V Brně dne 10. a

Rozměr: px

Začít zobrazení ze stránky:

Download "V Brně dne 10. a 17.10.2013"

Marcel Urban
před 7 lety
Počet zobrazení:

1 Analýza rizik - příklady V Brně dne 10. a

2 Identifikace a hodnocení aktiv Aktivum (A) zdroj hodnota Data IS 5 SQL 5 HW sever 4 PC 2 SW OS 3 SQL 3 Služby svr komunikace 5 vzdálený přístup (sklad) 4 Škála 1 až 5 (5 jsou nejdůležitější aktiva) Řízení bezpečnosti informačních systémů veřejné správy 2

5 vzdálený přístup (sklad) 4 Škála 1 až 5 (5 jsou

3 Identifikace hrozeb a zranitelností Hrozba (T) pravděpodobnost p příklad zranitelnosti Ztráta dat 3 selhání zálohování Porucha HW 1 sever nedostatečně zálohovaný 2 závada na PC Selhání SW 3 nedostatečné aktualizace ASW 2 chyba v databázi Selhání komunikace 4 nedostatečná ochrana Napadení sítě 5 nedostatečná aktualizace ochran Neúmyslný incident 4 nedostatečné školení Živelná pohroma 2 umístění v povodňové zóně Škála 1 až 5 (5 je nejpravděpodobnější hrozba) Řízení bezpečnosti informačních systémů veřejné správy 3

nedostatečná ochrana Napadení sítě 5 nedostatečná aktualizace ochran Neúmyslný incident 4 nedostatečné školení Živelná pohroma 2

4 A. metoda se třemi parametry 00. provedení identifikace a hodnocení aktiv (tabulka) 01. provedení identifikace hrozeb a zranitelností (tabulka) 1. vyhotovení matice zranitelnosti (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 2. vyhotovení matice rizik z vypočtených hodnot (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 3. výpočet míry rizika R podle vztahu R = T x A x V, kde V je zranitelnost 4. stanovení hranic pro různé stupně rizika (např. nízká neboli přijatelná, střední a vysoká) Řízení bezpečnosti informačních systémů veřejné správy 4

vyhotovení matice zranitelnosti (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 2.

5 Matice zranitelnosti dtbá databáze dtbá databáze připojení připojení V popis aktiva svr skladu server PC OS databáze svr PC zranitelnost A hodnota aktiva T popis hrozby pravděpodobnost d ztráta dat selhání HW (svr) 1 2 selhání HW (PC) 2 1 selhání ASW 3 2 selhání SQL 2 3 selhání komunikace Napadení sítě neúmyslný incident živelná pohroma Řízení bezpečnosti informačních systémů veřejné správy 5

selhání HW (svr) 1 2 selhání HW (PC) 2 1 selhání ASW 3 2 selhání SQL 2 3 selhání komunikace 4 3 2 Napadení sítě

6 Matice rizik databáze databáze připojení připojení R popis aktiva svr skladu server PC OS databáze svr PC Riziko A hodnota aktiva T popis hrozby Pravděpodobnost ztráta dat selhání HW (svr) 1 8 selhání HW (PC) 2 6 selhání ASW 3 12 selhání SQL 2 18 selhání komunikace Napadení sítě neúmyslný incident živelná pohroma Míra rizika: R = A x T x V A,T a V 3 parametry Řízení bezpečnosti informačních systémů veřejné správy 6

6 selhání ASW 3 12 selhání SQL 2 18 selhání komunikace 4 60 32 Napadení sítě 5 100 20 30 60 neúmyslný incident 4 60 100

