik, vyhodnocen rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 42

44 Ohodnocen rizik { Vyhodnocen rizik, evaluace rizik Vstupy pravd epodobnosti uplatn en hrozeb, hodnoty dopad u, adekv atnost st avajcch a jiz pl anovan ych opatren Riziko konkr etn hrozby/zranitelnosti lze vyj adrit jako funkci pravd epodobnosti utoku velikost skody zp usoben e usp esn ym utokem Vyhodnocen / evaluace rizik { odvozen urovn rizik z odhad u pravdepodobnost utok u a z odhad u ocek avan ych ztr at (dopad u utok u) porovn anm v uci stanoven ym krit erim V ystupy rizika a souvisejc urovn e rizik, seznam rizik prioritn e razen y podle krit eri ohodnocov an rizik ve vztahu k bezpecnostnm incident um Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 43

45 Ohodnocen rizik { Vyhodnocen rizik, evaluace rizik Metodika vyhodnocov an rizik { stanoven urovn rizik podle pravd epodobnosti utoku { uplatn en hrozby velikost dopadu { skody zp usoben e usp esn ym utokem Pro mru rizika je nutn e denovat metodu odvozen urovn e rizika typicky r uzn e tabulkov e metody kombinujc subjektivn a empirick e mry Prklad sk alov an urovn rizik (pravd epodobnost, hodnot,... ): mal e, stredn, vysok e 0, 1, 2,..., 9 apod. Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 44

46 Ohodnocen rizik { Vyhodnocen rizik, evaluace rizik Prklad 1 (ISO/IEC 27005) skody na aktivech (dopady utok u) se vyj adr mrou (0 { 4) utok, tj. uplatn en hrozby v uci aktivu, je charakterizovateln y { pravd epodobnost uskutecn en utoku (coz je d ano mnozstvm a silou utocnk u) a { snadnost vyuzit zranitelnosti aktiva pravd epodobnost uplatn en hrozby a snadnost vyuzit zranitelnosti se vyj adr mrou (Low, Medium, High) urove n rizika se sk alov anm 0 { 8 pak lze vyj adrit matic napr. takto:. pravd ep. Low Medium High dopad. snadnost Low Medium High Low Medium High Low Medium High Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 45

47 Ohodnocen rizik { Vyhodnocen rizik, evaluace rizik Prklad 2 (ISO/IEC 27005) sc en ar reprezentujc uplatn en hrozby v uci aktivu, vyuzvajc jistou zranitelnost, lze denovat { pravd epodobnost uskutecn en utoku (coz je d ano mnozstvm a silou utocnk u) a { urovn zranitelnosti aktiva pravd epodobnost uplatn en hrozby a obtznost vyuzit zranitelnosti se vyj adr mrou (Low, Medium, High) pravdepodobnost uplatnen sc en ar u lze vyj adrit sk alou (0 { 4) pravd epodobnost Low Medium High utoku urove n Low Medium High Low Medium High Low Medium High zranitelnosti pravd epodobnost sc en are h./zr Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 46

48 Ohodnocen rizik { Vyhodnocen rizik, evaluace rizik hodnoty aktiv se vyj adr mrou (0 { 4) urove n rizika se sk alov anm 0 { 8 pak lze vyj adrit matic napr. takto: hodnota aktiva / pravd. sc en are prpadn e lze sk alov an rizik zjednodusit na hodnoty (Low, Medium, High): Low hodnoty 0 { 2 Medium hodnoty 3 {5 High hodnoty 6 { 8 Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 47

49 Ohodnocen rizik { Vyhodnocen rizik, evaluace rizik Prklad 3: Matice urovn rizik: F (dopad, pravd epodobnost utoku) prklad, varianta Prkladu 1, sk ala rizik: mal e{stredn-vysok e riziko dopad / pravd. nepatrn a velmi mal a mal a stredn velk a velmi velk a extr emn nepatrn y mal e mal e mal e mal e stredn stredn stredn mal y mal e mal e stredn stredn stredn stredn stredn stredn mal e stredn stredn stredn velk e velk e velk e velk y mal e stredn stredn velk e velk e velk e velk e extr emn stredn stredn velk e velk e velk e velk e velk e katastrock y stredn stredn velk e velk e velk e velk e velk e Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 48

