Hodnocení Aktiv
Všechna Aktiva musí být ohodnocena dle důležitosti a podle možného dopadu na poskytování příslušných regulovaných služeb při jejich narušení z pohledu:
- Integrity (neoprávněné změny)
- Důvěrnosti (neoprávněné vyzrazení)
- Dostupnosti, kde je zvlášť hodnocen dopad jejich úplného zničení a dočasné nedostupnosti (doba se volí podle povahy aktiva)
V rámci hodnocení Aktiv je provedena analýza dopadů z jeho narušení (BIA) a bezpečnostní klasifikace (BK) daného Aktiva . BIA a BK slouží především pro stanovení strukturovaných bezpečnostních požadavků z pohledu důvěrnosti, integrity a dostupnosti během jeho celého životního cyklu.
Nejdříve je provedeno hodnocení Primárních aktiv. Až následně je provedeno hodnocení Podpůrných aktiv.
Hodnocení Podpůrného aktiva nemůže být vyšší než závislého Primárního Aktiva.
BIA a BK je využívána během zvládání incidentů ke stanovení závažnosti a potencionálních dopadů incidentů včetně určení priority jeho řešení. Během BIA jsou identifikovány dopady jednotlivých Aktiv do business procesů firmy z pohledu důvěrnosti, integrity, dostupnosti. Na základě těchto dopadů je pak stanovena bezpečnostní klasifikační třída pro jednotlivá pojmenovaná a evidovaná Aktiva. Součástí BK je i stanovení parametrů v oblasti dostupnosti, které vstupují do procesu řízení kontinuity činností.
BK typicky provádí v následujících případech:
- V rámci změn realizovaných projektem.
- Na základě jiné změny (např. malá změna, změna rozsahu uživatelů, rozdělení/sloučení aktiv, …).
- aktuální BK byla vyhodnocena jako neaktuální. Důvodem může být např. významný incident nebo významný bezpečnostní incident, anebo se v rámci vyhodnocení incidentu objevily nové důležité skutečnosti s vlivem na bezpečnostní klasifikaci.
- Jde o nápravné opatření interního auditu, či požadavek oprávněných osob v rámci procesu Řízení informačních rizik, nebo v rámci periodické revize hodnocení informačních rizik.
Pro stanovení bezpečnostní klasifikace je používána analýza dopadů (BIA).
Počet stupňů BK (metrika) dle jednotlivých bezpečnostních hledisek účelně odráží možné úrovně požadavků na zabezpečení. Na základě těchto požadavků jsou stanoveny klasifikační třídy s označením A+, A, B, C, D.
Součástí bezpečnostní klasifikace aplikace/systému je stanovení parametrů řízení kontinuity činností (časové obnovy) na informačních aktivech a to RTO, MIPD, MTPD a RPO, MTDL. Je nutné si vždy definovat číselník parametrů pro tyto časové obnovy. Například:
1. Číselník pro časové parametry obnovy (RTO a MTPD)
Určuje, jak rychle musí služba znovu běžet.
Pravidlo: RTO (Cíl IT) musí být vždy kratší než MTPD (Bod smrti byznysu).
| ID | Hodnota (Čas) | Slovní popis (Pro garanty) | Typické použití v Energetice / IT | Odpovídající Dopad (BIA) |
|---|---|---|---|---|
| T0 | 0 – 15 min | Okamžitá / Real-time | SCADA, Telemetrie, Kritické prvky sítě (Core), Ochrany. | A+(Kritický) |
| T1 | do 4 hod | V rámci půlsměny | Obchodování s elektřinou (OTE), Dispečerská telefonie, Přístup do datacentra. | A+ (Kritický) |
| T2 | do 24 hod | Do druhého dne (NBD) | Fakturace, Zákaznické portály, ERP (SAP) pro běžný provoz. | A (Vysoký) |
| T3 | do 72 hod | Do 3 dnů (Víkend) | Reporting, HR systémy, Docházka, Nekritická administrativa. | B (Střední) |
| T4 | do 1 týdne | Jeden pracovní týden | Archivy, Testovací prostředí, Statistické systémy. | C(Nízký) |
| T5 | > 1 týden | Odložitelná obnova | Systémy „nice-to-have“, které nejsou pro provoz nutné. | D (Žádný) |
2. Číselník pro ztrátu dat (RPO a MTDL)
Určuje, o kolik dat si můžeme dovolit přijít (jak stará může být záloha).
