Životní cyklus rizik Vyhodnocení, eliminace Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Zdeněk Blažek, 211 Řízení rizik v informatice LS 21/11, Předn. 7 https://edux.fit.cvut.cz/rri Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM. Vyhodnocení, eliminace Přednáška 7/13, 211
Návod postupu pro vyhodnocování Zjistěte typy dopadů Určete nejzávažnější dopad (např. pro každou dobu trvání, jaký může nastat atd.) Dosáhněte skupinového souhlasu a zaznamenejte úroveň dopadu Opakujte pro ostatní typy
Vyhodnocovací tabulky Důležité je si uvědomit, že tabulky je nutno připravit z hlediska CIA (důvěrnosti, integrity a dostupnosti dat) Po vyhotovení všech formulářů lze přistoupit k celkovému zhodnocení dopadu na činnost organizace
Vyhodnocovací tabulka 1 Vyhodnocovací tabulka BIA Integrita Úroveň dopadu Označení Dopadtyp Finanční 5 4 3 2 1 Vysvětlivky F1 Ztráta objednávek/ prodej F2 Ztráta hmotného majetku F3 Porušení zákona/předpisů F4 Nepředvídatelné náklady (katastrofa) F5 Pokles hodnoty akcií
Vyhodnocovací tabulka 2 Označení Organizační/ operační O1 O2 O3 O4 Dopadtyp Ztrátařízení Ztráta konkurencescho pnosti (zpoždění ) Vytvoření nového podniku Porušení norem (výrobních) Vyhodnocovací tabulka BIA Integrita 5 4 Úroveň dopadu 3 2 1 Vysvětlivky
Vyhodnocovací tabulka 3 Označení Dopadtyp Vyhodnocovací tabulka BIA Integrita Úroveň dopadu 5 4 3 2 1 Vysvětlivky Zákaznický Zák1 Zpožděné dodávky Zák2 Ztráta zákazníků Zák3 Ztráta důvěry (investora?) Zák4 Ztráta pověsti (únik dat) Zaměstnanecký Zam1 Ztráta morálky Zam2 Zranění/smrt Celkové hodnocení 5 nejvážnější 1 nejméně závažné Zaškrtněte JEDNO vhodné pole Zvažujte jednotlivá hodnocení a důsledky, které z toho vyplývají. Berte do úvahy nejvážnější důsledky
Souhrn BIA Souhrn BIA Systém Vlastník systému Oblast činnosti Analytik Popis systému Celková bezpečnostní klasifikace HIGH MEDIUM LOW Souhlasím s výsledky vyhodnocení stejně tak jako s bezpečnostní klasifikací a následnými kroky. Podpis vlastníka systému Datum Podpis analytika Datum
Vyhodnocení Vyhodnocení dopadů Hodnocení dopadu Hodnocení Bezpečnostní požadavky v organizaci A B C D E Ztráta důvěrnosti A B XC D E Důvěrnost X Ztráta integrity A XB C D E Integrita X Ztráta dostupnosti Dostupnost X hodina den 23 dny týden měsic A A A A A B B B B B X C C C C C X D D XD D D X E XE E E E Časová osa Čas 1 hod X 1 den 23dny 1 týd. 1 měs. Měřítko dopadu na organizaci: A Etrémní, B Vysoké, C Střední, D Nízké, E Minimální
Další kroky Úroveň Akce Další krok HIGH Detailní analýza hrozeb a zranitelností Soustředit se na bezpečnostní záležitosti MEDIUM Standardní analýza hrozeb a zranitelností Soustředit se na bezpečnostní záležitosti LOW Konec analýzy Přesvědčte se, že jsou aplikovány standardní monitorovací procedury a bezpečnostní opatření
Pomocné kriterium kritičnost Jaká je maximální úroveň poškození činnosti organizace, jestliže klíčové informace obsažené, přenášené nebo zpracovávané IT prostředky budou náhodně nebo úmyslně poškozenyči diskreditovány: Dostanou se do nepovolaných rukou (Ztráta důvěrnosti) Budou zfalšovány, či jinak změněny (Ztráta integrity) Budou nedostupné po Méně než hodinu Okolo půl dne Celý den Vice než den, méně než týden Týden Měsíc (Ztráta dostupnosti) 5etrémní poškození 4velmi vážné poškození 3vážné poškození 2malé poškození 1nevýznamné poškození
