Metodika hodnocení rizik podle OWASP
Organizace OWASP definuje vlastní metodiku pro hodnocení rizik. Základní rovnice pro výpočet rizika zní:
Základní rovnice rizika
Risk = Likelihood × Impact
(Riziko = Pravděpodobnost × Dopad)
(Riziko = Pravděpodobnost × Dopad)
Kroky metodiky OWASP
6 kroků hodnocení rizik podle OWASP
- Identifying a Risk (Identifikace rizika)
- Factors for Estimating Likelihood (Faktory pro odhad pravděpodobnosti)
- Factors for Estimating Impact (Faktory pro odhad dopadu)
- Determining Severity of the Risk (Určení závažnosti rizika)
- Deciding What to Fix (Rozhodnutí, co opravit)
- Customizing Your Risk Rating Model (Přizpůsobení vlastního modelu hodnocení rizik)
Faktory určující Pravděpodobnost (Likelihood) a Dopad (Impact)
Krok 2: Faktory pro odhad pravděpodobnosti se dělí do dvou skupin:
- Faktory útočníka (Threat Agent Factors): Úroveň dovedností (Skill Level), Motiv (Motive), Příležitost (Opportunity), Velikost/Počet (Size).
- Faktory zranitelnosti (Vulnerability Factors): Snadnost objevení (Ease of Discovery), Snadnost exploitace (Ease of Exploit), Povědomí (Awareness), Detekce průniku (Intrusion Detection).
Krok 3: Faktory pro odhad dopadu se rovněž dělí do dvou skupin:
- Faktory technického dopadu (Technical Impact Factors): Ztráta důvěrnosti (Loss of Confidentiality), Ztráta integrity (Loss of Integrity), Ztráta dostupnosti (Loss of Availability), Ztráta prokazatelnosti (Loss of Accountability).
- Faktory obchodního dopadu (Business Impact Factors): Finanční škoda (Financial damage), Poškození reputace (Reputation damage), Neshoda s předpisy (Non-compliance), Porušení soukromí (Privacy violation).
Krok 4: Určení závažnosti rizika (Determining the Severity)
Skórování a celková závažnost
- Skóre pravděpodobnosti (Likelihood Score): průměr faktorů útočníka a zranitelnosti.
- Skóre technického dopadu (Technical Impact Score): průměr faktorů technického dopadu.
- Skóre obchodního dopadu (Business Impact Score): průměr faktorů obchodního dopadu.
Úrovně pravděpodobnosti a dopadu (Levels):
- 0 až <3 = LOW (Nízká)
- 3 až <6 = MEDIUM (Střední)
- 6 až 9 = HIGH (Vysoká)
Celková závažnost (Overall Risk Severity) se určí podle matice, která kombinuje úroveň dopadu (Impact) a pravděpodobnosti (Likelihood).