František Steiner
ZČU Plzeň, auditor CQS (Sdružení pro certifikaci systémů jakosti)
Procesní přístup lze aplikovat i na management rizik bezpečnosti informací, tzn. při hodnocení rizik, nakládání s riziky a soustavném monitorování rizik. Takový přístup podporuje například britská norma BS 7799-3:2006 [1]. Procesní přístup k managementu rizik (viz obrázek 1) totiž podporuje jeho uživatele, aby kladli důraz na:
- Pochopení požadavků na bezpečnost informací firmy a potřebu stanovit politiku a cíle bezpečnosti informací;
- Výběr, zavedení a využívání nástrojů řízení v kontextu řízení celkových rizik firmy;
- Monitorování a přezkoumání výkonnosti a efektivnosti systému řízení bezpečnosti informací (ISMS) pro řízení rizik firmy;
- Neustálé zlepšování založené na objektivním měření rizik.
Obrázek 1 - Model procesu managementu rizik [1]
Takto definovaný proces managementu rizik usiluje o to, aby firma rizika pochopila. To jí následně umožní efektivní rozhodování ohledně řízení rizik. Rizika bezpečnosti informací musí být posuzována v jejich firemním kontextu a ve vzájemném vztahu s ostatními firemními funkcemi, jako jsou lidské zdroje, výzkum a vývoj, výroba a provozy, administrativa, IT, finance.
Dále musí být identifikovány potřeby zákazníků, aby bylo dosaženo celého a úplného obrazu těchto rizik. Toto zvažování musí vzít v úvahu také organizační rizika a využívat pojetí a celkové představy o řízení firmy. Toto vše, společně s podnikatelskou činností organizace, efektivností a právním a regulatorním prostředím, slouží jako podněty a motivace pro úspěšný proces řízení rizik.
Posouzení rizik
Důležitou částí procesu managementu rizik je posouzení rizik bezpečnosti informací, které je potřebné pro pochopení požadavků firmy na bezpečnost informací a rizik, kterým jsou vystavena podnikatelská aktiva firmy. Jak je také popsáno v ČSN ISO/IEC 27001:2006, posouzení rizik zahrnuje následující kroky a činnosti:
Identifikace aktiv.
Identifikace právních a podnikatelských požadavků, které jsou významné pro identifikaci aktiv.
Ocenění identifikovaných aktiv, když vezmeme v úvahu identifikované právní a podnikatelské požadavky a dopady ztráty důvěrnosti, integrity a dostupnosti.
Identifikace významných hrozeb a zranitelností pro vybraná aktiva.
Posouzení pravděpodobnosti, že hrozby a zranitelnosti nastanou.
Výpočet rizika.
Ohodnocení rizik vůči předefinované škále rizik.
Identifikace a ocenění aktiv
Aktivum je něco, co má hodnotu nebo užitek pro organizaci, její provozy a jejich kontinuitu. Proto aktiva vyžadují ochranu, aby byly zajištěny funkční firemní provozy a kontinuita podnikání. Správné řízení a zodpovědnost za aktiva jsou nezbytné a musí být hlavní odpovědností na všech úrovních řízení.
Stanovení odpovědnosti za aktiva napomáhá udržení odpovídající bezpečnosti informací. Musí být identifikovaný vlastník každého identifikovaného aktiva nebo skupiny aktiv a vlastníkovi musí být přiřazena odpovědnost za udržování příslušných nástrojů řízení bezpečnosti. Odpovědnost za implementaci nástrojů řízení bezpečnosti může být delegována, ačkoliv zodpovědnost musí zůstat u určeného vlastníka aktiva.
Identifikace a ocenění aktiv, založené na podnikatelských potřebách organizace, jsou nezbytnými faktory pro posouzení rizik. Aby bylo možné identifikovat vhodnou ochranu aktiv, je nezbytné určit jejich hodnotu z hlediska jejich důležitosti pro podnikání nebo jejich potenciální hodnotu při různých podnikatelských příležitostech. Je také důležité brát v úvahu identifikované právní a firemní požadavky a výsledné dopady při ztrátě důvěrnosti, integrity a dostupnosti.
