Hodnocení Aktiv
Všechna Aktiva musí být ohodnocena dle důležitosti a podle možného dopadu na poskytování příslušných regulovaných služeb při jejich narušení z pohledu:
- Integrity (neoprávněné změny)
- Důvěrnosti (neoprávněné vyzrazení)
- Dostupnosti, kde je zvlášť hodnocen dopad jejich úplného zničení a dočasné nedostupnosti (doba se volí podle povahy aktiva)
V rámci hodnocení Aktiv je provedena analýza dopadů z jeho narušení (BIA) a bezpečnostní klasifikace (BK) daného Aktiva . BIA a BK slouží především pro stanovení strukturovaných bezpečnostních požadavků z pohledu důvěrnosti, integrity a dostupnosti během jeho celého životního cyklu.
Nejdříve je provedeno hodnocení Primárních aktiv. Až následně je provedeno hodnocení Podpůrných aktiv.
Hodnocení Podpůrného aktiva nemůže být vyšší než závislého Primárního Aktiva.
BIA a BK je využívána během zvládání incidentů ke stanovení závažnosti a potencionálních dopadů incidentů včetně určení priority jeho řešení. Během BIA jsou identifikovány dopady jednotlivých Aktiv do business procesů firmy z pohledu důvěrnosti, integrity, dostupnosti. Na základě těchto dopadů je pak stanovena bezpečnostní klasifikační třída pro jednotlivá pojmenovaná a evidovaná Aktiva. Součástí BK je i stanovení parametrů v oblasti dostupnosti, které vstupují do procesu řízení kontinuity činností.
BK typicky provádí v následujících případech:
- V rámci změn realizovaných projektem.
- Na základě jiné změny (např. malá změna, změna rozsahu uživatelů, rozdělení/sloučení aktiv, …).
- aktuální BK byla vyhodnocena jako neaktuální. Důvodem může být např. významný incident nebo významný bezpečnostní incident, anebo se v rámci vyhodnocení incidentu objevily nové důležité skutečnosti s vlivem na bezpečnostní klasifikaci.
- Jde o nápravné opatření interního auditu, či požadavek oprávněných osob v rámci procesu Řízení informačních rizik, nebo v rámci periodické revize hodnocení informačních rizik.
Pro stanovení bezpečnostní klasifikace je používána analýza dopadů (BIA).
Počet stupňů BK (metrika) dle jednotlivých bezpečnostních hledisek účelně odráží možné úrovně požadavků na zabezpečení. Na základě těchto požadavků jsou stanoveny klasifikační třídy s označením A+, A, B, C, D.
Součástí bezpečnostní klasifikace aplikace/systému je stanovení parametrů řízení kontinuity činností (časové obnovy) na informačních aktivech a to RTO, MIPD, MTPD a RPO, MTDL. Je nutné si vždy definovat číselník parametrů pro tyto časové obnovy. Například:
Číselník pro časové parametry obnovy (RTO a MTPD)
Určuje, jak rychle musí služba znovu běžet.
Pravidlo: RTO (Cíl IT) musí být vždy kratší než MTPD (Bod smrti byznysu).
| ID | Hodnota (Čas) | Slovní popis (Pro garanty) | Typické použití v Energetice / IT | Odpovídající Dopad (BIA) |
|---|---|---|---|---|
| T0 | 0 – 15 min | Okamžitá / Real-time | SCADA, Telemetrie, Kritické prvky sítě (Core), Ochrany. | A+(Kritický) |
| T1 | do 4 hod | V rámci půlsměny | Obchodování s elektřinou (OTE), Dispečerská telefonie, Přístup do datacentra. | A+ (Kritický) |
| T2 | do 24 hod | Do druhého dne (NBD) | Fakturace, Zákaznické portály, ERP (SAP) pro běžný provoz. | A (Vysoký) |
| T3 | do 72 hod | Do 3 dnů (Víkend) | Reporting, HR systémy, Docházka, Nekritická administrativa. | B (Střední) |
| T4 | do 1 týdne | Jeden pracovní týden | Archivy, Testovací prostředí, Statistické systémy. | C(Nízký) |
| T5 | > 1 týden | Odložitelná obnova | Systémy „nice-to-have“, které nejsou pro provoz nutné. | D (Žádný) |
Číselník pro ztrátu dat (RPO a MTDL)
Určuje, o kolik dat si můžeme dovolit přijít (jak stará může být záloha).
