Životní cyklus rizik Vyhodnocení, eliminace

Podobné dokumenty
Životní cyklus rizik omezení, kontrola a registr rizik.

Životní cyklus rizik - identifikace.

V Brně dne a

Archivace, legislativní dopady na IT - II.

Organizace a řízení rizik.

V Brně dne 10. a

Návratnost investic.

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Fyzická bezpečnost, organizační opatření. RNDr. Igor Čermák, CSc.

ČESKÁ TECHNICKÁ NORMA

Řízení rizik ICT účelně a prakticky?

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

SOFTWAROVÉ INŽENÝRSTVÍ

Bezepečnost IS v organizaci

Management informační bezpečnosti

CobiT. Control Objectives for Information and related Technology. Teplá u Mariánských Lázní, 6. října 2004

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

ŘÍZENÍ INFORMAČNÍ BEZPEČNOSTI V ORGANIZACI. Ing. Jiřina Petříková Informační technologie pro praxi října 2011 r

PROCES ŘEŠENÍ PROBLEMATIKY GDPR

Ochrana osobních údajů v hotelech, lázních a nemocnicích

Úvod - Podniková informační bezpečnost PS1-1

Obsah. iii 1. ÚVOD 1 2. POJETÍ RIZIKA A NEJISTOTY A ZDROJE A TYPY RIZIKA 5

Zhodnocení architektury podniku. Jiří Mach

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Personální audit. a personální strategie na úřadech. územních samosprávných celků

Projektové řízení a rizika v projektech

BI-TIS Případová studie

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

A3RIP Řízení projektů. 9. seminář

Teorie zásob. Kvantifikace zásob. V zásobách je vázáno v průměru 20 % kapitálu (u výrobních podniků) až 50 % kapitálu (u obchodních podniků).

Implementace GDPR v prostředí Krajského úřadu Zlínského kraje a příspěvkových organizací zřizovaných Zlínským krajem

Management rizik. Základní pojmy. Vzájemné vztahy při správě. Obecný postup analýzy rizik. Část identifikující rizika - analýza rizik

Risk Management Řízení rizika

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Hrozby v informatice.

GLOSÁŘ POJMŮ 1. Glosář pojmů_2.část Příručky

O autorech Úvodní slovo recenzenta Předmluva Redakční poznámka... 18

Risk management a Interní audit

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

KONFERENCE. Informační technologie pro praxi Ivana Cigánková

Příloha Vyhlášky č.9/2011

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Standardy a definice pojmů bezpečnosti informací

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

DVAKRÁT MĚŘ A JEDNOU ŘEŽ

Předmluva: Vítejte v ITIL! Úvod 15 IT Infrastructure Library O této knize ITIL (IT Infrastructure Library ) 1.3. Služby a správa služeb

Katalog služeb a podmínky poskytování provozu

Zkouška ITIL Foundation

Řízení rizik. RNDr. Igor Čermák, CSc.

Trask Process Discovery Quick Scan

Případová studie. Zavedení ISMS dle standardu Mastercard

Věstník ČNB částka 18/2010 ze dne 21. prosince ÚŘEDNÍ SDĚLENÍ ČESKÉ NÁRODNÍ BANKY ze dne 10. prosince 2010

Implementace řízení strategických a kybernetických rizik v Pražská teplárenské s podporou SW nástroje Risk management tool

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Technologie pro budování bezpe nosti IS technická opat ení.

Hodnocení úrovně bezpečnostních dopadů a zařazování do bezpečnostních úrovní egc

VÝZVU k předkládání INDIVIDUÁLNÍCH PROJEKTŮ v rámci OPERAČNÍHO PROGRAMU LIDSKÉ ZDROJE A ZAMĚSTNANOST

Jak na jakost v podnikovém IT Evropský týden kvality Praha

Metriky v informatice

Informatický pondělek FIT ČVUT. Jak pracovat s osobními daty od roku 2018?

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

EKONOMICKÝ A LOGISTICKÝ SOFTWARE. Luhačovice

Business Continuity Management.

