Analýza a manažment rizík

Analýza a manažment rizík

13.1  Analýza rizík
Analýza rizík je proces, prostredníctvom ktorého sa identifikujú bezpečnostné riziká, ktoré je potrebné kontrolovať alebo akceptovať. V kontexte bezpečnosti IS analýza rizík IS zahŕňa analýzu hodnôt aktív, hrozieb a zraniteľností a určenie potenciálnych rizík.
 
Riziká sú určené z hľadiska možného dopadu spôsobeného narušením dôvernosti, integrity, dostupnosti, individuálnej zodpovednosti, autenticity alebo spoľahlivosti. Výsledkom analýzy rizík je poznatok o pravdepodobných rizikách týkajúcich sa aktív spoločnosti.
 
Analýza rizík je východiskom pre  manažment rizík a môže byť vykonaná bez zbytočných časových investícií a investícií do zdrojov, uskutočnením počiatočnej krátkej analýzy všetkých systémov. Takáto analýza určí, ktoré systémy môžu byť adekvátne chránené pomocou vzorovej sústavy prijatých praktických postupov a základných kontrol a pre ktoré systémy bude potrebné vykonať podrobnú analýzu rizík.
 
13.1.1   Prístupy k analýze rizík
Podľa ISO/IEC TR 13335, pred začatím akýchkoľvek aktivít súvisiacich s analýzou rizík, by spoločnosť mala mať k dispozícii stratégiu pre túto analýzu. Jej podstatné zložky (metódy, techniky, atď.) by mali byť dokumentované v politike bezpečnosti IT spoločnosti.
 
Prostriedky a kritériá pre výber metódy analýzy rizík by mali byť odsúhlasené.
 
Stratégia analýzy rizík by mala zaistiť, že vybraný prístup k analýze rizík je vhodný pre dané prostredie, a že zameriava bezpečnostné úsilie tam, kde je to skutočne potrebné. Ďalej opísané alternatívy charakterizujú štyri rôzne prístupy k analýze rizík. Základným rozdielom medzi nimi je uplatňovaná hĺbka analýzy rizík.
 
Keďže je zväčša príliš nákladné vykonávať detailnú analýzu rizík pre všetky systémy prevádzkované spoločnosťou a súčasne  nie je vhodné venovať len malú pozornosť vážnym rizikám, je potrebné dosiahnuť  rovnováhu medzi týmito alternatívami.
 
Okrem možnosti nerobiť nič, t. j. prijať fakt, že aktíva sú vystavené neurčitému množstvu rizík neznámej veľkosti a závažnosti, existujú štyri základné možnosti pre analýzu rizík IT spoločnosti:
· použiť rovnaký základný prístup pre riešenie bezpečnosti všetkých systémy IT, bez ohľadu na riziká hroziace systémom a akceptovať, že zaisťovaná úroveň bezpečnosti nemusí byť vždy primeraná;
 
· použiť pre vykonanie analýzy rizík neformálny prístup a sústrediť sa na tie systémy IT, ktoré sú vnímané ako systémy vystavené vysokým rizikám;
 
· vykonať detailnú analýzu rizík s využitím formálneho prístupu pre všetky systémy;
 
· vykonať počiatočnú analýzu rizík „na vysokej úrovni“ s cieľom identifikovať systémy IT vystavené vysokým rizikám a tie, ktoré sú pre podnikateľské aktivity kritické a následne realizovať detailnú analýzu rizík týchto systémov a súčasne aplikovať základnú bezpečnosť pre všetky ostatné systémy.
 
Ak sa spoločnosť rozhodne nerobiť s bezpečnosťou nič alebo odloží implementáciu bezpečnostných opatrení, manažment by si mal byť vedomý možných následkov tohto rozhodnutia. Hoci takéto  riešenie problému riadenia bezpečnosti IT nevyžaduje žiaden čas, peniaze, personál ani iné zdroje, má množstvo nevýhod.
 
Ak si spoločnosť je istá  nekritickou povahou svojich systémov, môže zotrvávať na pozícii nesystémovo nechránenej spoločnosti voči vážnym následkom.
  Súčasne však platí, že spoločnosť nekoná v súlade s legislatívou, jej reputácia môže utrpieť následkom narušenia bezpečnosti a môže sa ukázať, že zo strany spoločnosti neboli vykonané potrebné preventívne kroky.

Ak sa bezpečnosť IT týka spoločnosti len veľmi málo alebo ak spoločnosť nemá žiadne podnikateľsky-kritické systémy, potom môže byť táto stratégia vhodná (dočasne akceptovateľná).
Takáto spoločnosť je však v pozícii, že nepozná, aká dobrá alebo zlá je jej bezpečnostná situácia v skutočnosti, čo pravdepodobne nie je dobré riešenie pre väčšinu spoločností.
 
Poznámka:  Štatutárni zástupcovia spoločnosti by takéto rozhodnutia mali mať schválené
rozhodnutiami vlastníkov, napr. uznesením valného zhromaždenia.

13.1.1.1 Základný prístup
Pri tejto alternatíve by spoločnosť mala aplikovať základnú bezpečnosť pre všetky systémy IT, výberom štandardných bezpečnostných opatrení.
 
