Aktuality

ISO/IEC 27001 – Identifikácia hrozieb a zraniteľností

Po identifikácii a ocenení aktív nasleduje ďalší krok, ktorým je identifikácia hrozieb a zraniteľností.

Hrozba

Pod pojmom hrozba rozumieme potenciálnu príčinu incidentu, ktorá môže mať za následok poškodenie aktív.

Pojem hrozba tiež môžeme vysvetliť ako určitý jav, udalosť, proces alebo postup, pomocou ktorého dochádza k útoku na tri základné kritéria informačnej bezpečnosti (dôvernosť, dostupnosť, integrita). [17]

Rozdelenie hrozieb

Hrozby môžu mať pôvod:

  • prírodný (zemetrasenie, blesk, poţiar, povodeň),
  • ľudský.

Ľudské hrozby môžeme ďalej deliť na:

  • náhodné (vymazanie súboru, chybný príkaz, fyzická nehoda),
  • úmyselné (krádež, hacking, odpočúvanie). [

Z hľadiska bezpečnosti je žiaduce, aby ako náhodné tak aj úmyselné hrozby boli identifikované a aby mohla byť odhadnutá ich úroveň a pravdepodobnosť. Otázkou je, aké hrozby sú pre danú organizáciu aktuálne.

Aké sú najčastejšie typy hrozieb s vplyvom na funkčnosť systému informačnej bezpečnosti (ISO/IEC 27001)?

Identifikácia hrozieb

Pojmom identifikácia hrozieb rozumieme odhaľovanie možných zdrojov hrozieb, ktoré môžu ohroziť určitú skupinu aktív. V norme ISO 27005 je katalóg častých hrozieb, ktorý je možné použiť v procese posudzovania hrozieb. Podľa svojho pôvodu môžu byť hrozby:

  • úmyselné (D) – môţu mať za následok poškodenie alebo stratu základných sluţieb,
  • náhodné (A) – používajú sa pre všetky ľudské činnosti, ktoré môžu náhodne po- škodiť informačné aktíva,
  • environmentálne (E) – používajú sa pre všetky incidenty, ktoré nie sú založené na ľudskej činnosti.
TypHrozbyPôvod
FyzickéPoţiarA,D,E
Poškodenie vodouA,D,E
ZnečistenieA,D,E
Prach, korózia, mrznutieA,D,E
Prírodné udalostiPovodeňE
Klimatický javE
Sopečný javE
Strata základných sluţiebPrerušenie dodávky elektrinyA,D,E
Poruchy spôsobené ţiarenímElektromagnetické ţiarenieA,D,E
Termálne ţiarenieA,D,E
Ohrozenie informáciíKrádeţ médií, dokumentovD
Krádeţ zariadeníD
Vzdialená špionáţD
OdpočúvanieD
Technické zlyhanieChybné fungovanie zariadeniaA
Preťaţenie systémuA,D
Chyba údrţbyA,D
Neoprávnené činnostiPoškodenie dátD
Nezákonné spracovanie dátD
Ohrozenie funkčnostiChyba v pouţívaníA
Zneuţitie oprávneniaA,D
Nedostatok personáluA,D,E

Tab. Typické príklady hrozieb podľa ISO/IEC 27005

Zraniteľnosť

Zraniteľnosť spojená s aktívami zahŕňa slabé miesta na úrovni fyzickej, organizačnej, procedurálnej, personálnej, riadiacej, administratívnej, rovnako ako na úrovni hardvéru, softvéru alebo informácií.

Zraniteľné miesta môžu byť využité hrozbami, ktoré môžu spôsobiť poškodenie systému informačnej bezpečnosti alebo obchodných cieľov.

Existencia zraniteľných miest je dôsledkom chýb, zlyhania v analýze, v návrhu alebo v zavedení informačného systému v analýze. Tak isto môže byť dôsledkom vysokej hustoty uložených informácií, zložitého softvéru, existencie skrytých kanálov pre prenos informácií inou než zamýšľanou cestou a pod. Podstata zraniteľného miesta môže byť:

  • fyzická – napr. umiestnenie informačného systému v mieste, ktoré je ľahko prístupné sabotáži, a pod.
  • prírodná – záplava, požiar, blesk,
  • v hardvéri alebo v softvéri – nepokrytá bezpečnostná diera v operačnom systéme, poruchové komponenty informačného systému,
  • fyzikálna – elektromagnetické vyžarovanie, útoky pri komunikácii na výmenu správy,
  • v ľudskom faktore – predstavuje najväčšiu možnú zraniteľnosť všetkých existujúcich variant.

Pravdepodobnosť výskytu hrozieb

Tieto zraniteľné miesta je možné veľmi jednoducho priradiť jednotlivým hrozbám, ktoré boli identifikované podľa oblastí bezpečnosti. Ohodnotenie zraniteľností je vykonávané subjektívnym hodnotiteľom (vlastníkom aktív), ktorý im priradí hodnotu od „1“ do „5“, pričom najpravdepodobnejšia hrozba je na stupnici ohodnotená číslom „5“. Pri určovaní pravdepodobnosti výskytu hrozieb je potrebné tiež skúmať, či sa jedná o javy náhodné a či je možné danú hrozbu vylúčiť z nášho uvažovania.

Identifikovaná hrozbaPravdepodobnosť hrozbyPríklad súvisiacich zraniteľností
Zlyhanie hardvéru3Náchylnosť zariadenia na vlhkosť, prach a ušpinenie
Zlyhanie softvéru3Nejasné alebo neúplné špecifikácie pre vývojárov
Krádež3Nedostatok fyzickej ochrany bu- dov, dverí a okien
Povodeň2Umiestnenia v miestach ktoré sú ohrozované povodňami
Zlomyseľné kódy5Nedostatok aktualizácií softvéru na ochranu pred zlomyseľnými kódmi
Neúmyselná modifikácia5Nedostatočný výcvik bezpečnosti
Zlyhanie komunikačných služieb4Nechránené verejné sieťové pripojenia
Typické príklady hrozieb a príklady ich súvisiacich zraniteľností

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená.