Tai mašinu versta tekstas, kuriame gali būti klaidų!
Žinoti, kad grėsės egzistuoja, yra gerai, bet tai mažai padeda, jei nežinote, kurios grėsės yra aktualiausi jūsų sistemai. Rizikos analizė padeda jums prioritizuoti: ką turėtumėte saugoti, kas gali nutikti negerai ir ką turėtumėte su tuo daryti?
Kas yra rizikos analizė?
Rizikos analizė yra sistemingas peržiūros procesas, kuriame:
- Nustatote, kas gali nutikti negerai
- Įvertinate, kiek tai tikėtina
- Įvertinate, koks rimtas būtų poveikis
- Siūlote priemones rizikai sumažinti
Jums nereikia būti saugumo ekspertu, kad tai padarytumėte. Svarbu mąstyti sistemiškai.
Žingsnis po žingsnio
1. Vertės įvertinimas: Ką turime?
Prieš galėdami kažką apsaugoti, turite žinoti, ką turite. Sudarykite svarbiausių sistemos vertybių sąrašą:
| Vertė | Pavyzdys | Kodėl svarbi? |
|---|---|---|
| Duomenys | Vartotojų duomenys, projekto failai | Negalima atkurti |
| Paslaugos | Žiniatinklio serveris, el. paštas, failų saugykla | Žmonės priklauso nuo jų |
| Aparatinė įranga | Serveriai, tinklo įranga | Kaštuoja pinigų ir laiko pakeisti |
| Reputacija | Vartotojų pasitikėjimas sistema | Sunku atstatyti |
2. Rizikos identifikavimas: Kas gali nutikti negerai?
Apmąstykite, kas gali grėsti jūsų vertybėms:
| Rizika | Aprašymas |
|---|---|
| Ransomware | Failai užšifruojami ir reikalaujama išpirkos |
| Elektros energijos sutrikimas | Serveriai ir tinklai nustoja veikti |
| Disko gedimas | Duomenys prarandami |
| Phishing | Kažkas atskleidžia slaptažodžius |
| Netinkama konfigūracija | Pakeitimas, kuris sustabdo paslaugą |
| Gamtos reiškinys | Gaisras, vandens pažeidimas, perkūnas |
3. Įvertinkite tikimybę ir pasekmes
Kiekvienai rizikai įvertinkite du dalykus pagal skalę (pvz., 1–5):
- Tikimybė: Kokia tikimybė, kad tai įvyks?
- Pasekmės: Kiek tai bus rimta, jei įvyks?
Rizikos vertė = Tikimybė × Pasekmes
| Rizika | Tikimybė (1–5) | Pasekmes (1–5) | Rizikos vertė |
|---|---|---|---|
| Disko gedimas | 3 | 4 | 12 |
| Ransomware | 2 | 5 | 10 |
| Phishing | 4 | 3 | 12 |
| Elektros dingimas | 2 | 3 | 6 |
| Netinkama konfigūracija | 3 | 3 | 9 |
Kuomet rizikos vertė yra didesnė, tuo didesnį prioritetą turėtumėte skirti priemonėms.
Risikomatrice
Rizikos matrica tai vizualiai parodo spalvomis:
- 🟢 Žema (1-6): Priimtina rizika, bet ją stebėkite
- 🟡 Vidutinė (7-14): Turėtų būti įdiegtos priemonės
- 🔴 Aukšta (15-25): Reikalauja nedelsiant imtis veiksmų
4. Siūlomi veiksmai
Kiekvienai aukštos arba vidutinės vertės rizikai siūlomi veiksmai:
| Rizika | Veiksmai |
|---|---|
| Disko gedimas | Atsarginė kopija (3-2-1 taisyklė), RAID serveriuose |
| Šantažas | Atnaujinimai, neprisijungusi atsarginė kopija, mokymai |
| Phishingas | Sąmoningumas, MFA, el. pašto filtravimas |
| Netinkama konfigūracija | Dokumentacija, pakeitimų žurnalas, momentinis vaizdas prieš keitimą |
5. Dokumentuokite ir sekite
Rizikos analizė nėra vienkartinis pratybimas. Užrašykite ją, pasidalykite su komanda ir reguliariai peržiūrėkite (pvz., kas pusmetį arba įvykus incidentui).
Užduotis 1 – Atlikite mini rizikos analizę
Pasirinkite jums žinomą sistemą (pvz., jūsų patį kompiuterį, sukurtą VM arba mokyklos tinklą) ir atlikite šiuos žingsnius:
- Sudarykite 3–5 vertybių sąrašą (kas yra svarbu?)
- Nustatykite 3–5 rizikų (kas gali nutikti negerai?)
- Priskirkite kiekvienam punktui tikimybę ir pasekmes (1–5)
- Pateikite priemones didžiausios rizikos vertes turintiems punktams
Naudokite skaičiuoklę arba paprastą lentelę Markdown formatu.
Apibendrinimas
- Rizikos analizė padeda jums prioritetizuoti saugumo priemones
- Žingsniai yra: vertės įvertinimas, rizikos identifikavimas, tikimybės/pasekmių įvertinimas, priemonės ir dokumentacija
- Rizikos vertė = tikimybė × pasekmės
- Rizikos analizė nėra vienkartinis pratybimas, ją reikia reguliariai atnaujinti
Galite atsisiųsti rizikos vertinimo šabloną iš Datatilsynet.