50 Ohodnocen rizik { Vyhodnocen rizik, evaluace rizik Prklad 4: Sk alov an hrozeb: V yznamnost hrozby roste s urovn rizika, kter e predstavuje, urove n rizika = dopad utoku pravd epodobnost utoku prklad, ISO/IEC 27005, sk ala dopad u: 1 { 5 sk ala pravdepodobnosti utoku: 1 { 5 napr. Hrozba dopad pravd epodobnost urove n Priorita hrozby Hrozba A Hrozba B Hrozba C Hrozba D Hrozba E Hrozba F Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 49

51 Ohodnocen rizik { Vyhodnocen rizik, evaluace rizik V ysledkem identikace hrozeb a zranitelnost byla matice Aktiva x Hrozby, jejz prvky lze vyhodnocenm rizik konkretizovat, napr.: aktivum / hrozba d uv ernost integrita dostupnost hrozba d1 hrozba d2 hrozba d3 hrozba i1 hrozba i2 hrozba i3 hrozba... syst em1 mal e stredn syst em2 mal e stredn DB klient u stredn velk e... velk e Urovne rizik vytv ar z akladnu pro zvl ad an rizik { zd uvodnen y v yb er cl u relevantnch opatren volba a aplikace opatren mus nabzet konzistentn urove n zbytkov eho rizika informacn bezpecnosti v cel e oblasti pokryt e politikou Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 50

52 Evaluace rizik podle z akona o kybernetick e bezpecnosti riziko = dopad * hrozba/100 * zranitelnost/100 Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 51

53 Evaluace rizik podle z akona o kybernetick e bezpecnosti Stupnice pro hodnocen urovn e dopadu Nzk y dopad { Dopad je v omezen em casov em obdob a mal eho rozsahu a nesm b yt katastrock y. Rozsah prpadn ych skod nem a prekrocit Kc. { Mertko: 0 { 1 Stredn dopad { Dopad je omezen eho rozsahu a v omezen em casov em obdob. Rozsah prpadn ych skod je v rozsahu od Kc do Kc. { Mertko: 1 { 3 Vysok y dopad { Dopad je omezen eho rozsahu, ale trval y nebo katastrock y. Rozsah prpadn ych skod je v rozsahu od Kc do Kc. { Mertko: 3 { 30 Kritick y dopad { Dopad je plosn y rozsahem, trval y a katastrock y. Rozsah prpadn ych skod prekracuje Kc. { Mertko: 30 { 100 Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 52

54 Evaluace rizik podle z akona o kybernetick e bezpecnosti Stupnice pro hodnocen urovn e pravd epodobnosti hrozby Nzk a pravd epodobnost { Hrozba neexistuje nebo je m alo pravdepodobn a. { Mertko v procentech: 0 { 25 Stredn pravd epodobnost { Hrozba je m alo pravdepodobn a az pravdepodobn a. { Mertko v procentech: 25 { 50 Vysok a pravd epodobnost { Hrozba je pravdepodobn a az velmi pravdepodobn a. { Mertko v procentech: 50 { 75 Kritick a pravd epodobnost { Hrozba je velmi pravdepodobn a az vcem ene jist a. { Mertko v procentech: 75 {100 Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 53

55 Evaluace rizik podle z akona o kybernetick e bezpecnosti Stupnice pro hodnocen urovn e pravd epodobnosti vyuzit zranitelnosti Nzk a pravd epodobnost { vyuzit zranitelnosti je m alo pravd epodobn e. { Mertko v procentech: 0 { 25 Stredn pravd epodobnost { vyuzit zranitelnosti je m alo pravd epodobn e az pravd epodobn e. { Mertko v procentech: 25 { 50 Vysok a pravd epodobnost { vyuzit zranitelnosti je pravd epodobn e az velmi pravd epodobn e. { Mertko v procentech: 50 { 75 Kritick a pravd epodobnost { vyuzit zranitelnosti je velmi pravd epodobn e az vcem en e jist e. { Mertko v procentech: 75 {100 Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 54

