Bezpečnostní analýza

Každá organizace by měla znát svá aktiva, jejich hodnotu i rizika, která jim hrozí. Analýza je procesem, který kon...


Každá organizace by měla znát svá aktiva, jejich hodnotu i rizika, která jim
hrozí.

Analýza je procesem, který konkrétní situaci podrobuje důkladnému posuzování z
hlediska stavu, vazeb, příčin nebo důsledků. Bezpečnostní analýza pak
představuje proces, který tuto situaci rozebírá z hlediska informační
bezpečnosti.
Vnímání informační bezpečnosti bývá pohříchu redukováno pouze na zajištění
antivirové ochrany, šifrování nebo ochrany přístupu. V praxi by ale měla být
posuzována v mnohem širším kontextu, protože informační bezpečnost nestojí
izolovaně oddělená od chodu instituce a nežije si svým vlastním životem.
Součástí informační bezpečnosti jsou tak i prvky, jako je požární ochrana,
bezpečnost objektů, bezpečnost práce apod.
V souvislosti s bezpečnostní analýzou se setkáváme s pojmem analýza rizik, což
je proces inventarizace aktiv a rizik a proces jejich ohodnocení. Jinými slovy:
Analýza má za úkol stanovit aktiva instituce, jejich hodnotu i rizika, která
jim hrozí, a navrhnout protiopatření. Cílem analýzy je nastavit potřebnou
úroveň bezpečnosti, neboť v praxi musí existovat vztah mezi hodnotou aktiv a
náklady vynaloženými na jejich ochranu.
Pokud bychom se chtěli držet české legislativy, pak Národní bezpečnostní úřad v
zákoně č. 148/1998 Sb., o ochraně utajovaných skutečností, nazývá analýzou
rizik proces, během něhož jsou zjišťována aktiva informačního systému, hrozby
působící na aktiva informačního systému, jeho zranitelná místa, pravděpodobnost
realizace hrozeb a odhad jejich následků.

Postupy
Pro provádění analýzy rizik není dán jednotný model ani přesně stanovena
šablona. Je zapotřebí si uvědomit, že i ve dvou na první pohled značně
podobných institucích může být prováděna jinak anebo může být realizována velmi
podobně, nicméně s dosti odlišnými výsledky. Analýza rizik zkrátka může
probíhat různě dlouho, mohou z ní vyplynout jiná doporučení, jiné připomínky
apod. Stačí si totiž uvědomit, že celý systém informační bezpečnosti stojí a
padá s lidmi připomínky a rizika v instituci, kde bezpečnostní správce pečlivě
a svědomitě vykonává svoji práci, tak samozřejmě budou jiná než v instituci,
kde je informační bezpečnost považována za nechtěné dítě.
Ostatně, snažit se analýzu rizik vměstnat do nějaké šablony bývá
kontraproduktivní, protože cíl by měl být přesně opačný: Analýza rizik by měla
být přizpůsobena potřebám instituce (ne tedy potřebám interního nebo externího
subjektu, který analýzu provádí). Proto je ve vlastní analýze rizik nesmírně
důležitá přípravná fáze.
Podle rozsahu analyzovaného systému, podle interních možností, podle potřeby
bezpečnosti a podle dalších faktorů lze vybírat jeden ze čtyř přístupů analýzy
rizik, které jsou zmíněny v normě ČSN 13335. Ještě před tím, než přistupujeme k
výběru nejvhodnější metody, ale dochází k takzvané hrubé analýze rizik. Ta je
někdy též označována jako orientační, neboť slouží pouze k získání základního
přehledu a ke zmapování terénu. Jinými slovy: Neočekávají se od ní žádné
konkrétní výstupy, ale představuje pouze jakousi základní sumarizaci, ze které
se později dá vycházet. Jak už bylo uvedeno, předchází její provedení výběru
jednoho ze čtyř přístupů; jejím hlavním úkolem tak je poskytnout relevantní
podklady právě pro tento výběr.

