Frameworky pro vhodnou správu rizik

Nejdůležitějším hlediskem při výběru frameworku je garance, aby byl „vhodný pro daný účel“ a byl nejlepší volbou pro zamýšlené výsledky, říká  Andrew Retrum, generální ředitel pro kybernetickou bezpečnost a soukromí v poradenské společnosti Protiviti.

„Je také přínosné volit frameworky, které jsou dobře známé a organizace jim rozumí,“ doporučuje Retrum. „To umožňuje konzistentnější a efektivnější využití frameworku a dovoluje to jednotlivcům v celé organizaci se snáze vzájemně domluvit.“

Frameworků pro hodnocení rizik, jež mohou organizace využít, je dostatek. Níže jsou uvedené některé z těch nejvýznamnějších, kdy každý z nich je navržený pro specifickou oblast.

(Poznámka redakce: V Česku se doporučuje využít i informace, které poskytují tuzemské nezávislé bezpečnostní organizace, jako je například vládní NÚKIB, jenž se této problematice věnuje celkem obšírně, nicméně nikoliv do takové hloubky jako níže uvedené frameworky). 

NIST Risk Management Framework

Risk Management Framework (RMF) vyvinul a zveřejnil americký Národní institut standardů a technologií (NIST, National Institute of Standards and Technology) už v roce 2010 a později byl obecně přijat jako etalon pro zlepšení a standardizaci procesu řízení rizik zabezpečení informací.

Tento framework tak může použít téměř jakákoli společnost, která má zájem o zlepšení kybernetické bezpečnosti a řízení rizik.

Řízení rizik je prostředek pro ochranu organizačních aktiv a systémů zavedením bezpečnostních kontrol, které podporují včasnou detekci a ošetření rizik. RMF toho dosahuje tím, že společnostem pomáhá zavést větší strukturovanost a dohled v životním cyklu vývoje systému integrací kybernetické bezpečnosti a řízení rizik do raných fází procesu vývoje systému.

RMF pomáhá společnostem standardizovat řízení rizik implementací přísných kontrol pro zabezpečení informací. Nejnovější verze RMF, zveřejněná v roce 2018, má sedm kroků, které je potřeba při správné implementaci dodržet:

1. Příprava: NIST přidal tento krok až ve druhé revizi RMF. Uznává tím důležitost přípravy organizace na získání maximální hodnoty z RMF a významně se zaměřuje na komunikaci. Jak NIST vysvětluje, „Příprava představuje základní aktivity v oblasti organizace, procesů daného účelu a úrovní informačního systému podniku, aby pomohla připravit organizaci k řízení rizik zabezpečení a soukromí pomocí RMF.“
2. Kategorizace: tento krok se týká způsobu, jak se informace zpracovávají, ukládají a přenášejí dotyčným systémem.Vyžaduje, abyste definovali, jak systém interaguje s ostatními IT systémy a sítěmi, aby bylo jasné, jaká opatření jsou potřebná pro zajištění kompatibility a k vytvoření popisu architektury systému.
3. Volba: krok volby zahrnuje zvolení základny pro bezpečnostní kontroly na základě již zjištěných kategorií rizik. Během tohoto kroku rozhodnete o tom, jaké základní bezpečnostní kontroly chcete implementovat (na základě již zjištěných kategorií rizik).
4. Implementace: tento krok zahrnuje implementaci bezpečnostních opatření stanovených v předchozích krocích. Během tohoto kroku byste měli zajistit, aby byl váš proces implementace dobře zdokumentovaný pro případ, že byste museli implementaci po dalším kroku přepracovat.
5. Posouzení: během tohoto kroku je čas zajistit, aby vše fungovalo podle záměrů a aby byly kontroly správně aplikovány do systému. Krok posouzení slouží k ověření, zda došlo ke správné implementaci kategorií a základní bezpečnostní kontroly z předchozích kroků.V případě nalezení nedostatků je potřebné opakovat cyklus od fáze implementace, dokud vše nezačne fungovat správně, abyste mohli přejít na další krok.
6. Autorizace: tento krok je cílem RMF. Přechod na tento krok je možný až na základě dobrého výsledku fáze posouzení.
7. Monitorování: jakmile jsou kontroly systému zavedené, je nutné je nepřetržitě monitorovat.

