PV017 Bezpecnost informa chcn technologi · Spekulativn / nespekulativn rizika 2 Nespekulativn...

�R��zen�� rizik

PV017 �Bezpe�cnost informa�cn��ch technologi��

Jan Staudek

http://www.�.muni.cz/usr/staudek/vyuka/

} w�� Æ�� !"#$%&'()+,-./012345<yA|Verze : podzim 2019

Riziko

2 Konkretnı stavova podstata nejistoty v systemuvztahujıcı se adresne k urcitemu zdroji ci prıcinebudoucıch problemu a potızı,ktera ma konkretnı casove a prostorove vymezenı

2 Nejistota vysledku dana moznym nezadoucım stavem

X Potenci �aln�� probl �em, nebezpe�c�� vzniku �skody,mo�znost selh �an�� a ne �usp�echu, po�skozen��, ztr �aty �ci zni�cen�� aktiva

X M��ra nejistoty,

pravd�epodobnost dosa�zen�� jin �eho ne�z o�cek �avan �eho v �ysledku

X Reprezentace negativn��ho dopadu vyu�zit�� zranitelnosti, tj. �utoku,p�ri�cem�z zohled �nuje jak pravd�epodobnost tak i �skodn�� dopad �utoku

Jan Staudek, FI MU Brno | PV017, Bezpe�cnost IT, �R��zen�� rizik 1

Rizika

2 Rizika mohou plynout

{ z c��l �u a �re�sen�� podnikatelsk �ych proces �u

{ z nedokonal �eho vyhov�en�� z �akonn �ym/smluvn��m z �avazk �um

{ z �urovn�e kvality n �avrhov �ych, implementa�cn��ch a

provozn��ch procedur aplika�cn��ch syst �em�u . . .

2 Rizika mohou existovat nez �avisle na na�s�� v �uli { v �ypadek

energie, z �aplava, zem�et�resn��, po�z �ar, . . .

2 Standard ISO/IEC 270001:2013, odst. 6.1.2 po�zaduje:

Organizace musı pristupovat k vyberu a k provozovanıbezpecnostnıch opatrenı na zaklade znalosti rizik

X k rizik �um se p�ristupuje na b �azi sc �en �a�r �u, nikoli pouze na b �azi aktiv

X rizika se je nutn �e zva�zovat nap�r��c cel �e chr �an�en �e oblast��,nikoli jednotliv�e v �u�ci hrozb �am jednotliv �ym aktiv �um


Spekulativn�� / nespekulativn�� rizika

2 Spekulativn�� rizika { jsou mimo sf �eru na�seho studia

X rizika dan �a konglomer �aty princip �u, c��l �u a po�zadavk �una zpracov �an�� informac�� nutn �ych pro podporu �cinnost�� organizace,kter �e vybo�cuj�� z dobr �e praxe organizace

X tato vybo�cen�� mohou generovat zisk (nebo taky ztr �aty),

X jedn �a se oblast strategi�� cinnost�� organizace,nikoli o sf �eru zaji�st'ov �an�� informa�cn�� bezpe�cnosti


Spekulativn�� / nespekulativn�� rizika

2 Nespekulativn�� rizika { zdroj p�r��padn �ych ztr �at

X mohou p�r��padn�e generovat pouze ztr �aty, �skody

X m�ela by b �yt identi�kovan �a

X m�ely by existovat pl �an zvl �ad �an�� rizik, tj. politikajak p�redch �azet �utok �um, jak reagovat na �utoky, jak �utoky detekovat

X zkoum�ame jejich eliminaci nebo alespo �n minimalizaciv oblasti informa�cn�� bezpe�cnosti

X pou�zit �a metodologie minimalizace { �r��zen�� rizik (risk management){ nepominuteln �a sou�c �ast/etapatvorby politiky informa�cn�� bezpe�cnosti a zaveden�� ISMS


Riziko se vyjad�ruje

2 jednak v pravd�epodobnostn��ch pojmech

(s jakou pravd�epodobnost�� se hrozba uplatn��)

2 a jednak v pojmech charakterizuj��c��ch dopad hrozby

(velikost �skody)

2 Generick �e kombinovan �e vyj �ad�ren�� urovn�e rizika:

�urove �n rizika =

F (pravd�epodobnost �utoku) × F�(dopad �utoku)

X do �uvahy se bere jak dopad relevantn��ho �utoku,tak i pravd�epodobnost realizace/uplatn�en�� hrozby ( �utoku)

X velmi v �yznamn �e riziko se stav�� na rove �n velk �emu dopadu avelk �e pravd�epodobnosti v �yskytu relevantn��ho �utoku

X nev �yznamn �e riziko se stav�� na rove �n mal �emu dopadu amal �e pravd�epodobnosti v �yskytu relevantn��ho �utoku


Zvl �ad �an�� rizik

2 Rizika se zvl �adaj�� volbou a uplat �nov �an��m vhodn �ych opat�ren��

2 Abychom riziko zvl �adli,

tj. eliminovali ho nebo sn��zili jeho �urove �n, mus��me ho

ohodnotit, tj. identi�kovat, pot �e analyzovat a vyhodnotit

(ur�cit jeho �urove �n)

X vynakl �ad �an�� velk �ych n �aklad �u na zaveden�� opat�ren�� chr �an��c��ch aktivaprevenc�� utok �u p�ri nev �yznamn �ych rizic��ch nen�� ospravedlniteln �e

2 Proces ohodnocen�� rizik usnadn�� nap�r. pou�zit��

tabulky rizik aktiv implementuj��c�� relaci mezi

aktivy (�r �adky tabulky) a faktory ur�cuj��c��mi rizika (sloupce)

X faktory ur�cuj��c�� riziko:

hrozba, zranitelnosti, id rizika, osoba odpov�edn �a za zvl �ad �an�� rizika,v �y�se mo�zn �e �skody, pravd�epodobnost �utoku, typ �uto�cn��ka . . .



2 Tabulku rizik aktiv vypl �nujeme sloupec po sloupci

X nejprve vypln��me seznam aktiv (1.sloupec),

organizace by si m�ela udr�zovat registr aktiv

X pot �e pro ka�zd �e aktivum ur�c��me pro n�e relevantn�� hrozbytj. nalezneme zranitelnosti, kter �e jednotliv �e hrozby akcentuj��a ur�c��me typ mo�zn �ych �uto�cn��k �u (amat �er, hacker, profesion �al)

2 Typick �e hrozby a zranitelnosti pro mal �e a st�redn�� rmy

jsou na mnoha zdroj��ch katalogizov �any

2 Zvl �adn�� rizik pro velk �e organizace obvykle �re�s�� outsourcovan�e

specializovan �a �rma nebo m�a takov �a organizace sv �uj

vlastn�� odbor pro �re�sen�� rizik.

X Pou�z��vaj�� se specializovan �e n �astroje zalo�zen �e naznalostn��m in�zen �yrstv��, znalostn��ch datab �az��ch, . . .

X Pro mal �e �rmy je to drah �e a zdlouhav �e �re�sen��.



2 Jak �y rozsah ohodnocen�� rizik se d �a zvl �adnout manu �aln�e ?

2 Necht' ka�zd �e z 50 aktiv organizace vykazuje 5 zranitelnost��,

jejich�z vyu�zit�� je zdrojem 10 hrozeb (v rozsahu CIA)

2 Zvl �adat 2 500 rizik pro malou organizaci s 10 zam�estnanci je

p�resp�r��li�s

2 Aktiva v�sak ignorovat nelze.

2 Lze se v�sak soust�redit na zvl �ad �an�� pouze v �yznamn �ych rizik

2 Nap�r. v pr �um�eru 5 v �yznamn �ych hrozeb na aktivum se

2 snadn�eji vyu�ziteln �ymi zranitelnostmi d �av �a 500 rizik,

co�z se ji�z d �a i v mal �e �rm�e mana�zersky zvl �adnout

2 Mus�� ale existovat mana�zersk �y postup ur�cuj��c�� v �yznamnost

rizik, typicky ve form�e 1 z �r��dic��ch proces �u organizace



2 Takov �a metodologie je dobr �ym kompromisem mezi

X rychl �ym ohodnocen��m rizik a

X systematick �ym a dostate�cn�e detailn��m ohodnocen��m umo�z �nuj��c��mvelmi p�resn�e identi�kovat potenci �aln�� bezpe�cnostn�� probl �em

2 T��m se snadn�eji dosahuje c��le ohodnocen�� rizik {

odhalit potenci �aln�� probl �em d�r��ve ne�z tento probl �em

nastane.

