Analýza rizík
Analýza rizík
Najdôležitejšou etapou stanovenia bezpečnostnej politiky je analýza
rizík. Analýza rizík predchádza vlastnému stanoveniu bezpečnostnej politiky. Jej cieľom je:
- identifikovanie, zvládnutie,
odstránenie alebo minimalizácia udalostí, ktoré majú nežiaduci vplyv na aktíva organizácie
- zistenie hrozieb a rizík, ktorým je IS
vystavený
- určenie, aké škody môžu útokom vzniknúť
- určenie, ktoré opatrenia riziká hrozieb odstránia alebo aspoň
minimalizujú, a čo jednotlivé opatrenia stoja.
Projektant bude v tejto fáze pracovať s pojmami hrozba, bezpečnostné opatrenia, výška
potenciálne spôsobených škôd a cena bezpečnostných opatrení. Predovšetkým ho bude zaujímať, aké sú riziká plynúce z jednotlivých
hrozieb.
Náplň analýzy rizík možno definovať ako proces porovnávania odhadovaných rizík proti prínosu a/alebo cene možných
bezpečnostných opatrení, stanovenia implementačnej stratégie v rámci vypracovávania systémovej bezpečnostnej politiky tak, aby bola
v súlade s celkovou bezpečnostnou politikou a s poslaním organizácie. Generický model postupu pri analýze rizík možno vyjadriť výpočtom
nasledujúcich krokov:
1. identifikácia a ocenenie aktív
2. nájdenie zraniteľných miest
3. odhad pravdepodobností
využitia zraniteľných miest
4. výpočet očakávaných (ročných) strát
5. prehľad použiteľných opatrení a ich cien
6. odhad ročných úspor aplikácií zvolených opatrení.
Ohodnotením a analýzou vlastných rizík dostaneme množinu
potenciálnych ohrození. Pokiaľ vopred stanovíme hladinu akceptovateľného rizika a pokiaľ si reálne uvedomíme oblasť, do ktorej zasiahnuť
nemôžeme (riziko zostatkové), potom samotné redukovateľné riziká členíme do hlavných štyroch kategórií, ako uvádza tabuľka:
Význam dôkladného prevedenia analýzy rizík je zásadný. U zamestnancov sa poznaním výsledkov analýzy zvýši pocit nutnosti
bezpečnostného povedomia a lojálnosti k organizácii a k prevádzkovanému IS. Explicitne sa identifikujú aktíva, zraniteľné miesta
a nutné opatrenia. Prevedením inventúry a stanovením reálnej hodnoty aktív z hľadiska možných škôd porušením dôvernosti, integrity,
pohotovosti a nepopierateľnosti sa spresnia požiadavky na nutné bezpečnostné opatrenia. Získajú sa dôveryhodné podklady pre opodstatnenie
zaobstarať nové bezpečnostné opatrenia nákupom a prípadne sa zistí nutnosť vývoja nových bezpečnostných opatrení. Overí sa, či
výška nákladov na zabezpečenie je úmerná. Vzájomné vzťahy medzi pojmami používanými pri analýze rizík (viď obr.7)
Výsledkom analýzy rizík je teda stanovenie, ktorým hrozbám je IS vystavený, aké sú riziká jednotlivých hrozieb, aké škody môžu
vzniknúť a ktoré opatrenia hrozby odstránia. Generický postup pri analýze rizík začína evidenciou aktív a požiadavkou na bezpečnosť,
pokračuje vyhľadávaním zraniteľných miest, určením hrozieb a odhadnutím rizík a výšky potenciálne spôsobených škôd, zistením cien
vhodných bezpečnostných opatrení a ich voľbou (odporučením).
Prečo sa vlastne musia, resp. je vhodné, zisťovať riziká?
Pretože sa explicitne identifikujú aktíva IS, zraniteľné miesta a bezpečnostné opatrenia. Inventúra dostupných aktív je vcelku vždy
prínosná. Zistením výšky rizík a hodnôt aktív sa upresnia požiadavky na bezpečnostné opatrenia v IS a opodstatní sa zaobstaranie
ochranných opatrení. Často sa zistí nutnosť vývoja nových ochranných opatrení. Overí sa, či výška nákladov na zabezpečenie IS je
úmerná.