Risk Management Framework tak nabízí komplexní, opakovatelný a měřitelný vícekrokový proces, který mohou organizace použít k řízení rizik pro zabezpečení informací a soukromí. Je spojen se sadou standardů a pokynů NIST s cílem podporovat implementaci programů řízení rizik, tak aby splňovaly přísné požadavky. 

Podle NIST stanovuje RMF proces, který integruje aktivity řízení rizik pro bezpečnost, soukromí a dodavatelský řetězec do systému životního cyklu vývoje systému. Lze ho použít na nové i starší systémy, na jakýkoli typ systému či technologie včetně internetu věcí (IoT) a řídicích systémů a v jakémkoli typu organizace, bez ohledu na velikost a sektor.

„NIST RMF lze přizpůsobit potřebám organizace,“ uvádí Raman. Často dochází k posouzení a aktualizacím a vyvinuté standardy podporuje mnoho nástrojů. Je nezbytné, aby IT profesionálové „pochopili, že použití NIST RMF není automatizovaný nástroj, ale dokumentovaný framework, který vyžaduje přísnou disciplínu pro řádné modelování rizik“.

NIST vydal několik publikací souvisejících s riziky, které jsou snadno pochopitelné a použitelné pro většinu organizací, uvádí Mark Thomas, prezident společnosti Escoute Consulting a mluvčí asociace ISACA (Information Systems Audit and Control Association).

„Tyto reference nabízejí proces integrující činnosti řízení rizik v oblasti bezpečnosti, soukromí a dodavatelského řetězce, které pomáhají při výběru kontroly a vývoji zásad,“ popisuje.

Octave

Octave (Operationally Critical Threat, Asset and Vulnerability Evaluation) pochází od týmu CERT (Computer Emergency Readiness Team) z Carnegie-Mellonovy univerzity. Je to framework pro identifikaci a správu rizik zabezpečení informací.

Definuje komplexní metodu hodnocení, která umožňuje organizacím identifikovat informační aktiva, jež jsou důležitá pro jejich cíle, hrozby pro tato aktiva a zranitelnosti, které by mohly tato aktiva vystavit hrozbám.

Soupisem informačních aktiv, hrozeb a zranitelností mohou organizace začít chápat, jaké informace jsou ohrožené. S tímto porozuměním mohou navrhnout a nasadit strategie ke snížení celkové expozice rizikům pro informační aktiva.

K dispozici jsou dvě verze Octave. Jednou je Octave-S, zjednodušená metodologie určená pro menší organizace, které mají ploché hierarchické struktury. Druhou je Octave Allegro, což je komplexnější framework vhodný pro velké organizace a ty, jež mají složité struktury.

„Octave je dobře navržený framework pro hodnocení rizik, protože se zaměřuje na bezpečnost z fyzické i technické perspektivy, ale také z hlediska lidských zdrojů,“ popisuje Raman.

Identifikuje aktiva, která jsou pro jakoukoli organizaci stěžejní, a odhaluje hrozby a zranitelnosti. Nasazení však podle Ramana může být velmi složité a pouze kvantifikuje kvalitativní metodiku.

Pružnost této metodiky „umožňuje provozním a IT týmům spolupracovat na řešení bezpečnostních potřeb organizace“, dodává Thomas.

Cobit

Cobit (Control Objectives for Information and related Technology) od asociace Isaca je framework pro správu a řízení IT. Zaměřuje se na předmět činnosti a definuje soubor obecných procesů pro správu a řízení IT. Každý proces se definuje společně se vstupy a výstupy, klíčovými činnostmi, cíli, aspekty týkajícími se výkonu a s modelem elementární zralosti.

