Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová aktiva Uložená data Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky správce 3 4 2 3 8 2 2 4 4 8 Uložená data Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky poskytovatele 3 4 2 3 8 2 2 4 1 5 X Uložená data Nesprávné řízení bezpečnosti Nesprávné vyhodnocení SLA 3 4 2 3 7 1 1 4 4 7 Uložená data Nesprávné řízení bezpečnosti Regulatorní nesoulad způsobený poskytovatelem 3 4 2 3 7 1 1 4 2 5 X Služby Služba SharePoint Online Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 3 4 2 9 3 2 4 1 5 X Služba SharePoint Online Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 3 4 2 10 4 2 4 1 5 X Služba SharePoint Online Zneužití systémových zdrojů Obecná zranitelnost u správce 3 4 2 7 1 1 4 4 7 Služba SharePoint Online Zavedení škodlivého software Obecná zranitelnost ze strany správce 3 4 2 9 3 2 4 1 5 X Služba SharePoint Online Popření Obecná zranitelnost 3 4 2 8 2 1 4 2 5 X Služba SharePoint Online Napadení komunikace Obecná zranitelnost 3 4 2 8 2 2 4 1 5 X Služba SharePoint Online Přerušení komunikace Obecná zranitelnost 2 6 2 2 4 3 5 X Služba SharePoint Online Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 3 4 2 10 4 2 4 1 5 X Služba SharePoint Online Selhání hardware nebo média Obecná zranitelnost u poskytovatele 4 2 8 2 1 4 1 4 X Služba SharePoint Online Selhání software Obecná zranitelnost u poskytovatele 3 4 2 8 2 1 4 1 4 X Služba SharePoint Online Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 2 6 2 1 4 1 2 X Služba SharePoint Online Selhání údržby Obecná zranitelnost u poskytovatele 3 4 2 8 2 1 4 1 4 X Služba SharePoint Online Chyba uživatele Obecná zranitelnost u správce 3 4 2 8 2 2 4 3 7 X Služba SharePoint Online Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 3 7 2 1 4 2 4 X Služba SharePoint Online Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 2 5 1 1 4 2 3 X Služba SharePoint Online Úmyslné poškození externími pracovníky Obecná zranitelnost 2 5 1 1 4 1 2 X Služba SharePoint Online Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 3 4 2 8 2 1 4 1 4 X Služba Azure AD Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 2 4 2 9 3 2 4 1 5 X Služba Azure AD Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 2 4 2 10 4 2 4 1 5 X Služba Azure AD Popření Obecná zranitelnost 2 4 2 8 2 1 4 2 5 X Služba Azure AD Napadení komunikace Obecná zranitelnost 2 4 2 8 2 2 4 1 5 X Služba Azure AD Přerušení komunikace Obecná zranitelnost 2 6 2 2 4 3 5 X Služba Azure AD Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 2 4 2 10 4 2 4 1 5 X Služba Azure AD Selhání hardware nebo média Obecná zranitelnost u poskytovatele 4 2 8 2 1 4 1 4 X Služba Azure AD Selhání software Obecná zranitelnost u poskytovatele 2 4 2 8 2 1 4 1 4 X Služba Azure AD Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 2 6 2 1 4 1 2 X Služba Azure AD Selhání údržby Obecná zranitelnost u poskytovatele 2 4 2 8 2 1 4 1 4 X Služba Azure AD Chyba uživatele Obecná zranitelnost u správce 2 4 2 8 2 2 4 3 7 X Služba Azure AD Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 2 6 2 1 4 1 2 X Služba Azure AD Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 2 5 1 1 4 2 3 X Služba Azure AD Úmyslné poškození externími pracovníky Obecná zranitelnost 2 5 1 1 4 1 2 X Služba Azure AD Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 2 4 2 8 2 1 4 1 4 X Software Hardware a média Lokality Personál
