3. Analýza a řízení rizik
Organizace řešící informační bezpečnost musí dobře porozumět rizikům spojených s jejich podnikáním a současně musí rozvíjet oblasti související s řízením rizik a jejich hodnocením. Proces řízení umožňuje určit konkrétní hrozby, zranitelnosti a dopady a určit příslušná nápravná opatření pro jejich detekci a nápravu. Je potřeba se ujistit, že rizika související s příslušnými procesy a programy jsou správně koordinovány. Tato koordinace probíhá napříč obnov při haváriích, plánování kontinuity podnikání a řízením podnikatelských rizik. Je zpravidla nutné vybrat techniky vyhodnocování rizik, které splňují konkrétní požadavky.Řízení rizik je neustálý proces identifikace, sledování a výběru vhodných opatření pro omezení rizik v organizaci. Vzhledem k tomu, že se informační bezpečnost stala nedílnou součástí podnikání, musí být proces řízení rizik aplikováno i na správu majetku a administrativu spojenou s firemními procesy. Informační bezpečnost má dnes hlavní odpovědnost při hodnocení, komunikaci a zmírnění rizik. Informační bezpečnost musí při přechodu ze starého řízení ochrany informační bezpečnosti organizace, kde se řízení rizik informační bezpečnosti oddělovalo od například finančních a HR procesů, na nový systém, dělat při vědomí zbytkového rizika nejrůznější kompromisy. Organizace musí brát v úvahu, že se nelze chránit před veškerými potencionálními riziky a podle toho se náležitě rozhodovat. Pro mnoho organizací je však toto rozhodování velkým problémem a obtížně se jej dosahuje.
Přístupy k řízení rizik jsou cílem a předmětem výzkumu a specifikováním například CobiT, ISO nebo NIST a vydávané dokumenty jsou brány jako reference pro posuzování shod nejrůznějšími regulátory. Proces řízení rizik může být využíván organizacemi k výkonu správy integrity a shod se strategií řízení podnikatelských rizik a dále může sloužit k ospravedlnění výdajů so informační bezpečnosti. Informační bezpečnost v organizaci musí být zapojena do posuzování rizik v rámci stávajícího IT, tak i při nasazování nových aplikací a systémů. Kromě toho musí informační bezpečnost zajistit koordinaci IT rizik souvisejícími s programy, jakými jsou plánování kontinuity podnikání nebo disaster recovery.
Řízení rizik se stává důležitým aspektem a součástí informační bezpečnosti a jeho nasazování je možné sledovat u stále většího počtu organizací. Metody řízení rizik, které nejsou součástí klíčových kompetencí specialistů na informační bezpečnost, může vést k nejednotnému chápání řízení rizik, terminologie a souvisejících procesů. Jistou překážkou může být nedostatek znalostí při uplatňování metod hodnocení rizik, stejně jako matoucí využívání těchto metod a nástrojů.
Hodnocení rizik se zaměřuje na shromažďování, analýzu a hodnocení informací o riziku tak, aby bylo možné rozhodnou o jeho eliminaci. Po té, co jsou rizika identifikována, je vyhodnocena pravděpodobnost výskytu a jejich vliv na informační bezpečnost v organizaci. Pravděpodobnost výskytu a jeho závažnost je u každého rizika rozdílná. Jiný je také i jejich vliv na organizaci. Míra ohrožení a náklady se liší v celém rozsahu rizika a tyto parametry mohou být rozdílné pro různé divize či lokality. Hodnocení rizik se skládá z analýzy rizik a jejich hodnocení. Analýza využívá známých hrozeb a zranitelností, ale také zpracovává informace o aktivech. Hodnocení porovnává dané riziko s předem stanovenými kritérii. Toto hodnocení může být kvalitativního nebo kvantitativného rázů a provedeno automatickými nebo manuálními metodami.
Jakmile jsou rizika identifikována a stanoveny jejich priority, musí být přijata vhodná opatření na jejich odstranění nebo zmírnění. V některých případech jsou z pohledu podnikání rizika akceptována. Pro každé jednotlivé riziko musí organizace zvážit několik základních možností:
- přijetí rizika – pokud je výskyt rizika nepravděpodobný nebo jeho vliv minimální, může organizace rozhodnout, že bude nést v případě potřeby náklady spojené s obnovou;
- zabránění riziku – pokud jsou náklady na obnovu a pravděpodobnost výskytu rizika velké, pracuje se na aktivitách spojených s předejitím rizikové situaci.
- přenos nebo sdílení rizika – pokud je riziko součástí podnikání organizace, může být riziko převedeno nebo sdíleno na základě pojištění nebo dohod s dalšími organizacemi;
- zmírnění rizika – riziko může být součástí podnikání a je nutné zavést systémy pro snížení dopadu rizika;
- ignorování rizika – vědomé ignorace rizika je pro organizaci nebezpečné. V tomto případě nejsou vyvíjeny žádné aktivity spojené s konkrétním rizikem.
Řízení rizik musí být koordinováno přes mnoho organizačních jednotek, protože výskyt rizika může ovlivňovat i další oblasti organizace. Identifikovaná rizika musí být prioritou ve vztahu ke strategickým cílům organizace. Proto je nutná vhodná komunikace napříč organizací.
Jak již bylo zmíněno, hodnocení rizik může být kvantitativní nebo kvalitativní. Kvantitativní analýza přiřadí hodnotu ke každému prvku rizika, například hodnotu aktiv, frekvenci výskytu, závažnost zranitelnosti, dopad a kontrolu nákladů. Rizikové rovnice slouží k určení celkového a zbytkového rizika a zpravidla poskytují informaci o ztrátě vztažené k jednomu kalendářnímu roku. Nicméně, nelze zaručit přesnou návratnost investic, která je založena na čistě kvantitativním přístupu. Tento přístup často vyžaduje použití kvalitativního nebo subjektivního vstupu.
Kvalitativní přístup spojuje omezené kvantitativní údaje se zkušenostmi a osobním míněním. Kvalitativní analýza nevyžaduje pravděpodobnost dat a využívá pouze odhad potenciální ztráty. Tento přístup se často používá k popisu hrozeb a pravděpodobných ztrát. Výsledkem analýzy je zpravidla pořadí pravděpodobnosti a dopadu v relativním měřítku. Kvalitativní přístup je jednodušší a vyhodnocení rychlejší nežli v případě kvantitativního hodnocení.
Z pohledu informační bezpečnosti je řízení rizik předmětem normy ISO/IEC 27005:2008, která definuje a zavádí metodologii řízení rizik do systému řízení informační bezpečnosti. Další používanou metodologii je možné nalézt v NIST SP 800-30.
Všechny články:
1. Informační bezpečnost
2. Normy a legislativa
3. Analýza a řízení rizik
4. Systém řízení informační bezpečnosti (ISMS)
5. Metodiky a pracovní rámce
6. Audit informační bezpečnosti
7. Využití softwarových nástrojů
Pingback: Audit informační bezpečnosti – audit a softwarové nástroje | brichacek.net
Pingback: Audit informační bezpečnosti – normy a legislativa | brichacek.net
Pingback: Audit informační bezpečnosti – metodiky a pracovní rámce | brichacek.net