kybernetické bezpečnost Řízení rizik

Kybernetické bezpečnosti Řízení rizik

H Řízení rizik Řízení rizik podle norem ISO Stanovení kontextu Identifikace a hodnocení aktiv Identifikace hrozeb a zranitelností Analýza rizik Zvládání rizik

Řízení rizik a řízení aktiv jsou neoddělitelnými opatřeními ve vyhlášce o kybernetické bezpečnosti. V této kapitole budou podrobněji diskutovány oblasti řízení rizik, související procesy a pozornost bude věnována také výkladu terminologie.

Riziko jako pojem má mnoho možných interpretací. Rizika, která souvisejí se zajištěním informační bezpečnosti, uvádějí (Smejkal, Rais, 2013) jako:

• pravděpodobnost či možnost vzniku ztráty, obecně nezdaru,

• variabilitu možných výsledků nebo nejistota jejich dosažení,

• možnost, že specifická hrozba využije specifickou zranitelnost systému,

• odchýlení skutečných a očekávaných výsledků,

• kombinace pravděpodobnosti události a jejího následku.

Poslední zmiňovaná definice je výkladem významu rizika, který platí také v normě ISO 27000. V ISO normě zabývající se managementem rizik je pak riziko chápáno jako účinek nejistoty na dosažení cílů (ISO 31000, 2010).

Podle uvedené definice rizika, která říká, že riziko je možnost, že specifická hrozba využije specifickou zranitelnost systému v případě překonání bezpečnostních opatření dochází narušení dostupnosti, důvěrnosti nebo integrity. Překonáním opatření, která jsou v kontextu zákona o kybernetické bezpečnosti chápána jako bezpečnostní incident nebo bezpečnostní událost, vede k možnosti vzniku škody nebo nějakého negativního projevu (Čermák, 2009). Čím je utvářen sytém působení rizik je nastíněn na Obrázku č. 13. Na tomto obrázku jsou použité vztahy a další pojmy, které budou dále blíže vyjasněny.

Vztahy uvedené na obrázku naznačují způsob, jak riziko působí na komponenty nebo části systému, tedy aktiva, která vlastník používá a snaží se je zhodnocovat. Vlastník je osoba, která je pověřena správou aktiva a dohlíží na jeho bezproblémový stav, navíc vlastník, který má prvořadý zájem na zachování kontinuity své společnosti, potřebuje vědět, jaká rizika ho ohrožují a jak jim čelit (Čermák, 2009, s. 18). Podle vyhlášky o kybernetické bezpečnosti je vlastník označen jako garant aktiva s odpovědností za zajištění rozvoje, použití a bezpečnosti aktiva. Pro vlastníka má každé aktivum svou hodnotu, kterou vhodnými opatřeními ochraňuje před riziky, která by omezila nebo zcela vyloučila používat aktiva a zhodnocovat je. Smyslem přijímání opatření je účinným a efektivním způsobem snížit zranitelnost systémů a komponent tak, aby hrozby vyvolané agentem hrozby byly potlačeny na nejnižší možnou, přijatelnou úroveň (Čermák, 2009).

Zajištění požadovaného stavu bezpečnosti je pro organizace také nákladem, který musí být opodstatněný natolik, aby odpovídal požadované úrovni bezpečnosti, a přitom byl brán ohled na úroveň potenciálních škod. Pokud k budování systému informační bezpečnosti přistupujeme systematicky a podle logicky navazujícího plánu, jsme schopni dosáhnout určité rovnováhy mezi vynaloženými náklady na bezpečnost a potencionálními škodami, které vyplývají ze známých rizik (Nádeníček, 2006). Na Obrázku č. 14 je znázorněn vztah nákladů a možných následků v poměru k úrovni bezpečnosti.

Optimální stav představuje stav efektivního poměru mezi veličinami. Obrázek ilustruje příklad, kdy vynaložené náklady zajišťují nízkou úroveň bezpečnosti (bod A) mohou mít za následek poměrně značné škody (bod A’). Samozřejmě absence jakékoliv bezpečnosti znamená, že škody mohou být velmi rozsáhlé. Oproti tomu velmi vysoká úroveň bezpečnosti znamená, že vynaložené náklady (bod B) mohou být velmi vysoké, přičemž škody, které by mohly vzniknout, jsou poměrně

nízké (bod B’). Škody sice budou stále nižší, ale cena bude stále více narůstat neúměrně ke zlepšení bezpečnosti, a to přitom nelze všechna rizika zcela vyloučit. Proto musejí organizace najít vhodnou a rozumnou rovnováhu mezi oběma veličinami. Bezpečnostní incident může podnítit k nesystematickým pokusům zlepšit stav bezpečnosti zaváděním izolovaných a přehnaných opatření (Nádeníček, 2006). Takové pokusy jsou neefektivní a zvyšují náklady na bezpečnost.