Jednou z možností, jak vyjádřit hodnotu aktiva, je ocenění dopadů na podnikání, které by mohly mít nežádoucí incidenty, jako prozrazení, pozměnění, nedostupnost a/nebo zničení, na aktivum a související podnikatelské zájmy, které by byly přímo nebo nepřímo poškozeny. Tyto incidenty by mohly následně vést ke ztrátě příjmů nebo zisku, tržního podílu, nebo image a reputace. Všechny tyto faktory se musí odrazit v hodnotě aktiva.
Identifikace hrozeb a zranitelností
Aktiva jsou předmětem mnoha druhů hrozeb. Hrozba může způsobit nežádoucí incident, který může mít za následek poškození organizace a jejích aktiv. K tomuto poškození může dojít v důsledku útoku na informace organizace a výsledkem může být např. nedovolené prozrazení, modifikace, zkomolení, zničení, nedostupnost nebo ztráta informací. Hrozby mohou vzniknout z náhodných nebo úmyslných příčin nebo událostí. Hrozba by vyžadovala využití jedné nebo více zranitelností systémů, aplikací nebo služeb využívaných organizací, aby úspěšně zapříčinila poškození aktiva. Hrozby mohou mít původ z prostředí uvnitř organizace, ale také z vnějšku.
Zranitelnosti jsou bezpečnostně slabá místa spojená s aktivy organizace. Tato slabá místa mohou být využita jednou nebo více hrozbami, což zapříčiní nežádoucí incident, který může vyústit ve ztrátu, zničení nebo poškození těchto aktiv a podnikatelské činnosti organizace. Zranitelnost sama o sobě nezpůsobuje poškození, je to pouze okolnost nebo soubor okolností, které mohou umožnit hrozbě, aby se realizovala a zapříčinila poškození aktiv a podnikatelské činnosti, které jsou těmito aktivy podporovány. Identifikace zranitelnosti musí zjistit slabá místa, která se vztahují k aktivům:
- fyzické prostředí;
- zaměstnanci, management a administrativní postupy a nástroje řízení;
- firemní provoz a dodávka služeb;
- hardware, software nebo komunikační vybavení a zařízení.
Je třeba poznamenat, že hrozby a zranitelnosti musí působit současně, aby způsobily incidenty, které by mohly poškodit aktiva. Je proto nezbytné pochopit vztah mezi hrozbami a zranitelnostmi, tj. jaká hrozba může těžit z určité zranitelnosti.
Posouzení hrozeb a zranitelností
Po identifikaci hrozeb a zranitelností je nezbytné posoudit pravděpodobnost, že „se setkají“ a vytvoří riziko. To zahrnuje posouzení pravděpodobnosti výskytu hrozby a posouzení, jak snadno může být zranitelnost využita hrozbou. Posouzení pravděpodobnosti hrozeb musí vzít v úvahu následující:
Úmyslné hrozby. Pravděpodobnost úmyslné hrozby závisí na motivaci, znalostech, kapacitách a zdrojích, které mají k dispozici možní útočníci a přitažlivost aktiva pro důmyslné útočníky.
Náhodné hrozby. Pravděpodobnost náhodných hrozeb může být odhadnuta za pomoci statistiky a zkušeností. Pravděpodobnost těchto hrozeb může také mít vztah k tomu, jak je organizace blízko zdrojům nebezpečí, jako jsou velké silniční nebo železniční trasy, závody pracující s nebezpečnými materiály jako jsou chemické materiály nebo ropa.
Minulé incidenty. To znamená incidenty, ke kterým již došlo a které ukazují problémy v současném ochranném uspořádání.
Nový vývoj a trendy. To zahrnuje zprávy, novinky a trendy získané z Internetu, od specialistů nebo organizací, které pomáhají posuzovat situaci hrozeb.