56 Evaluace rizik podle z akona o kybernetick e bezpecnosti Stupnice pro hodnocen urovn e rizika Nzk e riziko { Riziko je povazov ano za prijateln e. { Mertko: 0 { 1 Stredn riziko { Riziko m uze b yt snzeno m ene n arocn ymi opatrenmi nebo v prpad e pouzit n arocn ejsch opatren je riziko prijateln e. { Mertko: 1 { 3 Vysok e riziko { Riziko je dlouhodobe neprpustn e a mus b yt zah ajeny systematick e kroky k jeho odstran en. { Mertko: 3 { 30 Kritick e riziko { Riziko je neprpustn e a mus b yt neprodlene zah ajeny kroky k jeho odstran en. { Mertko:. 30 { 100 Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 55

57 Ohodnocen rizik { Doporucen opatren V ystupy Seznam doporucen ych opatren, Prohl asen o aplikovatelnosti, Statement of Applicability, SoA SoA obsahuje seznam a zd uvodn en opatren, kter a by mohla snzit nebo odstranit rizika a jsou vhodn a pro organizaci (oblast organizace) Clem doporucen ych opatren je redukce urovn e rizik na akceptovateln a rizika, pricemz je nutn e br at do uvahy faktory typu ucinnost doporucovan ych voleb { napr. kompatibilita se syst emem pr avn a smluvn omezen organizacn politika Cena implementace opatren mus b yt zd uvodniteln a odpovdajc redukc rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 56

58 Ohodnocen rizik { Doporucen opatren Preventivnmi opatrenmi se maj (by se mela) resit velk a rizika zamezuj utoku, resp. eliminuj dopad utoku, obvykle jsou n akladn a a/nebo mnohdy omezuj efektivitu cinnost organizace, napr. { z akaz pouzv an USB zarzen na stolnch poctacch, notebook u,... { z akaz prstupu na Internet, z akaz zasl an/prijm an prloh v N apravn a (heuristick a) opatren typicky redukuj mozn y ucinek utoku se strednm rizikem sifrov an zpr av, kryptograck e zajist en integrity (MAC),... vytv aren z aloh dat a moznost obnovy,... Mal a rizika lze resit napr. pojist enm nebo akceptov anm skod do modelu (lozoe) cinnost organizace Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 57

59 Ohodnocen rizik { Doporucen opatren Standardizovan e volby opatren resc jednotliv e hrozby obsahuje ISO/IEC : 2005 vc. obvykl ych dobr ych metod jejich aplikace V ycet nen a nem uze b yt upln y, opatren vybran a z ISO/IEC lze dopl novat dalsmi opatrenmi podle potreb konkr etnho prostred Vybran a opatren se denuj v dokumentu Prohl asen o aplikovatelnosti urcenm jak jsou pln eny predem dan e pozadavky na informacn bezpecnost (cle opatren odvozen e z v ysledku anal yzy a vyhodnocen rizik) objasn en a zd uvodn en voleb opatren pozadovan ych d ukaz u validnch implementac a spr avn e cinnosti opatren (metriky viz pozd eji) pozadovan ych d ukaz u redukc rizik na akceptovatelnou urove n Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 58

60 Ohodnocen rizik { Prohl asen o aplikovatelnosti jedn a se o pravidelne prezkoum avan y dokument jedn a se o b azov y dokument pro certikaci ISMS typicky tvor j adro manu alu ISMS jedn a se dokument pouziteln y pro demonstraci urovn e bezpecnosti tretm stran am { v tom prpade mus tret strana podepsat NDA { a nebo dokument delit na verejnou c ast (kter a opatren jsou v zaveden a ISMS) a d uvernou c ast (jak a kde jsou v ISMS implementovan a) dokument pozadovan y auditory posuzujcmi politiku / ISMS m a b yt podepsan y/autorizovan y vlastnkem oblasti (typicky role z reditelsk e urovn e struktury organizace) Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 59