Pravidlo: RPO (Cíl zálohování) musí být menší než MTDL (Maximální ztráta, která byznys položí).
| ID | Hodnota (Data) | Technický význam (Pro IT) | Typické použití | Dopad na integritu |
|---|---|---|---|---|
| D0 | 0 (Nula) | Synchronní replikace | SCADA Historian (nesmí chybět záznam o havárii), Finanční transakce. | A+ (Kritický) |
| D1 | < 1 hodina | Log shipping / Snapshots | E-maily, Dokumenty managementu, Obchodní data (intraday). | A (Vysoký) |
| D2 | < 24 hodin | Noční záloha | Účetnictví (pokud lze dopoledne doúčtovat papírově), ERP. | B (Střední) |
| D3 | < 1 týden | Týdenní záloha | Statická data, Webové stránky (které se nemění), Knowledge base. | C (Nízký) |
| D4 | Bez záruky | Best effort | Dočasné soubory, Testovací data. | D (Žádný) |
Bezpečnostní klasifikace aplikace/systému má přímou vazbu na výběr servisního modelu nebo návrh architektury.
První fáze analýzy dopadů zahrnuje:
- Prostudování dokumentace, porozumění Aktivu.
- Identifikace vazeb na okolní systémy.
Druhou částí analýzy je interview pro hodnocení dopadů s Garantem Aktiva, dopady jsou vyhodnoceny na základě vodítek, která vycházejí z katalogu zranitelností Aktiv. Zranitelnosti jsou v katalogu rozděleny na:
1. Ochrana perimetru
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| P-01 | Nedostatečná segmentace sítě | X | X | X | Umožňuje nekontrolovaný pohyb útočníka napříč systémy. |
| P-02 | Chybějící nebo slabý Firewall | X | X | X | Riziko průniku do vnitřní sítě a kompromitace služeb. |
| P-03 | Nezabezpečené Wi-Fi sítě | X | X | Odposlech citlivé komunikace nebo podvržení dat. | |
| P-04 | Exponované služby do internetu | X | X | X | Snadný cíl pro hrubou sílu (brute-force) nebo exploity. |
| P-05 | Absence IPS/IDS | X | X | Neschopnost včas detekovat a blokovat probíhající útok. |
2. Údržba aktiv
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| U-01 | Absence Patch Managementu | X | X | X | Využití veřejně známých slabin v OS a aplikacích. |
| U-02 | Ponechaná defaultní nastavení | X | X | X | Útočník získá přístup přes tovární hesla a konfigurace. |
| U-03 | Nedostatečné zálohování | X | Ztráta dat bez možnosti obnovy po útoku či havárii. | ||
| U-04 | Netestovaná obnova dat | X | Riziko selhání obnovy v momentě kritického výpadku. | ||
| U-05 | Zanedbaná fyzická údržba | X | Selhání HW prvků kvůli prachu, teplotě či vlhkosti. |
3. Bezpečnostní povědomí lidských zdrojů
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| L-01 | Náchylnost k Phishingu | X | X | X | Instalace malwaru nebo krádež přihlašovacích údajů. |
| L-02 | Obcházení pravidel (Shadow IT) | X | X | Používání neschváleného SW a únik dat mimo kontrolu. | |
| L-03 | Slabá heslová hygiena | X | X | Snadné prolomení či zneužití uživatelského účtu. | |
| L-04 | Sociální inženýrství | X | X | X | Manipulace vedoucí k neoprávněným operacím se systémem. |
4. Zastaralost aktiv
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| Z-01 | End-of-Life (EOL) systémy | X | X | X | Absence bezpečnostních záplat pro kritické zranitelnosti. |
| Z-02 | Zastaralá kryptografie | X | X | Možnost dešifrování dat zachycených v síti. | |
