IT riziko

Riziko informačních technologií nebo riziko IT ( anglicky  IT risk ), jakékoli riziko spojené s používáním informačních technologií .

Zatímco informace byly vždy cenným a důležitým zdrojem, nyní, v době znalostní ekonomiky a digitální revoluce , jsou organizace stále více závislé na informacích, jejich zpracování a zejména na informačních technologiích . V tomto ohledu mohou události, které jakýmkoli způsobem ovlivňují IT, nepříznivě ovlivnit obchodní procesy [1] . Odhad věrohodnosti různých typů událostí s výpočtem jejich možných důsledků je běžným způsobem hodnocení a měření rizika IT [2] . Alternativní metody měření rizika IT obvykle zahrnují posouzení faktorů, které k tomu přispívají, jako jsou hrozby, zranitelnosti a aktiva.

Definice

ISO

Pravděpodobnost, že daná hrozba využije zranitelnost v aktivu nebo skupině cenných vlastností, a tím poškodí organizaci. Poznámka: Toto měření je z hlediska kombinace pravděpodobnosti události a jejích důsledků [3] .

NIST

IT riziko [7]
  1. Pravděpodobnost, že daná hrozba zneužívá (náhodně nebo úmyslně) konkrétní zranitelnost systému
  2. Výsledek tohoto dopadu. IT rizika vyplývají z možných ztrát nebo právní odpovědnosti v důsledku:
    1. Neoprávněné (zlomyslné nebo náhodné) zveřejnění, pozměnění nebo zničení informací
    2. Neúmyslné chyby nebo opomenutí
    3. Technické poruchy v důsledku přírodních nebo člověkem způsobených katastrof
    4. Nedostatečná pozornost při zavádění a provozu IT systému.

IT řízení rizik

Existují způsoby, jak řídit rizika, včetně identifikace rizik, procesu hodnocení rizik a procesu zavádění opatření zaměřených na snížení rizika na přijatelnou úroveň. Proaktivní vyhodnocování rizik a přijímání opatření ke zmírnění umožňuje IT manažerům vyvážit provozní a ekonomické náklady na ochranná opatření, aby byla zajištěna úspěšnost organizace a bezpečnost dat rozhodujících pro dosažení cíle. Tento proces je v IT oblasti běžným jevem a často jej pozorujeme v každodenním životě. Příkladem je zabezpečení domu. Mnoho lidí se rozhodne nainstalovat domácí bezpečnostní systémy a platit měsíční poplatky za jejich údržbu výměnou za bezpečnost svého soukromého majetku. Majitelé zřejmě poměřili náklady na instalaci a údržbu zabezpečovacího systému s bezpečností rodiny a případnými škodami ze ztráty majetku. [8] [9]

Účelem implementace procesů řízení rizik je umožnit organizaci plnit své poslání nebo mise tím, že [10] :

  1. Zlepšení bezpečnosti IT systémů, které uchovávají, zpracovávají nebo přenášejí informace v rámci organizace i mimo ni
  2. Zvyšování povědomí managementu a povědomí o rozhodnutích v oblasti řízení rizik za účelem získání přiměřených nákladů, které by se měly stát nedílnou součástí celkového rozpočtu IT
  3. Pomoc managementu při autorizaci (nebo akreditaci) jejich IT systémů na základě zdokumentované podpory výsledků vyplývajících z implementace procesů řízení rizik.
Minimalizace rizik

Minimalizace rizik – přijímání opatření ke snížení celkového rizika pro organizaci. To často zahrnuje výběr protiopatření, která sníží pravděpodobnost výskytu hrozby a/nebo sníží poškození. Mohou být technické nebo provozní a mohou zahrnovat změny fyzické infrastruktury. Riziko ztráty dat například v důsledku infekce stroje lze snížit instalací antivirového softwaru. Při hodnocení potenciálu opatření je třeba zvážit, jak funguje: jako opatření, které předchází nebo odhaluje pokusy o implementaci hrozeb. Část rizika, která zůstane po aplikaci opatření nebo protiopatření, často označovaná jako zbytkové riziko, může organizace řešit samostatně.