Pravidlo: RPO (Cíl zálohování) musí být menší než MTDL (Maximální ztráta, která byznys položí).
| ID | Hodnota (Data) | Technický význam (Pro IT) | Typické použití | Dopad na integritu |
|---|---|---|---|---|
| D0 | 0 (Nula) | Synchronní replikace | SCADA Historian (nesmí chybět záznam o havárii), Finanční transakce. | A+ (Kritický) |
| D1 | < 1 hodina | Log shipping / Snapshots | E-maily, Dokumenty managementu, Obchodní data (intraday). | A (Vysoký) |
| D2 | < 24 hodin | Noční záloha | Účetnictví (pokud lze dopoledne doúčtovat papírově), ERP. | B (Střední) |
| D3 | < 1 týden | Týdenní záloha | Statická data, Webové stránky (které se nemění), Knowledge base. | C (Nízký) |
| D4 | Bez záruky | Best effort | Dočasné soubory, Testovací data. | D (Žádný) |
Bezpečnostní klasifikace aplikace/systému má přímou vazbu na výběr servisního modelu nebo návrh architektury.
První fáze analýzy dopadů zahrnuje:
- Prostudování dokumentace, porozumění Aktivu.
- Identifikace vazeb na okolní systémy.
Druhou částí analýzy je interview pro hodnocení dopadů s Garantem Aktiva, dopady jsou vyhodnoceny na základě vodítek, která vycházejí z katalogu zranitelností Aktiv. Zranitelnosti jsou v katalogu rozděleny na:
1. Nedostatečná ochrana perimetru
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| P-01 | Nedostatečná segmentace sítě | X | X | X | Síť je plochá, napadení jednoho zařízení ohrozí celou síť (chybí VLAN).Umožňuje nekontrolovaný pohyb útočníka napříč systémy. |
| P-02 | Chybějící nebo slabý Firewall | X | X | X | Pravidla jsou příliš volná (Any-Any), chybí kontrola odchozího provozu. Riziko průniku do vnitřní sítě a kompromitace služeb. |
| P-03 | Nezabezpečené Wi-Fi sítě | X | X | Slabé šifrování (WPA2-Personal), hosté vidí do firemní sítě, viditelné SSID. Odposlech citlivé komunikace nebo podvržení dat. | |
| P-04 | Exponované služby do internetu | X | X | X | RDP, SSH nebo databáze jsou přístupné přímo z internetu bez VPN. Snadný cíl pro hrubou sílu (brute-force) nebo exploity. |
| P-05 | Absence IPS/IDS | X | X | Systém nedetekuje a neblokuje aktivní útoky a skenování portů.. Neschopnost včas detekovat a blokovat probíhající útok. |
2. Nedostatečná údržba aktiv
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| U-01 | Absence Patch Managementu | X | X | X | OS a aplikace se neaktualizují automaticky/pravidelně (známé chyby). Využití veřejně známých slabin v OS a aplikacích. |
| U-02 | Ponechaná defaultní nastavení | X | X | X | Zařízení mají tovární hesla (admin/admin) a konfigurace. Útočník získá přístup přes tovární hesla a konfigurace. |
| U-03 | Nedostatečné zálohování | X | Chybí off-site záloha, zálohy nejsou oddělené od sítě (riziko ransomware). Ztráta dat bez možnosti obnovy po útoku či havárii. | ||
| U-04 | Netestovaná obnova dat | X | Nikdy neproběhl test obnovy ze zálohy (nevíme, zda fungují). Riziko selhání obnovy v momentě kritického výpadku. | ||
| U-05 | Zanedbaná fyzická údržba | X | Zaprášené servery, nefunkční klimatizace, netestované UPS. Selhání HW prvků kvůli prachu, teplotě či vlhkosti. |
3. Nedostatečné bezpečnostní povědomí lidských zdrojů
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| L-01 | Náchylnost k Phishingu | X | X | X | Zaměstnanci klikají na neznámé odkazy a přílohy (netrénováno). Instalace malwaru nebo krádež přihlašovacích údajů. |
| L-02 | Obcházení pravidel (Shadow IT) | X | X | Vypínání antiviru, instalace vlastního SW, stahování dat na soukromé USB. Používání neschváleného SW a únik dat mimo kontrolu. | |