| Z-03 | Neudržovaný firmware | X | X | X | Kompromitace hardware na úrovni pod operačním systémem. |
5. Nastavení přístupových oprávnění
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| A-01 | Absence Multi-Factor (MFA) | X | X | X | Úspěšný útok při pouhé znalosti (či uhodnutí) hesla. |
| A-02 | Nadměrná práva uživatelů | X | X | X | Nekontrolované šíření ransomware napříč souborovými servery. |
| A-03 | Sdílené účty | X | X | Nemožnost identifikace konkrétní osoby při incidentu. | |
| A-04 | Nedostatečný Off-boarding | X | X | X | Přístup bývalých zaměstnanců/partnerů k citlivým datům. |
| A-05 | Špatné řízení priv. účtů | X | X | X | Zneužití administrátorských oprávnění k destrukci sítě. |
6. Bezpečnostní architektura
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| B-01 | Single Point of Failure (SPOF) | X | Zastavení provozu při výpadku jedné komponenty. | ||
| B-02 | Nešifrovaná vnitřní komunikace | X | X | Odposlech hesel a dat uvnitř lokální sítě. | |
| B-03 | Absence testovacího prostředí | X | X | Nechtěné poškození dat či výpadek při změnách v produkci. |
7. Pravidla a postupy (Dokumentace)
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| D-01 | Absence klasifikace informací | X | Nejasnost v tom, jaké informace vyžadují zvýšenou ochranu. | ||
| D-02 | Neexistující plány kontinuity | X | Neschopnost efektivně obnovit provoz po havárii. | ||
| D-03 | Nejasné vymezení odpovědností | X | X | X | Selhání reakce na incidenty kvůli chaosu v kompetencích. |
8. Ochrana aktiv (Fyzická a koncová)
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| F-01 | Nešifrované disky (koncová zařízení) | X | Přímý přístup k datům při krádeži notebooku či disku. | ||
| F-02 | Nezabezpečené porty | X | X | X | Únik dat nebo nákaza malwarem přes USB média. |
| F-03 | Volný fyzický přístup k HW | X | X | X | Fyzické poškození, zcizení nebo neoprávněná manipulace. |
9. Monitorování a kontrola
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| M-01 | Absence centrálního logování | X | X | X | Nemožnost zpětně vyšetřit příčinu a rozsah incidentu. |
| M-02 | Neschopnost detekce incidentu | X | X | X | Dlouhodobá nepozorovaná přítomnost útočníka v síti. |
| M-03 | Absence auditů/pentestů | X | X | X | Skryté zranitelnosti, o kterých ví jen útočník. |
| M-04 | Chybějící auditní stopy v aplikacích | X | Nemožnost prokázat integritu záznamů či autorství změn. |
Bezpečnostní klasifikace a hodnota Aktiv
- musí být stanovena zejména s ohledem na:
- hodnotu a význam pro společnost, proces, oblast řízení, činnost, technologii apod.,
- účel, k němuž jsou informace využívány a funkční vazby,
- specifické požadavky právních předpisů a interní dokumentace,
- zvláštní požadavky z hlediska správy a v souladu se jmennou konvencí klasifikace,
- známé typy a formy hrozeb relevantní pro dané informační aktivum (kategorii dat a informací v případě datových aktiv).
- slouží následně pro nastavení nezbytných bezpečnostních opatření.
Klasifikace Aktiva musí zůstat zachována po dobu platnosti v průběhu jeho celého životního cyklu.
Hodnota Aktiv vstupuje do analýzy rizik.