Analýza dopadů hrozeb na činnost organizace, 7/13 Business Unit Manual Procedures Manual Effectiveness HalfDay Manual Effectiveness Day Manual Effectiveness Three Days Manual Effectiveness One Week Manual Effectiveness One Month CASH OPERATION Yes 5% 5% 5% 5% 5% MAILING ROOM Yes 1% 1% 1% 1% 1% ACCOUNTING APK Yes 5% 25% % % % BACK OFFICE Yes 5% 5% % % % COMMERCIAL LOANS No % % % % % COMPLIANCE No % % % % % CUSTODY Yes 1% 1% 1% 1% 75% CUSTOMER SERVICE No % % % % % EDV ELECTRONIC BANKING Yes 1% 1% 1% 1% 1% FKB FOREIGN DEPARTMENT No % % % % % GUARANTEES Yes 75% 1% 1% 1% 1% INFRASTRUCTURE / ORGA Yes 5% 5% 1% 1% 1% Efektivita manuálních operací
Analýza dopadů hrozeb na činnost organizace, 7/13 Business Unit Non Financial Impact HalfDay Non Financial Impact Day Non Financial Impact Three Days Non Financial Impact One Week Non Financial Impact One Month CASH OPERATION Slight Slight MAILING ROOM Slight Moderate ACCOUNTING APK Slight Moderate BACK OFFICE Moderate COMMERCIAL LOANS Slight Moderate COMPLIANCE Moderate Moderate CUSTODY Slight Slight Moderate CUSTOMER SERVICE Slight Moderate EDV ELECTRONIC BANKING Moderate FKB FOREIGN DEPARTMENT Slight GUARANTEES Slight Moderate Moderate INFRASTRUCTURE / ORGA Slight Moderate INTERNAL AUDIT INTERNAL CONTROLS Slight Nefinanční dopady
Analýza dopadů hrozeb na činnost organizace, 7/13 Business Unit Revenue Loss One Hour Revenue Loss HalfDay Revenue Loss One Day Revenue Loss Three Days Revenue Loss One Week Revenue Loss One Month INFRASTRUCTURE / ORGA 3 FOREIGN DEPARTMENT 2 3 4 5 PERSONNEL INTERNAL AUDIT TECHNICAL SUPPORT GUARANTEES 2 3 4 5 PAYMENTS Foreign,Domest,Transfers 3 3 4 5 6 BACK OFFICE 4 4 4 5 6 CASH OPERATION 1 2 MAILING ROOM CUSTOMER SERVICE 2 3 4 4 ELECTRONIC BANKING 1 1 2 2 CUSTODY 1 Analýza finančních dopadů
Vyhodnocení Většina vyhodnocovacích procesů je zaměřena na fyzickou bezpečnost, technologickou bezpečnost nebo personální bezpečnost. Pokoušet se vyhodnocovat všechny současně může být velmi náročné, takže je nezbytné stanovit co konkrétně budeme vyhodnocovat a co nikoliv. Pro vybrané položky je potom možné: Počítat riziko Připravit analýzu nákladů/přínosů
Vyhodnocení/BIA Vyhodnotit dopad (ztráty+navýšení rozpočtu+cena obnovy) Vyhodnotit pravděpodobnost Vyhodnotit celkové riziko (dopad x pravděpodobnost)
Vyhodnocení Zodpovědný výbor/jedinec pak může vyhodnoti situaci a připravit Doporučení pro vedení organizace/projekt Vedení organizace pak rozhodne o: Odstranění rizika Přenosu rizika Přijetí rizika Vyvarování se rizika
Vyhodnocení metody Metody vyhodnocení rizika jsou: Kvalitativní Kvantitativní Hybridní
Vyhodnocení kvalitativní metoda Důvod proč je obecně více používána kvalitativní metoda spočívá v její relativní jednoduchosti. Nepotřebujeme totiž pro její použití znát detailně finanční hodnoty majetku, počítat procenta poškození, vypočítávat pravděpodobnost na základě výskytu události v minulosti (AROAnnual Rate of Occurence) atd. Stanovení hodnoty pro pravděpodobnost je však v obou metodách (kvalitativní i kvantitativní) velice choulostivá záležitost a i když v kvalitativní metodě nevyžadujeme exaktní stanovení, přece jen se jedná o nebezpečnou fázi, vyžadující min. dostatečnou zkušenost pracovníka tímto úkolem pověřeného nebo dostatek historických dat.