Škála štandardných bezpečnostných opatrení je navrhnutá v základných dokumentoch a praktických kódexoch vydaných jednotlivými štátmi.
 
Tento prístup má niekoľko výhod, ako napríklad:
· pre implementáciu každého bezpečnostného opatrenia je na analýzu rizík a manažment rizík potrebné len minimálne množstvo zdrojov, preto sa na výber bezpečnostných opatrení vynaloží menej času a úsilia;
 
· ak veľké množstvo systémov používaných v spoločnosti funguje v podobnom prostredí a ak ich bezpečnostné potreby sú porovnateľné, základné opatrenia môžu ponúknuť nákladovo-efektívne riešenie, pretože tie isté alebo podobné opatrenia môžu byť bez veľkého úsilia zavedené v mnohých systémoch.
 
 
Nevýhody tejto alternatívy sú:
· ak je základná úroveň stanovená privysoko, v niektorých systémoch IT môže byť úroveň bezpečnosti nadmerná;
 
· ak je úroveň stanovená prinízko, v niektorých systémoch IT môže byť nedostatočná úroveň bezpečnosti, čo má za následok vyšší stupeň vystavenia rizikám;
 
· môžu byť ťažkosti s riadením bezpečnostne-relevantných zmien. Napríklad, ak je systém aktualizovaný, môže byť zložité zhodnotiť, či sú pôvodné základné bezpečnostné opatrenia ešte stále dostatočné.
 
Ak majú všetky systémy IT používané v spoločnosti nízke bezpečnostné požiadavky, potom tento prístup môže byť najviac nákladovo-efektívnou stratégiou.
 
V takomto prípade je potrebné určiť základnú úroveň tak, aby odrážala stupeň ochrany potrebný pre väčšinu systémov IT.
 
Väčšina spoločností  musí spĺňať určité minimálne štandardy na ochranu citlivých dát a byť v súlade s legislatívou a nariadeniami, napr. s legislatívou na ochranu dát.
 
Tam, kde sa však informačné systémy spoločnosti odlišujú v citlivosti z hľadiska ich väzby k podnikateľskej činnosti spoločnosti, vo veľkosti a zložitosti, by aplikovanie spoločných štandardov na všetky systémy nebolo logické, primerané ani nákladovo-efektívne.

13.1.1.2  Neformálny prístup
Táto možnosť znamená vykonať neformálne pragmatické analýzy rizík.
 
Neformálny prístup nie je založený na štruktúrovaných metódach, ale využíva vedomosti
a skúsenosti jednotlivcov.
 
Výhodou tejto alternatívy je:
· zvyčajne nevyžaduje mnoho zdrojov ani času. Na vykonanie takejto neformálnej analýzy nie sú potrebné žiadne dodatočné odbornosti a je vykonávaná rýchlejšie než detailná analýza rizík.
 
Existuje však aj niekoľko nevýhod a to:
· bez určitého druhu formálneho prístupu alebo kompletného kontrolného zoznamu narastá pravdepodobnosť vynechania niektorých dôležitých detailov;
 
· zdôvodnenie implementácie bezpečnostných opatrení na základe rizík zhodnotených týmto spôsobom bude problematické;
 
· jednotlivci, ktorí majú minimálne skúsenosti s analyzovaním rizík môžu pociťovať nedostatok pomôcok pre splnenie tejto úlohy;
 
· niektoré opatrenia realizované v minulosti mohli byť odvodené od zraniteľností, t. j. opatrenia boli implementované na základe identifikovaných zraniteľností, bez zváženia reálnej existencie nejakých hrozieb, ktoré by mohli využiť tieto zraniteľnosti, teda bez ohľadu na existenciu reálnej potreby bezpečnostných opatrení;
 
· do procesu analýzy môže byť zavedený určitý stupeň subjektivity; osobné predsudky posudzovateľa môžu ovplyvniť výsledky;
 
· môžu vzniknúť problémy ak osoba, ktorá vykonávala neformálnu analýzu rizík, opustí spoločnosť.
 
Z dôvodu vyššie uvedených nevýhod nepredstavuje táto alternatíva pre mnohé spoločnosti efektívny prístup k analýze rizík.


13.1.1.3 Detailná analýza
 
Treťou možnosťou je vykonať detailné analýzy rizík pre všetky systémy IT v spoločnosti.
 
Detailná analýza rizík zahŕňa hĺbkovú identifikáciu a ohodnotenie aktív, ohodnotenie hrozieb pre tieto aktíva a ohodnotenie zraniteľností.
 
Výsledky týchto aktivít sa potom použijú na ohodnotenie rizík a následne na identifikovanie opodstatnených bezpečnostných opatrení, implementovaním ktorých sa dosiahne požadovaná úroveň bezpečnosti systémov.
 
Výhody tohto prístupu sú:
· je pravdepodobné, že budú pre všetky systémy identifikované vhodné opatrenia;
· výsledky detailných analýz môžu byť použité pri riadení zmien v spôsobe zaisťovania bezpečnosti.
 