Management rizik v životním cyklu produktu

Systém řízení informační bezpečnosti (ISMS)

Credit Limit Optimization

Anotace k presentaci

KIV/SI. Přednáška č.2. Jan Valdman, Ph.D.

METODICKÝ POKYN PRO ZPRACOVÁNÍ STUDIE PROVEDITELNOSTI A EKONOMICKÉ ANALÝZY (CBA)

METODICKÝ POKYN PRO ZPRACOVÁNÍ STUDIE PROVEDITELNOSTI A EKONOMICKÉ ANALÝZY (CBA)

Strategie komunitně vedeného místního rozvoje MAS Luhačovské Zálesí pro období

Kybernalita kriminalita v kybernetickém prostředí

ENVIRONMENTÁLNÍ EKONOMIKA I.

BEZPEČNOSTNÍ POLITIKA INFORMACÍ

IT Outsourcing COMPLUS CZ a.s. Petr Taševský

HODNOCENÍ VÝKONNOSTI PODNIKU VE SPOJITOSTI SE STRATEGICKÝMI CÍLY

DODÁVÁME VÍC NEŽ VÝROBKY Mgr. Václav Halama

Bezpečností politiky a pravidla

MANAGEMENT KYBERNETICKÉ BEZPEČNOSTI

Marketingový výzkum. Ing. Martina Ortová, Ph.D. Technická univerzita v Liberci. Projekt TU v Liberci

Efektivnost informačních systémů. strategické řízení taktické řízení. operativní řízení a provozu

Datová kvalita. RNDr. Ondřej Zýka

Zjišťování požadavků zákazníka. Jana Hamanová, SC&C s.r.o.

Datová kvalita. RNDr. Ondřej Zýka

Procesní audit VIKMA

Informa ní bezpe nost I Management bezpe nosti informa ních systém - ISMS. michal.slama@opava.cz

Ochrana před následky kybernetických rizik

MANAŽERSKÉ ROZHODOVÁNÍ. Zpracoval Ing. Jan Weiser

ISO 9000, 20000, Informační management VIKMA07 Mgr. Jan Matula, PhD. III. blok

Vysoká škola technická a ekonomická v Českých Budějovicích. Institute of Technology And Business In České Budějovice

MANAGEMENT Přístupy k řízení organizace

HR controlling. Ing. Jan Duba HRDA

Shoda s GDPR do 4-6 měsíců! Sen či utopie?

Soustava 3x3 pro verbální hodnocení rizika

GDPR co nastane po květnovém dni D? Martin Hladík 8. března 2018

Přejímka jedním výběrem

Výhody a rizika outsourcingu formou cloud computingu

ORGANIZAČNÍ ÚTVARY STAVEBNÍHO PODNIKU, RIZIKA

Personální audit lze provádět z hlediska kontroly jako: Běžný, který vznikl na základě zjištěné odchylky.

Transkript:

Životní cyklus rizik Vyhodnocení, eliminace Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Zdeněk Blažek, 211 Řízení rizik v informatice LS 21/11, Předn. 7 https://edux.fit.cvut.cz/rri Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM. Vyhodnocení, eliminace Přednáška 7/13, 211

Návod postupu pro vyhodnocování Zjistěte typy dopadů Určete nejzávažnější dopad (např. pro každou dobu trvání, jaký může nastat atd.) Dosáhněte skupinového souhlasu a zaznamenejte úroveň dopadu Opakujte pro ostatní typy

Vyhodnocovací tabulky Důležité je si uvědomit, že tabulky je nutno připravit z hlediska CIA (důvěrnosti, integrity a dostupnosti dat) Po vyhotovení všech formulářů lze přistoupit k celkovému zhodnocení dopadu na činnost organizace

Vyhodnocovací tabulka 1 Vyhodnocovací tabulka BIA Integrita Úroveň dopadu Označení Dopadtyp Finanční 5 4 3 2 1 Vysvětlivky F1 Ztráta objednávek/ prodej F2 Ztráta hmotného majetku F3 Porušení zákona/předpisů F4 Nepředvídatelné náklady (katastrofa) F5 Pokles hodnoty akcií