Čtyři přístupy
Prvním ze čtyř výše zmíněných přístupů je takzvaný základní přístup. Jde o
velmi jednoduchou metodu, v jejímž rámci se nedělá nic jiného, než že se
implementují již vytvořené, prověřené a uznávané (v normách, standardech apod.)
postupy. Využití této metody je vhodné ve standardních systémech, kde se
nepředpokládají nějaké zvláštní odchylky a výjimky. Krom jednoduchosti je
výhodou základního přístupu také rychlost, nenákladnost a právě implementace
jistých (ověřených) prvků. Naproti tomu rizikem je, že i instituce, která je na
první pohled řadová, může mít svá specifika a nasazení běžných prvků se nakonec
ukáže jako problematické; třeba proto, že bezpečnost bude nastavena na zbytečně
vysokou nebo naopak na nebezpečně nízkou úroveň.
Druhým přístupem je neformální přístup. V mnoha ohledech je podobný výše
uvedenému základnímu přístupu, ovšem s tím rozdílem, že nedochází k nasazení
strukturovaných a přesně popsaných metod. Neformální přístup je celý založen na
zkušenostech a znalostech osoby (osob), která (které) analýzu provádí. Jeho
velkou výhodou je vysoká rychlost (ještě vyšší než v případě základního
přístupu) a relativně nízké náklady. Na druhé straně ale do hry příliš vstupuje
lidský faktor a vzniká tu možnost opomenutí, subjektivního hodnocení, osobní
zaujatosti, nepodložených rozhodnutí apod. Neformální přístup se doporučuje ve
velmi malých a prakticky unifikovaných systémech, kde se nedají předpokládat
jakékoliv odchylky od normálu.
Třetí přístup představuje podrobná analýza rizik. Jak už její název napovídá,
nestaví na standardních modelech nebo na znalostech specialistů, ale v podstatě
se snaží (s trochou nadsázky) o vytvoření zcela nového modelu na zelené louce.
Podrobná analýza rizik představuje důkladnou analýzu stavu, vztahů, chování,
toku dat atd. Z toho samozřejmě vyplývají doporučení, která jsou precizně
podložená fakty a která jsou vytvořená dotyčnému systému takříkajíc "na míru".
Podrobná analýza rizik je ze všech zmiňovaných metod logicky nejpodrobnější,
ale díky tomu i nejnáročnější a nejnákladnější. Na druhé straně ale také
nejbezpečnější. Proto ji vyhledávají instituce s velmi složitou strukturou
informačního systému a/nebo s vysokou potřebou kvalitního zabezpečení (finanční
instituce, velké firmy apod.).
Čtvrtou metodou je kombinovaný přístup. V jeho případě dochází k nasazení
několika z výše uvedených přístupů. Kombinovaný přístup je možné provést v
přesně strukturovaných systémech. Je vhodný například pro některé instituce s
centrálou a množstvím typizovaných poboček pro ústředí se použije podrobná
analýza rizik, zatímco na jednotlivé pobočky lze nasadit přístup základní, nebo
dokonce jen neformální. Kombinovaný přístup samozřejmě optimalizuje náklady a
časové i lidské zdroje, nicméně je nesmírně důležité už na počátku správně
zařadit jednotlivé prvky (kde bude jaký přístup uplatněn) a tyto následně
vhodně provázat.

Kroky analýzy
Ať už se rozhodnete pro kteroukoliv z výše zmíněných metod, tak bude mít
bezpečnostní analýza velmi podobný průběh (nemáme na mysli náročnost časovou
apod., ale posloupnost kroků). Je třeba podniknout tyto kroky:
lIdentifikace aktiv na počátku je nutné podrobně stanovit strukturu a hodnotu
aktiv. Je třeba vědět, kde jsou skutečně cenná data, jaká je jejich cena i
hodnota, je zapotřebí je podle příslušných kritérií rozdělit do několika
kategorií.
lIdentifikace hrozeb na základě provedených analýz je nutné stanovit, co hrozí
jednotlivým datům zmíněným v předchozím bodě. A jakým typům útoků nebo
incidentů mohou být vystavena od vnějších nebo vnitřních narušitelů, kvůli
hardwarovému selhání, přírodní katastrofě aj.
lIdentifikace zranitelných míst zjišťování, s jakou pravděpodobností může dojít
k jednotlivým výše zmíněným incidentům a kde jsou slabá místa systému, v nichž
by incident mohl vzniknout.
lNávrh opatření na základě předchozích tří bodů jsou navrženy organizační i
technické prostředky, jejichž cílem je ochránit slabá místa a zamezit incidentu
nebo alespoň minimalizovat možnost jeho vzniku.
Pozor, vzhledem k tomu, že bezpečnostní analýza obsahuje podrobnou dokumentaci
se zprávou o aktuální situaci a z ní vyplývající zjištění i doporučení, jedná
se o velmi citlivý materiál. Následky jeho zneužití by mohly být nedozírné.
Na základě bezpečnostní analýzy dochází k vypracování bezpečnostní politiky, o
které bude řeč v příštím vydání této rubriky.


Postup analýzy
Analýzu rizik přímo řeší vyhláška č. 56/1999 Sb., ! 24:
1. Pro stanovení hrozeb, které ohrožují aktiva informačního systému, musí být
provedena analýza rizik.
2. V rámci provedení analýzy rizik se definují aktiva informačního systému a
stanovují se hrozby, které působí na jednotlivá aktiva informačního systému.
Posuzují se zejména ohrožení, která způsobují ztrátu funkčnosti nebo
zabezpečenosti informačního systému. 3. Po stanovení hrozeb se určují
zranitelná místa informačního systému tak, že ke každé hrozbě se najde
zranitelné místo nebo místa, na která tato hrozba působí. 4. Výsledkem
provedené analýzy rizik je seznam hrozeb, které mohou ohrozit informační
systém, s uvedením odpovídajícího rizika. 5. Na základě provedené analýzy rizik
se posléze provádí výběr vhodných protiopatření.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.