Zbytková rizika Typ aktiv Aktivum Hrozba Zranitelnost Částečná úroveň rizika Snížení hrozby Snížení zranit. Zbytkové Namapovaná opatření Riziko C I A T MAX Hodnota MAX Hodnota riziko ISO? specif.? Datová aktiva Datová aktiva Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky správce 2 1 1 1 6 2 2 4 4 6 Datová aktiva Zneužití práv (neoprávněná akce obsluhy) Zneužití oprávnění pracovníky poskytovatele 2 1 1 1 6 2 2 4 1 3 X Datová aktiva Nesprávné řízení bezpečnosti Nesprávné vyhodnocení SLA 2 1 1 1 5 1 1 4 4 5 Datová aktiva Nesprávné řízení bezpečnosti Regulatorní nesoulad způsobený poskytovatelem 2 1 1 1 5 1 1 4 2 3 X Služby Služba Exchange Online Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 2 1 1 7 3 2 4 1 3 X Služba Exchange Online Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 2 1 1 8 4 2 4 1 3 X Služba Exchange Online Zneužití systémových zdrojů Obecná zranitelnost u správce 2 1 1 5 1 1 4 4 5 Služba Exchange Online Zavedení škodlivého software Obecná zranitelnost ze strany správce 2 1 1 7 3 2 4 1 3 X Služba Exchange Online Popření Obecná zranitelnost 2 1 1 6 2 1 4 2 3 X Služba Exchange Online Napadení komunikace Obecná zranitelnost 2 1 1 6 2 2 4 1 3 X Služba Exchange Online Přerušení komunikace Obecná zranitelnost 1 5 2 2 4 3 4 X Služba Exchange Online Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 2 1 1 8 4 2 4 1 3 X Služba Exchange Online Selhání hardware nebo média Obecná zranitelnost u poskytovatele 1 1 5 2 1 4 1 1 X Služba Exchange Online Selhání software Obecná zranitelnost u poskytovatele 2 1 1 6 2 1 4 1 2 X Služba Exchange Online Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 1 5 2 1 4 1 1 X Služba Exchange Online Selhání údržby Obecná zranitelnost u poskytovatele 2 1 1 6 2 1 4 1 2 X Služba Exchange Online Chyba uživatele Obecná zranitelnost u správce 2 1 1 6 2 2 4 3 5 X Služba Exchange Online Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 2 6 2 1 4 2 3 X Služba Exchange Online Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 1 4 1 1 4 2 2 X Služba Exchange Online Úmyslné poškození externími pracovníky Obecná zranitelnost 1 4 1 1 4 1 1 X Služba Exchange Online Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 2 1 1 6 2 1 4 1 2 X Služba komunikace s externími IZavedení škodlivého software Zranitelnost u příchozích zpráv 2 1 1 7 3 2 4 2 4 X Služba komunikace s externími IPopření Obecná zranitelnost 2 1 1 6 2 1 4 2 3 X Služba komunikace s externími INapadení komunikace Zranitelnost u příchozích zpráv 2 1 1 7 3 3 4 4 7 Služba komunikace s externími INapadení komunikace Zranitelnost u odchozích zpráv 2 1 1 7 3 3 4 2 5 X Služba komunikace s externími IPřerušení komunikace Obecná zranitelnost 1 5 2 2 4 3 4 X Služba komunikace s externími IKybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 2 1 1 8 4 2 4 1 3 X Služba komunikace s externími INáhodné přesměrování Zranitelnost u odchozích zpráv 2 1 6 2 2 4 2 4 X Služba komunikace s externími IChyba uživatele Zranitelnost u odchozích zpráv 2 1 1 7 3 3 4 1 4 X Služba Azure AD Neoprávněný přístup k aktivu interními pracovníky nebo dodavateli