X Better safe than sorry


P�r��klad odvozen�� z �ava�znosti, �urovn�e rizika

2 riziko = F (pravd�epodobnost) × F�(dopad)

X v�se ve vhodn �em �sk �alov �an��, nikdy v absolutn��ch m��r �ach, nap�r.

X pravd�epodobnostn�� charakter rizika:

1, (L, Low), zanedbateln �y v �yskyt �utoku, jednou za dek �adu let2, (M, Medium), b�e�zn �y v �yskyt �utoku, jednou ro�cn�e3, (H, High), v �yskyt �utoku hrani�c��c�� s jistotou, ka�zd �y den

X dopad odpov��daj��c��ho �utoku:

1, (L) zanedbateln �y / akceptovateln �y , v des��tk �ach tis��c �u K�c2, (M) b�e�zn �y, ve statisic��ch K�c3, (H) katastro�ck �y, v milionech K�c

X riziko, resp. v �yznamnost rizika: resp. tabulkou

(L) zanedbateln �e riziko, (sou�ciny = 1,2) pravd�ep./dopad L M H(M) b�e�zn �e riziko, (sou�ciny = 3,4) L L L M(H) katastro�ck �e riziko, (sou�ciny = 6,9) M L M H

H M H H


P�r��klad odvozen�� z �ava�znosti, �urovn�e rizika

2 vyj �ad�ren�� v �yznamu rizika p�r��kladem ve v �y�si �skod / dek �adu:

(L) zanedbateln �e riziko, stovky tis��c K�c / dek �adu

(M) b�e�zn �e riziko, jednotky mili �on �u K�c / dek �adu

(H) katastro�ck �e riziko, des��tky a v��ce mili �on �u K�c / dek �adu

2 p�r��klad z �av�er �u pro zvl �ad �an�� rizik:

X (L) zanedbateln �e riziko je akceptovateln �e riziko,

�skody nevad�� obchodn��mu modelu, lze je p�r��p. o�set�rit poji�st �en��m

X (M) b�e�zn �e riziko

c��lem je (bezpe�cnostn��mi) opat�ren��mi riziko eliminovat nebo alespo �nsn��zit na zanedbateln �e riziko sn��zen��m pravd�epodobnosti �utoku

X (H) katastro�ck �e riziko je neakceptovateln �e riziko,

c��lem je preventivn�e bezpe�cnostn��mi opat�ren��mi riziko eliminovatnebo alespo �n je zm�enit na b�e�zn �e nebo na zanedbateln �e riziko


Role bezpe�cnostn��ch opat�ren��

2 p�rij��m �ame/zav �ad��me/prosazujeme (bezpe�cnostn��) opat�ren��,

kter �a dopad a/nebo pravd�epodobnosti uplatn�en�� hrozeb

(rizika) omezuj�� na akceptovatelnou hodnotu

X Pro katastro�ck �a rizika

m�a b �yt vypracovan �y pl �an realizace opat�ren��eliminuj��c��ch tato rizika nebo alespo �n v pevn�e dan �em �casov �emhorizontu redukuj��c��ch tato rizika na b�e�zn �a nebo na zanedbateln �a rizika

X Pro b�e�zn �a rizika

m�a b �yt ur�cena odpov�ednost na �urovni konkr �etn��ch osob/rol�� zauplat �nov �an�� stanoven �ych opat�ren�� eliminuj��c��ch tato rizikanebo redukuj��c��ch tato rizika na zanedbateln �a rizika

X Zanedbateln �a rizika

maj�� b �yt zvl �adnuteln �a (eliminovan �a) rutinn��mi provozn��miprocedurami nebo maj�� b �yt v�edom�e prohl �a�sen �a za zbytkov �a,tj. akceptovateln �a rizika


�R��zen�� rizik (Risk Management)

2 �R��zen�� rizik je generick �y pojem

X m�a se uplat �novat ve v�sech oblastech podnik �an��/�cinnosti organizace

X obecn �e principy proces �u �r��zen�� rizik jsou validn�� pro v�sechny oblasti�cinnosti organizace

X nejde o pouhou technickou funkci / slu�zbu zaji�st'ovanouexperty na informa�cn�� bezpe�cnost,

X jde o jednu z nejd �ule�zit �ej�s��ch obecn �ych mana�zersk �ych funkci

2 C��l na�seho v �ykladu {

{ porozum�et obecn �ym princip �um proces �u �r��zen�� rizik a

{ nau�cit se tyto principy aplikovat pro

tvorbu politiky informa�cn�� bezpe�cnosti a ISMS


C��l �r��zen�� rizik pro informa�cn�� bezpe�cnost

2 ISO/IEC 27005: 2011, Information technology - Security

techniques - Information security risk management

2 Identi�kace pot�reb organizace

{ z pohledu zaji�st �en�� vlastn�� informa�cn�� bezpe�cnosti a

{ z pohledu vytvo�ren�� u�cinn �eho (efektivn��ho) ISMS

2 Proces �r��zen�� rizik pro informa�cn�� bezpe�cnost lze aplikovat

X na organizaci jako celek,

X na samostatnou �c �ast organizace(nap�r. na odd�elen��, na fyzickou lokalitu, na slu�zbu),

X na st �avaj��c�� nebo pl �anovan �y informa�cn�� syst �em nebo

X na konkr �etn�� r��dic�� oblast, nap�r. na�r��zen�� kontinuity podnik �an��, business continuity planning


Procesy �r��zen�� rizik (Risk Management) { v �y�cet

2 Ustanoven�� kontextu, stanoven�� oblasti, krit �eri��, . . .

2 Ohodnocen�� rizik, Risk Assessment tvo�r�� podprocesy:Identi�kace rizik (Risk Identification)Anal �yza rizik (Risk Analysis) { ur�cen�� velikosti rizik

Vyhodnocen�� rizik (Risk Evaluation){ ur�cen�� urovn�� rizik porovn �an��m v �u�ci stanoven �ym krit �eri��m

2 Zvl �adnut�� rizik, Risk Treatment, Risk Mitigation{ proces modi�kuj��c�� rizika, v �yb�er a implementace opat�ren��sni�zuj��c��ch rizika

2 Akceptace rizik, Risk Acceptance{ rozhodov �an�� o p�rijatelnosti rizika dle stanoven �ych krit �eri��

2 Informov �an�� o rizic��ch, Risk Communication{ sd�elen�� informace o rizic��ch v�sem,kdo m�u�ze rizika ovlivnit �ci b �yt riziky ovlivn�en

2 Monitorov �an�� a p�rezkoum�av �an�� rizik a procesu �r��zen�� rizik


Procesy �r��zen�� rizik (Risk Management) { architektura


Procesy �r��zen�� rizik


C��le d��l�c��ch proces �u �r��zen�� rizik (Risk Management)

2 Ustanoven�� kontextu

X vymezen�� u�celu proveden�� r��zen�� rizik

X vymezen�� spravovan �e oblasti a jej��ch hranic

X zaji�st �en�� zdroj �u (ekonomick �ych, profesn��ch) pro �r��zen�� rizik

X stanoven�� krit �eri�� pro vyhodnocen�� dopad �u �utok �u, �urovn�� rizik,akceptovatelnosti rizik

X stanoven�� organiza�cn��ho zaji�st �en�� a odpov�ednostn��ch rol��za �r��zen�� rizik



2 Ohodnocen�� rizik, Risk AssessmentX Aktiva jsou vystaven �a hrozb �am, hrozby jsou dan �e existenc�� uto�cn��k �u a

zranitelnosti, n�ekter �e �utoky jsou pravd�epodobn�ej�s�� ne�z jin �e,ka�zd �y �utok m�u�ze m��t v�et�s�� ci men�s�� dopad

X Ohodnocen�� rizik identi�kuje v�sechny tyto aspekty pro ka�zdou hrozbu

X Jde o z��sk �an�� informac�� pro �u�cinn �e ur�cen�� / volbu opat�ren�� pot�rebn �ychke zm�en�e rizik na p�rijatelnou �urove �n pomoc�� proces �u

{ identi�kace rizik

{ anal �yza rizik { ur�cen�� velikosti rizik

{ vyhodnocen��, evaluace rizik porovn �an��m v �u�ci stanoven �ym krit �eri��m

X V �ystupem ohodnocen�� rizik je

{ prioritn�e �razen �y seznam ohodnocen �ych rizik,�razen �y podle krit �eri�� hodnocen�� rizik

{ Prohl �a�sen�� o aplikovatelnosti, Statement of Aplication,vhodn �ych opat�ren�� re�s��c��ch sni�zov �an�� / eliminaci ohodnocen �ych rizik


Metodologie ohodnocen�� rizik

2 Element �arn�� ohodnocen�� rizik

X p�revzet�� opat�ren�� na z �aklad�e analogie podobn �ych syst �em�u aze v�seobecn �ych standard �u

2 Neform�aln�� ohodnocen�� rizik

X ohodnocen�� rizik na z �aklad�e znalost�� jednotlivc �u {odborn��k �u na bezpe�cnost (intern��ch/extern��ch)

X metodick �y postup obv. sleduje n�ekter �y z standard �u(NIST SP 800-30, ISO/IEC 27005, . . . )

X bez pou�zit�� standardizovan �ych strukturovan �ych n �astroj �u


Metodologie ohodnocen�� rizik

2 Detailn�� (form �aln��) ohodnocen�� rizik

X ohodnocen�� rizik standardn��mi strukturovan �ymi metodami a n �astrojive v�sech f �az��ch (Identi�kace aktiv, identi�kace zraniteln �ych m��st, . . . )

X CRAMM (CCTA Risk Analysis and Management Method)CCTA { v UK, agentura st �atn�� spr �avy,Central Computer and Telecommunications AgencyDatab �aze znalost��, �sablon zpr �av, �sablon veden�� interview,sc �en �a�r �u dopad �u, doporu�cen �ych opat�ren��.

