98
Řízení rizik ve firmách a jiných organizacích
Údaje pro identifikaci hrozeb a odhad pravděpodobnosti jejich výskytu lze získat od vlastníků nebo uživatelů aktiv, od manažerů, pracovníků lidských zdrojů, interních odborníků a externích expertů, specializovaných firem (např. na bezpečnost informací), meteorologických stanic, pojišťoven, orgánů veřejné moci a dalších úřadů. Při aktuálním hodnocení by se mělo přihlížet i k vnitřním zkušenostem z incidentů a minulým hodnocením hrozeb. Tam, kde to je důležité, je možné nahlédnout i do dostupných, dříve zpracovaných katalogů hrozeb. Je ovšem třeba mít na paměti, že při použití katalogů hrozeb nebo výsledků dřívějších hodnocení hrozeb musíme počítat s tím, že se hrozby mohou měnit, zejména v obdobích sociálně-ekonomických turbulencí a prudkého technologického vývoje.
4.3.3 Zranitelnost
Zranitelnost je nedostatek, slabina nebo stav analyzovaného aktiva (případně subjektu nebo jeho části), který může hrozba využít pro uplatnění svého nežádoucího vlivu. Tato veličina je vlastností aktiva a vyjadřuje, jak citlivé je aktivum na působení dané hrozby. Výskyt zranitelnosti nepůsobí škodu jako takový, protože musí existovat hrozba, která ho využije. Zranitelnost, která nemá odpovídající hrozbu, nemusí vyžadovat přijetí opatření, ale měla by být rozpoznána a monitorována, jestli se nemění. Je nutno poznamenat, že nesprávně přijaté či nefunkční opatření nebo opatření, které se používá nesprávně, by samo o sobě mohlo představovat zranitelnost. Opatření může být účinné nebo neúčinné v závislosti na prostředí, v němž funguje. Naopak hrozba, která nemá odpovídající zranitelnost, nemusí vyústit v riziko. Zranitelnosti mohou souviset s vlastnostmi aktiva, které lze použít způsobem nebo pro účel, který je jiný, než bylo zamýšleno, když bylo aktivum zakoupeno nebo zhotoveno. Je nutno posuzovat zranitelnosti vyplývající z různých zdrojů, například ty, které jsou pro aktivum podstatné nebo vedlejší.11 Zranitelnost vznikne všude tam, kde dochází k interakci mezi hrozbou a aktivem. Základní charakteristikou zranitelnosti je její úroveň. Úroveň zranitelnosti aktiva se hodnotí podle následujících faktorů: ■■ Citlivost: náchylnost aktiva být poškozeno danou hrozbou. ■■ Kritičnost: důležitost aktiva pro analyzovaný subjekt.
Pro hodnocení lze používat scénáře incidentů, obsahující popis hrozby zneužívající určitou zranitelnost nebo soubor zranitelností (viz např. ISO/IEC 27002, kapitola 13). Je nutno určit následek incidentu a posuzovat přitom kritéria dopadu definovaná během činnosti stanovení kontextu. Následek může ovlivnit jedno nebo více aktiv nebo jen část aktiva.
4.3.4 Protiopatření
Protiopatření je postup, proces, procedura, technický prostředek nebo cokoliv, co bylo speciálně navrženo pro zmírnění působení hrozby (její eliminaci), snížení zranitelnosti nebo dopadu hrozby. Protiopatření se navrhují s cílem předejít vzniku škody nebo s cílem usnadnit překlenutí následků vzniklé škody. Z hlediska analýzy rizik je protiopatření charakterizováno efektivitou a náklady. Efektivita protiopatření vyjadřuje, nakolik protiopatření sníží účinek hrozby. Používá se ve fázi
11
ČSN ISO/IEC 27005, bod 8.2.1.5.
Ukázka elektronické knihy, UID: KOS194310