služeb Zneužití přístupových údajů a klíčů 2 2 1 7 3 2 4 1 3 X Služba Azure AD Neoprávněný přístup k aktivu cizími osobami Zneužití přístupových údajů a klíčů (útok hackerů) 2 2 1 8 4 2 4 1 3 X Služba Azure AD Popření Obecná zranitelnost 2 2 1 6 2 1 4 2 3 X Služba Azure AD Napadení komunikace Obecná zranitelnost 2 2 1 6 2 2 4 1 3 X Služba Azure AD Přerušení komunikace Obecná zranitelnost 1 5 2 2 4 3 4 X Služba Azure AD Kybernetický útok z komunikační sítě Obecná zranitelnost (útok hackerů) 2 2 1 8 4 2 4 1 3 X Služba Azure AD Selhání hardware nebo média Obecná zranitelnost u poskytovatele 2 1 6 2 1 4 1 2 X Služba Azure AD Selhání software Obecná zranitelnost u poskytovatele 2 2 1 6 2 1 4 1 2 X Služba Azure AD Selhání podpory prostředí (vč. přírodních katastrof) Obecná zranitelnost u poskytovatele 1 5 2 1 4 1 1 X Služba Azure AD Selhání údržby Obecná zranitelnost u poskytovatele 2 2 1 6 2 1 4 1 2 X Služba Azure AD Chyba uživatele Obecná zranitelnost u správce 2 2 1 6 2 2 4 3 5 X Služba Azure AD Prozrazení informaci z vyřazené komponenty nebo média Obecná zranitelnost 2 6 2 1 4 1 2 X Služba Azure AD Úmyslné poškození interními pracovníky Obecná zranitelnost (vandalismus) 1 4 1 1 4 2 2 X Služba Azure AD Úmyslné poškození externími pracovníky Obecná zranitelnost 1 4 1 1 4 1 1 X Služba Azure AD Nesprávné řízení bezpečnosti Obecná zranitelnost u poskytovatele 2 2 1 6 2 1 4 1 2 X Software
Hardware a média Lokality Personál
Pokrytí rizik opatřeními V následující tabulce jsou uvedena všechna rizika a pro každé riziko jsou uvedena všechna opatření, která byla vybrána pro jeho snižování. Typ Inheren. Zbytk. Riziko (zkratka rizika) aktiv riziko riziko Vybraná opatření pro zvládání rizika Datová aktiva Uložená data / Zneužití práv / Zneužití interní 6 6 Uložená data / Zneužití práv / Zneužití externí 6 3 I-4-0 Organizační bezpečnost I-7-0 Bezpečnost lidských zdrojů I-9-0 Řízení přístupu osob I-13-0 Kontrola a audit Uložená data / Nespr. řízení bezp. / Vyhodnocení SLA 5 5 Uložená data / Nespr. řízení bezp. / Regulatorní nesoulad 5 3, body 6, 7, 8 a 10 Služby Exchange Online / Neopráv. přístup intern. prac. / Obecná 7 3 I-9-0 Řízení přístupu osob Exchange Online / Neopráv. přístup ext. prac. / Obecná 8 3 Exchange Online / Zneužití zdrojů / Obecná 5 5 Exchange Online / Škodlivý SW / Obecná 7 3 II-5-0 Nástroj pro ochranu před škodlivým kódem Exchange Online / Popření / Obecná 6 3 Exchange Online / Napadení komun. / Obecná 6 3 Exchange Online / Přeruš. komun. / Obecná 5 4 Exchange Online / Kyber. útok / Obecná 8 3 II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí Exchange Online / Selh. HW / Obecná 5 1 Exchange Online / Selh. SW / Obecná 6 2 Exchange Online / Selh. podpory / Obecná 5 1