Metodick �y pr �uvodce �re�sen��m proces �u �r��zen�� rizik.

X �cesk �a �rma RAC { RAMSES(Risk Analysis and Management System for Enhanced Security)

X Metoda pouze pro pro�skolen �e analytiky, cena �r �adov�e 105 CZK

2 Kombinovan �e ohodnocen�� rizikX jak kde je to nutn �e (v�c. ekonomick �ych hledisek) se pou�zije

element �arn��, neform�aln�� nebo detailn�� (form �aln��) ohodnocen�� rizik


Deset krok �u procesu ohodnocen�� rizik

1. Stanov�� se krit �eria pro klasi�kaci rizik a akceptovatelnost rizik

2. Identi�kuj�� se hrozby poru�sen�� d �uv�ernosti, integrity a dostupnosti aktivv r �amci oblasti �r��zen �e ISMS

3. Identi�kuj�� se ,,vlastn��ci"rizik (pro ka�zdou hrozbu mus�� managementur�cit odpov�ednou osobu/entitu za monitorov �an�� hrozby, sni�zov �an��jej��ho uplatn�en�� { ka�zd �a hrozba mus�� m��t sv �eho ,,vlastn��ka"

4. Posoud�� se dopady �utok �u dan �ych materializac�� identi�kovan �ych hrozeb

5. Posoud�� se pravd�epodobnosti v �yskyt �u �utok �u dan �ych materializac��identi�kovan �ych hrozeb

6. Ur�c�� se �urovn�e rizik

7. Porovnaj�� se �urovn�e identi�kovan �ych rizik s kriterii akceptovatelnosti rizik

8. Stanov�� se priority analyzovan �ych rizik pro jejich zvl �adnut��

9. Cel �y proces se zdokumentuje

10. Zajist�� se, aby opakovan �e ohodnocov �an�� rizik pro InSecposkytlo konzistentn��, validn�� a porovnateln �e v �ysledky



2 Zvl �adnut�� rizik, Risk Treatment

X Rizika pro InSec organizace lze zvl �adnout a�z kdy�z jsouidenti�kovan �a, analyzovan �a a posouzen �a rizikapro d �uv�ernost, integritu a dostupnost informa�cn��ch aktiv organizace

X De�nuje se pl �an zvl �ad �an�� rizik, kter �y m �a �cty�ri souvisej��c�� c��le:

{ ur�c�� rizika, kter �a se eliminuj��(ne�z stav�et protipovod �novou hr �az, rad�eji servrovnu p�rem��stit na kopec)

{ ur�c�� rizika, kter �a nelze eliminovat a sn��z�� se na akceptovatelnou�urove �n (zvl �adnou se) implementac�� ur�cen �ych opat�ren��

{ ur�c�� tolerovan �a rizika, pro kter �a se po zv �a�zen�� odm��tla opat�ren��, kter �aby je udr�zovala na akceptovateln �e �urovni, akceptovateln �a rizika(zabudov �an�� n �aklad �u na �skodn�� r��zen�� do byznys modelu)

{ ur�c�� rizika, kter �a se p�renesou smluvn�e nebo poji�st �en��m najinou organizaci(�re�sen�� sd��len��m n �aklad �u na �skodn�� r��zen��)



2 Akceptace rizik

X odsouhlasen�� pl �anu zvl �ad �an�� rizik a soupisu akceptovateln �ych rizikmanagementem organizace



2 Informov �an�� o rizic��ch

X sd�elov �an�� v �ysledk �u �r��zen�� rizik managementu a zam�estnanc �um

2 N�asleduje implementace zvolen �ych opat�ren�� a

zabudov �an�� jejich prosazov �an�� do proces �u organizace

2 Monitorov �an�� a p�rezkoum�av �an�� rizik a procesu �r��zen�� rizik

X Rizika nejsou statick �a

X odhalov �an�� zm�en v kontextu, v rizic��ch,ve faktorech ovliv �nuj��c��ch �urovn�e rizik, . . .p�ri b�e�zn �e �cinnosti organizace


Procesy �r��zen�� rizik, detailn�ej�s�� rozbor

Nejprve jedna obecn �a pravda

2 Ohodnocov �an�� a zvl �ad �an�� rizik jsou slo�zit �e procesy nad

obrovsk �ymi mno�zstv��mi dat

2 Organizace by m�ela udr�zovat datab �azi aktiv v oblasti ISMS,

p�r��slu�sn �ych rizik, pravd�epodobnost��, vlastnictv��, klasi�kac��

citlivost��, . . .

2 Tato datab �aze se mus�� aktualizovat p�ri zm�en�e aktiv,vzniku nov �ych rizik, . . .

2 Existuj�� mnoh �e (des��tky) automatizovan �e n �astroje pro

ohodnocov �an�� rizik, aktu �aln�� p�rehled viz nap�r.

http://www.capterra.com/risk-management-software/


Procesy �r��zen�� rizik, ustanoven�� kontextu


Ustanoven�� kontextu proces �u �r��zen�� rizik

2 vymezen�� u�celu proveden�� proces �u �r��zen�� rizik, p�r��klady �u�cel �u:

X Podpora zaveden�� ISMS, vypracov �an�� politiky informa�cn�� bezpe�cnosti

X Vyhov�en�� z �akon �um, d �ukaz n �ale�zit �e pe�clivosti (due diligence)X P�r��prava pl �anu kontinuity podnik �an�� (business continuity plan)X P�r��prava pl �anu reakc�� na incidenty

X Popis po�zadavk �u na informa�cn�� bezpe�cnost pro produkt,slu�zbu nebo mechanismus

X . . .

2 zaji�st �en�� zdroj �u (ekonomick �ych, profesn��ch) na

X Proveden�� ohodnocen�� rizik a vypracov �an�� pl �anu zvl �adnut�� rizik

X De�nici a implementaci politik a procedur,v�cetn�e implementace vybran �ych opat�ren��

X Monitorov �an�� opat�ren��

X Monitorov �an�� procesu �r��zen�� rizik pro informa�cn�� bezpe�cnost



2 vymezen�� spravovan �e oblasti a jej��ch hranic

oblast: IT aplikace, IT infrastruktura, podnikatelsk �y proces,de�novan �a �c �ast organizace, . . .