Vyhodnocovací tabulka 2 Označení Organizační/ operační O1 O2 O3 O4 Dopadtyp Ztrátařízení Ztráta konkurencescho pnosti (zpoždění ) Vytvoření nového podniku Porušení norem (výrobních) Vyhodnocovací tabulka BIA Integrita 5 4 Úroveň dopadu 3 2 1 Vysvětlivky

Vyhodnocovací tabulka 3 Označení Dopadtyp Vyhodnocovací tabulka BIA Integrita Úroveň dopadu 5 4 3 2 1 Vysvětlivky Zákaznický Zák1 Zpožděné dodávky Zák2 Ztráta zákazníků Zák3 Ztráta důvěry (investora?) Zák4 Ztráta pověsti (únik dat) Zaměstnanecký Zam1 Ztráta morálky Zam2 Zranění/smrt Celkové hodnocení 5 nejvážnější 1 nejméně závažné Zaškrtněte JEDNO vhodné pole Zvažujte jednotlivá hodnocení a důsledky, které z toho vyplývají. Berte do úvahy nejvážnější důsledky

Souhrn BIA Souhrn BIA Systém Vlastník systému Oblast činnosti Analytik Popis systému Celková bezpečnostní klasifikace HIGH MEDIUM LOW Souhlasím s výsledky vyhodnocení stejně tak jako s bezpečnostní klasifikací a následnými kroky. Podpis vlastníka systému Datum Podpis analytika Datum

Vyhodnocení Vyhodnocení dopadů Hodnocení dopadu Hodnocení Bezpečnostní požadavky v organizaci A B C D E Ztráta důvěrnosti A B XC D E Důvěrnost X Ztráta integrity A XB C D E Integrita X Ztráta dostupnosti Dostupnost X hodina den 23 dny týden měsic A A A A A B B B B B X C C C C C X D D XD D D X E XE E E E Časová osa Čas 1 hod X 1 den 23dny 1 týd. 1 měs. Měřítko dopadu na organizaci: A Etrémní, B Vysoké, C Střední, D Nízké, E Minimální

Další kroky Úroveň Akce Další krok HIGH Detailní analýza hrozeb a zranitelností Soustředit se na bezpečnostní záležitosti MEDIUM Standardní analýza hrozeb a zranitelností Soustředit se na bezpečnostní záležitosti LOW Konec analýzy Přesvědčte se, že jsou aplikovány standardní monitorovací procedury a bezpečnostní opatření

Pomocné kriterium kritičnost Jaká je maximální úroveň poškození činnosti organizace, jestliže klíčové informace obsažené, přenášené nebo zpracovávané IT prostředky budou náhodně nebo úmyslně poškozenyči diskreditovány: Dostanou se do nepovolaných rukou (Ztráta důvěrnosti) Budou zfalšovány, či jinak změněny (Ztráta integrity) Budou nedostupné po Méně než hodinu Okolo půl dne Celý den Vice než den, méně než týden Týden Měsíc (Ztráta dostupnosti) 5etrémní poškození 4velmi vážné poškození 3vážné poškození 2malé poškození 1nevýznamné poškození

Analýza dopadů hrozeb na činnost organizace, 7/13 Business Unit Manual Procedures Manual Effectiveness HalfDay Manual Effectiveness Day Manual Effectiveness Three Days Manual Effectiveness One Week Manual Effectiveness One Month CASH OPERATION Yes 5% 5% 5% 5% 5% MAILING ROOM Yes 1% 1% 1% 1% 1% ACCOUNTING APK Yes 5% 25% % % % BACK OFFICE Yes 5% 5% % % % COMMERCIAL LOANS No % % % % % COMPLIANCE No % % % % % CUSTODY Yes 1% 1% 1% 1% 75% CUSTOMER SERVICE No % % % % % EDV ELECTRONIC BANKING Yes 1% 1% 1% 1% 1% FKB FOREIGN DEPARTMENT No % % % % % GUARANTEES Yes 75% 1% 1% 1% 1% INFRASTRUCTURE / ORGA Yes 5% 5% 1% 1% 1% Efektivita manuálních operací