Dalším východiskem je, když organizace sdílí svá rizika s protistranami třetích stran prostřednictvím pojišťoven a/nebo poskytovatelů služeb. Pojištění je kompenzační mechanismus po události, který snižuje břemeno ztráty, když dojde k události. Přenos rizika je přesun rizika z jedné strany na druhou. Když jsou například papírové dokumenty přesunuty mimo organizaci do úložné služby, odpovědnost a náklady na ochranu informací se přenášejí na poskytovatele služeb. Náklady na uskladnění mohou zahrnovat povinnost uhradit náhradu v případě poškození, ztráty nebo odcizení dokumentů.

Mechanismus pro eliminaci rizika odmítnutím zahájit nebo pokračovat v činnostech, ve kterých lze riziko realizovat. Organizace se například může rozhodnout opustit obchodní proces, aby se vyhnula situaci, kdy je organizace vystavena riziku. [jedenáct]

Proces minimalizace rizik obvykle vypadá takto [7] :

  1. Identifikace možných problémů a následné hledání řešení
  2. Stanovení načasování integrace nových technologií
  3. Optimalizace obchodních procesů organizace .
  4. Zajištění ochrany informací (jak zákazníků, tak organizace samotné)
  5. Vypracování postupu pro opatření v případě vyšší moci.
  6. Stanovení skutečných potřeb informačních zdrojů.
Omezení pro snížení rizika

Snížení rizik může a mělo by být dosaženo výběrem bezpečnostních kontrol tak, aby zbytkové riziko bylo vnímáno jako přijatelné. Ale výběr těchto ovládacích prvků může být docela obtížný, protože existují taková omezení [12] :

  1. Dočasný
  2. Finanční
  3. Technický
  4. Provozní
  5. Kultura
    Co může být možné v jednom regionu ( Evropa ), jako například odbavení zavazadel, není možné v jiném ( Střední východ ).
  6. Etické
    Různé představy o dostupnosti informací o soukromém životě v závislosti na etice regionu, vlády. Rozdíl je i v odvětvích, jako je průmysl nebo zdravotnictví.
  7. Environmentální
    Obvykle souvisí s klimatickými a přírodními riziky určitého regionu.
  8. Právní
  9. Snadné použití a kvalifikovaný personál.
Identifikace zranitelnosti

Zranitelnost sama o sobě není škodlivá, musí existovat hrozba, která umožní tuto zranitelnost zneužít. Zranitelnost bez hrozby zneužití nemusí vyžadovat kontrolu, ale musí být nalezena a sledována z hlediska změn. Naopak hrozba bez doprovodných zranitelností nemusí vést k riziku. Zranitelnost lze identifikovat v následujících oblastech: personál, organizace, procesy a postupy, konfigurace informačního systému , hardware, software , komunikační zařízení. [13]

Příklady zranitelností
Hardware
Zranitelnosti Výhrůžky
Náchylnost na vlhkost a prach Prach, koroze, námraza
Nechráněné úložiště Krádež médií nebo dokumentů
Nekontrolované kopírování Krádež médií nebo dokumentů
Neopatrnost při ničení Krádež médií nebo dokumentů
Nedostatečná údržba Neopravitelný IT systém
Náchylnost na změny napětí Porucha napájení
Personál
Zranitelnosti Výhrůžky
Nedostatečné bezpečnostní školení Chyba při používání
Nedostatek monitorovacích mechanismů Nelegální zpracování dat
Práce bez dozoru externího personálu Krádež médií nebo dokumentů
Chyby ve správném oddělení odpovědnosti za bezpečnost informací Odmítnutí akce
Síť
Zranitelnosti Výhrůžky
Špatná správa hesel Padělání práv
Byly zahájeny nepotřebné služby Nelegální zpracování dat
Nedokončený nebo nový software Selhání softwaru
Nezabezpečené komunikační linky Naslouchání
Nebezpečná síťová architektura Vzdálená špionáž
Předávání hesel v prostém textu Vzdálená špionáž
Nezabezpečená připojení k veřejné síti Neoprávněné použití zařízení
NA
Zranitelnosti Výhrůžky
Nedostatečné testování softwaru Zneužití práv
Žádné „odhlášení“ při opuštění pracovní stanice Zneužití práv
Málo revizí Zneužití práv
Nesprávné rozdělení přístupových práv Zneužití práv
Rozšířený software Poškození dat
Špatná dokumentace Chyba při používání
Nesprávná data Chyba při používání
Přístupy k hodnocení rizik informační bezpečnosti

