Analýza rizík

Prírodné vedy » Informatika

Autor: verca123
Typ práce: Referát
Dátum: 31.05.2014
Jazyk: Slovenčina
Rozsah: 1 262 slov
Počet zobrazení: 4 116
Tlačení: 434
Uložení: 423
Analýza rizík
 
Najdôležitejšou etapou stanovenia bezpečnostnej politiky je analýza rizík. Analýza rizík predchádza vlastnému stanoveniu bezpečnostnej politiky. Jej cieľom je:
-  identifikovanie, zvládnutie, odstránenie alebo minimalizácia udalostí, ktoré majú nežiaduci vplyv na aktíva organizácie
-  zistenie hrozieb a rizík, ktorým je IS vystavený
-  určenie, aké škody môžu útokom vzniknúť
-  určenie, ktoré opatrenia riziká hrozieb odstránia alebo aspoň minimalizujú, a čo jednotlivé opatrenia stoja.
Projektant bude v tejto fáze pracovať s pojmami hrozba, bezpečnostné opatrenia, výška potenciálne spôsobených škôd a cena bezpečnostných opatrení. Predovšetkým ho bude zaujímať, aké sú riziká plynúce z jednotlivých hrozieb.
 
Náplň analýzy rizík možno definovať ako proces porovnávania odhadovaných rizík proti prínosu a/alebo cene možných bezpečnostných opatrení, stanovenia implementačnej stratégie v rámci vypracovávania systémovej bezpečnostnej politiky tak, aby bola v súlade s celkovou bezpečnostnou politikou a s poslaním organizácie. Generický model postupu pri analýze rizík možno vyjadriť výpočtom nasledujúcich krokov:
1.  identifikácia  a ocenenie aktív
2.  nájdenie zraniteľných miest
3.  odhad pravdepodobností využitia zraniteľných miest
4.  výpočet očakávaných (ročných) strát
5.  prehľad použiteľných opatrení a ich cien
6.  odhad ročných úspor aplikácií zvolených opatrení.
 
Ohodnotením a analýzou vlastných rizík dostaneme množinu potenciálnych ohrození. Pokiaľ vopred stanovíme hladinu akceptovateľného rizika a pokiaľ si reálne uvedomíme oblasť, do ktorej zasiahnuť nemôžeme (riziko zostatkové), potom samotné redukovateľné riziká členíme do hlavných štyroch kategórií, ako uvádza tabuľka:
 
Význam dôkladného prevedenia analýzy rizík je zásadný. U zamestnancov sa poznaním výsledkov analýzy zvýši pocit nutnosti bezpečnostného povedomia a lojálnosti k organizácii a k prevádzkovanému IS. Explicitne sa identifikujú aktíva, zraniteľné miesta a nutné opatrenia. Prevedením inventúry a stanovením reálnej hodnoty aktív z hľadiska možných škôd porušením dôvernosti, integrity, pohotovosti a nepopierateľnosti sa spresnia požiadavky na nutné bezpečnostné opatrenia. Získajú sa dôveryhodné podklady pre opodstatnenie zaobstarať nové bezpečnostné opatrenia nákupom  a prípadne sa zistí nutnosť vývoja nových bezpečnostných opatrení. Overí sa, či výška nákladov na zabezpečenie je úmerná. Vzájomné vzťahy medzi pojmami používanými pri analýze rizík (viď obr.7)
 
Výsledkom analýzy rizík je teda stanovenie, ktorým hrozbám je IS vystavený, aké sú riziká jednotlivých hrozieb, aké škody môžu vzniknúť a ktoré opatrenia hrozby odstránia. Generický postup pri analýze rizík začína evidenciou aktív a požiadavkou na bezpečnosť, pokračuje vyhľadávaním zraniteľných miest, určením hrozieb a odhadnutím rizík a výšky potenciálne spôsobených škôd, zistením cien vhodných bezpečnostných opatrení a ich voľbou (odporučením).
 
Prečo sa vlastne musia, resp. je vhodné, zisťovať riziká? Pretože sa explicitne identifikujú aktíva IS, zraniteľné miesta a bezpečnostné opatrenia. Inventúra dostupných aktív je vcelku vždy prínosná. Zistením výšky rizík a hodnôt aktív sa upresnia požiadavky na bezpečnostné opatrenia v IS a opodstatní sa zaobstaranie ochranných opatrení. Často sa zistí nutnosť vývoja nových ochranných opatrení. Overí sa, či výška nákladov na zabezpečenie IS je úmerná.
 
Rôzne stratégie uskutočňovania analýzy rizík sa vzájomne líšia podľa snahy o dosiahnutie vyrovnanosti časových a finančných nákladov, potrebné presnosti odhadu rizík a adekvátnosti voľby bezpečnostných opatrení.
 
Uskutočňuje sa:

5.1 Orientačná analýza rizík
Typicky sa používa ako súčasť budovania celkovej bezpečnostnej politiky. Jej výsledkom je rozhodnutie o voľbe jednej zo štyroch nasledujúcich stratégií analýzy rizík vhodných pre tvorbu predovšetkým konkrétnej systémovej bezpečnostnej politiky.
 
5.2 Elementárna analýza rizík
Je založená na prevzatí opatrení na základe analógie podobných systémov a zo všeobecných noriem. Jej prednosťou je vynakladanie zanedbateľných finančných a časových nákladov na uskutočnenie analýzy rizík a na voľbu bezpečnostných opatrení. Môžu sa ale voliť zbytočne drahé a silné alebo naopak nedostatočne silné opatrenia a nemožno ľahko odhadnúť dopad zmien konfigurácie IS na jeho bezpečnosť.
 
5.3 Neformálna analýza rizík
Jedná sa o uskutočnenie analýzy rizík na základe poznatkov jednotlivcov – odborníkov na bezpečnosť (interných alebo externých) bez použitia štandardných štruktúrovaných metód. Jej prednosťou je vynakladanie malých finančných a časových nákladov na analýzu rizík a na voľbu bezpečnostných opatrení. Je pre ňu charakteristické rýchle uskutočnenie, je vhodnou stratégiou pre malé organizácie. Trpí vyššou pravdepodobnosťou pozabudnutia niektorých rizík a je ľahkým ovplyvnením volieb nedoloženými subjektívnymi názormi riešiteľov. Obtiažne sa dokazuje oprávnenosť zvolených bezpečnostných opatrení a ich sila a  rovnako nemožno ľahko odhadnúť dopad zmien konfigurácie IS na jeho bezpečnosť.
 
5.4 Detailná analýza rizík
Uskutočnenie analýzy rizík použitím štandardizovaných štruktúrovaných metód vo všetkých šiestich zmienených fázach (identifikácie a ocenenie aktív, nájdenie zraniteľných miest ...). Jej prednosťou je malá pravdepodobnosť opomenutia niektorých rizík, neľahké ovplyvnenie volieb subjektívnymi názormi riešiteľov, dokázateľnosť oprávnenosti zvolených bezpečnostných opatrení a ich sily a to, že možno ľahko odhadnúť dopad zmien konfigurácie IS na jeho bezpečnosť. Musí sa počítať s vynaložením vysokých finančných a časových nákladov na uskutočnenie analýzy rizík a na voľbu bezpečnostných opatrení. Stratégia je pomerne náročná na odbornosť riešiteľov.
 
5.5 Kombinovaná analýza rizík
Systémy IT organizácie sa pri orientačnej analýze rizík rozdeľujú na kritické a na ostatné a uskutočnenie analýzy štandardizovanými štruktúrovanými metódami vo všetkých šiestich fázach sa podpisuje len pre kritické systémy IT a pre ostatné systémy IT sa predpisuje uskutočnenie elementárnej alebo neformálnej analýzy rizík. Kladom je dosiahnutie optimálnej výšky nákladov vynaložených na analýzu rizík. Nezodpovedné prevedenie orientačnej analýzy rizík môže však opomenúť niektoré systémy IT, pre ktoré bolo potrebné uskutočniť detailnú analýzu rizík alebo donútiť k neadekvátnemu vynakladaniu nákladov na nepotrebné detailné analýzy rizík. Určovanie hodnoty identifikovaných aktív sa uskutočňuje z hľadiska dostupnosti, t. j. náklady organizácie, keď sa niečo nerealizuje, z hľadiska dôvernosti, t. j. náklady organizácie, keď sa dôverné citlivé informácie neoprávnene zverejnia, z hľadiska integrity, t. j. náklady organizácie, keď dôjde k porušeniu autenticity, presnosti, úplnosti dát alebo softwaru. Každé aktívum IS je vhodné posudzovať z hľadiska škôd na dôvernosti, integrite a dostupnosti samostatne a nakoniec jednotlivé typy škôd kumulovať. Pri hľadaní zraniteľných miest sa mimo iného kladú otázky typu:
 
-  Čo spôsobí prírodné a fyzické katastrofy?
Požiar, búrka, záplava, výpadok energie, poruchy komponent atď.
-  Čo môže spôsobiť zásah zvonka?
Zásah cez sieť, cez komutované spoje, hackeri, návštevníci, odvoz odpadu atd.
-  Čo môže pôsobiť zámerný zlomyseľný zásah zvnútra?
 
Zásah vyvolaný vlastnými zamestnancami, podplácaním, zvedavosťou. Odhad rizík obvykle vychádza z obecných štatistík, z ktorých sa možno však obvykle dozvedieť iba ako často nastávajú požiare, prírodné katastrofy, ako často dochádza k povodniam, lúpeniam  a krádežiam v danom prostredí. Tieto informácie sa potom upresňujú podľa štatistík konkrétnych systémov, zisťujú sa počty porúch, neoprávnených prístupov alebo veľkosti súborov. Odhadujú sa početnosti za daný časový interval, obvykle rok vzhľadom k ročnému finančnému vyhodnocovaniu, prípadne sa odhadujú pravdepodobnosti jednotlivých udalostí. Pokiaľ nie sú tieto štatistické informácie dostupné, je potrebné vyvolať diskusie nezávislých odborníkov.
 
  Pri výpočte očakávaných ročných strát obvykle nebýva problematické ocenenie hardwaru a softwaru, problematické býva určenie ceny dát. Tu je potrebné vziať do úvahy, že umožnenie neautorizovaného prístupu ku štátnemu tajomstvu môže skončiť i väzením, že umožnenie neautorizovaného prístupu k výrobným a obchodným údajom má za následok zvýhodnenie konkurencie, že umožnenie neautorizovaného prístupu k bankovým dátam bude mať za následok zničenie povesti, že oneskorenie dostupnosti služieb môže mať za následok platenia penále, straty trhu, stratu zákazníka, možno aj smrť. Do ceny dát je potrebné zakalkulovať cenu ich opätovného zaobstarania alebo rekonštrukcie. Pri identifikácii možných cien aktív je ďalej potrebné si klásť otázky typu:
 
-  Ktoré právne záväzky nútia organizáciu zaisťovať dôvernosť a integritu dát?
-  Spôsobí sprístupnenie týchto dát škodu osobe či organizácii?
-  Môže byť organizácia za to stíhaná?
-  Dôjde ku strate pozície organizácie na trhu?
-  Môže konkurencia získať výhody nepoctivých spôsobom?
-  Dôjde k obchodným stratám?
-  Aký je psychologický dopad nedostupnosti služby?
-  Hrozí strata povesti?
-  Hrozí strata obchodných šancí a pokiaľ áno, tak u koľkých a akých zákazníkov?
-  Možno spracovanie dát oneskoriť?
-  Možno spracovanie dát uskutočniť inde?
-  Pokiaľ áno, koľko za to zaplatíme?
-  Aká je cena sprístupnených programov a dát pre iné osoby alebo organizácie?
-  Koľko by bola konkurencia ochotná za ne zaplatiť?
-  Čo vzniknú za problémy, keď dôjde ku strate dát?
-  Sú dáta nahraditeľné?
-  Možno dáta rekonštruovať?
-  Koľko dá práce rekonštrukcia alebo opätovné obstaranie dát?
 
Na záver analýzy rizík sa vypracuje prehľad použitých opatrení a ich cien a uskutoční sa odhad ročných úspor získaných aplikáciu určených bezpečnostných opatrení. V súčasnej dobe sú už k dispozícii pre automatizáciu detailné analýzy rizík, rôzne položkové zoznamy, špeciálne programové systémy. 

Oboduj prácu: 10 9 8 7 6 5 4 3 2 1

Vyhľadaj ďalšie študentské práce pre tieto populárne kľúčové slová:

#analyza rizik #ako sa piše zavináč #kumulace pri katastrofách #analýza #identifikácia bezpečnostných rizík


Odporúčame

Prírodné vedy » Informatika

:: KATEGÓRIE – Referáty, ťaháky, maturita:

Vygenerované za 0.023 s.
Zavrieť reklamu