Analýza dopadů hrozeb na činnost organizace, 7/13 Business Unit Non Financial Impact HalfDay Non Financial Impact Day Non Financial Impact Three Days Non Financial Impact One Week Non Financial Impact One Month CASH OPERATION Slight Slight MAILING ROOM Slight Moderate ACCOUNTING APK Slight Moderate BACK OFFICE Moderate COMMERCIAL LOANS Slight Moderate COMPLIANCE Moderate Moderate CUSTODY Slight Slight Moderate CUSTOMER SERVICE Slight Moderate EDV ELECTRONIC BANKING Moderate FKB FOREIGN DEPARTMENT Slight GUARANTEES Slight Moderate Moderate INFRASTRUCTURE / ORGA Slight Moderate INTERNAL AUDIT INTERNAL CONTROLS Slight Nefinanční dopady

Analýza dopadů hrozeb na činnost organizace, 7/13 Business Unit Revenue Loss One Hour Revenue Loss HalfDay Revenue Loss One Day Revenue Loss Three Days Revenue Loss One Week Revenue Loss One Month INFRASTRUCTURE / ORGA 3 FOREIGN DEPARTMENT 2 3 4 5 PERSONNEL INTERNAL AUDIT TECHNICAL SUPPORT GUARANTEES 2 3 4 5 PAYMENTS Foreign,Domest,Transfers 3 3 4 5 6 BACK OFFICE 4 4 4 5 6 CASH OPERATION 1 2 MAILING ROOM CUSTOMER SERVICE 2 3 4 4 ELECTRONIC BANKING 1 1 2 2 CUSTODY 1 Analýza finančních dopadů

Vyhodnocení Většina vyhodnocovacích procesů je zaměřena na fyzickou bezpečnost, technologickou bezpečnost nebo personální bezpečnost. Pokoušet se vyhodnocovat všechny současně může být velmi náročné, takže je nezbytné stanovit co konkrétně budeme vyhodnocovat a co nikoliv. Pro vybrané položky je potom možné: Počítat riziko Připravit analýzu nákladů/přínosů

Vyhodnocení/BIA Vyhodnotit dopad (ztráty+navýšení rozpočtu+cena obnovy) Vyhodnotit pravděpodobnost Vyhodnotit celkové riziko (dopad x pravděpodobnost)

Vyhodnocení Zodpovědný výbor/jedinec pak může vyhodnoti situaci a připravit Doporučení pro vedení organizace/projekt Vedení organizace pak rozhodne o: Odstranění rizika Přenosu rizika Přijetí rizika Vyvarování se rizika

Vyhodnocení metody Metody vyhodnocení rizika jsou: Kvalitativní Kvantitativní Hybridní

Vyhodnocení kvalitativní metoda Důvod proč je obecně více používána kvalitativní metoda spočívá v její relativní jednoduchosti. Nepotřebujeme totiž pro její použití znát detailně finanční hodnoty majetku, počítat procenta poškození, vypočítávat pravděpodobnost na základě výskytu události v minulosti (AROAnnual Rate of Occurence) atd. Stanovení hodnoty pro pravděpodobnost je však v obou metodách (kvalitativní i kvantitativní) velice choulostivá záležitost a i když v kvalitativní metodě nevyžadujeme exaktní stanovení, přece jen se jedná o nebezpečnou fázi, vyžadující min. dostatečnou zkušenost pracovníka tímto úkolem pověřeného nebo dostatek historických dat.

Vyhodnocení kvalitativní metoda Velmi dobrým standardem, využívajícím kvalitativní metodu je Australian/ New Zealand standard. Problém je, jak již naznačeno, stanovení pravděpodobnosti. Uveďme si příklad: Firma má spočítat pravděpodobnost rizika, že díky novému projektu dojde k porušení zákona na ochranu osobních údajů. Zde nastupuje velice subjektivní pohled na věcdodavatel tvrdí, že k tomu nedojde a pravděpodobnost je nulová, bezpečnostní specialista tvrdí, že je možné porušení 2x do roka. Kdo má v této chvíli pravdu? A co když k porušení dojde třeba 15x? Jaké budou ztráty v případě, že toto nebezpečí se stane skutečností a navíc zveřejněnou? Je zde mnoho stále se měnících proměnných, které se musí brát do úvahy při práci na projektu a při stanovování pravděpodobnosti. Pomoci může pouze dobře vedený registr rizik a dále správa incidentů a problémů.

