Jak provést analýzu rizik pro NIS2

Datum poslední aktualizace: 07. 11. 2024

5 praktických kroků analýzy rizik s pomocí aktiv pro NIS2

Analýza a zhodnocení rizik jak ji vyžaduje kybernetický zákon a NIS2 se provádí na základě identifikovaných aktiv, zranitelností, hrozeb. Provedeme vás postupem, který je založený na postupu podle kybernetického zákona v pěti základních krocích, abyste se v nich neutopili. Jistě existují i další postupy, toto je pouze jeden z možných přístupů. 

  • Tento způsob analýzy rizik je využívaný v oblasti informační a kybernetické bezpečnosti.
  • Lze jej použít i při zavádění ISO 27001. Pro jiné typy rizik jsou vhodnější jiné postupy analýzy rizik
rizika, zranitelnosti, aktiva a hrozby

Krok 1: Identifikujte vaše aktiva

Aktiva jsou klíčový středobod analýzy rizik. Od nich se vše odvíjí. Zákon vymezuje primární aktiva což jsou vaše data a podpůrná aktiva jsou vše ostatní co potřebujete mít, aby váš systém fungoval. Nejprve je třeba soustředit se určení vašich primárních aktiv. 

Identifikujte primární aktiva 

Primární aktiva jsou informace nebo data, které stojí na vrcholu pomyslné pyramidy. Mezi primární aktiva lze zařadit také služby, doporučujeme soustředit se ale na pouze data a informace, abyste v tom nezamotali (služba je výstup). Primární aktiva jsou tedy data nebo informace, které když nemáte nebo nefungují, tak vaše organizace také nemůže fungovat, nemůže plnit své poslání. Jsou to tedy zásadní pro fungování vaší organizace:

Identifikujte podpůrná aktiva

Podpůrná aktiva zajišťují funkčnost respektive dostupnost primárních aktiv. Každé primární aktivum je závislé na jednom nebo více podpůrných aktivech, a tedy k provedení analýzy potřebujete tyto závislosti sledovat. Podpůrná aktiva jsou typicky tato:

  • Další data a informace
  • IT služby
  • Služby infrastruktury (např. dodávka elektřiny)
  • Hardware -  Výpočetní technika, sítě, a další IT technika
  • Média a nosiče data 
  • Zaměstnanci
  • Prostory a objekty

Určete garanty aktiv

  • Každé aktivum - primární nebo podpůrné musí mít jasně určenou odpovědnou osobu
  • Garanti svá aktiva dobře znají
  • Garanti aktiv jsou odpovědni za správu a řízení bezpečnosti aktiva po celou dobu jeho životnosti.  

Popište závislosti primárních aktiv na podpůrných aktivech

  • Je důležité vědět, kde máte vaše data uložená nebo na čem jsou závislá a tedy jak případná nedostupnost podpůrných aktiv, jako jsou technologie, služby, systémy, lidé, aplikace ovlivní nedostupnost vašich dat.
  • Vazby mezi primární a podpůrnými aktivy vám pomohou vytvořit představu vzájemných závislostí. 

Proveďte hodnocení všech svých aktiv 

  • Hodnocení aktiv vychází primárně z názoru garanta aktiva 
  • S pomocí garantů tedy proveďte hodnocení všech aktiv z hlediska důvěrnosti, dostupnosti a integrity. 
  • Hodnota každého aktiva je určována podle dopadu, tj. podle míry škody, která vznikne jeho poškozením nebo ztrátou.

Nyní máte seznam svých aktiv. Zadejte je všechny do registru aktiv, pro každé aktivum zadejte hodnocení a vytvořte si závislosti mezi primárními a podpůrnými aktivy. V dalším kroku si vytvoříte seznam hrozeb.

Doporučené úrovně důležitosti aktiv dle jejich dopadů na organizaci

  1. Nízká dopad je na úrovni nepohodlí 
  2. Střední menší újma 
  3. Vysoká závažná újma
  4. Kritická vede k závažným dopadům na organizaci, ty jsou dlouhodobé a nevratné

Krok 2: Identifikujte zranitelnosti

Zranitelnosti, jsou slabá místa aktiv, tedy jak může být aktivum napadeno nebo poškozeno. Jsou to známá slabá místa o kterých víte, a které mohou být předmětem nějakého útoku nebo hrozby. Pečlivě analyzujte každé aktivum a identifikujte a přiřaďte k němu potenciální zranitelnosti.

Určete zranitelnosti ke každému aktivu

Postupujte od jednotlivých aktiv. Každé má nějaké své zranitelnosti. Ty sepište a vytvořte si vazbu k příslušnému aktivu. Zranitelnosti moou být

  • nedostatečné znalosti zaměstnanců v oblasti kybernetických hrozeb
  • špatně přidělené oprávnění při nástupu zaměstnance
  • neodebírání oprávnění zaměstnancům při jejich odchodu 
  • chybějící zálohování
  • nedostatečné stanovení bezpečnostních pravidel
  • nedostatečná údržba informačního systému
  • nevhodné nastavení přístupových oprávnění
  • nedostatečné monitorování činnosti uživatelů a administrátorů
  • neschopnost odhalit podvodné nebo závadné chování uživatelů

Zhodnoťte zranitelnosti vašeho systému

  • Hodnocení zranitelností se provádí dle kritérií stanovených podle názoru garanta aktiv. 
  • Pro každou zranitelnost stanovte její úroveň na doporučené škále. 