| L-03 | Slabá heslová hygiena | X | X | Hesla na papírkách, sdílení hesel, jednoduchá hesla (123456). Snadné prolomení či zneužití uživatelského účtu. | |
| L-04 | Sociální inženýrství | X | X | X | Ochota sdělit citlivé informace do telefonu neověřené osobě. Manipulace vedoucí k neoprávněným operacím se systémem. |
4. Zastaralost aktiv
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| Z-01 | End-of-Life (EOL) systémy | X | X | X | Provozování OS a aplikací bez podpory výrobce (již nevychází záplaty). Absence bezpečnostních záplat pro kritické zranitelnosti. |
| Z-02 | Zastaralá kryptografie | X | X | Použití TLS 1.0/1.1, SSL, MD5, SHA-1 (snadné prolomení). Možnost dešifrování dat zachycených v síti. | |
| Z-03 | Neudržovaný firmware | X | X | X | Firmware na routerech, tiskárnách a IoT se neaktualizuje. Kompromitace hardware na úrovni pod operačním systémem. |
5. Nevhodné nastavení přístupových oprávnění
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| A-01 | Absence Multi-Factor (MFA) | X | X | X | Přístup do kritických systémů/VPN pouze jménem a heslem. Úspěšný útok při pouhé znalosti (či uhodnutí) hesla. |
| A-02 | Nadměrná práva uživatelů | X | X | X | Běžní uživatelé mají lokálního administrátora na stanicích. Nekontrolované šíření ransomware napříč souborovými servery. |
| A-03 | Sdílené účty | X | X | Více lidí používá jeden účet (např. "recepce", "admin"). Nemožnost identifikace konkrétní osoby při incidentu. | |
| A-04 | Nedostatečný Off-boarding | X | X | X | Účty propuštěných zaměstnanců zůstávají aktivní. Přístup bývalých zaměstnanců/partnerů k citlivým datům. |
| A-05 | Špatné řízení priv. účtů | X | X | X | Admini používají doménové admin účty pro běžnou práci (web, mail). Zneužití administrátorských oprávnění k destrukci sítě. |
6.Nevhodná bezpečnostní architektura
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| B-01 | Single Point of Failure (SPOF) | X | Selhání jednoho prvku (router, server) zastaví celou firmu (chybí redundance). Zastavení provozu při výpadku jedné komponenty. | ||
| B-02 | Nešifrovaná vnitřní komunikace | X | X | Přenos citlivých dat uvnitř sítě probíhá v plain-textu (HTTP, Telnet). Odposlech hesel a dat uvnitř lokální sítě. | |
| B-03 | Absence testovacího prostředí | X | X | Změny se dělají rovnou v „živém“ provozu (riziko výpadku). Nechtěné poškození dat či výpadek při změnách v produkci. |
7. Nedostatečné stanovení bezpečnostních pravidel a postupů (Dokumentace)
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| D-01 | Absence klasifikace informací | X | Není určeno, co je „Tajné“ a co „Veřejné“ (vše se chrání stejně špatně). Nejasnost v tom, jaké informace vyžadují zvýšenou ochranu. | ||
| D-02 | Neexistující plány kontinuity | X | Chybí BCP/DRP scénáře pro případ havárie, požáru nebo kyberútoku. Neschopnost efektivně obnovit provoz po havárii. | ||
| D-03 | Nejasné vymezení odpovědností | X | X | X | Není určeno, kdo vlastní dané aktivum a kdo odpovídá za jeho bezpečnost. Selhání reakce na incidenty kvůli chaosu v kompetencích. |
8. Nedostatečná ochrana aktiv (Fyzická a koncová)
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| F-01 | Nešifrované disky (koncová zařízení) | X | Notebooky nemají BitLocker/FileVault (riziko úniku dat při krádeži). Přímý přístup k datům při krádeži notebooku či disku. | ||
| F-02 | Nezabezpečené porty | X | X | X | USB porty jsou otevřené pro jakákoliv média (malware z flashky). Únik dat nebo nákaza malwarem přes USB média. |
| F-03 | Volný fyzický přístup k HW | X | X | X | Serverovna/Rack není zamčený, chybí kontrola vstupu. Fyzické poškození, zcizení nebo neoprávněná manipulace. |
