Analýza rizik

Při snaze efektivně zabezpečit informační systém je obvyklým problémem, jaká bezpečnostní opatření přijmout k zajištění přiměřené ochrany informačního systému tak, aby byla dostatečně účinná a současně finančně a organizačně přiměřená povaze chráněné věci.

Pro stanovení relevantních protiopatření obecně slouží tzv. analýza rizik.

Jedná se o proces, který hodnotí míru rizika, působící na chráněný objekt a v závislosti na dalších aspektech, jako je hodnota chráněného objektu následně navrhne relevantní protiopatření.

Způsoby realizace bezpečnostní analýzy (analýzy rizik), popisuje např. mezinárodní norma ISO/IEC TR 13335.

Tato norma definuje následující způsoby provádění analýzy rizik:

  • základní přístup
  • neformální přístup
  • podrobná analýza rizik
  • kombinovaný přístup

Tyto přístupy se liší rozsahem analýzy, rychlostí a samozřejmě finanční náročností. Rizika, identifikovaná v průběhu analýzy, by následnými kroky měla být ošetřena tak, aby se jednak snížila pravděpodobnost vzniku bezpečnostního incidentu (preventivní protiopatření), popřípadě aby byly sníženy následky incidentu.

Při použití základního přístupu se relativně rychle zavede vybraná množina bezpečnostních opatření a žádná detailní analýza se ve skutečnosti neprovádí. Opatření jsou obvykle přejata z nějakého standardu v oblasti bezpečnosti. Při analýze je pouze porovnán doporučený standard s již přijatými bezpečnostními opatřeními a použijí se ta, která v informačním sytému implementována nejsou. Pozitivem je zejména rychlost a úspory všech zdrojů – finančních i personálních. Negativem je, že bezpečnostní opatření nezohledňují specifika konkrétního informačního systému, a proto mohou být předimenzována nebo poddimenzována.

U neformálního přístupu je využíváno výhradně zkušeností a znalostí osob, které informační systém znají a mají o něm detailní informace. Pozitivem je rychlost zpracování analýzy a úspora zdrojů, záporů je celá řada. Metoda závisí pouze na subjektivních znalostech a zkušenostech, a ne na objektivním hodnocení podpořeném vhodnými prostředky. Proto se tento postup doporučuje pouze jako počáteční krok pro určité rychlé řešení s následnou podrobnou analýzou rizik.

Podrobná analýza rizik je nejpřesnější, ale i nejnáročnější metoda z hlediska časového i finančního. Při tomto postupu se nejdříve musí identifikovat, aktiva organizace, následně tato aktiva ohodnotit, posoudit hrozby pro tato aktiva a stanovit úroveň jejich zranitelnosti. Na základě těchto zjištěných údajů je stanovena míra rizika pro každé hodnocené aktivum a navržena protiopatření, která tato rizika zcela nebo částečně eliminují. Vzhledem ke složitosti celého procesu analýzy jsou často jako podpůrný prostředek používány expertní systémy, jako je např. RiskWatch, Cobra, Marion apod.

Protože podrobná analýza rizik je relativně náročný proces (finančně i časově), lze provést kombinovaný přístup, kdy se podrobnou analýzou rizik hodnotí pouze některé oblasti a ostatní výše popsaným základním nebo neformálním přístupem.