Nevýhody tejto alternatívy sú nasledovné:
· získanie výsledkov vyžaduje značné množstvo času, úsilia a odborných znalostí;
· je možné, že bezpečnostné potreby niektorého kritického systému budú ošetrené príliš neskoro, lebo všetky systémy IT sa posudzujú rovnako podrobne a na ukončenie analýz je potrebné značné množstvo času.

Preto nie je vhodné používať detailnú analýzu rizík pre všetky systémy IT.
 
Ak sa zvolí tento prístup k analýze rizík systémov prevádzkovaných spoločnosťou, existuje niekoľko možných implementácií:
· použiť štandardný prístup, ktorý spĺňa kritériá zachytené napr. v technickej správe ISO/IEC TR 13335 - časť 3;
· použiť štandardný prístup rôznymi spôsobmi, vhodnými pre spoločnosť, napr. použiť „metódu modelovania rizík“ pomocou podporných softvérových nástrojov, napr. nástrojom CRAMM.


13.1.1.4 Kombinovaný prístup
 
Štvrtou možnosťou je najprv vykonať počiatočnú analýzu rizík na vysokej úrovni pre všetky systémy IT,  koncentrujúc sa na hodnotu daných systémov z hľadiska spoločnosti a na vážne riziká, ktorým sú vystavené.
 
Potom pre tie systémy, ktoré sú identifikované ako dôležité pre podnikanie spoločnosti a/alebo ako systémy vystavené vysokým rizikám, sa následne vykoná detailná analýza rizík, a to v poradí podľa určených priorít.
 
Pre všetky ostatné systémy IT by sa mal zvoliť základný prístup pre riešenie ich ochrany.
 
Táto alternatíva je vlastne  kombináciou najlepších prvkov základného prístupu a detailnej analýzy rizík. Poskytuje dobré vyváženie medzi minimalizáciou času a úsilia vynaložených na identifikovanie bezpečnostných opatrení, pri súčasnom zabezpečení  adekvátnej ochrany pre vysoko rizikové systémy.
 
Ďalšími výhodami tejto alternatívy sú:
· použitie počiatočného rýchleho a jednoduchého prístupu. Pravdepodobne pomôže získať podporu vedenia spoločnosti pre schválenie programu realizácie komplexu analýz rizík;
 
· malo by byť možné rýchlo si vytvoriť strategickú predstavu o bezpečnostnom programe spoločnosti. Tento prístup je dobrou pomôckou pri plánovaní;
 
· zdroje a peniaze môžu byť uplatnené tam, kde sú najužitočnejšie. Systémy, ktoré pravdepodobne potrebujú najvyššiu ochranu, budú ošetrované prvé a následné činnosti v rámci pokračujúceho riešenia budú úspešnejšie.
 
Jedinou potenciálnou nevýhodou je:
· že počiatočné analýzy rizík vykonané na vysokej úrovni sú potenciálne menej presné, a preto niektoré systémy nemusia byť správne identifikované ako systémy vyžadujúce detailnú analýzu rizík.
Tieto systémy však budú stále pokryté základnými opatreniami pre  bezpečnosť, taktiež môžu byť v prípade potreby kedykoľvek opätovne posúdené s cieľom zistiť, či nie je potrebné aplikovať detailný prístup k analýze ich rizík.
 
Uplatnenie  analýzy rizík na vysokej úrovni kombinovanej so základným prístupom k riešeniu otázok bezpečnosti všetkých systémov a tam, kde je to potrebné a  následné uplatnenie detailnej analýzy rizík poskytuje väčšine spoločností najefektívnejšiu cestu k správnemu riadeniu bezpečnosti IT. 
 
 
Každý vyššie spomínaný prístup k analýze rizík poskytuje určité množstvo odporúčaní na zníženie bezpečnostných rizík „riešeného“ systému  na prijateľnú úroveň.
 
Tieto odporúčania by mali byť schválené vedením  spoločnosti. Vedenie spoločnosti by malo súčasne schváliť:
· kritériá pre  určovanie prijateľných úrovní rizík  pre „posudzovaný“  systém;
· kritériá pre výber bezpečnostných opatrení, ktorými sa budú znižovať poznané bezpečnostné riziká na prijateľnú úroveň;
· pravidlá pre akceptáciu zvyškových rizík zostávajúcich po implementácii všetkých schválených ochranných opatrení.
 
Nutným podkladom pre takúto činnosť vedenia spoločnosti sú poznatky o výhodách týkajúcich sa implementácie jednotlivých druhov ochranných opatrení a  o znížení rizík dosiahnutom týmito opatreniami.

13.2 Manažment rizík
 
Manažment rizík zahŕňa štyri rôzne činnosti:
· určenie celkovej stratégie analýzy a manažmentu rizík vhodnej pre spoločnosť,
v rámci kontextu bezpečnostnej politiky IT spoločnosti;
 
· výber bezpečnostných opatrení pre jednotlivé systémy IT, ako reakcia na výsledky  analýzy rizík;
 
· formulovanie bezpečnostných politík IS a v prípade potreby aktualizovanie globálnej politiky bezpečnosti IT spoločnosti (kde je to potrebné aj politík bezpečnosti IT organizačných útvarov spoločnosti);
 
· vytvorenie bezpečnostných projektov systémov a plánov bezpečnosti IS pre implementovanie bezpečnostných opatrení, založených na schválených politikách bezpečnosti systémov.
  Plány bezpečnosti IS budú  pritom súčasťou schvaľovaného obchodného plánu
spoločnosti.
 