(typick �e) p�r��klady v �ychodisek pro vymezen�� oblasti

X organizace uvnit�r oblasti mus�� b �yt fyzicky a/nebo logicky separov �anaod t�ret��ch stran a dal�s��ch organizac�� v r �amci v�et�s�� skupiny

X strategick �e podnikatelsk �e c��le, strategie a politiky

X podnikatelsk �e procesy

X funkce organizace a struktura organizace

X pr �avn��, licen�cn�� a smluvn�� po�zadavky na organizaci

X politiky informa�cn�� bezpe�cnosti organizace

X celkov �y p�r��stup organizace k �r��zen�� rizik

X informa�cn�� aktiva

X um��st�en�� organizace a jeho zem�episn �e charakteristiky

X omezen�� maj��c�� vliv na organizaci a o�cek �av �an�� z �u�castn�en �ych stran

X soci �aln�e-kulturn�� prost�red�� a rozhran�� (tj. v �ym�eny informac�� s okol��m)



2 stanoven�� organizace a odpov�ednostn��ch rol��

za �r��zen�� rizik pro informa�cn�� bezpe�cnost

(role a odpov�ednosti mus�� schv �alit management p�redem)

X V �yvoj procesu �r��zen�� rizik pro informa�cn�� bezpe�cnosti

X Identi�kace a anal �yza u�zivatel �u

X De�nice rol�� a odpov�ednost�� v�sech intern��ch i extern��chzainteresovan �ych stran

X Stanoven��

{ pot�rebn �ych vztah �u mezi organizac�� a z �u�castn�en �ymi stranami,

{ jako�z i rozhran�� na funkce �r��zen�� rizik vy�s�s�� urovn�e(�r��zen�� provozn��ch rizik, . . . )

{ a rozhran�� na dal�s�� relevantn�� projekty nebo �cinnosti

X De�nice cest eskalace rozhodnut��

X Speci�kace uchov �avan �ych zpr �av a informac��



2 stanoven�� krit �eri�� pro vyhodnocen�� dopad �u �utok �u

(v pojmech vhodn �e �sk �aly v �y�se �skod, resp. vznikl �ych n �aklad �u) na b �azi

X klasi�ka�cn��ch �urovn�� dot�cen �ych aktiv

X m��ry prolomen�� informa�cn�� bezpe�cnosti (ztr �ata dostupnosti, . . . )

X po�skozen�� provozn��ch �cinnost��

X podnikatelsk �ych �ci �nan�cn��ch ztr �at

X naru�sen�� pl �an �u a �casov �ych limit �u

X p�r��klad �sk �aly velikosti �skod

{ zanedbateln �a / akceptovateln �a �skoda v des��tk �ach tis��c �u K�c

{ b�e�zn �a �skoda ve statisic��ch K�c

{ katastro�ck �a �skoda v milionech K�c



2 stanoven�� krit �eri�� pro vyhodnocen�� urovn�� rizik

(lze je vyu�z��t pro ur�cen�� priorit pro zvl �ad �an�� rizik) z pohled �u

X strategick �ych hodnot podnikatelsk �ych informa�cn��ch proces �u

X kriti�cnosti dot�cen �ych informa�cn��ch aktiv

X pr �avn��ch a regulatorn��ch po�zadavk �u a smluvn��ch z �avazk �u

X provozn�� a podnikatelsk �e z �ava�znostidostupnosti, d �uv�ernosti a integrity

X o�cek �av �an�� a vn��m �an�� u�castn��k �u anegativn��ch dopad �u na d �uv�eryhodnost a pov�est

X p�r��klad �sk �aly �urovn�� rizik

{ akceptovateln �e riziko, stovky tis��c K�c / dek �adu

{ b�e�zn �e riziko, jednotky mili �on �u K�c / dek �adu

{ katastro�ck �e riziko, des��tky a v��ce mili �on �u K�c / dek �adu


P�r��klad odvozen�� sk �aly �urovn�� rizik

2 �urove �n rizika = F (pravd�epodobnost �utoku) × F�(dopad �utoku)

X v�se ve vhodn �em �sk �alov �an��, nikdy v absolutn��ch m��r �ach, nap�r.

X pravd�epodobnostn�� charakter rizika:

1, (L, Low), zanedbateln �y v �yskyt �utoku, jednou za dek �adu let2, (M, Medium), b�e�zn �y v �yskyt �utoku, jednou ro�cn�e3, (H, High), v �yskyt �utoku hrani�c��c�� s jistotou, ka�zd �y den

X dopad odpov��daj��c��ho �utoku:

1, (L) zanedbateln �y / akceptovateln �y , v des��tk �ach tis��c �u K�c2, (M) b�e�zn �y, ve statis��c��ch K�c3, (H) katastro�ck �y, v milionech K�c


P�r��klad odvozen�� sk �aly �urovn�� rizik

X �urove �n rizika, resp. v �yznamnost rizika

(VL) zanedbateln �e riziko, (sou�cin = 1)(L) akceptovateln �e riziko, (sou�ciny = 2)(M) b�e�zn �e riziko, (sou�ciny = 3,4)(H) vysok �e riziko, (sou�ciny = 6)(VH) katastro�ck �e riziko, (sou�cin = 9)

resp. tabulkou

pravd�ep./dopad L M H

L VL L MM L M HH M H VH



2 stanoven�� krit �eri�� pro akceptovatelnosti rizik

X zanedbateln �e riziko, zanedbateln �e �skody

X akceptovateln �e riziko

�skody nevad�� obchodn��mu modelu, lze je p�r��p. o�set�rit poji�st �en��m

X b�e�zn �e riziko

c��lem je (bezpe�cnostn��mi) opat�ren��mi rizikoeliminovat nebo alespo �nsn��zit na zanedbateln �e riziko sn��zen��m pravd�epodobnosti �utoku

X vysok �e riziko

c��lem je bez zbyte�cn �eho odkladu a p�r��padn�e i n �akladn �ymi(bezpe�cnostn��mi) opat�ren��mi riziko eliminovat nebo alespo �nsn��zit na zanedbateln �e riziko sn��zen��m pravd�epodobnosti �utoku

X katastro�ck �e riziko je neakceptovateln �e riziko,

c��lem je preventivn�e bezpe�cnostn��mi opat�ren��mi riziko eliminovatnebo alespo �n je zm�enit na b�e�zn �e nebo na zanedbateln �e riziko


Procesy �r��zen�� rizik, ohodnocen�� rizik


Procesy �r��zen�� rizik, ohodnocen�� rizik, identi�kace rizik


Ohodnocen�� rizik { Identi�kace rizik

2 �U�celem identi�kace rizik je ur�cit, co by mohlo zp �usob �skodu, a

pochopit jak, kde a pro�c m�u�ze ke �skod�e doj��t, a to pomoc��

proces �u pro nalezen��, rozpozn �an�� a pops �an�� rizik

2 identi�kace aktiv

vypracov �an�� seznamu aktiv zahrnut �ych do oblasti a s nimi

souvisej��c��ch relevantn��ch podnikatelsk �ych proces �u



2 identi�kace zranitelnost��

vypracov �an�� seznamu zranitelnost�� aktiv v oblasti na

z �aklad�e info. o aktivech, hrozb �ach a existuj��c��ch opat�ren��ch

X s p�r��p. indikac�� zn �am �ych zjevn �ych hrozeb a relevantn��ch opat�ren��

X �rada hrozeb m�u�ze vyu�z��vat i v��ce zranitelnost��

X je vhodn �e vyu�z��vat standardn�� pr �umyslov �e zdroje informac��o zranitelnostech, nap�r.

CVE, Common Vulnerabilities and Exposures,https://cve.mitre.org/about/index.html

Bugtraq, . . .

X �z �adn �y publikovan �y seznam zranitelnost�� nen�� a nem�u�ze b �ytdlouhodob�e vy�cerp �avaj��c��

X organizce mus�� b �yt schopna identi�kovat nov �e zranitelnostibez zbyte�cn �ych prodlev po jejich v �yskytu



2 identi�kace hrozeb

vypracov �an�� seznamu hrozeb a jejich zdroj �u ( �uto�cn��ci, zranitelnosti),kategorizovan �eho podle typu (d �uv�ernost, integrita, . . . ), aktiv, . . .



2 identi�kace dopad �u �utok �u, �skod

identi�kace mo�zn �ych �skod na z �aklad�e

znalosti aktiv a relevantn��ch podnikatelsk �ych proces �u,hrozeb a zranitelnost�� souvisej��c��ch s aktivy

vypracovan �a jako soubor sc �en �a�r �u �utok �u ilustruj��c��ch jak dan �a hrozbavyu�zije jistou zranitelnost nebo skupinu zranitelnost�� a zp �usob�� skoduna konkr �etn��m(��ch) aktivu(ech).

V �y�si �skod ovliv �nuj�� faktory typu: doba opravy, ztr �ata pracovn�� doby,u�sl �a p�r��le�zitost, �ujmy na zdrav�� a bezpe�c��, �nan�cn�� n �aklady na �uhraduspeci�ck �ych dovednost�� na n �apravu �skod, po�skozen�� pov�esti,ztr �ata d �uv�ery, . . .

V �y�se �skod je vhodn�ej�s�� sk �alovat ve zvolen �e stupnici odpov��daj��c��velikosti organizace ne�z ud �avat jej��ch p�resn �e hodnoty.

2 identi�kace existuj��c��ch a ji�z pl �anovan �ych opat�ren��

vypracov �an�� seznamu opat�ren�� a stavu jejich pou�z��v �an�� / implementac��


Souhrnn�e k identi�kaci hrozeb a zranitelnost��

2 ex. typov �e seznamy generick �ych hrozeb a zraniteln �ych m��st

2 ex. znalostn�� DB, expertn�� syst �emy, . . .

