Analýza rizik

Analýza rizik patří mezi nejdůležitější úkony při vytváření bezpečnostní politiky. Při její tvorbě zkoumáme možná rizika a zranitelná místa IS. Zjištěná rizika se následně ohodnotí a navrhnou se nápravná opatření, která zajistí minimalizaci rizik na přijatelnou úroveň.  Výstupy z analýzy rizik slouží pro tvorbu dalších bezpečnostních dokumentů (havarijní plán, plán obnovy provozu IS, …).

Obecný model postupu:

  • identifikace a ocenění aktiv
  • nalezení zranitelných míst
  • odhad pravděpodobností využití zranitelných míst
  • výpočet očekávaných ztrát
  • návrh použitelných opatření a jejich cena
  • odhad ročních úspor po zavedení zvolených opatření

Analýzu rizik provádíme v následujících oblastech:

  1. Bezpečnostní politika (management a podpora)
  2. Organizace informační bezpečnosti
  3. Klasifikace a správa aktiv
  4. Personální bezpečnost – cílem je omezit rizika lidských omylů, krádeže, zpronevěry nebo zneužití informací. Zajistit povědomí uživatelů o informační bezpečnosti a zvyšovat kvalifikaci v této oblasti.
  5. Fyzická bezpečnost a bezpečnost prostředí
  6. Správa počítačů a sítí
  7. Systémy řízeného přístupu
  8. Vývoj a údržba systému
  9. Havarijní plány a plán obnovy
  10. Soulad s existující legislativou a jinými bezpečnostními normami a předpisy podniku

Neformální metody

V praxi se často analýza rizik provádí na základě zkušeností bezpečnostních expertů, kdy se nepoužívají formální metody a při realizaci se uplatňují následující postupy:

Identifikace a ohodnocení aktiv – snaha o ohodnocení veškerých aktiv finančními nebo nefinančními měřítky (snadno ocenitelná aktiva – hardware, software, zařízení; obtížně ocenitelná aktiva – důvěra, renomé firmy).  

Posouzení hrozeb – snaha odhadnout pravděpodobnost výskytu hrozby. Určuje se zdroj hrozby (zařízení, přírodní živly, zásah člověka), motiv (nešťastná náhoda, úmysl, shoda okolností, …), následek (ztráta přístupnosti, modifikace, vyzrazení, neautorizovaný přístup nebo zničení informace).

Odhad zranitelnosti – určení zranitelných míst a stupně zranitelnosti (vysoký, střední, nízký).

Výběr ochranných opatření – preventivní opatření (preventivní ochrana, proaktivní monitoring), reaktivní opatření (havarijní plán, plán obnovy).

Přijetí rizik – určení zbývajících rizik, která zůstanou po zavedení navržených opatření a budou akceptována.

Formální metody

Dalším způsobem jak provést analýzu rizik je využití formálních metod a to pomocí:

  1. Kvantitativní analýza rizik – při které výpočtem odhadujeme výši ztrát. Výsledky jsou měřitelné a představují finanční ohodnocení rizik.
  2. Kvalitativní analýza rizik – je založena na zhotovení relačního modelu. Zkoumá vazby mezi hrozbami, zranitelnými místy, protiopatřeními apod.