Doporučené úrovně zranitelností

  1. Nízká Zranitelnost neexistuje nebo je její zneužití není pravděpodobné 
  2. Střední Zneužití zranitelnosti je málo pravděpodobné. Nejsou známé žádné úspěšné pokusy jejího zneužití.
  3. Vysoká Zneužití zranitelnosti je velmi pravděpodobné. Jsou známé dílčí úspěšné pokusy jejího zneužití.
  4. Kritická Zneužití zranitelnosti je téměř jisté. Existují časté a úspěšné pokusy o zneužití.

Krok 3: Identifikujte hrozby

Každé aktivum může podlehnout nějakým hrozbám. hrozby zpravidla nemůžete ovlivnit, můžete se na ně připravit nebo jim předcházet. Pečlivě analyzujte každé aktivum a identifikujte a přiřaďte k němu potenciální hrozby jako jsou například.

  • Chyby nebo špatné úmysly lidí 
  • Kybernetické útoky
  • Přírodní hrozby
  • Technická selhání a nedostatky,
  • Selhání podpůrných  služeb

Zhodnoťte hrozby

  • Hodnocení hrozeb se provádí dle názoru garanta aktiv
  • Každé hrozbě přiřaďte jednu z následujících úrovní 

Doporučené úrovně hodnocení hrozeb

  1. Nízká Hrozba neexistuje nebo je málo pravděpodobná. Nenastane častěji než jednou za 5 let. 
  2. Střední Hrozba je málo pravděpodobná až pravděpodobná. Nastane v rozpětí od 1 roku do 5 let.
  3. Vysoká Hrozba je pravděpodobná až velmi pravděpodobná. Nastane v rozpětí od 1 měsíce do 1 roku.
  4. Kritická Hrozba je velmi pravděpodobná až víceméně jistá. Nastane častěji než jednou za měsíc.

Krok 4: Pojmenujte rizika a přiřaďte k nim jejich vlastníky 

Na základě prvních třech kroků identifikujte rizika a jejich vlastníky. Vlastníci rizik mají odpovědnost za zvládání rizik a mají dostatečnou pravomoc riziko řídit. Pro popis jednotlivých rizik využijte registr rizik.

Identifikujte rizika

  • Rizika jsou průsečíkem aktiv, zranitelností a hrozeb
  • Jednotlivá rizika odpovídají jednotlivým hrozbám, které mohou prostřednictvím zranitelností poškodit konkrétní aktivum a způsobit tak škodu.
  • Každé dílčí riziko se tak vztahuje ke každému pomyslnému průsečíku aktiva, zranitelnosti a hrozby.

Určete si úrovně rizik 

  • V seznamu rizik musíte vytvořit priority. Nelze řešit vše najednou.
  • Rizika potřebujete rozčlenit podle jejich závažnosti a dopadu na vaši organizaci
  • To budete provádět pro každé jednotlivé riziko
  • Nejčastěji se rizika rozdělují do třech skupin následovně: 
  1. nízké, akceptovatelné - riziko je možné akceptovat
  2. střední riziko - je třeba naplánovat opatření
  3. vysoké riziko - je třeba přijmout okamžitá opatření 

Zhodnoťte a vyberte rizika, které vás nejvíce ohrožují

  • Pro každé jednotlivé riziko vypočtete jeho úroveň podle následujícího vzorce:
  • Riziko = Hodnota ovlivněného aktiva x úroveň hrozby x úroveň zranitelnosti
  • Každé dílčí riziko má nějaké vypočtené skóre a tím jej zařadíte  do příslušné úrovně  tří úrovní rizik.
  • Rizika zařadíte do výše uvedených skupin jako nízké, střední nebo vysoké riziko 
  • Rizika roztřídíte do skupin na nízká (akceptovatelná), střední a vysoká rizika

Zhodnoťte detailně rizika

  • Pro vysoká a střední rizika proveďte detailní zhodnocení 
  • Vysoká rizika vyžadují nejvíce pozornosti
  • V dalším kroku určíte, jak jednotlivá rizika zvládnout tak, abyste se ideálně dosáhli jejich akceptovatelné úrovně 

Krok 5: Určete jak budete rizika zvládat 

Pro každé riziko si stanovíte, jak se k němu postavíte, jak ho budete chtít ošetřit. Optimálním cílem je dosáhnout akceptovatelnosti u všech rizik, tedy je snížit jejich hodnotu na akceptovatelnou úroveň. Riziko lze akceptovat z důvodu jeho nízké úrovně nebo v případě, že případná opatření by byla obtížně realizovatelná nebo neúměrně nákladná. Podle výše úrovně rizika jsou určovány priority řešení a jsou navrhována adekvátní opatření.

Jak můžete rizika zvládnout

  1. Zmírnit ho 
  2. Přenést ho na někoho jiného
  3. Vyhnout se mu
  4. Přijmout ho

Riziko zmírníte

  • Zmírnit ho je nejvíce využívaný přístup.
  • Znamená to přijmout opatření, které pomohou dostat riziko na akceptovatelnou úroveň
  • Příkladem je vzdělávání pracovníků v oblasti kybernetických útoků, to pomůže snížit pravděpodobnost toho, že někdo zneužije jejich neznalost

Riziko přenesete na někoho jiného

  • Tento způsob je vhodný, pokud na trhu najdete někoho jiného, kdo riziko dokáže zvládnout lépe
  • Typické příklady jsou pojištění nebo outsourcing

Riziku se vyhnete u

  • To znamená danou věc nedělat a tím riziko eliminovat
  • Je to negativní způsob řešení rizika

Riziko přijmete 

  • To znamená, že riziko budete akceptovat tak, jak je
  • Přijmout lze nízká rizika nebo rizika s vysokými náklady na jeho zmírnění.
  • Lze přijmout i střední rizika
  • Neměli byste takto řešit vysoká rizika, pokud jiná opatření nejsou neadekvátně nákladná