2 lze vyu�z��t znalost�� expert �u (extern��ch / intern��ch)

2 lze vyu�z��t princip podobnosti

2 Pozor na vazby mezi hrozbami, zranitelnostmi a aktivy:

{ ukl��zec�� fa necht�en�e vyhod�� dokument spadl �y ze stolu �reditele

{ (nev �yznamn �a hrozba { nez �am�ern �a chyba t�ret�� strany)

{ (m �alo pravd�epodobn �y incident { nepozornost �reditele)

{ byla to ale jedin �a kopie tajn �eho dokumentu

{ ztratila se data, do�slo k naru�sen�� dostupnosti aktiva

{ �skoda (dopad) m�u�ze b �yt mal �a, dokument se vytvo�r�� znovu

{ �skoda (dopad) m�u�ze b �yt extr �emn��,kdy�z dokument v odpadu najde agent / �spion konkurence


Souhrnn�e k identi�kaci hrozeb a zranitelnost��

V �ysledkem identi�kace hrozeb a zranitelnost�� je matice Aktiva x Hrozby,s prvky reprezentuj��c��mi �urove �n relevantn��ch rizik (. . . ).

Nyn�� se vyzna�c�� pouze relevance jist �e hrozby v �u�ci konkr �etn��mu aktivu.

�Urove �n, v �y�se, odpov��daj��c��ho rizika se dopln�� v kroku p�ri Vyhodnocenı rizikaktivum / hrozba d �uv�ernost d �uv�ernost d �uv�ernost integrita integrita integrita dostupnost

hrozba d1 hrozba d2 hrozba d3 hrozba i1 hrozba i2 hrozba i3 hrozba av1

syst �em1 . . . . . . . . . . . . . . . . . . . . .

syst �em2 . . . . . . . . . . . . . . . . . . . . .

......... . . . . . . . . . . . . . . . . . . . . .

DB klient �u . . . . . . . . . . . . . . . . . . . . .

......... . . . . . . . . . . . . . . . . . . . . .

Po anal �yz �ach aktiv, hrozeb a zranitelnost�� ka�zd �e aplikace v oblasti zn �ame

X o kterou aplikaci jde, pro�c se aplikace pou�z��v �a, kdo aplikaci pou�z��v �a

X kdo m�a z �ajem na aplikaci �uto�cit, jak lze na aplikaci �uto�cit


Procesy �r��zen�� rizik, ohodnocen�� rizik, anal �yza rizik


Ohodnocen�� rizik { Anal �yza rizik

2 Anal �yza rizik { ur�cen�� velikosti rizik

X �re�s�� se kvantitativn�� anal �yza rizik

{ obvykle se pou�z��v �a pouze pro hlavn�� rizika

{ je zalo�zena na ,,sou�cinech"pravd�epodobnost�� utok �u anumerick �ych v �y�s�� skod, po�c��taj�� se (potenci �aln��) ro�cn�� ztr �aty, . . .

{ p�rednost { v �ysledky jsou bezprost�redn�e pou�ziteln �e pron �akladovou anal �yzu p�r��nos �u doporu�cen �ych opat�ren��

{ probl �emy:

{ jsou dostupn �e pouze vesm�es nep�resn �e znalosti pravd�epodobnost��{ hodnocen�� v �y�s�� potenci �aln��ch �skod je �casto subjektivn��{ o nov �ych slabin �ach informa�cn�� bezpe�cnosti data chyb��

X C��le

Posouzen�� dopad �u/�skod: seznam �skod pro jednotliv �e sc �en �a�re �utok �una aktiva respektuj��c�� zvolen �a krit �eria hodnocen�� dopad �u

Posouzen�� pravd�epodobnosti v �yskyt �u pro jednotliv �e sc �en �a�re �utok �u


Ohodnocen�� rizik { Anal �yza rizik { Posouzen�� dopad �u

2 Vstupy

X anal �yza dopad �u na podnikatelsk �e procesy, dokumentace organizace {anal �yzy dopad �u podnikatelsk �e �cinnosti a kritick �e ohodnocen�� aktiv,ze kter �y lze odvodit identi�kaci kritick �ych aktiv a dat a citlivost datpodporuj��c��ch kritickou podnikatelskou misi organizace

2 Odhad �skod zp �usoben �ych �usp�e�sn �ym �utokem po naru�sen��

d �uv�ernosti, integrity, dostupnosti kritick �ych syst �em�u /

aktiv z hlediska potenci �aln��ch �skod:

X na d �uv�ernosti, integrit �e a dostupnosti aktiv

X na �cinnosti organizace, konkurenceschopnosti, �nanc��ch, pov�esti

X na smluvn��ch z �avazc��ch

X z hlediska pr �avn��ch odpov�ednost��

2 V �ystupy

X �sk �alovac�� stupnice dopad �u



2 �Sk �alovac�� stupnice hodnocen�� dopad �u dle SP 800-30 (NIST)

X High

Exercise of the vulnerability (1) may result in the highly costly loss ofmajor tangible assets or resources; (2) may significantly violate, harm,or impede an organization’s mission, reputation, or interest; or (3) mayresult in human death or serious injury.

X Medium

Exercise of the vulnerability (1) may result in the costly loss of tangibleassets or resources; (2) may violate, harm, or impede an organization’smission, reputation, or interest; or (3) may result in human injury.

X Low

Exercise of the vulnerability (1) may result in the loss of some tangibleassets or resources or (2) may noticeably affect an organization’s mission,reputation, or interest.



2 �Sk �alovac�� stupnice �skod se �sk �alov �an��m podle v �y�se �skod

X v �y�s�� skody lze charakterizovat i n �aklady na opravu,na odstran�en�� probl �emu apod., ztr �atu pov�esti nelze m�e�rit pen�ezi,vhodn�ej�s�� m��rou je �sk �alov �an�� typu vysok �a-st�redn��-mal �a �skoda

X 1, nepatrn �a do 10 000 CZK2, mal �a 10 000 a�z 100 000 CZK3, st�redn�� 100 000 a�z 1 000 000 CZK4, velk �a 1 000 000 a�z 10 000 000 CZK5, extr �emn�� 10 000 000 a�z 100 000 000 CZK6, katastro�ck �a ohro�zuj��c�� schopnost dost �at �nan�cn��m z �avazk �um

2 do v �y�se �skody je pot�reba zahrnout v�sechny identi�kovateln �e

n �aklady, (p�r��m �e, nep�r��m �e, d �usledkov �e {

v�c. ztr �at v �ypadkem �cinnosti)

2 je lep�s�� m��t p�ribli�zn�e dobr �y ne�z ,,p�resn �y"chybn �y odhad


Ohodnocen�� rizik { Anal �yza rizik { Pravd�epodobnosti �utok �u

2 �Sk �alovac�� stupnice pravd�epodobnost�� podle ISO/IEC 27005

X 1, Very Low velmi nepravd�epodobn �a ud �alost2, Low nepravd�epodobn �a ud �alost3, Medium mo�zn �a ud �alost4, High pravd�epodobn �a ud �alost5, Very High �cast �a ud �alost

2 �Sk �alovac�� stupnice pravd�epodobnost�� se podle

odhadu frekvence �utok �u

X 1, nepatrn �a ne v��ce ne�z 1x / v��ce ne�z 5 let2, velmi mal �a 1 x / 1 { 5 let3, mal �a 1 x / p �ul roku4, st�redn�� 1 x / �ctvrt roku5, velk �a 1 x / t �yden6, velmi velk �a 1 x / den7, extr �emn�� prakticky kdykoliv, trval �a hrozba


Ohodnocen�� rizik { Anal �yza rizik { Pravd�epodobnosti �utok �u

2 �Sk �alovac�� stupnice pravd�epodobnost�� dle SP 800-30 (NIST)

X �sk �alov �an�� podle motivace �uto�cn��ka a efektivnosti opat�ren��

X High

The threat-source is highly motivated and sufficiently capable, andcontrols to prevent the vulnerability from being exercisedare ineffective.

X Medium

The threat-source is motivated and capable, but controls are in placethat may impede successful exercise of the vulnerability.

X Low

The threat-source lacks motivation or capability, or controls arein place to prevent, or at least significantly impede,the vulnerability from being exercised.


