-
přístupy k hodnocení, analýza rizik a používané metodiky, hrozba a zranitelnost
-
Hrozba
Potencionální příčina nechtěného incidentu, který může vyústit k poškození systému.
-
Zranitelnost
Slabé místo aktiva, které může být využito hrozbou.
-
Riziko
Kombinace pravděpodobnosti, že dojde k nežádoucí události.
-
Aktivum
Cokoliv co má pro organizaci nějakou hodnotu.
-
Incidenty
úmyslné/neúmyslné
-
Typy útoků
- přerušení
- odposlech
- změna - modifikace
- padělání - zfalšování
-
Cíle - bezpečnostní atributy informací
- důvěrnost (jen těm kdo mají přístup)
- integrita (správnost informací)
- dostupnost (přístupná v okamžiku potřeby)
- individuální zodpovědnost
- autenticita
- spolehlivost
-
Přístupy k hodnocení
- V souladu s normou ISO (systematický proces analýzy a hodnocení rizik)
- Expertně
- Analýzou rizik
-
Analýza rizik
- stanovení hranice rizik (dílčí vs. plošné)
- identifikace aktiv (informace, HW, SW, budovy)
- ocenění aktiv - odhad ceny aktiv ležících uvnitř hranice, fyzická vs. datová aktiva
- seskupování aktiv - slučování aktiv do skupin (servery obsahují databáze)
- identifikace aktiv - hrozby, které mohou ohrožovat některé z uvažovaných aktiv
- analýza hrozeb a zranitelnosti - náhodné/úmyslné okolnosti, které mohou vést k poškození IS (odhad pravděpodobnosti, úroveň zranitelnosti)
- stanovení míry rizik R = f (a, h, z), kde a = hodnota aktiva, h = úroveň hrozby, z = velikost zranitelnosti
-
Metodiky analýzy rizik
- CTA Risk Analysis a nd Managenent Method (CRAMM)
- Attack Tree Modeling (ATM)
-
CRAMM
- CCTA Risk Analysis a nd Managenent Method
- vytvořená širokou skupinou expertů, obsahující jedinečné know-how v oblasti bezp IT
- účel: provádění analýzy rizik informačních systémů a sítí, návrh bezpečnostních protiopatření a řešení havarijních situací
-
ATM
- Attak Tree Method
- kvantitativní metodika pro analýzu rizik IS
- neumožňuje provést plnohodnotnou analýzu rizik
- použití jako doplněk jiné metodiky při zjišťování největších slabin systémů
|
|
