Agenda František teiner Západočeská univerzita v Plzni Plánování v rámci IM Základní pojmy Management rizik Analýza rizik Metody analýzy rizik Základní pojmy Aktivum cokoliv, co má pro organizaci cenu Hrozba potenciální příčina incidentu, která může mít za následek poškození systému nebo organizace Zranitelnost slabá stránka aktiva nebo skupiny aktiv, která může být využita jednou nebo více hrozbami Základní pojmy Riziko je potenciální možnost, že daná hrozba využije zranitelností aktiv nebo skupiny aktiv a způsobí tak ztrátu nebo zničení aktiv Riziko kombinace pravděpodobnosti výskytu události a jejich následků zájemné vztahy při správě rizik Krok tanovení rozsahu a hranic IM Rozsah IM
Krok Definice politiky IM Politika IM Krok Definice přístupu k hodnocení rizik Dokumentovaný přístup k hodnocení rizik Krok Identifikace rizik eznam aktiv, hrozeb, zranitelností a dopadů Krok Analýza a vyhodnocení rizik Zpráva o dopadech a pravděpodobnostech 9 Krok Identifikace a vyhodnocení variant pro zvládání rizik Plán zvládání rizik Krok ýběr cílů opatření a jednotlivých opatření eznam cílů opatření a opatření
Krok Získání souhlasu vedení s navrhovanými zbytkovými riziky Záznam o schválení zbytkových rizik Krok 9 Získání povolení vedení k zavedení a provozu IM Povolení vedení k implementaci IM Management rizik (Č IO/IEC R ) Část identifikující rizika - analýza rizik Krok Příprava Prohlášení o aplikovatelnosti Prohlášení o aplikovatelnosti Část hledající odpovídající ochranná opatření - zvládání rizik tanovení rozsahu Analýza rizik Management rizik (B 99-) Identifikace aktiv Ohodnocení aktiv Odhad Odhad hrozeb zranitelnosti Odhad rizik ýběr ochranných opatření Přijetí rizik Identifikace existujících ochranných opatření E Posouzení a hodnocení rizik ýběr, implementace a provoz nástrojů řízení pro ošetření rizik Monitorování a přezkoumání rizik Udržování a zlepšování nástrojů řízení rizika AO Politika bezpečnosti systému I
% bezpečnost? Bezpečný systém je pouze takový, který je vypnut a odpojen, uzamčen ve vyztuženém titanovém trezoru, který je zabetonován v bunkru a obklopen nervovým plynem, a to vše je střeženo velmi dobře placenými ozbrojenými strážci. Gene pafford Computer Operations, Audit, and ecurity echnology (COA) Purdue University Obecný postup analýzy rizik tanovení hranice analýzy rizik Identifikace aktiv tanovení hodnoty a seskupování aktiv Identifikace hrozeb Analýza pravděpodobnosti hrozeb a zranitelností Identifikace používaných opatření ýpočet rizika 9 Aktiva Co jsou aktiva? Aktivum je něco, co má pro organizaci hodnotu a z tohoto důvodu ho musí organizace chránit Musí být relevantní rozsahu systému řízení bezpečnosti informací Aktiva Příklady aktiv spojovaných s informačními systémy jsou: Informační aktiva - datové soubory, uživatelská dokumentace atd. Papírové dokumenty smlouvy, směrnice atd. oftware aplikační a systémový W atd. Fyzická aktiva počítač, média atd. Lidé zákazníci, personál atd. Image a dobré jméno lužby komunikační, odborné atd. Hodnoty aktiv (a potenciální dopady) Má organizace identifikované hodnoty jejich informačních aktiv? Určení hodnoty každého aktiva je první krok ke stanovení efektivní bezpečnostní strategii Jaký systém až nebo nízká až velmi vysoká Jsou životně důležité složky procesu analýzy rizik aktiv Dle IO/IEC, aktiva nemusí nutně zahrnovat všechny věci normálně považované za cenné Organizace musí určit, která aktiva mohou svou absencí nebo porušením ovlivnit dodávku produktu/služby