Procesy �r��zen�� rizik, vyhodnocen�� rizik


Ohodnocen�� rizik { Vyhodnocen�� rizik, evaluace rizik

2 Vstupy

X pravd�epodobnosti uplatn�en�� hrozeb, hodnoty dopad �u, adekv �atnostst �avaj��c��ch a ji�z pl �anovan �ych opat�ren��

2 Riziko konkr �etn�� hrozby/zranitelnosti lze vyj �ad�rit jako funkci

X pravd�epodobnosti �utoku

X velikost�� skody zp �usoben �e �usp�e�sn �ym �utokem

2 Vyhodnocen�� / evaluace rizik { odvozen�� urovn�� rizik

z odhad �u pravd�epodobnost�� utok �u a

z odhad �u o�cek �avan �ych ztr �at (dopad �u �utok �u)

porovn �an��m v �u�ci stanoven �ym krit �eri��m

2 V �ystupy

X rizika a souvisej��c�� urovn�e rizik, seznam rizik prioritn�e �razen �y podlekrit �eri�� ohodnocov �an�� rizik ve vztahu k bezpe�cnostn��m incident �um



2 Metodika vyhodnocov �an�� rizik { stanoven�� urovn�� rizik podle

X pravd�epodobnosti �utoku { uplatn�en�� hrozby

X velikost�� dopadu { �skody zp �usoben �e �usp�e�sn �ym �utokem

2 Pro m��ru rizika je nutn �e de�novat metodu odvozen�� urovn�e

rizika

X typicky r �uzn �e tabulkov �e metody kombinuj��c��subjektivn�� a empirick �e m��ry

2 P�r��klad �sk �alov �an�� urovn�� rizik

(pravd�epodobnost��, hodnot, . . . ):

mal �e, st�redn��, vysok �e

0, 1, 2, . . . , 9

apod.



2 P�r��klad 1 (ISO/IEC 27005)

X �skody na aktivech (dopady �utok �u) se vyj �ad�r�� m��rou (0 { 4)

X �utok, tj. uplatn�en�� hrozby v �u�ci aktivu, je charakterizovateln �y{ pravd�epodobnost�� uskute�cn�en�� utoku(co�z je d �ano mno�zstv��m a silou �uto�cn��k �u) a

{ snadnost�� vyu�zit�� zranitelnosti aktiva

X pravd�epodobnost uplatn�en�� hrozby a snadnost vyu�zit�� zranitelnostise vyj �ad�r�� m��rou (Low, Medium, High)

X �urove �n rizika se �sk �alov �an��m 0 { 8 pak lze vyj �ad�rit matic�� nap�r. takto:

. pravd�ep. Low Medium High

dopad . snadnost Low Medium High Low Medium High Low Medium High

0 . 0 1 2 1 2 3 2 3 4

1 . 1 2 3 2 3 4 3 4 5

2 . 2 3 4 3 4 5 4 5 6

3 . 3 4 5 4 5 6 5 6 7

4 . 4 5 6 5 6 7 6 7 8



2 P�r��klad 2 (ISO/IEC 27005)

X sc �en �a�r reprezentuj��c�� uplatn�en�� hrozby v �u�ci aktivu,vyu�z��vaj��c�� jistou zranitelnost, lze de�novat{ pravd�epodobnost�� uskute�cn�en�� utoku(co�z je d �ano mno�zstv��m a silou �uto�cn��k �u) a

{ �urovn�� zranitelnosti aktiva

X pravd�epodobnost uplatn�en�� hrozby a obt��znost vyu�zit�� zranitelnostise vyj �ad�r�� m��rou (Low, Medium, High)

X pravd�epodobnost uplatn�en�� sc �en �a�r �u lze vyj �ad�rit �sk �alou (0 { 4)

pravd�epodobnost Low Medium High�utoku

�urove �n Low Medium High Low Medium High Low Medium Highzranitelnosti

pravd�epodobnostsc �en �a�re h./zr. 0 1 2 1 2 3 2 3 4



X hodnoty aktiv se vyj �ad�r�� m��rou (0 { 4)

X �urove �n rizika se �sk �alov �an��m 0 { 8 pak lze vyj �ad�rit matic�� nap�r. takto:

hodnota aktiva / pravd. sc �en �a�re 0 1 2 3 4

0 0 1 2 3 4

1 1 2 3 4 5

2 2 3 4 5 6

3 3 4 5 6 7

4 4 5 6 7 8

X p�r��padn�e lze �sk �alov �an�� rizik zjednodu�sit na hodnoty

(Low, Medium, High):

Low hodnoty 0 { 2

Medium hodnoty 3 {5

High hodnoty 6 { 8



P�r��klad 3: Matice �urovn�� rizik: F (dopad, pravd�epodobnost �utoku)

p�r��klad, varianta P�r��kladu 1, �sk �ala rizik: mal �e{st�redn��-vysok �e riziko

dopad / pravd. nepatrn �a velmi mal �a mal �a st�redn�� velk �a velmi velk �a extr �emn��

nepatrn �y mal �e mal �e mal �e mal �e st�redn�� st�redn�� st�redn��

mal �y mal �e mal �e st�redn�� st�redn�� st�redn�� st�redn�� st�redn��

st�redn�� mal �e st�redn�� st�redn�� st�redn�� velk �e velk �e velk �e

velk �y mal �e st�redn�� st�redn�� velk �e velk �e velk �e velk �e

extr �emn�� st�redn�� st�redn�� velk �e velk �e velk �e velk �e velk �e

katastro�ck �y st�redn�� st�redn�� velk �e velk �e velk �e velk �e velk �e



P�r��klad 4: �Sk �alov �an�� hrozeb:

V �yznamnost hrozby roste s �urovn�� rizika, kter �e p�redstavuje,�urove �n rizika = dopad �utoku× pravd�epodobnost �utoku

p�r��klad, ISO/IEC 27005,

�sk �ala dopad �u: 1 { 5

�sk �ala pravd�epodobnosti �utoku: 1 { 5

nap�r.

Hrozba dopad pravd�epodobnost �urove �n Priorita hrozby

Hrozba A 5 2 10 2

Hrozba B 2 4 8 3

Hrozba C 3 5 15 1

Hrozba D 1 3 3 5

Hrozba E 4 1 4 4

Hrozba F 2 4 8 3



V �ysledkem identi�kace hrozeb a zranitelnost�� byla matice Aktiva x Hrozby,jej��z prvky lze vyhodnocen��m rizik konkretizovat, nap�r.:

aktivum / hrozba d �uv�ernost integrita dostupnost

hrozba d1 hrozba d2 hrozba d3 hrozba i1 hrozba i2 hrozba i3 hrozba . . .

syst �em1 mal �e . . . . . . st�redn�� . . . . . . . . .

syst �em2 mal �e st�redn�� . . . . . . . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

DB klient �u st�redn�� velk �e . . . velk �e . . . . . . . . .

. . . . . . . . . . . . . . . . . . . . . . . .

2 �Urovn�e rizik vytv �a�r�� z �akladnu pro zvl �ad �an�� rizik { zd �uvodn�en �y

v �yb�er c��l �u relevantn��ch opat�ren��

X volba a aplikace opat�ren�� mus�� nab��zet konzistentn�� urove �nzbytkov �eho rizika informa�cn�� bezpe�cnosti v cel �e oblasti pokryt �epolitikou


Evaluace rizik podle z �akona o kybernetick �e bezpe�cnosti

2 riziko = dopad * hrozba/100 * zranitelnost/100



2 Stupnice pro hodnocen�� urovn�e dopadu

X N��zk �y dopad{ Dopad je v omezen �em �casov �em obdob�� a mal �eho rozsahu a nesm�� b �ytkatastro�ck �y. Rozsah p�r��padn �ych �skod nem�a p�rekro�cit 100 000 K�c.

{ M�e�r��tko: 0 { 1

X St�redn�� dopad{ Dopad je omezen �eho rozsahu a v omezen �em �casov �em obdob��.Rozsah p�r��padn �ych �skod je v rozsahu od 100 000 K�c do 1 000 000 K�c.

{ M�e�r��tko: 1 { 3

X Vysok �y dopad{ Dopad je omezen �eho rozsahu, ale trval �y nebo katastro�ck �y. Rozsahp�r��padn �ych �skod je v rozsahu od 1 000 000 K�c do 25 000 000 K�c.

{ M�e�r��tko: 3 { 30

X Kritick �y dopad{ Dopad je plo�sn �y rozsahem, trval �y a katastro�ck �y.Rozsah p�r��padn �ych �skod p�rekra�cuje 25 000 000 K�c.

{ M�e�r��tko: 30 { 100



2 Stupnice pro hodnocen�� urovn�e pravd�epodobnosti hrozby

X N��zk �a pravd�epodobnost

{ Hrozba neexistuje nebo je m�alo pravd�epodobn �a.

{ M�e�r��tko v procentech: 0 { 25

X St�redn�� pravd�epodobnost

{ Hrozba je m�alo pravd�epodobn �a a�z pravd�epodobn �a.


X Vysok �a pravd�epodobnost

{ Hrozba je pravd�epodobn �a a�z velmi pravd�epodobn �a.