Vyhodnocení kvalitativní metoda Velmi dobrým standardem, využívajícím kvalitativní metodu je Australian/ New Zealand standard. Problém je, jak již naznačeno, stanovení pravděpodobnosti. Uveďme si příklad: Firma má spočítat pravděpodobnost rizika, že díky novému projektu dojde k porušení zákona na ochranu osobních údajů. Zde nastupuje velice subjektivní pohled na věcdodavatel tvrdí, že k tomu nedojde a pravděpodobnost je nulová, bezpečnostní specialista tvrdí, že je možné porušení 2x do roka. Kdo má v této chvíli pravdu? A co když k porušení dojde třeba 15x? Jaké budou ztráty v případě, že toto nebezpečí se stane skutečností a navíc zveřejněnou? Je zde mnoho stále se měnících proměnných, které se musí brát do úvahy při práci na projektu a při stanovování pravděpodobnosti. Pomoci může pouze dobře vedený registr rizik a dále správa incidentů a problémů.
Vyhodnocení Kvalitativní metoda Grafická reprezentace dle AUNZ standardu AS/NZS 436:1999 Risk Management 12 High impact, low probability risks Probability < 5% High impact => 8 High impact, high propability risks Probability > 5% High impact => 8 Pravděpodobnost: Dopad (12 stupňů dle AUNZ standard) Low impact, low probability risks Probability < 5% Low impact < 8 Low impact, high probability risks Probability>5% Low impact < 8 P = a(t)/m(t) Kde a počet událostí skutečných m počet událostí možných Pravděpodobnost 1
Vyhodnocení kvantitativní metoda Kvantitativní metoda používá následující vztahy: Hm x PP = JOZ JOZ x RFV = ROZ kde Hm PP je Hodnota majetku je procento postižení RFV je roční frakvence výskytu JOZ je jednotlivá očekávaná ztráta ROZ je roční očekávaná ztráta
Kvantitativní metoda příklad Uvažujme hypotetickou firmu jejíž reputace je ohodnocena na cca 5, Kč. Bylo zjištěno, že nerespektování zákona na ochranu osobních údajú snížilo hodnotu této reputace o 2% (PP), což znamená jednorázovou ztrátu (JOZ) 1,Kč. Nyní je zapotřebí zjistit, jak vypadá situace z hlediska roku, tedy vypočítat RFV. To je číslo, které udává jak často se daná hrozba vyskytne v průběhu jednoho roku. Jestliže se zjistí, že tato událost může nastat až dvakrát do roka, pak RFV = 2, jestliže se zjistí, že tato událost může s největší pravděpodobností nastat jednou za 1 let, je RFV =,1. Pro dosažení výsledku je nutno vzít JOZ a vynásobit ji hodnotou RFV. Jestliže budeme uvažovat RFV=2, pak dostáváme ROZ = 2,Kč. Výsledek. Pokud společnost nezajistí shodu se zákonem a nepřijme odpovídající protiopatření, znamená to, že může ztratit přibližně 2,Kč.
Vyhodnocení hybridní metoda Vybraná kombinace kvantitativní a kvalitativní metody může být použita, abychom vyhodnotili riziko, přičemž minimalizujeme počet metrik, použitých pro tento účel. Základní výhody této metody jsou: Menší náročnost na zpracování numerických dat Nižší náklady než při hloubkové kvantitativní analýze Tato metoda získává přínosy z obou metodkvalitativní i kvantitativní používá levnější metodu pro veškeré riziko (jako první filtr) a exaktnější metodu pro vysoké a velmi vysoké riziko. (kolem 1 %).
Postup: Životní cyklus rizik Vyhodnocení, eliminace, 7/13 Vyhodnocení hybridní metoda Provedeme kvalitativní vyhodnocení rizika na základě těchto principů: Užijeme metody pro identifikaci rizika, Vyhodnotíme riziko dle možného dopadu, využijeme historických informací apod. Kde je možné, použijeme nástrojů pro analýzu rizik. Každé informační riziko by mělo být definováno přesně (tj. ne příliš obecně). Měli bychom obdržet dostatek podkladů pro kvantitativní vyhodnocení rizika, odpovídajícícho úrovni vysoký a velmi vysoký. Pro všechna rizika s hodnocením vysoký a velmi vysoký provedeme kvantitativní analýzu. To vyžaduje následující aktivity:
Hybridní metoda kvantifikace Aktivity pro kvantifikaci rizika Kvantifikace dopadu Stanovení pravděpodobnosti Kdo provádí Vlastník rizika Rizikový panel/výbor Vedoucí oddělení Vlastník rizika Rizikový panel/výbor Vedoucí oddělení Výpočet rizika = Dopad x Pravděpodobnost Rizikový panel/výbor
Dotazy Analýza dopadů na činnost organizace, 7/13