Exchange Online / Selh. údržby / Obecná 6 2 Exchange Online / Chyba uživatele / Obecná 6 5 Exchange Online / Prozr. inf. z média / Obecná 6 3 I-6-0 Řízení aktiv Exchange Online / Poškození int. prac. / Obecná 4 2 I-7-0 Bezpečnost lidských zdrojů I-13-0 Kontrola a audit Exchange Online / Poškození ext. prac. / Obecná 4 1 I-9-0 Řízení přístupu osob Exchange Online / Nespr. řízení bezp. / Obecná 6 2 I-1-0 Systém řízení bezpečnosti informací I-2-0 Řízení rizik I-3-0 Bezpečnostní politika I-6-0 Řízení aktiv Kom. s ext. IS / Škodlivý SW / Obecná příchozí 7 4 II-5-0 Nástroj pro ochranu před škodlivým kódem Kom. s ext. IS / Popření / Obecná odchozí 6 3 Kom. s ext. IS / Napadení komun. / Obecná příchozí 7 7 Kom. s ext. IS / Napadení komun. / Obecná odchozí 7 5 I-7-0 Bezpečnost lidských zdrojů Kom. s ext. IS / Přeruš. komun. / Obecná 5 4 Kom. s ext. IS / Kyber. útok / Obecná 8 3 II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí Kom. s ext. IS / Náhod. přesměřování / Obecná odchozí 6 4 I-7-0 Bezpečnost lidských zdrojů Kom. s ext. IS / Chyba uživatele / Obecná odchozí 7 4 I-7-0 Bezpečnost lidských zdrojů Azure AD / Neopráv. přístup intern. prac. / Obecná 7 3 I-9-0 Řízení přístupu osob
Azure AD / Neopráv. přístup ext. prac. / Obecná 8 3 Azure AD / Popření / Obecná 6 3 Azure AD / Napadení komun. / Obecná 6 3 Azure AD / Přeruš. komun. / Obecná 5 4 Azure AD / Kyber. útok / Obecná 8 3 II-7-0 Nástroj pro detekci kybernetických bezpečnostních událostí Azure AD / Selh. HW / Obecná 6 2 Azure AD / Selh. SW / Obecná 6 2 Azure AD / Selh. podpory / Obecná 5 1 Azure AD / Selh. údržby / Obecná 6 2 Azure AD / Chyba uživatele / Obecná 6 5 Azure AD / Prozr. inf. z média / Obecná 6 2 I-6-0 Řízení aktiv Azure AD / Poškození int. prac. / Obecná 4 2 I-7-0 Bezpečnost lidských zdrojů I-13-0 Kontrola a audit Azure AD / Poškození ext. prac. / Obecná 4 1 I-9-0 Řízení přístupu osob
Azure AD / Nespr. řízení bezp. / Obecná 6 2 I-1-0 Systém řízení bezpečnosti informací I-2-0 Řízení rizik I-3-0 Bezpečnostní politika I-6-0 Řízení aktiv Software Hardware a média Lokality Personál
Poznámky k analýze rizik Uplatnění ohodnocení aktiv Přiřazení hrozby k aktivu mj. definuje, které ohodnocení aktiva (podle důvěrnosti, integrity, dostupnosti a úplné ztráty) je následně při výpočtu rizika použito. Vždy je použita nejvyšší hodnota z hodnocení daného aktiva relevantního k dané hrozbě. Například v případě hrozby "Technické selhání hostitelského počítače, úložiště nebo síťové infrastruktury" není u příslušných aktiv zohledňováno ohodnocení z pohledu důvěrnosti, která většinou není touto hrozbou narušena, ale je použito maximální ohodnocení aktiva z pohledu integrity, dostupnosti a úplné ztráty. Použití inherentních rizik U inherentních rizik nejsou brána do úvahy žádná existující bezpečnostní opatření a proto je zranitelnost vždy nastavena na hodnotu 4 (Kritická). Jedná se tedy o teoretickou maximální hodnotu rizika uváděnou zejména za účelem porovnání s výslednou úrovní zbytkového rizika po implementaci opatření. Výpočet inherentních rizik Pro výpočet inherentních rizik je použit "vzorec" riziko = dopad (prostřednictvím hodnoty aktiva) + hrozba + zranitelnost - 2 Výpočet zbytkových (reziduálních) rizik Pro výpočet zbytkových rizik je použit stejný "vzorec" riziko = dopad (prostřednictvím hodnoty aktiva) + hrozba + zranitelnost - 2 s tím rozdílem, že v důsledku implementace opatření jsou upraveny (sníženy) hodnoty hrozby a zranitelnosti.