Všeobecne platí, že manažment rizík systému je najefektívnejší, ak prebieha v rámci  celého životného cyklu systému.
 
Zatiaľ čo pri novo budovaných systémoch môže byť uplatnený ucelený  cyklus manažmentu rizík, v prípade pôvodných systémov, t. j. skôr vybudovaných systémoch, môže byť podľa potreby proces manažmentu rizík iniciovaný v ktoromkoľvek bode životného cyklu systému.
 
Súčasne platí, že proces manažmentu rizík je sám osebe cyklickým procesom.
 
Stratégia analýzy rizík, schválená spoločnosťou môže určovať, či revízia výsledkov manažmentu rizík bude vykonaná v určitých bodoch životného cyklu systému alebo v určitej frekvencii vždy po uplynutí vopred definovanej doby.
 
V praxi môžu existovať aj prípady spustenia procesu manažmentu rizík nadväzujúce na  predchádzajúce revízie, s  cieľom kontrolovať pokrok v  implementácii schválených ochranných opatrení pre daný systém.
 
Taktiež môže existovať aj požiadavka vykonávať manažment rizík v  priebehu návrhu a vývoja systému, čím sa zaistí, že bezpečnosť je navrhnutá a implementovaná v najvýhodnejšej fáze z hľadiska nákladov.
 
Ak sú v prevádzkovanom systéme plánované významné zmeny, mal by byť taktiež iniciovaný proces opakovaného manažmentu rizík.
 
Pri použití akejkoľvek metódy alebo techniky manažmentu rizík je dôležité zaistiť rovnováhu medzi minimalizáciou času a zdrojov vynaložených pri identifikácii a implementácii ochranných opatrení a súčasnom zaistení reálnej ochrany všetkých systémov prevádzkovaných spoločnosťou odpovedajúcim spôsobom.
Manažment rizík IS  je proces zameraný na porovnanie zistených rizík s výhodami a/alebo nákladmi na ochranné opatrenia, ktoré ich môžu eliminovať. Odvodzuje stratégiu ich implementácie a bezpečnostnú politiku systému od globálnej bezpečnostnej politiky IT a obchodných cieľov spoločnosti.
 
V rámci manažmentu rizík všetkých systémov prevádzkovaných spoločnosťou by sa mali vziať do úvahy rôzne typy ochranných opatrení  a mala by byť vykonaná analýza nákladov, ako aj prínosov ich realizácie.
 
Ochranné opatrenia, ktoré budú implementované pre zaistenie požadovanej bezpečnosti daného systému, by mali byť  vybrané vrelácii k rizikám  a potenciálnym dopadom detekovaných bezpečnostných rizík. Musí byť tiež zohľadnená úroveň prijateľného zostatkového rizika.
 
Taktiež  je potrebné si uvedomiť, že ochranné opatrenia samé osebe môžu obsahovať zraniteľnosti a vo svojom dôsledku tak zaviesť nové riziká. Preto musí byť venovaná patričná pozornosť výberu vhodných ochranných opatrení nielen z hľadiska zníženia rizík, ale taktiež aj z hľadiska, aby sa ich implementáciou nezaviedli potenciálne nové riziká.
 
Preto kľúčovým prvkom/činnosťou v rámci  manažmentu rizík je ohodnotenie rizík a určenie spôsobu ich zníženia na prijateľnú úroveň.
 
Je pritom nevyhnutné vziať do úvahy podnikateľské ciele spoločnosti, rovnako ako aj organizačné aspekty a špecifické potreby a riziká každého systému.
 
13.2.1   Výber bezpečnostných opatrení
 
Jedno z možných usmernení z hľadiska  výberu bezpečnostných opatrení pre konkrétny IS je  štandard ISO/IEC TR 13335, časť 4.
 
Jeho cieľom je poskytnúť usmernenia pre výber bezpečnostných opatrení pre situácie, kde sa prijalo jedno z možných rozhodnutí vybrať bezpečnostné opatrenia pre IS:
· podľa typu a charakteristiky IS,
· podľa širokého zhodnotenia bezpečnostných otázok a hrozieb,
· v súlade s výsledkami podrobnej analýzy rizík.
 
13.2.2   Výber bezpečnostných opatrení podľa typu a charakteristiky IS
Existujú dva hlavné prístupy k výberu opatrení, t.j. použitie základného prístupu a vykonanie podrobnej analýzy rizík. Základné členenie postupu pri výbere bezpečnostných opatrení v závislosti od typu realizovanej analýzy rizík  znázorňuje obrázok č. 17.

Základný prístup, ktorý má byť použitý, by mal byť vybraný v závislosti na prostriedkoch, ktoré môžu byť vynaložené na proces výberu, vnímaných bezpečnostných záujmoch a type a charakteristike posudzovaného IS.
 
Ak organizácia (z akéhokoľvek dôvodu) nechce vynaložiť na výber bezpečnostných opatrení veľa času a úsilia, môže byť vhodný základný prístup, navrhujúci opatrenia bez ďalšieho posudzovania.
 
Ak je však prevádzka organizácie stredne závislá na systéme alebo službách IT a/alebo sú držané citlivé informácie, je veľmi pravdepodobné, že budú potrebné dodatočné informácie. V tomto prípade sa veľmi odporúča, aby sa uplatnil aspoň náhľad vysokej úrovne na dôležitosť informácií a pravdepodobné hrozby, kvôli získaniu lepšej predstavy o bezpečnostných opatreniach potrebných na najefektívnejšiu ochranu daného IS.
 
Ak je prevádzka organizácie vysoko závislá na systéme alebo službách IT a/alebo sú držané veľmi citlivé informácie, riziko môže byť vysoké a najlepším spôsobom na identifikovanie primeraných opatrení je podrobná analýza rizík.
 
Základnú ochranu IS možno dosiahnuť identifikovaním a aplikovaním sady relevantných opatrení, ktoré sú vhodné v škále nízko rizikových okolností, teda spĺňajú prinajmenšom minimálne bezpečnostné potreby.
 
Primerané základné bezpečnostné opatrenia možno identifikovať napríklad použitím katalógov, ktoré navrhujú sady opatrení pre typy systémov IT na ich ochranu proti najbežnejším hrozbám.
Tieto katalógy bezpečnostných opatrení obsahujú informácie o kategóriách opatrení alebo podrobné opatrenia alebo oboje, ale obvykle neoznačujú, ktoré opatrenia by mali byť aplikované v určitých konkrétnych podmienkach.
 
Je možné, že ak IS organizácie (alebo jej časti) sú veľmi podobnej povahy a poskytujú podobné služby, opatrenia vybrané prostredníctvom základného prístupu môžu byť aplikovateľné na všetky systémy IT.
 
Obrázok č. 18 ukazuje rôzne spôsoby použitia základného prístupu pri výbere bezpečnostných opatrení.
 
 
 
 

Proces výberu bezpečnostných opatrení vždy vyžaduje určité vedomosti o type a charakteristike posudzovaného IS (napríklad ide o samostatnú pracovnú stanicu alebo pracovnú stanicu pripojenú k sieti), lebo majú významný vplyv na opatrenia vybrané na ochranu systému.
 
Taktiež je nápomocné mať predstavu o infraštruktúre, v zmysle budov, miestností, atď.
 
Ďalším dôležitým faktorom zúčastneným na výbere opatrení je ohodnotenie existujúcich a/alebo už plánovaných opatrení. Toto zabráni vynakladaniu nepotrebnej práce a strate času, úsilia a peňazí.
 
Pri vyberaní opatrení by mali byť brané do úvahy podnikateľské požiadavky a prístup organizácie k bezpečnosti.
Nakoniec je dôležité určiť, či tieto ohodnotenia poskytujú dostatok informácií pre výber základných opatrení alebo či je potrebné podrobnejšie ohodnocovanie, resp. podrobná analýza rizík.
 
13.2.2.1 Identifikácia typu systému
 
Pre ohodnotenie existujúceho alebo plánovaného IS by mal byť posudzovaný IS porovnaný s nasledovnými komponentmi a mali by byť identifikované komponenty predstavujúce systém. V odseku č. 9, štandardu ISO/IEC TR 13335, časť 4.  sú navrhnuté opatrenia pre každý z ďalej uvedených komponentov. Komponentmi, z ktorých sa vyberá sú:
· samostatná pracovná stanica,
· pracovná stanica (klient bez zdieľaných prostriedkov) pripojená k sieti,
· server alebo pracovná stanica so zdieľanými prostriedkami pripojenými k sieti.
 
13.2.2.2 Identifikácia fyzických/environmentálnych podmienok
 
Ohodnotenie prostredia zahŕňa identifikáciu fyzickej infraštruktúry podporujúcej existujúci a plánovaný IS, ako aj súvisiace existujúce a/alebo plánované bezpečnostné opatrenia.
 
Keďže všetky bezpečnostné opatrenia by mali byť kompatibilné s fyzickým prostredím, tieto ohodnotenia sú kľúčové pre ich úspešný výber.
 
Pri posudzovaní infraštruktúry môžu byť nápomocné nasledovné otázky. Čitateľ by mal myslieť aj na prostredie organizácie a všetky zvláštne okolnosti, ktoré je potrebné vziať do úvahy.
 
