Analýza rizik jako nástroj prevence kybernetické kriminality

Risk analysis as a tool for the prevention of cyber crime

conference paper

Czech

Vzhledem k rostoucí závislosti civilizace na informačních a komunikačních technologiích se stává zranitelnost informačních systémů a informačních technologií významnou hrozbou. Protože hlavním nástrojem obrany proti kyberútokům je prevence, je třeba budovat informační systémy jako systémy zabezpečené. Tím dojde ke snížení zranitelnosti, a tedy i k zábraně hrozeb pocházejících z řad pachatelů kybernetické kriminality či kyberteroristů. Nejdůležitějším nástrojem při budování systému řízení bezpečnosti informací je analýza rizik jako součást procesu řízení rizik. Přitom musí být zohledněny jak obecné kriminogenní faktory kyberkriminality, tak výsledky konkrétní analýzy rizik v daných podmínkách. Systém řízení bezpečnosti informací je definován normou ČSN ISO/IEC 27001. Při posuzování rizik lze postupovat podle obecné normy ISO 31000 nebo podle speciální normy z řady 27000, konkrétně podle ČSN ISO/IEC 27005. Nejpodrobnější úpravu přinesl zákon č. 181/2014 Sb., o kybernetické bezpečnosti, v jehož prováděcí vyhlášce č. 316/2014 Sb. je podrobně upraveno řízení rizik. Proces řízení rizik, od fáze identifikace a analýzy rizik až po uplatnění metod pro snižování rizika je procesem iteračním, který trvá stejně dlouho, jako existují aktiva, jež je třeba chránit. Řízení bezpečnosti zahrnuje i ekonomické aspekty snižování rizik, neboť důležitou součástí procesu rozhodování o metodách a nástrojích na snížení identifikovaných rizik jsou samozřejmě náklady na snížení rizika.

Due to the increase in the dependence of the civilization on information and communication technologies, the vulnerability of information systems and information technologies is becoming a major threat. As prevention is the main tool of defence against cyber-attacks, it is necessary to build information systems that are secure. This will reduce their vulnerability and thus prevent the threats from cybercrime offenders or cyberterrorists. The risk analysis as a part of the risk management process is the most important tool in building the information security management system. At the same time, general criminogenic factors of cybercrime as well as the results of a particular risk analysis under given conditions must be taken into account. The information security management system is defined by the Czech standard ISO/IEC 27001. While assessing the risks, it is possible to follow the general standard ISO 31000 or the special standard of the 27000, specifically the Czech standard ISO/IEC 27005. The Cyber Security Act No. 181/2014 Coll. and the implementing decree No. 316/2014 Coll. includes detailed information on risk management, provides the most detailed legislation on cyber security. The risk management process, from the identification and risk analysis phase to the application of the risk reduction methods, is an iterative process which lasts as long as there are assets which need to be protected. Security management also includes economic aspects of the risk reduction, as the risk reduction cost is, of course, an important part of the process of deciding on methods and tools for the reduction of the identified risks.

Kybernetická bezpečnost; kyberkriminalita; kyberterorizmus; řízení rizik; analýza rizik; systém řízení bezpečnosti informací.

Cybersecurity, cybercrime, cyberterrorism, risk management, risk analysis, information security management system

SMEJKAL, V.

27. 1. 2017

ÚSI VUT v Brně

Brno

978-80-214-5459-0

Sborník příspěvků XXVI. mezinárodní vědecké konference Expert Forensic Science 2017

504

515

11