Rôzne stratégie uskutočňovania analýzy rizík sa vzájomne líšia podľa snahy o dosiahnutie vyrovnanosti časových
a finančných nákladov, potrebné presnosti odhadu rizík a adekvátnosti voľby bezpečnostných opatrení.
Uskutočňuje sa:
5.1 Orientačná analýza rizík
Typicky sa používa ako súčasť
budovania celkovej bezpečnostnej politiky. Jej výsledkom je rozhodnutie o voľbe jednej zo štyroch nasledujúcich stratégií analýzy rizík
vhodných pre tvorbu predovšetkým konkrétnej systémovej bezpečnostnej politiky.
5.2 Elementárna analýza
rizík
Je založená na prevzatí opatrení na základe analógie podobných systémov a zo všeobecných noriem. Jej prednosťou je
vynakladanie zanedbateľných finančných a časových nákladov na uskutočnenie analýzy rizík a na voľbu bezpečnostných opatrení. Môžu sa
ale voliť zbytočne drahé a silné alebo naopak nedostatočne silné opatrenia a nemožno ľahko odhadnúť dopad zmien konfigurácie IS na jeho
bezpečnosť.
5.3 Neformálna analýza rizík
Jedná sa o uskutočnenie analýzy rizík na základe poznatkov
jednotlivcov – odborníkov na bezpečnosť (interných alebo externých) bez použitia štandardných štruktúrovaných metód. Jej prednosťou je
vynakladanie malých finančných a časových nákladov na analýzu rizík a na voľbu bezpečnostných opatrení. Je pre ňu charakteristické
rýchle uskutočnenie, je vhodnou stratégiou pre malé organizácie. Trpí vyššou pravdepodobnosťou pozabudnutia niektorých rizík a je ľahkým
ovplyvnením volieb nedoloženými subjektívnymi názormi riešiteľov. Obtiažne sa dokazuje oprávnenosť zvolených bezpečnostných opatrení
a ich sila a rovnako nemožno ľahko odhadnúť dopad zmien konfigurácie IS na jeho bezpečnosť.
5.4 Detailná analýza
rizík
Uskutočnenie analýzy rizík použitím štandardizovaných štruktúrovaných metód vo všetkých šiestich zmienených
fázach (identifikácie a ocenenie aktív, nájdenie zraniteľných miest ...). Jej prednosťou je malá pravdepodobnosť opomenutia niektorých
rizík, neľahké ovplyvnenie volieb subjektívnymi názormi riešiteľov, dokázateľnosť oprávnenosti zvolených bezpečnostných opatrení a ich
sily a to, že možno ľahko odhadnúť dopad zmien konfigurácie IS na jeho bezpečnosť. Musí sa počítať s vynaložením vysokých
finančných a časových nákladov na uskutočnenie analýzy rizík a na voľbu bezpečnostných opatrení. Stratégia je pomerne náročná na
odbornosť riešiteľov.
5.5 Kombinovaná analýza rizík
Systémy IT organizácie sa pri orientačnej analýze
rizík rozdeľujú na kritické a na ostatné a uskutočnenie analýzy štandardizovanými štruktúrovanými metódami vo všetkých šiestich
fázach sa podpisuje len pre kritické systémy IT a pre ostatné systémy IT sa predpisuje uskutočnenie elementárnej alebo neformálnej analýzy
rizík. Kladom je dosiahnutie optimálnej výšky nákladov vynaložených na analýzu rizík. Nezodpovedné prevedenie orientačnej analýzy rizík
môže však opomenúť niektoré systémy IT, pre ktoré bolo potrebné uskutočniť detailnú analýzu rizík alebo donútiť k neadekvátnemu
vynakladaniu nákladov na nepotrebné detailné analýzy rizík. Určovanie hodnoty identifikovaných aktív sa uskutočňuje z hľadiska
dostupnosti, t. j. náklady organizácie, keď sa niečo nerealizuje, z hľadiska dôvernosti, t. j. náklady organizácie, keď sa
dôverné citlivé informácie neoprávnene zverejnia, z hľadiska integrity, t. j. náklady organizácie, keď dôjde k porušeniu
autenticity, presnosti, úplnosti dát alebo softwaru. Každé aktívum IS je vhodné posudzovať z hľadiska škôd na dôvernosti, integrite
a dostupnosti samostatne a nakoniec jednotlivé typy škôd kumulovať. Pri hľadaní zraniteľných miest sa mimo iného kladú otázky typu:
- Čo spôsobí prírodné a fyzické katastrofy?
Požiar, búrka, záplava, výpadok energie, poruchy komponent atď.
- Čo
môže spôsobiť zásah zvonka?
Zásah cez sieť, cez komutované spoje, hackeri, návštevníci, odvoz odpadu atd.
- Čo môže
pôsobiť zámerný zlomyseľný zásah zvnútra?
Zásah vyvolaný vlastnými zamestnancami, podplácaním, zvedavosťou. Odhad rizík
obvykle vychádza z obecných štatistík, z ktorých sa možno však obvykle dozvedieť iba ako často nastávajú požiare, prírodné katastrofy,
ako často dochádza k povodniam, lúpeniam a krádežiam v danom prostredí. Tieto informácie sa potom upresňujú podľa štatistík
konkrétnych systémov, zisťujú sa počty porúch, neoprávnených prístupov alebo veľkosti súborov. Odhadujú sa početnosti za daný časový
interval, obvykle rok vzhľadom k ročnému finančnému vyhodnocovaniu, prípadne sa odhadujú pravdepodobnosti jednotlivých udalostí. Pokiaľ nie
sú tieto štatistické informácie dostupné, je potrebné vyvolať diskusie nezávislých odborníkov.
Pri výpočte
očakávaných ročných strát obvykle nebýva problematické ocenenie hardwaru a softwaru, problematické býva určenie ceny dát. Tu je potrebné
vziať do úvahy, že umožnenie neautorizovaného prístupu ku štátnemu tajomstvu môže skončiť i väzením, že umožnenie neautorizovaného
prístupu k výrobným a obchodným údajom má za následok zvýhodnenie konkurencie, že umožnenie neautorizovaného prístupu k bankovým
dátam bude mať za následok zničenie povesti, že oneskorenie dostupnosti služieb môže mať za následok platenia penále, straty trhu, stratu
zákazníka, možno aj smrť. Do ceny dát je potrebné zakalkulovať cenu ich opätovného zaobstarania alebo rekonštrukcie. Pri identifikácii
možných cien aktív je ďalej potrebné si klásť otázky typu:
- Ktoré právne záväzky nútia organizáciu zaisťovať
dôvernosť a integritu dát?
- Spôsobí sprístupnenie týchto dát škodu osobe či organizácii?
- Môže byť organizácia za to
stíhaná?
- Dôjde ku strate pozície organizácie na trhu?
- Môže konkurencia získať výhody nepoctivých spôsobom?
-
Dôjde k obchodným stratám?
- Aký je psychologický dopad nedostupnosti služby?
- Hrozí strata povesti?
- Hrozí strata
obchodných šancí a pokiaľ áno, tak u koľkých a akých zákazníkov?
- Možno spracovanie dát oneskoriť?
- Možno
spracovanie dát uskutočniť inde?
- Pokiaľ áno, koľko za to zaplatíme?
- Aká je cena sprístupnených programov a dát pre
iné osoby alebo organizácie?
- Koľko by bola konkurencia ochotná za ne zaplatiť?
- Čo vzniknú za problémy, keď dôjde ku
strate dát?
- Sú dáta nahraditeľné?
- Možno dáta rekonštruovať?
- Koľko dá práce rekonštrukcia alebo opätovné
obstaranie dát?
Na záver analýzy rizík sa vypracuje prehľad použitých opatrení a ich cien a uskutoční sa odhad ročných
úspor získaných aplikáciu určených bezpečnostných opatrení. V súčasnej dobe sú už k dispozícii pre automatizáciu detailné analýzy
rizík, rôzne položkové zoznamy, špeciálne programové systémy.
Zones.sk – Zóny pre každého študenta