· Okruh a budova
-  Kde je budova situovaná - v rámci vlastného pozemku s obvodovým múrom alebo na ulici s rušnou dopravou atď. ?
-  Je osadenstvo budovy z jednej skupiny alebo je rôznorodé?
-  Ak je rôznorodé, kto sú tí iní obyvatelia?
-  Kde sú citlivé/kritické oblasti?
· Riadenie prístupu
-  Kto má prístup do budovy?
-  Je v prevádzke systém riadenia fyzického prístupu?
-  Aká robustná je štruktúra budovy?
-  Aké robustné sú dvere, okná atď. a aká ochrana je im poskytnutá?
-  Je budova strážená a ak áno, je to 24 hodín denne, alebo len v pracovnom čase?
-  Je budova a/alebo miestnosť kde sa nachádza kritické vybavenie IT zabezpečená alarmom pre prípad vniknutia?
· Ochrana na mieste
-  Ako je (sú) chránená miestnosť (miestnosti) obsahujúca IS?
-  Aké zariadenia detekcie, alarmu a potlačenia požiaru sú inštalované a kde?
-  Aké zariadenia detekcie prenikania a straty vody sú inštalované a kde?
-  Sú inštalované zariadenia ako UPS, kanalizácia a klimatizácia (na kontrolovanie teploty a vlhkosti)?
Odpovedaním na tieto otázky možno ľahko identifikovať existujúce fyzické a s nimi súvisiace bezpečnostné opatrenia.
  Ak nejde o časovo náročný úkon, je výhodné pri posudzovaní umiestnenia budovy v rovnakom čase identifikovať problémy súvisiace s dverami, zámkami, riadením a procedúrami fyzického prístupu.
 
 
13.2.2.3 Ohodnotenie existujúcich/plánovaných opatrení
 
Po ohodnotení podmienok fyzického prostredia a komponentov systému IT by mali byť identifikované všetky už aplikované alebo naplánované bezpečnostné opatrenia. Toto je potrebné, aby sa predišlo opätovnému výberu už existujúceho alebo plánovaného opatrenia a vedomosti o implementovaných alebo plánovaných opatreniach napomôžu pri výbere ďalších opatrení, ktoré budú fungovať v kombinácii s nimi.
 
Pri výbere opatrení by sa mala posudzovať aj kompatibilita existujúcich opatrení s vybranými. Bezpečnostné opatrenie môže byť v konflikte s iným opatrením, alebo môže brániť jeho úspešnému fungovaniu a poskytovanej ochrane.
 
Pre identifikáciu existujúcich alebo plánovaných opatrení môžu byť nápomocné nasledovné aktivity:
 
· prezrieť dokumenty obsahujúce informácie o bezpečnostných opatreniach (napríklad plány alebo koncepcie bezpečnosti IT) - ak je proces bezpečnosti dobre dokumentovaný, mali by tam byť uvedené všetky existujúce alebo plánované opatrenia a stav ich implementácie,
· preveriť so zodpovednými osobami (napr. bezpečnostný manažér IS, manažér budovy alebo manažér prevádzky) a s používateľmi, ktoré bezpečnostné opatrenia sú pri posudzovanom IS skutočne implementované
· prejsť budovou sledujúc opatrenia, porovnávať implementované so zoznamom tých, ktoré by mali byť implementované a preveriť implementované, či fungujú správne a efektívne.
 
Môže dôjsť k zisteniu, že existujúce opatrenia presahujú aktuálne potreby. V takom prípade by sa malo zvážiť odstránenie týchto opatrení.
  Pri zvažovaní odstránenia nadbytočných alebo nepotrebných opatrení, by sa mali vziať do úvahy faktory bezpečnosti a nákladov. Keďže bezpečnostné opatrenia sa vzájomne ovplyvňujú, odstránenie nadbytočných opatrení by mohlo znížiť celkovú bezpečnosť. Okrem toho môže byť lacnejšie nechať opatrenia v prevádzke než ich odstrániť alebo, najmä ak majú opatrenia vysoké náklady na údržbu, môže byť lacnejšie odstrániť ich.
 
 
Všeobecne platí, že existujú dve rôzne sady opatrení, mechanizmov a/alebo procedúr, ktoré možno aplikovať na ochranu IS.
 
Na jednej strane existuje niekoľko kategórií najmä organizačných opatrení, ktoré sú všeobecne aplikovateľné pre každý systém, ak si ich vynútia špecifické okolnosti, bez ohľadu na jednotlivé komponenty IS.
Z dôvodu svojej všeobecnej použiteľnosti by mali byť opatrenia z týchto kategórií vždy brané do úvahy. Okrem toho implementácia mnohých z nich nie je nákladná, keďže sú založené na zavedení organizačných štruktúr a procedúr.
 
Všeobecne použiteľnými kategóriami bezpečnostných opatrení  pre riešenie bezpečnosti IS sú:
· Manažment a politika bezpečnosti,
· Preverovanie dodržiavania bezpečnosti,
· Ošetrovanie incidentov,
· Personál,
· Otázky prevádzky,
· Plánovanie nepretržitosti (kontinuity) činnosti,
· Fyzická bezpečnosť.
 
Na druhej strane existujú opatrenia špecifické pre IS - výber týchto opatrení závisí na type a charakteristikách analyzovaného systému IT.
 
Okrem všeobecne použiteľných opatrení, by mali byť pre každý relevantný typ komponentu systému vybrané aj opatrenia špecifické pre daný IS.
 