X Kritick �a pravd�epodobnost

{ Hrozba je velmi pravd�epodobn �a a�z v��cem�en�e jist �a.

{ M�e�r��tko v procentech: 75 {100



2 Stupnice pro hodnocen�� urovn�e pravd�epodobnosti vyu�zit��

zranitelnosti

X N��zk �a pravd�epodobnost

{ vyu�zit�� zranitelnosti je m �alo pravd�epodobn �e.


X St�redn�� pravd�epodobnost

{ vyu�zit�� zranitelnosti je m �alo pravd�epodobn �e a�z pravd�epodobn �e.


X Vysok �a pravd�epodobnost

{ vyu�zit�� zranitelnosti je pravd�epodobn �e a�z velmi pravd�epodobn �e.


X Kritick �a pravd�epodobnost

{ vyu�zit�� zranitelnosti je velmi pravd�epodobn �e a�z v��cem�en�e jist �e.

{ M�e�r��tko v procentech: 75 {100



2 Stupnice pro hodnocen�� urovn�e rizika

X N��zk �e riziko

{ Riziko je pova�zov �ano za p�rijateln �e.{ M�e�r��tko: 0 { 1

X St�redn�� riziko

{ Riziko m�u�ze b �yt sn��zeno m�en�e n �aro�cn �ymi opat�ren��mi nebov p�r��pad�e pou�zit�� n �aro�cn�ej�s��ch opat�ren�� je riziko p�rijateln �e.

{ M�e�r��tko: 1 { 3

X Vysok �e riziko{ Riziko je dlouhodob�e nep�r��pustn �e a mus�� b �yt zah �ajeny systematick �ekroky k jeho odstran�en��.

{ M�e�r��tko: 3 { 30

X Kritick �e riziko{ Riziko je nep�r��pustn �e a mus�� b �yt neprodlen�e zah �ajeny krokyk jeho odstran�en��.

{ M�e�r��tko:. 30 { 100


Ohodnocen�� rizik { Doporu�cen�� opat�ren��

2 V �ystupyX Seznam doporu�cen �ych opat�ren��,

Prohl �a�sen�� o aplikovatelnosti, Statement of Applicability, SoA2 SoA obsahuje seznam a zd �uvodn�en�� opat�ren��, kter �a by mohla

sn��zit nebo odstranit rizika a jsou vhodn �a pro organizaci

(oblast organizace)

2 C��lem doporu�cen �ych opat�ren�� je redukce �urovn�e rizik na

akceptovateln �a rizika, p�ri�cem�z je nutn �e br �at do �uvahy

faktory typuX �u�cinnost doporu�covan �ych voleb { nap�r. kompatibilita se syst �emem

X pr �avn�� a smluvn�� omezen��

X organiza�cn�� politika

2 Cena implementace opat�ren�� mus�� b �yt zd �uvodniteln �a

odpov��daj��c�� redukc�� rizik



2 Preventivn��mi opat�ren��mi

se maj�� (by se m�ela) �re�sit velk �a rizika

X zamezuj�� utoku, resp. eliminuj�� dopad �utoku,

X obvykle jsou n �akladn �a a/nebomnohdy omezuj�� efektivitu �cinnost�� organizace, nap�r.{ z �akaz pou�z��v �an�� USB za�r��zen�� na stoln��ch po�c��ta�c��ch, notebook �u, . . .{ z �akaz p�r��stupu na Internet, z �akaz zas��l �an��/p�rij��m �an�� p�r��loh v e-mail

2 N�apravn �a (heuristick �a) opat�ren��

typicky redukuj�� mo�zn �y �u�cinek �utoku se st�redn��m rizikem

X �sifrov �an�� zpr �av, kryptogra�ck �e zaji�st �en�� integrity (MAC), . . .

X vytv �a�ren�� z �aloh dat a mo�znost obnovy, . . .

2 Mal �a rizika lze �re�sit nap�r. poji�st �en��m nebo akceptov �an��m

�skod do modelu (�lozo�e) �cinnost�� organizace



2 Standardizovan �e volby opat�ren�� re�s��c�� jednotliv �e hrozby

obsahuje ISO/IEC 27002 : 2005

X v�c. obvykl �ych dobr �ych metod jejich aplikace

X V �y�cet nen�� a nem�u�ze b �yt �upln �y, opat�ren�� vybran �a z ISO/IEC 27002lze dopl �novat dal�s��mi opat�ren��mi podle pot�reb konkr �etn��ho prost�red��

2 Vybran �a opat�ren�� se de�nuj�� v dokumentu

Prohl �a�sen�� o aplikovatelnosti ur�cen��m

X jak jsou pln�eny p�redem dan �e po�zadavky na informa�cn�� bezpe�cnost(c��le opat�ren�� odvozen �e z v �ysledku anal �yzy a vyhodnocen�� rizik)

X objasn�en�� a zd �uvodn�en�� voleb opat�ren��

X po�zadovan �ych d �ukaz �u validn��ch implementac�� aspr �avn �e �cinnosti opat�ren�� (metriky viz pozd�eji)

X po�zadovan �ych d �ukaz �u redukc�� rizik na akceptovatelnou �urove �n


Ohodnocen�� rizik { Prohl �a�sen�� o aplikovatelnosti

2 jedn �a se o pravideln�e p�rezkoum�avan �y dokument

2 jedn �a se o b �azov �y dokument pro certi�kaci ISMS

2 typicky tvo�r�� j �adro manu �alu ISMS

2 jedn �a se dokument pou�ziteln �y pro demonstraci �urovn�e

bezpe�cnosti t�ret��m stran �am

{ v tom p�r��pad�e mus�� t�ret�� strana podepsat NDA

{ a nebo dokument d�elit na ve�rejnou �c �ast

(kter �a opat�ren�� jsou v zaveden �a ISMS)

a d �uv�ernou �c �ast (jak a kde jsou v ISMS implementovan �a)

2 dokument po�zadovan �y auditory posuzuj��c��mi politiku / ISMS

2 m�a b �yt podepsan �y/autorizovan �y vlastn��kem oblasti

(typicky role z �reditelsk �e �urovn�e struktury organizace)


Ohodnocen�� rizik { Dokumentace v �ysledk �u ohodnocen�� rizik

2 V �ystupy { Zpr �ava o ohodnocen�� rizik

X je ur�cena pro management, majitele �rmy, aby mohli u�cinit rozhodnut��o politice, procedur �ach, rozpo�ctu, o provozn��ch a �r��dic��ch zm�en �ach, . . .

X Nejde o v �yzkumnou �ci auditn�� zpr �avu o nedostatc��ch, ne�zaluje

X Systematicky a analyticky ohodnocuje rizika tak, aby jim veden��porozum�elo a p�rid�elilo zdroje na redukci a opravu potenci �aln��ch ztr �at


Procesy �r��zen�� rizik, Zvl �ad �an�� rizik



2 Pln �e odstran�en�� rizika je obvykle nepraktick �e nebo

t �em�e�r nemo�zn �e

2 Odpov�edn �e veden�� organizace za �u�celn�e vysok �e n �aklady zajist��

implementaci nejvhodn�ej�s��ch opat�ren��, kter �a sn��z�� rizika

pro podnikatelsk �e procesy na akceptovatelnou �urove �n

X �skodn �y dopad na posl �an�� a procesy organizace bude minim �aln��

2 Z �akladn�� pravidlo

X V�zdy se �re�s�� se nejv�et�s�� riziko a

X usiluje se o dostate�cn �e sn��zen�� tohoto rizikaza nejmen�s�� mo�znou cenu, tak aby �re�sen�� m�elo minim �aln�� dopad naostatn�� zp �usobilosti podnikatelsk �ych proces �u

2 De�nuje se pl �an zvl �ad �an�� rizik, harmonogram implementace

opat�ren�� a de�nuje se v �y�cet zbytkov �ych rizik


Pl �an zvl �ad �an�� rizik

2 Organizace mus�� de�novat a aplikovat proces zvl �ad �an�� rizik

v oblasti vymezen �e bezpe�cnostn�� politikou InSec

2 Pl �an zvl �ad �an�� rizik

X mus�� b �yt dokumentovan �y

X je vypracovan �y pro prost�red�� vymezen �e bezpe�cnostn�� politikou InSec

X �r��k �a, jak organizace �re�s�� rizika a stanovuje krit �eria pro jejichakceptov �an�� (mus�� b �yt v souladu s krit �erii,kter �a organizace pou�z��v �a pro hodnocen�� v�sech typ �u rizik

X proces zvl �ad �an�� rizik mus�� b �yt de�novan �y a popsan �y form�aln�e, mus��b �yt stanoven �e odpov�ednosti za jeho vykon �av �an��, hodnocen�� a inovace