7 Stanovení hranic rizika bezvýznamné riziko 0 až 10 akceptovatelné riziko 10 až 20 mírné riziko 20 až 30 nežádoucí riziko 30 až 60 nepřijatelné riziko 60 a více Uvažujeme hranice rizika ve třech stupních: - nízká 0až30 -střední 30 až 60 - vysoká 60 a více Řízení bezpečnosti informačních systémů veřejné správy 7

a více Uvažujeme hranice rizika ve třech stupních: - nízká 0až30 -střední 30

8 B. metoda se dvěma parametry 00. provedení identifikace a hodnocení aktiv (tabulka) 01. provedení identifikace hrozeb a zranitelností (tabulka) 1. vyhodnocení pravděpodobnosti incidentu a jeho dopadu (pouze 2 parametry PI pravděpodobnost incidentu a D dopad) 2. dopad využívá stejné hodnocení jako aktivum 3. výpočet míry rizika R podle vztahu R = PI x D Poznámka: PI je hodnota, kterou lze uvádět také v %. 4. doplnění existujícího opatření k tabulce hrozeb a zranitelností Řízení bezpečnosti informačních systémů veřejné správy 8

vyhodnocení pravděpodobnosti incidentu a jeho dopadu (pouze 2 parametry PI pravděpodobnost incidentu a D dopad) 2.

9 Tabulka aktiv a hrozeb Aktivum - Databáze serveru (hodnota 5) Hrozba - ztráta dat PI = 10 Dopad 5 Riziko 50 neúmyslný incident PI = 15 Dopad 5 Riziko 75 Aktivum Databáze skladu (hodnota 5) Hrozba - ztráta dat PI = 15 Dopad 5 Riziko 75 neúmyslný incident PI = 20 Dopad 5 Riziko 100 Aktivum Server IS (hodnota 4) Hrozba - selhání HW PI = 3 Dopad 4 Riziko 12 napadení sítě PI = 25 Dopad 4 Riziko 100 živelá pohroma PI = 2 Dopad 4 Riziko 8 Aktivum pracvní stanice PC (hodnota 2) Hrozba - selhání HW PI = 8 Dopad 1 Riziko 8 napadení sítě PI = 25 Dopad 1 Riziko 25 Řízení bezpečnosti informačních systémů veřejné správy 9

(hodnota 4) Hrozba - selhání HW PI = 3 Dopad 4 Riziko 12 napadení sítě PI = 25 Dopad 4 Riziko 100 živelá pohroma PI = 2 Dopad 4 Riziko 8 Aktivum pracvní

10 Tabulka výpočtu rizika Pravděpodobnost D R Aktivum Hodnota Hrozba Zranitelnost incidentu PI Dopad Riziko Opatření Databáze svr 5 ztráta dat selhání zálohování pravidelné zálohování neúmyslný incid. nedostatečné školení pravidelné školení Databáze skladu 5 ztráta dat selhání zálohování pravidelné zálohování neúmyslný incid. nedostatečné školení pravidelné školení 4 selhání HW nefunkční UPS oprava UPS Server IS napadení slabá ochrana FW + IPS živelná pohroma nevhodné umístění přemístění Pracovní stanice PC 2 selhání HW vysoká poruchovost značkové PC napadení slabá ochrana FW + IPS atd. Míra rizika: R = PI x D PI a D 2 parametry Řízení bezpečnosti informačních systémů veřejné správy 10

nedostatečné školení 20 5 100 pravidelné školení 4 selhání HW nefunkční UPS 3 4 12 oprava UPS Server IS napadení slabá ochrana 25 4 100 FW + IPS živelná pohroma nevhodné umístění 2 4 8

Podobné dokumenty

KyBez na MPO. aneb zavádění Zákona o kybernetické bezpečnosti. KyBez na MPO. Ing. Miloslav Marčan Ředitel odboru informatiky

KyBez na MPO. aneb zavádění Zákona o kybernetické bezpečnosti. KyBez na MPO. Ing. Miloslav Marčan Ředitel odboru informatiky aneb zavádění Zákona o kybernetické Úvod Dlouhodobě kladený důraz na bezpečnost ICT Bezpečnostní politika informačních a komunikačních systémů (2007 - vycházela z filozofie norem řady ISO 27000) Před zákonem