Nasledovná tabuľka poskytuje príklad, ako začať proces výberu opatrení špecifických pre daný IS.
V tomto príklade "X" označuje opatrenia, ktoré by mali byť implementované za normálnych okolností a "(X)" označuje opatrenia, ktoré by mohli byť potrebné za určitých okolností.
 
Samozrejme, vždy je možné, že jedna alebo viac z týchto kategórií alebo špecifických opatrení nebudú pre určitý IS použiteľné.
  Napríklad šifrovanie nemusí byť potrebné, ak posielané alebo prijímané informácie nevyžadujú zachovanie dôvernosti a integritu je možné overiť inak. Podrobnejší výber môže byť opäť vykonaný len pri zvážení ďalších informácií.
 

	Oddelené počítače	Pracovná stanica (klient bez zdieľaných prostriedkov) pripojená k sieti	Server alebo pracovná stanica so zdieľanými prostriedkami, pripojená k sieti
I&A
I&A založená na niečom, čo používateľ pozná	X	X	X
I&A založená na niečom, čo používateľ vlastní	X	X	X
I&A založená na niečom, čím používateľ je	(X)	(X)	(X)
Riadenie a audit logického prístupu
Politika riadenia prístupu			X
Prístup používateľov k počítačom	X	X	X
Prístup používateľov k dátam, službám a aplikáciám	X	X	X
Revidovanie a aktualizovanie prístupových práv			X
Auditné záznamy	X	X	X
Zlomyseľný kód
Skenery	X	X	X
Preverovače integrity	X	X	X
Riadenie obehu prenosných médií	X	X	X
Procedurálne opatrenia	X	X	X
Manažment sietí
Prevádzkové procedúry			X
Systémové plánovanie			X
Konfigurácia sietí			X
Oddelenie sietí			X
Monitorovanie sietí			X
Detekcia narušení			X
Kryptografia
Ochrana dôvernosti dát	(X)	(X)	(X)
Ochrana integrity dát	(X)	(X)	(X)
Nepopierateľnosť		(X)	(X)
Autentičnosť dát	(X)	(X)	(X)
Manažment kľúčov	(X)	(X)	(X)

 
 
 
Po analyzovaní niekoľkých IS  by sa malo zvážiť, či možno stanoviť celo firemnú základnú úroveň bezpečnosti IS.
 
Ďalšou možnosťou výberu opatrení bez podrobného zvažovania je použiť základné úrovne špecifické pre aplikácie. Napríklad sú dostupné základné manuály riešenia bezpečnosti IS pre telekomunikácie, zdravotnú starostlivosť, bankovníctvo a mnohé ďalšie.
  Pri používaní týchto manuálov je napríklad možné preveriť existujúce alebo plánované opatrenia a skontrolovať odporúčané. Avšak pred vybraním konkrétnych opatrení pre implementáciu je stále osožné podrobnejšie preskúmať bezpečnostné potreby alebo záujmy.
 
 
13.2.3   Ohodnotenie bezpečnostných požiadaviek a hrozieb
 
Ďalej opísaný výber opatrení podľa bezpečnostných záujmov a hrozieb možno použiť nasledovne:
 
· Prvým krokom je identifikovať a ohodnotiť bezpečnostné záujmy organizácie/ spoločnosti/podniku. Mali by sa posúdiť požiadavky na dôvernosť, integritu, dostupnosť, zodpovednosť, autenticita  a spoľahlivosť. Sila a počet vybraných opatrení by mali byť primerané ohodnoteným bezpečnostným záujmom.
· Ďalej sa pre každú z bezpečnostných požiadaviek uvedú typické hrozby a pre každú hrozbu sa navrhnú bezpečnostné opatrenia v závislosti na posudzovanom IS
 
 
Poznámka: Rôzne typy systémov IT sú predstavené v odseku 7.1 a prehľad možných opatrení je uvedený napríklad v pododsekoch odseku 8, štandardu ISO/IEC TR 13335, Časť 4.
 
Pre efektívny výber vhodných opatrení je potrebné pochopiť bezpečnostné záujmy podnikových operácií podporovaných posudzovaným systémom IT. S pomocou identifikácie bezpečnostných záujmov, berúc do úvahy relevantné hrozby, ktoré by mohli ohroziť tieto záujmy, môžu byť vybrané vhodné bezpečnostné opatrenia.
 
Informácie pre podporu uvedených faktov možno nájsť v odseku 11, štandardu ISO/IEC TR 13335, Časť 4.
 
Bezpečnostné obavy/záujmy môžu zahŕňať:
· stratu dôvernosti,
· stratu integrity,
· stratu dostupnosti,
· stratu zodpovednosti,
· stratu autenticity a
· stratu spoľahlivosti.
 
Tam, kde sú všetky možné straty dôvernosti, integrity, dostupnosti, zodpovednosti, autenticity a spoľahlivosti identifikované len ako pravdepodobne spôsobiace malé škody, dostatočnú bezpečnosť pre posudzovaný IS by mal poskytnúť prístup popísaný  nižšie.
 