2 Pro ka�zd �e identi�kovan �e riziko mus�� pl �an obsahovat

X akceptovatelnou �urove �n rizika

X popis v�sech voleb jeho zvl �adnut�� ,kter �e riziko sn��z�� na akceptovateln �e riziko

X rozhodnut��, kter �ym organizace ur�cuje uplatn�enou volbu zvl �adnut��

X popis ji�z existuj��c��ch relevantn��ch opat�ren��

X popis p�r��padn �ych dodate�cn �ych opat�ren��, kter �a se mus�� vz��t do �uvahy

X harmonogram implementace ur�cen �ych opat�ren��



2 Pl �an mus�� obsahovat reference na opat�ren��

speci�kovan �a v SoA

2 Pl �an mus�� zajistit konkr �etn�� dostupnost n �aklad �u na

implementaci ur�cen �ych opat�ren��

2 Pl �an mus�� obsahovat identi�kovat konkr �etn�� odpov�ednosti a

po�zadavky na za�skolov �an�� a zvy�sov �an�� bezpe�cnostn��ho

uv�edom�en��

2 Pl �an mus�� zkontrolovat ,,vlastn��ci" relevantn��ch hrozeb (rizik)

a ti mus�� odsouhlasit zp �usob zvl �adnut�� rizik

2 P�ri pou�zit�� metodiky PDCA je pl �an zvl �adnut�� rizik kl��cov �y

dokument, kter �y v �a�ze v�sechny 4 f �aze �zivota ISMS



2 Pl �an je identi�kaci napsanou na vysok �e �urovn�� sd�eluj��c��

X kdo je odpov�edn �y za spln�en�� konkr �etn��ch mana�zersk �ych c��l �uv oblasti �r��zen�� rizik

X zp �usob zvl �adnut�� ka�zd �eho rizika

X jak �e jsou k tomu pot�rebn �e zdroje

X kdo je odpov�edn �y za kter �e akce vedouc�� ke sn��zen�� urovn�e rizikana akceptovatelnou �urove �n

X Vhodnou formou rekapitulace pl �anu je tabulka se sloupci, nap�r.

{ hrozba: vlastn��k hrozby{ odpov��daj��c�� urove �n rizika rizika: b�e�zn �e, vysok �e, . . .{ �r��dic�� rozhodnut��: akceptovat, zav �est opat�ren��, . . .{ po�zadovan �y typ opat�ren��: anti-malware software, . . .{ existuj��c�� opat�ren��: anti-malware software na br �an�e{ dopl �novan �e opat�ren��: anti-malware software na stanici{ po�zadovan �a akce: vybrat, po�r��dit, zav �est a-m-s na stanic��ch{ odpov�ednost: jm �eno, data, rozpo�cet, odpov�edn �e odd., . . .


Zvl �ad �an�� rizik { rekapitulace krok �u

2 1. krok

X Se�razen�� pl �anovan �ych implementa�cn��ch akc�� podle �urovn��odpov��daj��c��ch rizik (nejvy�s�s��→ nejni�z�s��)

X V �ystup: seznam s po�rad��m akc��

2 2. krok

X Zhodnocen�� voleb doporu�cen �ych opat�ren��

X Hodnot�� se realizovatelnost voleb (kompatibilita, p�rijatelnost prou�zivatele, . . . ) a analyzuje se efektivnost voleb opat�ren��

X V �ystup: seznam realizovateln �ych opat�ren��

2 3. krok

X anal �yza pot�rebn �ych n �aklad �u na implementaci opat�ren�� apotenci �aln��ho zisku

X demonstrace, �ze n �aklady jsou ospravediteln �e sn��zen��m rizika



2 4. krok

X �n �aln�� v �yb�er nejfektivn�ej�s��ch opat�ren��

X mohou kombinovat technick �e, provozn��, �r��dic�� rysy

X V �ystup: seznam vybran �ych opat�ren��

2 5. krok

X P�rid�elen�� odpov�ednost�� za implementace vybran �ych opat�ren��zku�sen �ym lidem (expert �um)

X V �ystup: seznam odpov�edn �ych osob za implementace opat�ren��

2 6. krok

X Vypracov �an�� podrobn �eho pl �anu implementac��

X body pl �anu viz d �ale



Body podrobn �eho pl �anu implementac�� opat�ren��

X Riziko (zranitelnost / hrozba)

X �Urove �n rizika

X Doporu�cen �a opat�ren��

X Priorita implementace

X Vybran �a pl �anovan �a opat�ren��

X Pot�rebn �e zdroje (pracnost)

X Odpov�edn �a osoba (t �ym)

X Data za�c �atku a ukon�cen�� implementace

X Po�zadavky na �udr�zbu opat�ren��, pozn �amky, . . .

2 7. krok { po f �azi akceptov �an�� rizik

X implementace opat�ren��


Procesy �r��zen�� rizik, akceptace rizik


Akceptace rizik

2 Management odsouhlas�� pl �an zvl �ad �an�� rizik

2 Management odsouhlas�� zbytkov �a rizika jako akceptovateln �a

rizika

2 Management explicitn�e zd �uvodn�� ta akceptovan �a rizika,

kter �a nespl �nuj�� standardn�� kriteria akceptov �an�� rizik

platn �a v organizaci


Procesy �r��zen�� rizik, informov �an�� o rizic��ch


Informov �an�� o rizic��ch

2 C��le

X poskytnout uji�st �en�� o dosa�zen�� v �ysledku �r��zen�� rizik v organizaci

X shroma�zd'ovat informace o rizic��ch a p�risp��vat tak do b �aze znalost�� rizik

X prezenovat v �ysledky ohodnocen�� rizika a pl �an zvl �adnut�� rizik

X vylou�cit nebo redukovat jak v �yskyty tak i n �asledkyporu�sen�� informa�cn�� bezpe�cnosti d��ky vz �ajemn �emu neporozum�en�� mezimanagementem vyd �avaj��c��m rozhodnut�� aostatn��mi z �u�castn�en �ymi stranami

X p�risp��vat do datab �aze pro podporu rozhodov �an��

X z��sk �avat nov �e znalosti o informa�cn�� bezpe�cnosti

X prezentovat odpov�ednosti za rizika

X zlep�sovat informovanost, bezpe�cnostn�� uv�edom�en��

2 �skolen��, dokumentace, . . .


Procesy �r��zen�� rizik, monitorov �an�� a p�rezkoum�av �an�� rizik


Monitorov �an�� a p�rezkoum�av �an�� rizik a procesu �r��zen�� rizik

2 Monitorov �an�� a p�rezkoum�av �an�� faktor �u generuj��c��ch rizika

X objevila se nov �a aktiva v oblasti p �usobnosti �r��zen�� rizik

X provedly se nezbytn �e �upravy hodnot aktiv,nap�r. kv �uli zm�en�en �ym po�zadavk �um byznysu

X objevily se nov �e hrozby,kter �e by se mohly uplatnit vn�e i uvnit�r organizace akter �e nebyly dosud hodnocen �e

X objevily se nov �e nebo zv �y�sen �e zranitelnosti

X do�slo ke zv �y�sen�� skodn �ych dopad �u posuzovan �ych hrozeb, zranitelnost��a rizik v d �usledku agregace m�en��c�� rizika na neakceptovateln �a rizika

X mno�z�� se incidenty ve sf �e�re informa�cn�� bezpe�cnosti,resp. ud �alosti indikuj��c�� mo�znost vzniku takov �ych incident �u,

X . . .


Monitorov �an�� a p�rezkoum�av �an�� rizik a procesu �r��zen�� rizik

2 D�uvody

X m�en�� se pr �avn�� a environment �aln�� kontext

X m�en�� se kontext konkurence

X m�en�� se p�r��stup k hodnocen�� rizik

X m�en�� se hodnota a kategorie aktiv

X m�en�� se �skodn�� krit �eria

X m�en�� se hodnot��c�� krit �eria rizik

X m�en�� se krit �eria akceptovatelnosti rizik

X m�en�� se kapit �alov �a hodnota oblasti, organizace, . . .

X m�en�� se pot�rebn �e zdroje pro zaji�st �en�� informa�cn�� bezpe�cnosti

2 C��l

X dosa�zen�� trval �e relevance proces �u �r��zen�� rizik informa�cn��bezpe�cnosti a podnikatelsk �ych c��l �u a byznys proces �u organizace


PV017 Bezpecnost informa chcn technologi · Spekulativn / nespekulativn rizika 2 Nespekulativn...

Documents

Transcript of PV017 Bezpecnost informa chcn technologi · Spekulativn / nespekulativn rizika 2 Nespekulativn...