61 Ohodnocen rizik { Dokumentace v ysledk u ohodnocen rizik V ystupy { Zpr ava o ohodnocen rizik je urcena pro management, majitele rmy, aby mohli ucinit rozhodnut o politice, procedur ach, rozpoctu, o provoznch a rdicch zmen ach,... Nejde o v yzkumnou ci auditn zpr avu o nedostatcch, nezaluje Systematicky a analyticky ohodnocuje rizika tak, aby jim veden porozum elo a prid elilo zdroje na redukci a opravu potenci alnch ztr at Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 60

62 Procesy rzen rizik, Zvl ad an rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 61

63 Zvl ad an rizik Pln e odstran en rizika je obvykle nepraktick e nebo t emer nemozn e Odpov edn e veden organizace za uceln e vysok e n aklady zajist implementaci nejvhodn ejsch opatren, kter a snz rizika pro podnikatelsk e procesy na akceptovatelnou urove n skodn y dopad na posl an a procesy organizace bude minim aln Z akladn pravidlo Vzdy se res se nejvets riziko a usiluje se o dostatecn e snzen tohoto rizika za nejmens moznou cenu, tak aby resen m elo minim aln dopad na ostatn zp usobilosti podnikatelsk ych proces u Denuje se pl an zvl ad an rizik, harmonogram implementace opatren a denuje se v ycet zbytkov ych rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 62

64 Pl an zvl ad an rizik Organizace mus denovat a aplikovat proces zvl ad an rizik v oblasti vymezen e bezpecnostn politikou InSec Pl an zvl ad an rizik mus b yt dokumentovan y je vypracovan y pro prostred vymezen e bezpecnostn politikou InSec rk a, jak organizace res rizika a stanovuje krit eria pro jejich akceptov an (mus b yt v souladu s krit erii, kter a organizace pouzv a pro hodnocen vsech typ u rizik proces zvl ad an rizik mus b yt denovan y a popsan y form alne, mus b yt stanoven e odpovednosti za jeho vykon av an, hodnocen a inovace Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 63

65 Pl an zvl ad an rizik Pro kazd e identikovan e riziko mus pl an obsahovat akceptovatelnou urove n rizika popis vsech voleb jeho zvl adnut, kter e riziko snz na akceptovateln e riziko rozhodnut, kter ym organizace urcuje uplatn enou volbu zvl adnut popis jiz existujcch relevantnch opatren popis prpadn ych dodatecn ych opatren, kter a se mus vzt do uvahy harmonogram implementace urcen ych opatren Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 64

66 Pl an zvl ad an rizik Pl an mus obsahovat reference na opatren specikovan a v SoA Pl an mus zajistit konkr etn dostupnost n aklad u na implementaci urcen ych opatren Pl an mus obsahovat identikovat konkr etn odpov ednosti a pozadavky na zaskolov an a zvysov an bezpecnostnho uv edom en Pl an mus zkontrolovat,,vlastnci" relevantnch hrozeb (rizik) a ti mus odsouhlasit zp usob zvl adnut rizik Pri pouzit metodiky PDCA je pl an zvl adnut rizik klcov y dokument, kter y v aze vsechny 4 f aze zivota ISMS Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 65

67 Pl an zvl ad an rizik Pl an je identikaci napsanou na vysok e urovn sd elujc kdo je odpovedn y za splnen konkr etnch manazersk ych cl u v oblasti rzen rizik zp usob zvl adnut kazd eho rizika jak e jsou k tomu potrebn e zdroje kdo je odpovedn y za kter e akce vedouc ke snzen urovne rizika na akceptovatelnou urove n Vhodnou formou rekapitulace pl anu je tabulka se sloupci, napr. { hrozba: vlastnk hrozby { odpovdajc urove n rizika rizika: bezn e, vysok e,... { rdic rozhodnut: akceptovat, zav est opatren,... { pozadovan y typ opatren: anti-malware software,... { existujc opatren: anti-malware software na br an e { dopl novan e opatren: anti-malware software na stanici { pozadovan a akce: vybrat, pordit, zav est a-m-s na stanicch { odpovednost: jm eno, data, rozpocet, odpovedn e odd.,... Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 66