Hrozby Příklady hrozeb Potenciální příčina nežádoucího incidentu, který může mít za následek poškození organizace a jejích aktiv Úmyslné nebo náhodné, způsobené člověkem nebo vyšší mocí Aktiva jsou předmětem mnoha druhů hrozeb, které využívají zranitelností Úmyslné Odposlech Změna informace Hacking systému epřátelský program Krádež Lidské áhodné Chyby a opomenutí ymazání souboru esprávné směrování Fyzické nehody Hrozby prostředí Zemětřesení Blesk Povodeň Požár Zranitelnosti Zranitelnost je slabina/díra informační bezpečnosti organizace Zranitelnost sama o sobě nezpůsobuje poškození, je to pouze okolnost nebo soubor okolností, které umožní hrozbě ovlivnit aktiva ení-li zranitelnost řízena, umožní hrozbě působit na aktiva Příklady zranitelností Absence vedoucího pracovníka estabilní elektrická síť echráněná kabeláž edostatek bezpečnostního povědomí Chybně přiřazená přístupová práva edostatečný bezpečnostní výcvik einstalovaný firewall ezamčené dveře Posouzení hrozeb a zranitelností Úmyslné áhodné Minulé incidenty ový vývoj a trendy Metody analýzy rizik Kvalitativní metody Rizika vyjádřena v určitém rozsahu Jednodušší, rychlejší a více subjektivní Problém s kontrolou efektivnosti nákladů Kvantitativní metody Založeny na matematickém výpočtu rizika íce exaktní, náročnější na čas a úsilí Poskytují finanční vyjádření rizika 9
ypy analýzy rizik (Č IO/IEC R ) Základní AR Aplikuje tzv. základní bezpečnost Implementace katalogových ochranných opatření eformální AR yužívá znalostí a zkušeností jednotlivců Rychlost a finanční nenáročnost ypy analýzy rizik (Č IO/IEC R ) Orientační AR ětšinou součást kombinované AR Určuje vhodný typ AR pro daný systém (základní nebo podrobná) Podrobná AR Kombinovaná AR Kombinace orientační a podrobné AR Podrobná analýza rizik identifikace a ocenění aktiv nalezení zranitelných míst odhad pravděpodobnosti využití zranitelných míst výpočet očekávaných ztrát přehled použitých opatření a jejich nákladů odhad ročních úspor po zavedení vybraných opatření Kombinovaná analýza rizik Orientační AR Identifikace důležitých systémů Podrobná analýza u důležitých systémů Základní AR u ostatních systémů Matice s předdefinovanými hodnotami Metody analýzy rizik Úroveň Úroveň zranitelnosti ízká třední ysoká aktiv
Odhad hodnoty četnosti a možné změny rizik Rozlišení mezi riziky, které je možné a které není možné tolerovat Úrovně Úrovně zranitelnosti četnosti aktiv četnosti ízká třední ysoká dopadu četností Zařazení hrozeb podle míry rizika Analýza rizik využívající matice aktiv, hrozeb a zranitelností () (a) Hrozba A Hrozba B Hrozba C Hrozba D Hrozba E Hrozba F dopadu (aktiv) (b) Pravděpo dobnost výskytu (c) Míra rizika (d) Zařazení (e) Hrozba A Hrozba B Hrozba C Hrozba D... Hrozba X aktiva aktiva (A) Pravděpod obnost () x Aktivum Aktivum Aktivum... Aktivum Y Ay xy 9 Analýza rizik využívající matice aktiv, hrozeb a zranitelností () Analýza rizik vyhodnocující pravděpodobnost incidentu a jeho dopad Hrozba A Hrozba B Hrozba C Hrozba D... Hrozba X aktiva aktiva (A) Pravděpod obnost () x Aktivum Aktivum Aktivum... Aktivum Y Ay Rxy = x. Ay. xy Aktivum Aktivum Hrozba Hrozba A Hrozba C Hrozba D Zranitelnosti Zranitelnost Zranitelnost Zranitelnost Zranitelnost Zranitelnost Zranitelnost Zranitelnost Zranitelnost Pravděpodobnost incidentu Dopad Riziko Opatření Opatření Opatření
oftwarové nástroje CRAMM RA Art of Risk CORA COBRA a další.