9. Nedostatečná míra nezávislé kontroly
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| M-01 | Absence centrálního logování | X | X | X | Logy zůstávají jen na zařízeních, útočník je může smazat. Nemožnost zpětně vyšetřit příčinu a rozsah incidentu. |
| M-02 | Neschopnost detekce incidentu | X | X | X | Logy se sbírají, ale nikdo je nevyhodnocuje (chybí alerty). Dlouhodobá nepozorovaná přítomnost útočníka v síti. |
| M-03 | Absence auditů/pentestů | X | X | X | Systémy nebyly nikdy ověřeny etickým hackerem/auditem. Skryté zranitelnosti, o kterých ví jen útočník. |
| M-04 | Chybějící auditní stopy v aplikacích | X | V aplikacích nelze dohledat, kdo konkrétně data změnil/smazal. Nemožnost prokázat integritu záznamů či autorství změn. |
10. Nevhodné řízení dodavatelů
| ID | Konkrétní zranitelnost | C | I | A | Popis dopadu |
|---|---|---|---|---|---|
| S-01 | Závislost na dodavateli | X | Riziko ukončení činnosti dodavatele (Vendor lock-in) ohrožuje provoz služby. | ||
| S-02 | Nekontrolovaný vzdálený přístup | X | X | X | Cizí subjekt může nepozorovaně číst, měnit data nebo odstavit systém. |
| S-03 | Nejasné SLA | X | Chybějící garance opravy vede k nepředvídatelným a dlouhým výpadkům. |
Bezpečnostní klasifikace a hodnota Aktiv
- musí být stanovena zejména s ohledem na:
- hodnotu a význam pro společnost, proces, oblast řízení, činnost, technologii apod.,
- účel, k němuž jsou informace využívány a funkční vazby,
- specifické požadavky právních předpisů a interní dokumentace,
- zvláštní požadavky z hlediska správy a v souladu se jmennou konvencí klasifikace,
- známé typy a formy hrozeb relevantní pro dané informační aktivum (kategorii dat a informací v případě datových aktiv).
- slouží následně pro nastavení nezbytných bezpečnostních opatření.
Návrh klasifikace hodnocení zranitelností Aktiv
| ID | Stupeň | Význam | Slovní popis (Míra odolnosti) | Typický příklad stavu |
|---|---|---|---|---|
| V1 | A+ | Extrémní | Absolutní absence opatření, ochrana neexistuje. | Hesla v plain-textu, chybějící firewall, žádné zálohy. |
| V2 | A | Vysoká | Opatření jsou slabá, nekonzistentní nebo zastaralá. | Chybějící patche > 6 měsíců, administrace bez MFA. |
| V3 | B | Střední | Opatření jsou zavedena, ale mají koncepční mezery. | Segmentace sítě jen částečná, zálohy nejsou offline. |
| V4 | C | Nízká | Opatření jsou robustní, aktuální a kontrolovaná. | Plně patchováno, silná autentizace, monitoring logů. |
| V5 | D | Zanedbatelná | Stav odpovídá „best-practice“ v oboru. | Izolované sítě (air-gap), HW klíče, 24/7 SOC dohled. |
Samozřejmě se všechny zranitelnosti jsou relevantní pro všechna aktiva, je nutno k tomu přistupovat s rozmyslem a posuzovat jen ty zranitelnosti, které u daného aktiva mají význam:
| ID Kat. | Kategorie zranitelnosti | INF | SVR | APP | END | OT | LID | FYZ |
|---|---|---|---|---|---|---|---|---|
| 1 | Ochrana perimetru | X | ||||||
| 2 | Údržba aktiv (Patch/Zálohy) | X | X | X | X | X | ||
| 3 | Bezp. povědomí (Lidé) | X | ||||||
| 4 | Zastaralost aktiv (EOL) | X | X | X | X | X | ||
| 5 | Přístupová oprávnění | X | X | X | X | X | ||
| 6 | Bezp. architektura (SPOF) | X | X | X | X | X | ||
| 7 | Pravidla a postupy | X | X | X | X | X | X | X |
| 8 | Ochrana aktiv (Fyzická/Disky) | X | X | X | ||||
| 9 | Monitorování a kontrola | X | X | X | X | |||
| 10 | Řízení dodavatelů | X | X | X | X |
Klasifikace Aktiva musí zůstat zachována po dobu platnosti v průběhu jeho celého životního cyklu.
Hodnota Aktiv vstupuje do analýzy rizik.