Pokrytí rizik opatřeními V následující tabulce jsou uvedena všechna rizika a pro každé riziko jsou uvedena všechna opatření, která byla vybrána pro jeho snižování. Typ Inheren. Zbytk. Riziko (zkratka rizika) aktiv riziko riziko Vybraná opatření pro zvládání rizika Datová aktiva Uložená data / Zneužití práv / Zneužití interní 8 8 Uložená data / Zneužití práv / Zneužití externí 8 5 I-4-0 Organizační bezpečnost I-9-0 Řízení přístupu osob Uložená data / Nespr. řízení bezp. / Vyhodnocení SLA 7 7 Uložená data / Nespr. řízení bezp. / Regulatorní nesoulad 7 5, body 6, 7, 8 a 10 Služby SharePoint Online / Neopráv. přístup intern. prac. / Obecná 9 5 I-9-0 Řízení přístupu osob SharePoint Online / Neopráv. přístup ext. prac. / Obecná 10 5 SharePoint Online / Zneužití zdrojů / Obecná 7 7 SharePoint Online / Škodlivý SW / Obecná 9 5 II-5-0 Nástroj pro ochranu před škodlivým kódem SharePoint Online / Popření / Obecná 8 5 SharePoint Online / Napadení komun. / Obecná 8 5 SharePoint Online / Přeruš. komun. / Obecná 6 5 SharePoint Online / Kyber. útok / Obecná 10 5 II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí II-9-0 Aplikační bezpečnost SharePoint Online / Selh. HW / Obecná 8 4 SharePoint Online / Selh. SW / Obecná 8 4
SharePoint Online / Selh. podpory / Obecná 6 2 SharePoint Online / Selh. údržby / Obecná 8 4 SharePoint Online / Chyba uživatele / Obecná 8 7 SharePoint Online / Prozr. inf. z média / Obecná 7 4 I-6-0 Řízení aktiv SharePoint Online / Poškození int. prac. / Obecná 5 3 SharePoint Online / Poškození ext. prac. / Obecná 5 2 I-9-0 Řízení přístupu osob SharePoint Online / Nespr. řízení bezp. / Obecná 8 4 I-1-0 Systém řízení bezpečnosti informací I-2-0 Řízení rizik I-3-0 Bezpečnostní politika I-6-0 Řízení aktiv Azure AD / Neopráv. přístup intern. prac. / Obecná 9 5 I-9-0 Řízení přístupu osob Azure AD / Neopráv. přístup ext. prac. / Obecná 10 5 Azure AD / Popření / Obecná 8 5 Azure AD / Napadení komun. / Obecná 8 5 Azure AD / Přeruš. komun. / Obecná 6 5 Azure AD / Kyber. útok / Obecná 10 5 II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí
II-9-0 Aplikační bezpečnost Azure AD / Selh. HW / Obecná 8 4 Azure AD / Selh. SW / Obecná 8 4 Azure AD / Selh. podpory / Obecná 6 2 Azure AD / Selh. údržby / Obecná 8 4 Azure AD / Chyba uživatele / Obecná 8 7 Azure AD / Prozr. inf. z média / Obecná 6 2 I-6-0 Řízení aktiv Azure AD / Poškození int. prac. / Obecná 5 3 Azure AD / Poškození ext. prac. / Obecná 5 2 I-9-0 Řízení přístupu osob Azure AD / Nespr. řízení bezp. / Obecná 8 4 I-1-0 Systém řízení bezpečnosti informací I-2-0 Řízení rizik I-3-0 Bezpečnostní politika I-6-0 Řízení aktiv Software Hardware a média Lokality Personál
Poznámky k analýze rizik Uplatnění ohodnocení aktiv Přiřazení hrozby k aktivu mj. definuje, které ohodnocení aktiva (podle důvěrnosti, integrity, dostupnosti a úplné ztráty) je následně při výpočtu rizika použito. Vždy je použita nejvyšší hodnota z hodnocení daného aktiva relevantního k dané hrozbě. Například v případě hrozby "Technické selhání hostitelského počítače, úložiště nebo síťové infrastruktury" není u příslušných aktiv zohledňováno ohodnocení z pohledu důvěrnosti, která většinou není touto hrozbou narušena, ale je použito maximální ohodnocení aktiva z pohledu integrity, dostupnosti a úplné ztráty. Použití inherentních rizik U inherentních rizik nejsou brána do úvahy žádná existující bezpečnostní opatření a proto je zranitelnost vždy nastavena na hodnotu 4 (Kritická). Jedná se tedy o teoretickou maximální hodnotu rizika uváděnou zejména za účelem porovnání s výslednou úrovní zbytkového rizika po implementaci opatření. Výpočet inherentních rizik Pro výpočet inherentních rizik je použit "vzorec" riziko = dopad (prostřednictvím hodnoty aktiva) + hrozba + zranitelnost - 2 Výpočet zbytkových (reziduálních) rizik Pro výpočet zbytkových rizik je použit stejný "vzorec" riziko = dopad (prostřednictvím hodnoty aktiva) + hrozba + zranitelnost - 2 s tím rozdílem, že v důsledku implementace opatření jsou upraveny (sníženy) hodnoty hrozby a zranitelnosti.