Ak sa identifikuje, že ktorákoľvek z týchto strát by mohla pravdepodobne spôsobiť vážne škody, malo by sa zhodnotiť vybranie dodatočných opatrení k tým, ktoré sú uvedené v odsekoch 10.2 až 10.5. ISO/IEC TR 13335, Časť 4.
 
13.2.3.1 Strata dôvernosti
Posúďte, aké škody by mohli vzniknúť z (úmyselnej alebo neúmyselnej) straty dôvernosti posudzovaného aktíva (aktív). Strata dôvernosti môže napríklad viesť ku:
· strate dôvery verejnosti alebo pokazeniu verejného imidžu spoločnosti;
· právnym záväzkom, vrátane tých, ktoré môžu vzniknúť z porušenia legislatívy na ochranu dát;
· negatívnym účinkom na politiku organizácie;
· ohrozeniu osobnej bezpečnosti;
· finančným stratám.
 
Na základe odpovedí na uvedené otázky by sa malo rozhodnúť, či by celkové škody, ktoré môžu vyplynúť zo straty dôvernosti, boli vážne, malé alebo žiadne. Toto rozhodnutie by malo byť zdokumentované.
 
13.2.3.2 Strata integrity
Posúďte, aké škody by mohli nastať z (úmyselnej alebo neúmyselnej) straty integrity posudzovaných aktív. Strata integrity by mohla viesť napríklad k:
 
· prijímaniu nesprávnych rozhodnutí,
· podvodu,
· narušeniu podnikateľského procesu,
· strate dôvery verejnosti alebo pokazeniu verejného imidžu,
· finančnej strate a
· právnym záväzkom, vrátane tých, ktoré môžu vzniknúť z porušenia legislatívy na ochranu napr. osobných dát.
 
Na základe odpovedí na uvedené otázky by sa malo rozhodnúť, či by celkové škody, ktoré môžu vyplynúť zo straty dôvernosti, boli vážne, malé alebo žiadne. Toto rozhodnutie by malo byť zdokumentované.
 
13.2.3.3 Strata dostupnosti
Posúďte, aké škody by mohli vzniknúť z inej ako krátkodobej straty dostupnosti aplikácií alebo informácií, t.j. ktoré podnikové funkcie by po prerušení dostupnosti dát neboli dokončené včas. Mala by sa posúdiť aj extrémna forma straty dostupnosti, trvalá strata dát a/alebo fyzické zničenie hardvéru alebo softvéru. Strata dostupnosti kritických aplikácií alebo informácií by mohla viesť napríklad k:
· prijímaniu nesprávnych rozhodnutí,
· neschopnosti vykonávať kritické úlohy,
· strate dôvery verejnosti alebo zničeniu verejného imidžu,
· finančným stratám,
· právnym záväzkom, vrátane tých, ktoré môžu vzniknúť z porušenia legislatívy na ochranu dát a z nedodržania zmluvných termínov,
· značným nákladom na obnovu.
 
Je dôležité poznamenať, že škody vyplývajúce zo straty dostupnosti môžu významne kolísať z hľadiska rôzneho časového trvania nedostupnosti dát. Tam, kde toto platí, je vhodné posúdiť všetky škody, ktoré by mohli nastať počas takýchto rôznych časových období a zhodnotiť škody pre každé časové obdobie ako vážne, malé alebo žiadne (tieto informácie by sa mali potom použiť pri výbere opatrení).
 
Na základe odpovedí na uvedené otázky by sa malo rozhodnúť, či by celkové škody, ktoré by mohli vyplynúť zo straty dostupnosti, boli vážne, menšie alebo žiadne. Toto rozhodnutie by malo byť zdokumentované.
 
13.2.3.4 Strata zodpovednosti
Posúďte, aké škody by mohli vzniknúť zo straty zodpovednosti za činnosti používateľov, systémov alebo subjektov (napr. softvéru) konajúcich v mene používateľa. Toto posudzovanie by malo zahŕňať aj automaticky generované správy, ktoré môžu spôsobiť výskyt určitej činnosti. Strata zodpovednosti môže napríklad viesť k:
· manipulácii systémom používateľmi,
· podvodu,
· priemyselnej špionáži,
· nesledovateľným činnostiam,
· falošným obvineniam
· právnym záväzkom, vrátane tých, ktoré by mohli vzniknúť z porušenia legislatívy na ochranu dát.
 
Na základe odpovedí na uvedené otázky by sa malo rozhodnúť, či by celkové škody, ktoré by mohli vzniknúť zo straty zodpovednosti, boli vážne, menšie alebo žiadne. Toto rozhodnutie by malo byť zdokumentované.
 
13.2.3.5 Strata autenticity
Posúďte, aké škody by mohli vzniknúť zo straty autenticity dát a správ, bez ohľadu na to, či sú využívané ľuďmi alebo systémami. Je to obzvlášť dôležité v distribuovaných systémoch, kde sú prijaté rozhodnutia distribuované širokej komunite alebo kde sa používajú referenčné informácie. Strata autenticity by mohla viesť napríklad k
· podvodu,
· použitiu neplatných dát v platnom procese, čo b