Management rizik Základní poj Aktivum Hrozba Zranitelnost Protiopatření Riziko zájemné vztahy při správě rizik Management rizik Část identifikující rizika - analýza rizik Část hledající odpovídající ochranná opatření - zvládání rizik tanovení rozsahu Analýza rizik Identifikace Obecný postup analýzy rizik Ohodnocení Odhad Odhad hrozeb zranitelnosti Odhad rizik ýběr ochranných opatření Přijetí rizik AO Identifikace existujících ochranných opatření E tanovení hranice analýzy rizik Identifikace tanovení hodnoty a seskupování Identifikace hrozeb Analýza hrozeb a zranitelností Měření rizika Politika bezpečnosti mu I
Metody analýzy rizik Kvalitativní metody Rizika vyjádřena v určitém rozsahu Jednodušší, rychlejší a více subjektivní Problém s kontrolou efektivnosti nákladů Kvantitativní metody Založeny na matematickém výpočtu rizika íce exaktní, náročnější na čas a úsilí Poskytují finanční vyjádření rizika ypy analýzy rizik (Č IO/IEC R ) ) Základní AR Aplikuje tzv. základní bezpečnost Implementace katalogových ochranných opatření ) eformální AR yužívá znalostí a zkušeností jednotlivců Rychlost a finanční nenáročnost ypy analýzy rizik (Č IO/IEC R ) ) Orientační AR ětšinou součást kombinované AR Určuje vhodný typ AR pro daný m (základní nebo podrobná) ) Podrobná AR ) Kombinovaná AR Kombinace orientační a podrobné AR Podrobná analýza rizik ad. ) identifikace a ocenění nalezení zranitelných míst odhad pravděpodobnosti využití zranitelných míst výpočet očekávaných ztrát přehled použitých opatření a jejich nákladů odhad ročních úspor po zavedení vybraných opatření Kombinovaná analýza rizik ad. ) Orientační AR Identifikace důležitých mů Podrobná analýza u důležitých mů Základní AR u ostatních mů ýpočet míry rizika - přístupy faktory R = A x H x Z R míra rizika, A hodnota, H pravděpodobnost, Z - zranitelnost faktory R = PI x D R míra rizika, PI pravděpodobnost incidentu, D dopad
Matice s předdefinovanými hodnotami Odhad hodnoty četnosti a možné změny rizik Úrovně ízká třední ysoká a Úroveň Úroveň zranitelnos ti ízká třední ysoká Úrovně zranitelnosti četnosti četnosti Rozlišení mezi riziky, které je možné a které není možné tolerovat Zařazení hrozeb podle míry rizika a dopadu dopadu Pravděpo dobnost Míra rizika Zařazení a četností (a) Hrozba E () (b) výskytu (c) (d) (e) Hrozba F Analýza rizik využívající matice, hrozeb a zranitelností () Analýza rizik využívající matice, hrozeb a zranitelností () Aktivum Aktivum Aktivum Aktivum Y Aktivum Aktivum Aktivum Aktivum Y (A) Ay (A) Ay Pravděpod obnost () Pravděpod obnost () Hrozba X x xy Hrozba X x Rxy = x. Ay. xy
oftwarové nástroje CRAMM RA Art of Risk CORA COBRA a další. Fiktivní firma WEB-HOP zabývá se internetovým prodejem blíže nespecifikovaného zboží. Firma má svou kancelář, odkud je řízena, a sklad prodávaného zboží, který se nachází v jiné lokalitě než kancelář. Fiktivní firma WEB-HOP kanceláři pracuje majitel fir spolu se sekretářkou. Kancelář má dvě používající operační m Microsoft Windows XP. Dále je v prostorech kanceláře umístěn server. ento server je využíván pro provozování www stránek internetového. erver používá operační m Microsoft Windows a databázi Microsoft Access. budoucnu majitel přemýšlí o přemístění serveru do hostingového centra. ekretářka kromě běžné agendy vyřizuje i telefonickou podporu zákazníkům. ýpočetní technika je spravována majitelem fir. Fiktivní firma WEB-HOP klad udržuje dostatečnou zásobu nejlépe prodávaných položek, aby byly splněny požadavky zákazníků. klad je přijímacím bodem pro všechny dodavatele, ať se týká přímého dodání k zákazníkovi nebo dodání na sklad. Zboží přichází přes místní kurýrní společnost. ýjimečně mohou být jednotlivé kusy doručeny poštou. šechny objednávky zákazníků jsou odesílány přímo zákazníkům poštou, s výjimkou určitých velkých nebo těžkých kusů, které jsou zasílány s využitím kurýrní společnosti. Fiktivní firma WEB-HOP Identifikovaná fir WEB-HOP klad má jedno, které se používá pro záznam položek na a jejich umístění. aké se používá pro vyznačení objednávek, které mají být odeslány a pro zaznamenávání objednávek, které již byly odeslané. používá Microsoft Windows 9 jako operační m a aplikace pro řízení zásob používá databázi Microsoft Access. Dvakrát denně (od pondělí do pátku) se synchronizují zázna o zásobách a objednávkách se serverem v kanceláři. Přenos souborů a synchronizace je spouštěna z počítače ve. e pracují pracovníci a každý z nich může provádět všechny potřebné skladové operace. yp Informace HW W lužby Identifikovaná báze zboží internetového báze erver Operační bázové Připojení serveru Připojení ve
Identifikované a související zranitelnosti Analýza rizik využívající matice, hrozeb a zranitelností () Identifikovaná hrozba elhání hardware elhání software Zpronevěření Zloslné kódy eúslná elhání komunikačních služeb Příklad související zranitelnosti áchylnost zařízení na vlhkost, prach a ušpinění ejasné nebo neúplné specifikace pro vývojáře edostatek fyzické ochrany budov, dveří a oken Umístění v místech náchylných k povodním edostatek aktualizací softwaru na ochranu před zloslnými kódy edostatečný výcvik bezpečnosti echráněná veřejná síťová připojení elhání hardware elhání software Zpronevěření Zloslné kódy eúslná elhání komunikačních služeb báze báze zboží internet ového erver Operační (A) () bázo vé Připoje ní serveru Připojení ve Analýza rizik využívající matice, hrozeb a zranitelností () Analýza rizik vyhodnocující pravděpodobnost incidentu a jeho dopad báze báze zboží internet ového erver Operační bázo vé Připoje ní server u Připojení ve Aktivum Hrozba Zranitelnosti Dopad incidentu Riziko Opatření elhání hardware (A) () báze zboží internetového báze eúslná eúslná elhání hardware edostatečný výcvik bezpečnosti edostatečný výcvik bezpečnosti áchylnost zařízení na vlhkost, prach a ušpinění Pravidelné zálohování elhání software Zpronevěření erver edostatek fyzické Zpronevěření ochrany budov, dveří a oken Umístění v zamčeném prostoru, přístup pouze majitel fir Zloslné kódy eúslná elhání komunikačních služeb Umístění v místech náchylných k povodním Umístění serveru v. patře