Analýza rizik - příklady
V Brně dne 10. a 17.10.2013
Identifikace a hodnocení aktiv Ak i Aktivum (A)
zdroj d j
h d hodnota
Data
IS
5
SQL
5
HW
sever PC
4 2
SW
OS SQL
3 3
Služby
svr komunikace vzdálený přístup (sklad)
5 4
Škála 1 až 5 (5 jsou nejdůležitější aktiva)
Řízení bezpečnosti informačních systémů veřejné správy
2
Identifikace hrozeb a zranitelností Hrozba ((T))
pravděpodobnost p p
příklad zranitelnosti p
Ztráta dat
3
selhání zálohování
Porucha HW
1
sever nedostatečně zálohovaný
2
závada na PC
Selhání SW
3 2
nedostatečné aktualizace ASW chyba v databázi
Selhání komunikace
4
nedostatečná ochrana
Napadení sítě
5
nedostatečná aktualizace ochran
Neúmyslný incident
4
nedostatečné školení
Živelná pohroma
2
umístění v povodňové zóně
Škála 1 až 5 (5 je nejpravděpodobnější hrozba)
Řízení bezpečnosti informačních systémů veřejné správy
3
A metoda se třemi parametry A. 00. provedení identifikace a hodnocení aktiv (tabulka) 01. provedení identifikace hrozeb a zranitelností (tabulka)
1. vyhotovení matice zranitelnosti (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 2. vyhotovení matice rizik z vypočtených hodnot (hodnota aktiva A v závislosti na pravděpodobnosti hrozby T) 3 výpočet míry rizika R podle vztahu R = T x A x V 3. V, kde V je zranitelnost 4. stanovení hranic pro různé stupně rizika (např. nízká neboli přijatelná, střední a vysoká)
Řízení bezpečnosti informačních systémů veřejné správy
4
Matice zranitelnosti
V
popis aktiva
d t bá databáze
d t bá databáze
svr
skladu
server
PC
OS
5
5
4
2
3
4
5
připojení ři j í
připojení ři j í
databáze
svr
PC
3
5
4
3
2
5
2
zranitelnost A hodnota aktiva T popis hrozby i h b
pravděpodobnost dě d b t
ztráta dat
3
selhání HW (svr)
1
selhání HW (PC)
2
1
selhání ASW
3
2
selhání SQL
2
selhání komunikace
4
Napadení sítě
5
neúmyslný incident
4
živelná pohroma
2
2
3
5 3
Řízení bezpečnosti informačních systémů veřejné správy
2
2
4
5
5
Matice rizik
R
popis aktiva
databáze
databáze
svr
skladu
server
PC
OS
5
5
4
2
3
60
75
připojení
připojení
databáze
svr
PC
3
5
4
60
32
50
16
Riziko A hodnota aktiva hodnota aktiva T popis hrozby
Pravděpodobnost
ztráta dat
3
selhání HW (svr)
1
selhání HW (PC)
2
6
selhání ASW
3
12
selhání SQL lhá í SQL
2
selhání komunikace
4
Napadení sítě
5
neúmyslný incident
4
živelná pohroma
2
Míra rizika:
8
18
100 60
R=AxTxV
Řízení bezpečnosti informačních systémů veřejné správy
20
30
60
100
A,T a V – 3 parametry 6
Stanovení hranic rizika bezvýznamné riziko
0 až 10
akceptovatelné riziko
10 až 20
mírné riziko
20 až 30
nežádoucí riziko
30 až 60
nepřijatelné riziko
60 a více
Uvažujeme hranice rizika ve třech stupních: - nízká 0 až 30 - střední 30 až 60 - vysoká 60 a více
Řízení bezpečnosti informačních systémů veřejné správy
7
B metoda se dvěma parametry B. 00. provedení identifikace a hodnocení aktiv (tabulka) 01. provedení identifikace hrozeb a zranitelností (tabulka)
1. vyhodnocení pravděpodobnosti incidentu a jeho dopadu (pouze 2 parametry PI – pravděpodobnost incidentu a D – dopad) 2. dopad využívá stejné hodnocení jako aktivum 3. výpočet míry rizika R podle vztahu R = PI x D Poznámka: PI je hodnota, kterou lze uvádět také v %.
4. doplnění existujícího opatření k tabulce hrozeb a zranitelností
Řízení bezpečnosti informačních systémů veřejné správy
8
Tabulka aktiv a hrozeb Aktivum - Databáze serveru Hrozba -
ztráta dat neúmyslný incident
Aktivum – Databáze skladu Hrozba -
Hrozba -
Dopad 5 Dopad 5
Riziko 50 Riziko 75
PI = 15 PI = 20
Dopad 5 Dopad 5
Riziko 75 Riziko 100
PI = 3 PI = 25 PI = 2
Dopad 4 Dopad 4 Dopad 4
Riziko 12 Riziko 100 Riziko 8
PI = 8 PI = 25
Dopad 1 Dopad 1
Riziko 8 Riziko 25
(hodnota 4)
selhání HW napadení sítě živelá pohroma
Aktivum – pracvní stanice PC
PI = 10 PI = 15 ((hodnota 5))
ztráta dat neúmyslný incident
Aktivum – Server IS Hrozba -
(hodnota 5)
(hodnota 2)
selhání HW napadení sítě
Řízení bezpečnosti informačních systémů veřejné správy
9
Tabulka výpočtu rizika Aktivum
Databáze svr
Databáze skladu
Hodnota
5
5
4 Server IS
Pracovní stanice PC
2
Pravděpodobnost
D
R
incidentu PI incidentu PI
Dopad
Riziko
Hrozba
Zranitelnost
Opatření
ztráta dat
selhání zálohování
10
5
50
pravidelné zálohování
neúmyslný incid.
nedostatečné školení
15
5
75
pravidelné školení
ztráta dat
selhání zálohování
15
5
75
pravidelné zálohování
neúmyslný incid.
nedostatečné školení
20
5
100
pravidelné školení
selhání HW
nefunkční UPS
3
4
12
oprava UPS
napadení p
slabá ochrana
25
4
100
FW + IPS
živelná pohroma
nevhodné umístění
2
4
8
přemístění
selhání HW
vysoká poruchovost
8
1
8
značkové PC
napadení
slabá ochrana
25
1
25
FW + IPS
atd atd.
Míra rizika:
R = PI x D
Řízení bezpečnosti informačních systémů veřejné správy
PI a D – 2 parametry 10