Riadenie rizík

Riadenie kybernetických bezpečnostných rizík

Bezpečnosť je vo všeobecnosti je bezpečnosť vlastnosťou aktíva, ktorá determinuje mieru jeho ochrany voči rizikám a jeho schopnosť odolať určitým hrozbám tak, že tieto hrozby sú správne predvídané a vhodným spôsobom znižované. Kybernetická bezpečnosť je stav, v ktorom sú siete a informačné systémy schopné odolávať na určitom stupni spoľahlivosti akémukoľvek konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov.

Ak riziko je miera kybernetického ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami, v prenesenom význame je kybernetickou bezpečnosťou udržiavanie  akceptovateľnej miery identifikovaného rizika, ktoré pôsobí na informačné aktíva.

Riziká pôsobiace na informačné aktíva

Príčina je stav reality, ktorý v rámci kauzálnej súvislosti vyvoláva nevyhnutne iný stav, ktorý sa nazýva následok. Príčina je jav, proces, alebo udalosť, ktorý predchádza inému stavu alebo javu, účinku a vyvoláva ho. Zraniteľnosť informačného aktíva je dôvodom, prečo jestvuje hrozba, preto zraniteľnosť je hmotnou príčinou a hrozba je kauzálnou súvislosťou. Rovnako platí, že hrozba je dôvodom, prečo jestvuje riziko uplatnenia hrozby. Logicky kauzálnou súvislosťou rizika je dopad, malígna udalosť, incident, alebo akýkoľvek nepriaznivý vplyv.

Zraniteľnosť, hrozba, riziko

Podľa formálnej definície je zraniteľnosť slabé miesto informačného aktíva, slabina v informačnom systéme, v bezpečnostných procedúrach systému, opatreniach alebo implementácii, ktoré následne môže aktivovať alebo využiť nositeľ hrozby.

Hrozba je podľa § 3 písm. j) zákona č. 69/2018 Z z. o kybernetickej bezpečnosti každá primerane rozpoznateľná okolnosť alebo udalosť proti sieťam a informačným systémom, ktorá môže mať nepriaznivý vplyv na kybernetickú bezpečnosť.  T.j. potenciál, že akákoľvek okolnosť či udalosť využije zraniteľnosť informačného aktíva a spôsobí škodu, alebo iný nepriaznivý následok.

Hrozba je však stále iba konštatovanie určitej potenciálnej možnosti. Ak chceme pochopiť, aká je reálna možnosť, že sa takáto hrozba uplatní, dostali sme sa ku výrazu „riziko“.

Riziko je funkcia pravdepodobnosti, že hrozba (potenciálna príčina nechceného) využije známu, alebo neznámu zraniteľnosť, pričom jej následkom nastane udalosť, typicky prinášajúca nežiadúci dopad na hodnoty. Norma ISO/IEC 27000 definuje riziko relatívne jednoducho, ako „účinok neistoty na ciele“.

Vzťahy logických objektov z pohľadu rizika vzniku incidentu prehľadne zobrazuje graf z medzinárodnej nory ISO/IEC 27035-1:2016 Informačné technológie – Bezpečnostné metódy – Manažment incidentov  v informačnej bezpečnosti – Časť 1: Princípy manažmentu incidentov:

Riadenie rizík 1 

Riadenie rizík

Riadenie rizika možno vymedziť ako vopred nastavené a koordinované činnosti, ktorých cieľom je kontrolovať mieru rizika pôsobiaceho na organizáciu.

Proces riadenia rizík pozostáva z dvoch základných fáz: „Analýza rizík“ a „Ošetrovanie rizík“.

Generický proces riadenia rizík informačnej bezpečnosti podľa ISO/IEC 27005:2018 pozostáva zo stanovenia kontextu, posúdenia rizika, ošetrovania rizika, akceptácie rizika, komunikácii rizika a monitorovania a preskúmavania rizika. Vzťahy medzi týmito časťami procesu sú graficky znázornené nasledujúcim spôsobom:

Riadenie rizík 2

Analýza rizík je typicky založená na posúdení pravdepodobnosti výskytu hrozby a odhadu možného dopadu hrozby. Analýzou rizík sa určuje pravdepodobnosť vzniku budúcej škodlivej udalosti, ktorá môže byť spôsobená zneužitím existujúcej zraniteľnosti aktíva potenciálnou hrozbou v spojitosti s existujúcimi bezpečnostnými opatreniami a identifikáciou dopadov pri narušení dôvernosti, integrity alebo dostupnosti aktíva. Výsledok analýzy rizík sa opiera o základný vzorec, podľa ktorého je riziko súčinom pravdepodobnosti hrozby a jej potenciálneho dopadu podľa funkcie Rn = Pn x Dn.

Platná Metodika analýzy rizík pre uplatnenie v procesoch riadenia rizika v zmysle požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti bola zverejnená na stránkach Úradu 13.12.2021.

Proces ošetrovania rizík

Účelom procesu ošetrovania hrozieb a rizík je zabezpečiť primeranú ochranu aktív podľa ich hodnoty, určiť zodpovednosti osôb v tomto procese a zabezpečiť implementáciu vhodných bezpečnostných opatrení.

Podľa § 6 ods. 6 Vyhlášky NBÚ č. 362/2018 Z. z. proces riadenia rizík pozostáva z identifikácie zraniteľností,  identifikácie hrozieb, identifikácie a  analýzy rizík s ohľadom na aktívum,  určenia vlastníka rizika,  implementácie organizačných a technických bezpečnostných opatrení (v závislosti od identifikovaných rizík vrátane informácie, ktoré bezpečnostné opatrenia boli a ktoré neboli implementované spolu s odôvodnením),  analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík a v závislosti od aktualizácie prijatých bezpečnostných opatrení.

Výber bezpečnostných opatrení je závislý od rozhodnutí, ktoré sú založené na kritériách na akceptovanie rizík, možnostiach ošetrenia rizík a od všeobecného prístupu k riadeniu rizík, ktorý je v organizácii zavedený. Cieľom procesu riadenie rizík je napomáhať uspokojivej implementácii kybernetickej bezpečnosti založenej na identifikácii, analýze a primeranom ošetrovaní kybernetických bezpečnostných rizík.

Riadenia rizika je netriviálnym manažérskym procesom, ktorý je podstatnou súčasťou systému riadenia kybernetickej bezpečnosti.

Dátum prvého uverejnenia , posledná aktualizácia