Verejný katalóg hrozieb

Hrozba, je akákoľvek okolnosť či udalosť, ktorá môže potenciálne využiť zraniteľné miesto informačných, alebo informačných aktív a spôsobiť  negatívny následok (dopad). Hrozba má vo všeobecnosti potenciál poškodenia aktív, môže byť úmyselná, alebo náhodná, príp. spôsobená vplyvom prostredia pre udalosti, ktoré vznikajú nezávisle od ľudskej činnosti.

Pre efektívne riadenie rizík je nevyhnutné identifikovať všetky hrozby spôsobilé narušiť informačnú a kybernetickú bezpečnosť. Pre zvýšenie efektivity procesu identifikácie hrozieb je účelné, prevádzkovateľ udržiaval zoznam predpokladateľných hrozieb v tzv. Katalógu hrozieb. Táto požiadavka je nakoniec aj predmetom niekoľkých ustanovení zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a jeho vykonávacích predpisov.

Jednotlivé hrozby môžu byť a zvyčajne aj sú zreťazené, alebo skombinované. Tieto hrozby je potom možné vyjadriť prostredníctvom scenára, ako opisu škodlivej udalosti.

Katalóg hrozieb

Katalóg hrozieb je zoznam všetkých dôvodne očakávaných hrozieb v organizácii, ktorý prevádzkovateľom napomáha pri identifikácii hrozieb využitím existujúcej taxonómie v kontexte scenárov rizík.

Pri tvorbe vlastného katalógu hrozieb je vhodné vychádzať z existujúcich verejne dostupných katalógov. Prevádzkovateľ môže verejný katalóg hrozieb prispôsobiť podmienkam vlastnej prevádzky.

Ako zdrojové verejné katalógy hrozieb môžu slúžiť napríklad:

  • ENISA Threat Taxonomy –  katalóg hrozieb z výročnej správy Agentúry Európskej únie pre kybernetickú bezpečnosť Threat Landscape (ETL) o stave hrozieb kybernetickej bezpečnosti
  • ISO/IEC 27005:2022 – Information security, cybersecurity and privacy protection — Guidance on managing information security risks
  • National Institute of Standards & Technology (NIST) SP 800-30
  • Bundesamt fur Sicherheit in der Informatiionstechnik (BSI) IT- Grundschutz-Katalog

Národný bezpečnostný úrad spracoval vlastný návrh verejného katalógu hrozieb, ktorý môže prevádzkovateľom napomôcť v identifikácii hrozieb v procese riadenia kybernetických bezpečnostných rizík.

V analýze rizík sa výsledná hodnota rizika určuje ako kombinácia pravdepodobnosti naplnenia scenára rizika a závažnosti odhadovaného dopadov hrozieb, ktoré sú špecifické pre danú organizáciu a proces. Preto generické (verejné) katalógy hrozieb  je účelné doplniť o ďalšie, najmä špecifické hrozby organizácie, najmä z nasledujúcich dodatočných zdrojov informácií:

  • Sektorové požiadavky – t.j. sektorovo špecifické hrozby vyplývajúce najmä z návrhov sektorových opatrení
  • Zistenia auditu – riziká a hrozby identifikované v rámci programu interného auditu, alebo zistenia nesúladu konštatované certifikovaným audítorom kybernetickej bezpečnosti
  • Náhodne identifikované hrozby – o ktorých sa Manažér kybernetickej bezpečnosti dozvie v rámci organizácie, hrozby zistené v špecificky odborných procesoch, napr. ako výsledok analýz v procese štandardnej prevádzky informačných systémov, ktoré môžu identifikovať najmä zamestnanci IT  
  • Hrozby zistené v procesy riadenia IT služieb – riziká zistené pri nahlásení incidentu, alebo iného typu požiadavky na ServiceDesk
  • Testovacie procesy – testovanie softvéru, penetračné testy a iné typy posudzovania a analýzy zraniteľností
  • Projektový manažment – projektoví manažéri a projektové tímy – najmä identifikované riziká IT projektov
  • Monitoring – výstupy automatizovaných monitorovacích systémov prevádzky, resp. monitorovacích systémov kybernetickej bezpečnosti
  • Incidenty – záverečné správy o incidentoch, t.j. výstupy poučenia z incidentu
  • Tretie strany – notifikácia od externej osoby resp. organizácie, ktorá je akýmkoľvek spôsobom informovaná o riziku (napr. výrobcovia HW a SW, dodávatelia služieb, konzultačné spoločnosti, klienti, webové fóra, blogy, mailinglisty, atď.)

Pri tvorbe katalógu by prevádzkovatelia mali vziať do úvahy skúsenosti z incidentov a hrozieb ktoré sa stali v minulosti.

Použitie verejného katalógu hrozieb

Verejný referenčný katalóg hrozieb je poskytnutý Prevádzkovateľom základných služieb  ako iniciálny katalóg, ktorý je vhodné doplniť o ďalšie relevantné hrozby, najmä z nasledujúcich dodatočných zdrojov informácií:

Národný bezpečnostný úrad si vyhradzuje právo tento verejný katalóg hrozieb kedykoľvek meniť a dopĺňať.

Katalóg hrozieb na stiahnutie (ZIP, 44 kB)

Dátum prvého uverejnenia , posledná aktualizácia