Stránky o kybernetické bezpečnosti

Analýza rizik

Analýza rizik

  • Určí, co jsou naše opravdu kritická data, systémy a služby, bez kterých by firma nemohla fungovat, nebo by utrpěla obrovské škody.
  • Před čím to musíme chránit, tj. jaká nebezpečí hrozí našim důležitým aktivům.
  • Jak moc jsme zranitelní, tj. jaké naše slabiny mohou útočníci využít k dosažení svých cílů.
  • Jak moc velký by to byl průšvih, tj. posouzení dopadu, kdyby k tomu došlo u konkrétního aktiva.
  • Jaká je pravděpodobnost, že se to stane, tj. odhadneme, jak často by k naplnění konkrétní hrozby mohlo dojít.
  • Jak velké je to konkrétní riziko tj. analýza zkombinuje dopad a pravděpodobnost, že to nastane.
  • Co s tím máme dělat, tj. doporučení jaká konkrétní bezpečnostní opatření musíme realizovat.

Všechna Aktiva jsou v rámci Analýzy rizik ohodnocena dle důležitosti a podle možného dopadu na poskytování reg. služeb při jejich narušení z pohledu:

  • Integrity (neoprávněné změny)
  • Důvěrnosti (neoprávněné vyzrazení)
  • Dostupnosti, kde je zvlášť hodnocen dopad jejich úplného zničení a dočasné nedostupnosti (doba se volí podle povahy aktiva)

Zároveň do analýzy vstupují hrozby, které se musí ocenit, jak moc jsou pravděpodobné. Z toho se pak vypočítá úroveň rizika tzv. koeficient rizika tj. pravděpodobnost hrozby a úroveň zranitelnosti.

Příklad: hrozba je povodeň a zranitelnost je zatopení/poškození aktiva. Takže u aktiva musíme vědět, jak často hrozí v daném umístění povodeň a u jak moc je to aktivum zranitelné tou povodní = jak odolné nebo zabezpečené je proti vodě. Např. serverovnu si nedám do sklepa, když vím, že tam se může být zaplavena, když nedaleký potok se rozvodní.

riziko

RIZIKO = Hodnota aktiva x Pravděpodobnost hrozby x Existující zranitelnost

Současně se musí definovat, jaká hodnota rizika je pro firmu ještě akceptovatelná. Výstupem je:

  • Hodnocení rizik - co s identifikovanými riziky (akceptace, sledování redukce, eliminace, vyhnutí nebo přenos a sdílení),
  • Plán zvládání rizik - konkrétní opatření jak ta jednotlivá rizika eliminovat, např. přijetím a realizací konkrétních bezpečnostních opatření,
  • Prohlášení o aplikovatelnosti - to je vlastně nová GAP analýza, jak si firma bude stát po realizaci těch opatření.
Back to Top