Nejnovější verze, Cobit 2019, nabízí více zdrojů pro implementaci, praktických pokynů a poznatků a také komplexní příležitosti školení. Implementace je nyní flexibilnější a umožňuje organizacím přizpůsobit prostřednictvím tohoto frameworku vlastní správu a řízení.

Cobit je „vysokoúrovňový framework harmonizovaný s procesy správy IT a s uplatňováním zásad“, popisuje Ed Cabrera, ředitel kybernetické bezpečnosti společnosti Trend Micro dodávající bezpečnostní software a bývalý ředitel zabezpečení informací tajné služby Spojených států.

„Problémem je, že Cobit je poměrně drahý a vyžaduje velké znalosti a schopnosti při své implementaci.“

Tento framework „je jediný model, který zahrnuje důraz na bezpečnost a riziko do řízení a správy podnikových informací a technologií“, prohlašuje Thomas. „Přestože riziko není primárním zaměřením frameworku Cobit, integruje více metod pro rizika v celém frameworku a odkazuje na více globálně přijímaných frameworků pro rizika.“

TARA

TARA (Threat Assessment and Remediation Analysis) je technickou metodikou používanou k identifikaci a hodnocení zranitelnosti kybernetické bezpečnosti a zavedení protiopatření k jejich zmírnění, uvádí Mitre, nezisková organizace, která pracuje na výzkumu a vývoji v technologických oblastech včetně kybernetické bezpečnosti a tento framework je součástí jejího portfolia metod zabezpečení systémů.

„Přístup frameworku TARA k posuzování lze popsat jako spojené oborové studie, kde první obor pozná a hodnotí útočné vektory na základě vyhodnoceného rizika a druhý identifikuje a vybírá protiopatření na základě hodnocení užitečnosti a nákladů,“ tvrdí tato organizace.

Mezi jedinečné aspekty této metodiky patří použití katalogizovaných zmírnění, která ukazují možná protiopatření pro daný rozsah útočných vektorů a použití strategií protiopatření na základě úrovně tolerance rizika.

„Jde o praktickou metodu k určení kritických expozic a možných zmírnění. Je vhodná pro rozšíření formálních metodik pro rizika,“ aby obsahovaly informace o útocích, což může vyústit ve zlepšení profilu rizika, popisuje Thomas.

FAIR

FAIR (Factor Analysis of Information Risk) je taxonomií faktorů, které přispívají k riziku, a způsobů, jak se navzájem ovlivňují. Autorem je Jack Jones, někdejší ředitel zabezpečení informací společnosti Nationwide Mutual Insurance. Tento framework se zabývá zejména stanovením přesných pravděpodobností pro frekvenci a velikost událostí úniků dat.

FAIR není metodikou k provádění posouzení rizika podniku nebo jednotlivce. Poskytuje však způsob, jak mohou organizace pochopit, analyzovat a měřit informační riziko.

Komponenty tohoto frameworku zahrnují taxonomii pro informační riziko, standardizovanou nomenklaturu pro pojmy informačního rizika, metodu pro stanovení kritérií sběru dat, stupnice míry pro rizikové faktory, výpočetní stroj pro výpočet rizik a model pro analýzu jejich složitých scénářů.

FAIR „je jednou z mála metodik nabízejících solidní kvantitativní model pro zabezpečení informací a provozní riziko,“ tvrdí Thomas.

„Tento pragmatický přístup k rizikům poskytuje solidní základ pro hodnocení rizik v jakémkoli podniku.“ Přestože FAIR poskytuje komplexní definici hrozby, zranitelnosti a rizika, „nemá dobrou dokumentaci, takže to ztěžuje implementaci,“ upozorňuje Thomas.

Tento model se liší od jiných frameworků pro rizika „v tom, že se zaměřuje na vyčíslení rizik ve skutečných finančních nákladech na rozdíl od tradičně vágních kategorií typu vysoké, střední a nízké“, popisuje Retrum.

„To získává pozornost vedoucích představitelů a členů správní rady a umožňuje to hlubší firemní diskuzi díky lepšímu vyčíslení rizik smysluplným způsobem.“

Autor: Sarah K. White