Výpočet a hodnocení rizik
Cílem posouzení rizik je identifikace a posouzení rizik. Tato rizika jsou vypočtena kombinací jednak hodnoty aktiva, která je vyjádřena pravděpodobným dopadem, ztráty důvěrnosti, integrity a/nebo dostupnosti, a jednak posouzenou pravděpodobností, že se související hrozby a zranitelnosti spojí a způsobí incident. Závisí na organizaci, jakou metodu pro posouzení rizika určí, aby byla nejvhodnější z hlediska jejích podnikatelských a bezpečnostních požadavků. Výpočet úrovní rizika poskytuje možnosti porovnání rizik a určení těch rizik, která jsou pro organizaci nejvíce problematická
Zvládání rizik
Dalším krokem v procesu managementu rizik je identifikace vhodné činnosti pro ošetření rizika u každého z rizik, které bylo identifikováno při posouzení rizik. Rizika mohou být řízena pomocí kombinace preventivních a zjišťovacích nástrojů řízení, taktikou vyhnutí se rizika, pojištěním a/nebo jednoduše přijetím rizika. Jakmile bylo riziko posouzeno, musí být vedením firmy přijato rozhodnutí ohledně toho, jaké kroky, pokud vůbec nějaké, mají být provedeny. Ve všech případech musí být rozhodnutí založeno na podnikatelské potřebě, která opravňuje toto rozhodnutí. To může být přijato nebo zpochybněno klíčovými zainteresovanými stranami.
Činnosti trvalého řízení rizik
Jakmile byla přijata rozhodnutí o způsobu nakládání s rizikem a následně po těchto rozhodnutích byly implementovány vybrané nástroje řízení, musí začít činnosti trvalého řízení rizik. Tyto činnosti zahrnují proces monitorování rizik a aplikaci ISMS, aby bylo zajištěno, že implementované nástroje řízení fungují tak, jak bylo zamýšleno. Další činností je přezkoumání rizika a opětovného posouzení, které je nezbytné k přizpůsobení způsobu posuzování rizik změnám, ke kterým mohlo v podnikatelském prostředí dojít v průběhu času. Vykazování rizika a komunikace je nezbytná pro zajištění, že podnikatelská rozhodnutí jsou přijata v kontextu celofiremního chápání rizik. Koordinace různých procesů souvisejících s riziky musí zajistit, aby organizace mohla fungovat účinným a efektivním způsobem. Neustálé zlepšování je základní součást trvalých činností řízení rizik ke zvýšení efektivity implementovaných nástrojů řízení směrem k dosažení cílů, které byly stanoveny pro ISMS.
Shrnutí
Rostoucí význam a případně hodnota informací vede firmy k rozhodnutí implementovat ISMS a tím informace chránit. Základem dobře fungujícího ISMS je správně fungující proces managementu rizik. Důležitou částí procesu managementu rizik je dále posouzení rizik bezpečnosti informací. Zde se identifikují aktiva, která chceme chránit, hrozby, kterým jsou aktiva vystavena, a zranitelnosti, které umožňují hrozbám poškodit aktiva. Následně je určena míra rizika, podle které jsou rizika porovnávána. Následuje identifikace vhodných činností pro ošetření rizik. Pomocí těchto činností rizika odstraníme nebo snížíme na přípustnou mez. Aby vybraná opatření byla funkční, je nutné rizika dále monitorovat a přezkoumávat. Poslední činnosti managementu rizik jsou udržování a zlepšování, které se snaží udržet nebo zvýšit efektivitu implementovaných nástrojů řízení rizik.
Použitá literatura
[1] ŠEBESTA, V.; ŠTVERKA, V.; STEINER, F.; ŠEBESTOVÁ, M. Systémy řízení bezpečnosti informací, Část 3: Směrnice pro management rizik bezpečnosti informací podle BS 7799-3:2005 s komentářem k managementu rizik v ISMS. Praha : Český normalizační institut, 2007. [2] STEINER, F.; TUPA, J. Management rizik v systémech řízení bezpečnosti informací. In MOPP 2007. V Plzni : Západočeská univerzita, 2007. s. 177-183. ISBN 978-80-7043-535-9.
[3] ČSN ISO/IEC 27001 - Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací – Požadavky, Praha: Český normalizační institut 2006.
Více.....
Příspěvky
