Životní cyklus rizik - identifikace.

Transkript

1 Životní cyklus rizik - identifikace. Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Zdeněk Blažek, 2011 Řízení rizik v informatice LS 2010/11, Předn. 5 Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM. Životní cyklus rizik - identifikace. Přednáška 5/13, 2011

2 Řízení rizika Klíčové komponenty analýzy rizik: Identifikujte majetek firmy Ke každé majetkové položce přiřaďte hodnotu Pro každou majetkovou položku identifikujte hrozby a zranitelnosti Stanovte riziko pro jednotlivé majetkové položky Jestliže jsou tyto kroky dokončeny, potom je možné přijmout protiopatření ke zmírnění zjištěného rizika, provést ekonomickou analýzu těchto opatření a připravit hlášení pro vedení organizace. Vedení organizace potom může: - Zmírnit/odstranit riziko zavedením protiopatření - Přijmout riziko - Vyhnout se riziku (zrušením projektu atd.) - Přenést riziko (pojistka apod.)

3 V zásadě je třeba si uvědomit, že žádný standard ani postupy dle něj realizované nezaručují eliminaci rizika. Riziko jako takové se v zásadě nedá odstranit (výjimka: vyhnutí se riziku tím, že např. zruším projekt.). Dá se zmenšit pravděpodobnost vzniku a snížit dopad.

4 4 základní fáze rizika (v této fázi se nesoustředíme na dopady) Vyhodnocení rizika (zde se soustředíme na stanovení dopadu a pravděpodobnosti) Omezení rizika (příprava odpovědi na riziko, rozhodnutí vedení) Kontrola (sledování výsledků činnosti)

5 Životní cyklus řízení rizik, 5/13 Kontrola Registr Rizik Vyhodnoce ní Omezení/ Eliminace

6 Životní cyklus řízení rizik - identifikace Kontrola Registr Rizik Vyhodnoce ní Omezení/ Eliminace

7 hrozeb/zranitelností popsána ve třech krocích: Výběr identifikační metody Sběr informací Dokumentace v Registru rizik Metody identifikace Výběr metody identifik ace Sběr informací Registrace v registru rizik Výstup Celý proces musí zahrnovat všechny komponenty, dokonce i ty, které nejsou pro produkci použity, ale existují např. pro zálohování, vývoj nebo testování. hrozeb a zranitelností by měla být nedílnou součástí každého projektu, vývoje apod.

8 jako proces rizika je proces s několika fázemi: hlavních komponent Určení priority pro analýzy jednotlivých komponent Vyhodnocení hrozeb a zranitelností Zjištění vlastníka rizika souvislostí s jinými procesy, projekty, komponentami Během identifikace musíme stále zjišťovat, zda data nebo majetek je zajištěn z hlediska Důvěrnosti - prevence před neautorizovaným přístupem k informaci Integrity - prevence před neautorizovou modifikací informace Dostupností - prevence před nautorizovaným blokováním prostředků nebo informace

9 Vytvořit nebo aktualizovat Registr rizik Pro dosažení tohoto cíle je potřeba následujících aktivit: Získat nebo aktualizovat informace o možných hrozbách Zvážit možnosti a jejich důsledky Seskupit rizika dle míst jejich vzniku Dle následujících ukazatelů se řídit při identifikaci Podrozdělit situaci do množin aktivit nebo produktů pomůže udržet kontrolovatelnost. I nejsložitější situace by neměla zahrnovat více než 35 produktů nebo aktivit. Vytvořit seznam možných hrozeb pro situaci jako celek. Některé hrozby jsou významnější než druhé. Identifikujte všechny hrozby. Jakákoliv neidentifikovaná hrozba může vést k rizikům, která nejsou aktivně kontrolovatelná. Zvažujte eventuality i s výhledem do budoucnosti. Pokud je zde možné i budoucí riziko, zařaďte jej do Registru rizik.

10 Během identifikace je důležité hledat reálná informační rizika Je mnoho různých metod a nástrojů, jak toho lze dosáhnout. Tyto metody mohou být samostatné nebo kombinované-záleží na konkrétní situaci. Nejznámější metody jsou: Brainstorming Výsledky bezpečnostních auditů Rozhovory Pracovní skupiny Zkušenosti nebo dokumentované znalosti!! Seznam rizik-minulé zkušenosti Výstupy z analýzy rizik již provedené Historické informace!! Technické postupy (šablony) Ishikavův diagram

11 - Ishikava diagram (příklad) Zabýváme se v zásadě tím, co způsobilo problém

12 Výběr metody identifikace hrozeb a zranitelností (př. IT) Výběr metody identifikace Ne Hlášení informačního rizika, vyžádání asistence. Univerzální metody -Brainstorming -Surveys -Interviews -Working Groups -Experiential Knowledge -Self Assessment Konec výběru IT kvalifikovaný personál k dispozici? Hlášení informačního rizika Ano N o Ano Metody užívající hist. dat Audit Findings Security Reports Documented Knowledge Risk trigger Questions Existuje Dokumentace? Ano Existuje hist. Dokumentace? Ne Sestavení informací Informačního rizika Další kroky při identifikaci informačních rizik Metody užívající současných dat Risk List Risk Oriented Analysis Engineering Templates Critical Components Review Change Management Hlášení výsledků Pozn. Documentace = audity, logy, inventář, síťový diagram, data o incidentech, zprávy atd.

13 Zdroje Vlastník služby/projektu Vnitřní audit Sebehodnocení Proces porovnání s bezpečnostními normami jako např. ISO 17799/ 2700x Vyhodnocení bezpečnostní situace Změnové řízení Seznam kritických aplikací/procesů Externí audit Správa majetku Správa incidentů Správa problémů Seznam projektů a jejich případných rizik Účetnictví Zápisy z porad vedení...

14 Threat Type Threat category Additional / supplementary information Vulnerability Unforseen Effects of Change Category Unforeseen effect of changes to software Unforeseen Effects Of Change Adverse or unwanted system results from newly implemented or recently changed software. X Unforeseen effect of changes to computer / communications equipment Unforeseen Effects Of Change Adverse or unwanted system results from newly implemented or recently changed computer or network hardware. X Unforeseen effects of introducing new / upgraded business processes Unforeseen Effects Of Change Adverse or damaging impact upon information and/or systems from the introduction of new/upgraded business processes. X Unforeseen effect of changes to business information Unforeseen Effects Of Change Adverse or damaging impact upon systems and/or information from changes made to business information (eg customer lists, product designs and other intellectual property). X Unforeseen effects of organisational changes Unforeseen Effects Of Change Adverse or damaging impact upon systems and/or information from organisational changes (eg as a result of mergers, acquisitions, outsourcing or internal reorganisation). X Unforeseen effects of changes to user processes or facilities Unforeseen Effects Of Change Adverse or damaging impact upon systems and/or information from the changes to user processes or facilities (eg user/operating procedures, staffing or accommodation). X

15 Dotazy Životní cyklus rizik, 5/13