Povrchní hodnocení rizik vám umožňuje určit prioritu odstraňování zranitelností. Kvůli omezením zmírňujícím rizika často není možné uzavřít všechny zranitelnosti a v takovém případě je třeba opravit pouze ty nejdůležitější. Zdroje lze rozdělit do tří kategorií: [14] [15]

  1. Vysoká
    Zdroj hrozeb je vysoce aktivní a má vysoké schopnosti, zatímco prevence zneužití je neúčinná. Může mít za následek vážnou ztrátu majetku, porušení poslání organizace.
  2. Střední
    Zdroj hrozeb je aktivní a schopný, ale kontroly zabraňující zneužití zranitelnosti jsou účinné. Existuje možnost ztráty hmotného majetku, poškození dobrého jména organizace, zásah do její práce.
  3. Nízká
    Zdroj hrozeb nemá motivaci k provádění hrozeb a protiopatření jsou účinná. Může vést k menším ztrátám zdrojů a narušit práci organizace.

Poznámky

  1. Průvodce pro provádění hodnocení rizik   = Průvodce pro provádění hodnocení rizik // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Vydání. 1 . - C. E1-E8 .
  2. „Riziko je kombinací pravděpodobnosti výskytu nebezpečné události nebo expozice (expozicí) a závažnosti zranění nebo špatného zdraví, které může událost nebo expozice způsobit“ (OHSAS 18001:2007)
  3. Informační technologie -- Bezpečnostní techniky-Řízení rizik informační bezpečnosti  (anglicky)  // Britské normy BS ISO/IEC 27005:2008. - 2008. - 15. června ( číslo 1 ). - S. 1 . Archivováno z originálu 17. února 2017.
  4. Gary Stoneburner, Alice Goguen a Alexis Feringa. Průvodce řízením rizik pro systémy informačních technologií  // National Institute of Standards and Technology NIST Special Publication 800-30  . - 2002. - Vydání. 1 . - S. 8 .
  5. PUBLIKACE FIPS PUB 200 FEDERÁLNÍCH STANDARDŮ ZPRACOVÁNÍ INFORMACÍ . Získáno 16. února 2017. Archivováno z originálu 21. února 2017.
  6. Minimální požadavky na bezpečnost pro federální informační a informační systémy  (anglicky)  // National Institute of Standards and Technology PUBLICACE FEDERÁLNÍCH STANDARDŮ ZPRACOVÁNÍ INFORMACÍ 200. - 2006. - Vydání. 1 . - S. 8 .
  7. 1 2 Isaev I.V. IT RIZIKA A BEZPEČNOST INFORMACÍ  (rus.)  // Moderní technologie náročné na vědu. - 2014. - Vydání. 1 , č. 7-1 . - S. 184 .
  8. Průvodce pro provádění hodnocení rizik   = Průvodce pro provádění hodnocení rizik // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Vydání. 1 . - S. 4-5 .
  9. Gary Stoneburner, Alice Goguen a Alexis Feringa. Risk Management Guide for Information Technology Systems  (anglicky)  = Risk Management Guide for Information Technology Systems // National Institute of Standards and Technology NIST Special Publication 800-30. - 2002. - Vydání. 1 . - S. 4 .
  10. Průvodce pro provádění hodnocení rizik   = Průvodce pro provádění hodnocení rizik // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Vydání. 1 . - S. 4-6 .
  11. Průvodce pro provádění hodnocení rizik   = Průvodce pro provádění hodnocení rizik // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Vydání. 1 . - S. 29-39 .
  12. Informační technologie -- Bezpečnostní techniky-Řízení rizik informační bezpečnosti  (anglicky)  // Britské normy BS ISO/IEC 27005:2008. - 2008. - 15. června ( číslo 1 ). - S. 53-54 . Archivováno z originálu 17. února 2017.
  13. Informační technologie -- Bezpečnostní techniky-Řízení rizik informační bezpečnosti  (anglicky)  // Britské normy BS ISO/IEC 27005:2008. - 2008. - 15. června ( číslo 1 ). - S. 50-53 . Archivováno z originálu 17. února 2017.
  14. Informační technologie -- Bezpečnostní techniky-Řízení rizik informační bezpečnosti  (anglicky)  // Britské normy BS ISO/IEC 27005:2008. - 2008. - 15. června ( číslo 1 ). - S. 47-53 . Archivováno z originálu 17. února 2017.
  15. Průvodce pro provádění hodnocení rizik   = Průvodce pro provádění hodnocení rizik // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Vydání. 1 . - S. 5-6 .