68 Zvl ad an rizik { rekapitulace krok u 1. krok Serazen pl anovan ych implementacnch akc podle urovn odpovdajcch rizik (nejvyss nejnizs) V ystup: seznam s poradm akc 2. krok Zhodnocen voleb doporucen ych opatren Hodnot se realizovatelnost voleb (kompatibilita, prijatelnost pro uzivatele,... ) a analyzuje se efektivnost voleb opatren V ystup: seznam realizovateln ych opatren 3. krok anal yza potrebn ych n aklad u na implementaci opatren a potenci alnho zisku demonstrace, ze n aklady jsou ospravediteln e snzenm rizika Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 67

69 Zvl ad an rizik { rekapitulace krok u 4. krok n aln v yb er nejfektivn ejsch opatren mohou kombinovat technick e, provozn, rdic rysy V ystup: seznam vybran ych opatren 5. krok Prid elen odpov ednost za implementace vybran ych opatren zkusen ym lidem (expert um) V ystup: seznam odpov edn ych osob za implementace opatren 6. krok Vypracov an podrobn eho pl anu implementac body pl anu viz d ale Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 68

70 Zvl ad an rizik { rekapitulace krok u Body podrobn eho pl anu implementac opatren Riziko (zranitelnost / hrozba) Urove n rizika Doporucen a opatren Priorita implementace Vybran a pl anovan a opatren Potrebn e zdroje (pracnost) Odpovedn a osoba (t ym) Data zac atku a ukoncen implementace Pozadavky na udrzbu opatren, pozn amky, krok { po f azi akceptov an rizik implementace opatren Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 69

71 Procesy rzen rizik, akceptace rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 70

72 Akceptace rizik Management odsouhlas pl an zvl ad an rizik Management odsouhlas zbytkov a rizika jako akceptovateln a rizika Management explicitn e zd uvodn ta akceptovan a rizika, kter a nespl nuj standardn kriteria akceptov an rizik platn a v organizaci Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 71

73 Procesy rzen rizik, informov an o rizicch Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 72

74 Informov an o rizicch Cle poskytnout ujist en o dosazen v ysledku rzen rizik v organizaci shromazd'ovat informace o rizicch a prispvat tak do b aze znalost rizik prezenovat v ysledky ohodnocen rizika a pl an zvl adnut rizik vyloucit nebo redukovat jak v yskyty tak i n asledky porusen informacn bezpecnosti dky vz ajemn emu neporozum en mezi managementem vyd avajcm rozhodnut a ostatnmi z ucastn en ymi stranami prispvat do datab aze pro podporu rozhodov an zsk avat nov e znalosti o informacn bezpecnosti prezentovat odpov ednosti za rizika zlepsovat informovanost, bezpecnostn uv edom en skolen, dokumentace,... Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 73

75 Procesy rzen rizik, monitorov an a prezkoum av an rizik Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 74

76 Monitorov an a prezkoum av an rizik a procesu rzen rizik Monitorov an a prezkoum av an faktor u generujcch rizika objevila se nov a aktiva v oblasti p usobnosti rzen rizik provedly se nezbytn e upravy hodnot aktiv, napr. kv uli zmenen ym pozadavk um byznysu objevily se nov e hrozby, kter e by se mohly uplatnit vne i uvnitr organizace a kter e nebyly dosud hodnocen e objevily se nov e nebo zv ysen e zranitelnosti doslo ke zv ysen skodn ych dopad u posuzovan ych hrozeb, zranitelnost a rizik v d usledku agregace m enc rizika na neakceptovateln a rizika mnoz se incidenty ve sf ere informacn bezpecnosti, resp. ud alosti indikujc moznost vzniku takov ych incident u,... Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 75

77 Monitorov an a prezkoum av an rizik a procesu rzen rizik D uvody Cl m en se pr avn a environment aln kontext m en se kontext konkurence m en se prstup k hodnocen rizik m en se hodnota a kategorie aktiv m en se skodn krit eria m en se hodnotc krit eria rizik m en se krit eria akceptovatelnosti rizik men se kapit alov a hodnota oblasti, organizace,... m en se potrebn e zdroje pro zajist en informacn bezpecnosti dosazen trval e relevance proces u rzen rizik informacn bezpecnosti a podnikatelsk ych cl u a byznys proces u organizace Jan Staudek, FI MU Brno PV017, Bezpecnost IT, Rzen rizik 76