Vyhodnocení Kvalitativní metoda Grafická reprezentace dle AUNZ standardu AS/NZS 436:1999 Risk Management 12 High impact, low probability risks Probability < 5% High impact => 8 High impact, high propability risks Probability > 5% High impact => 8 Pravděpodobnost: Dopad (12 stupňů dle AUNZ standard) Low impact, low probability risks Probability < 5% Low impact < 8 Low impact, high probability risks Probability>5% Low impact < 8 P = a(t)/m(t) Kde a počet událostí skutečných m počet událostí možných Pravděpodobnost 1

Vyhodnocení kvantitativní metoda Kvantitativní metoda používá následující vztahy: Hm x PP = JOZ JOZ x RFV = ROZ kde Hm PP je Hodnota majetku je procento postižení RFV je roční frakvence výskytu JOZ je jednotlivá očekávaná ztráta ROZ je roční očekávaná ztráta

Kvantitativní metoda příklad Uvažujme hypotetickou firmu jejíž reputace je ohodnocena na cca 5, Kč. Bylo zjištěno, že nerespektování zákona na ochranu osobních údajú snížilo hodnotu této reputace o 2% (PP), což znamená jednorázovou ztrátu (JOZ) 1,Kč. Nyní je zapotřebí zjistit, jak vypadá situace z hlediska roku, tedy vypočítat RFV. To je číslo, které udává jak často se daná hrozba vyskytne v průběhu jednoho roku. Jestliže se zjistí, že tato událost může nastat až dvakrát do roka, pak RFV = 2, jestliže se zjistí, že tato událost může s největší pravděpodobností nastat jednou za 1 let, je RFV =,1. Pro dosažení výsledku je nutno vzít JOZ a vynásobit ji hodnotou RFV. Jestliže budeme uvažovat RFV=2, pak dostáváme ROZ = 2,Kč. Výsledek. Pokud společnost nezajistí shodu se zákonem a nepřijme odpovídající protiopatření, znamená to, že může ztratit přibližně 2,Kč.

Vyhodnocení hybridní metoda Vybraná kombinace kvantitativní a kvalitativní metody může být použita, abychom vyhodnotili riziko, přičemž minimalizujeme počet metrik, použitých pro tento účel. Základní výhody této metody jsou: Menší náročnost na zpracování numerických dat Nižší náklady než při hloubkové kvantitativní analýze Tato metoda získává přínosy z obou metodkvalitativní i kvantitativní používá levnější metodu pro veškeré riziko (jako první filtr) a exaktnější metodu pro vysoké a velmi vysoké riziko. (kolem 1 %).

Postup: Životní cyklus rizik Vyhodnocení, eliminace, 7/13 Vyhodnocení hybridní metoda Provedeme kvalitativní vyhodnocení rizika na základě těchto principů: Užijeme metody pro identifikaci rizika, Vyhodnotíme riziko dle možného dopadu, využijeme historických informací apod. Kde je možné, použijeme nástrojů pro analýzu rizik. Každé informační riziko by mělo být definováno přesně (tj. ne příliš obecně). Měli bychom obdržet dostatek podkladů pro kvantitativní vyhodnocení rizika, odpovídajícícho úrovni vysoký a velmi vysoký. Pro všechna rizika s hodnocením vysoký a velmi vysoký provedeme kvantitativní analýzu. To vyžaduje následující aktivity:

Hybridní metoda kvantifikace Aktivity pro kvantifikaci rizika Kvantifikace dopadu Stanovení pravděpodobnosti Kdo provádí Vlastník rizika Rizikový panel/výbor Vedoucí oddělení Vlastník rizika Rizikový panel/výbor Vedoucí oddělení Výpočet rizika = Dopad x Pravděpodobnost Rizikový panel/výbor

Dotazy Analýza dopadů na činnost organizace, 7/13

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář