Definice rizika, materialita informace. Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze Zdeněk Blažek, 2011 Řízení rizik v informatice LS 2010/11, Předn. 1 https://edux.fit.cvut.cz/rri Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM. Definice rizika, materialita informace. Přednáška 1/13, 2011
Temata přednášek 1. Definice rizika, materialita informace 2. Hrozby v informatice 3. Metody přístupu k řízení rizik 4. Kategorie a katalog hrozeb 5. Životní cyklus rizik - identifikace 6. Životní cyklus rizik - Identifikace hrozeb v organizaci 7. Životní cyklus rizik Vyhodnocení, eliminace 8. Životní cyklus rizik omezení, kontrola a registr rizik. 9. Organizace a řízení rizik, bezpečnosti (RACI ) 10. Návratnost investic procesu řízení rizik v informatice ROI 11. Business Continuity Management udrženíčinnosti organizace i v podmínkách katastrofy apod. 12. Archivace, legislativní dopady na práci informatika I 13. Archivace, legislativní dopady na práci informatika II
Kontaktní údaje: Řízení rizik v informatice 1/13 Ing. Zdeněk Blažek, CSc. CISM COMMERZBANK AG Jugoslávská 934/1 Praha 2 zdenek.blazek@commerzbank.com zdenek.blazek@icnk.cz GSM: 603 200 858
Hrozba Zranitelnost Dopad Pravděpodobnost Vyhodnocení rizika Řízení rizika Riziko/Informační riziko Odpověď na riziko Vlastník rizika Tolerance vůči riziku Výbor pro řízení rizik Mapa rizik Zbytkové riziko Registr rizik
Možné studijní materiály (Kurzivou jsou zvyrazneny materialy nakladne a verejne nepristupne) ČSN BS 25999-1:2006 (vydáno únor 2009) BS 25999-2:2007 USA - Published by the National Fire Protection Association NFPA 1600: Standard on Disaster/Emergency Management and Business Continuity Programs. International Organization for Standardization (ISO) ISO/PAS 22399:2007 Guideline for incident preparedness and operational continuity management Standards Australia HB 292-2006 : A practitioners guide to business continuity management HB 293-2006 : Executive guide to business continuity management After 5 years of development, the Risk Management Standard, AS/NZS 4360:2004 has been superseded by AS/NZS ISO 31000:2009, Risk management - Principles and guidelines. ISACA COBIT 4.1 ISO/IEC 27001: Správa bezpečnosti informací (ISO/IEC 17799 je odpovídajícím souborem postupů) ISF 2010 methodology Pozor: veřejně nepřístupné ITIL ISO/IEC 20000 1:2005 část 1: Specifikace Definuje požadavky na Správu služeb ISO/IEC 20000 2:2005 část 2: Soubor postupů Poskytuje návody a doporučení, jak dosáhnout požadavků z části 1 ISO/IEC 20000 3:2007 část 3: Stanovení rozsahu a aplikovatelnost (zatím není k dispozici) ISO/IEC 20000 4:2007 část 4: Referenční model procesu Správa služeb (zatím není k dispozici) BIP 0005 : A Manager`s Guide to Service Management BIP 0015 IT Service Management: Manuál pro ocenění sama sebe (v současnosti se oceňuje vůči ITIL V2, má být revidováno prostřednictvím doplňkových publikací ITIL V3).
Příklady - Důsledek zanedbání Přesné příčiny neštěstí nejsou jasné, v regionu (B. Reichenthal, At) však napadlo značné množství sněhu. Policie se proto domnívá, že střecha nemusela jeho nápor vydržet. Zřícená bruslařská hala byla postavena v 70. letech, všechny čtyři její strany byly prosklené.
Příklad Výstavní hala v Katowicích Po kolaudaci
Příčiny neštěstí Po neštěstí Se střechou katovické haly byly problémy od okamžiku její stavby. Do stavby zatékalo ihned po uvedení do provozu. Izolace, protikorozní ochrana, zanedbání bezpečnosti. Vše nasvědčuje tomu, že střecha se zřítila pod tíhou neodklizeného sněhu a ledu.
Příklad zanedbání následků projektu Který ze dvou obrázků představuje bezpečnějšířešení? Jaké zde vidíte riziko a proč? přehrada skály přehrada skály El. průtok El. průtok jezero proud jezero proud přepad přepad skály skály
Druhy rizik Hrozby/Rizika obchodní Hrozby/Rizika technicko-technologická Hrozby/Rizika z vyšší moci (Force majeure) Hrozby/Rizika personální Hrozby/Rizika bezpečnostní fyzická bezpečnost informační bezpečnost personální bezpečnost Hrozby/Rizika finanční Hrozby/Rizika legislativní
Ohodnocení firem Úroveň Problémy společnosti 5 Společnosti se silnými a prosazovanými procesy řízení. Akceptují nejlepší praktiky v dané oblasti. 4 Společnosti s dobrými řídícími procesy, nicméně stále potřebují vylepšit dialog mezi vedením a týmem, starajícím se o rizika. Potřeba silnějšího důrazu vedení firmy na danou problematiku. 3 Vedení společnosti si je vědomo rizika chce být o nich informováno. Ve společnosti je potřeba prosadit chápání toho, co rizika znamenají a co je třeba vedení sdělovat. 2 Společnost si je vědoma rizik, ale nemá jasno v jejich ohodnocení a ve způsobu hlášení svému vedení. Je potřeba vnějšího zásahu pro zavedení příslušných procesů. 1 Společnost potřebuje odborné vedení a objasnění způsobu, jak zavést rizikovéřízení. Je potřeba zavést celkovou firemní integritu do řízení společnosti. 0 Společnost potřebuje pomoc, aby vůbec započala s identifikací a vyhodnocováním rizik. Není zájem ze strany vedení chybí jakýkoliv tlak na zavedení řízení rizik. Poznámka: Body 4 a 5 představují spíše teoretickou možnost
Ohodnocení firem Atributy Způsob dosažení 5 Optimalizováno 4 3 Řízeno Definováno (Kvalitativní/kvantitativní) Existují politiky, standardy, postupy-formalizováno Proces řízení informačního rizika je standardizován v celé organizaci Vedení organizace si je vědomo existence rizik a podporuje jejich řízení Procedury jsou definovány Existuje a je udržována databáze materiálu Dosažitelná pozice hyp. firmy Zralost 2 1 Opakovatelné Počteční st. (Intuitivní) Procesy jsou stanoveny a jsou opakovatelné; omezeno spoléhání na klíčové jedince (Ad Hoc/Chaotické) Závislost na iniciativě jedinců; nedostatek kapacit Kvalitní personál existuje V některých oblastech jsou definovány procesy a úkoly Povědomí o riziku je roztříštěno Není jasné že informační riziko je důležité Nejasné úkoly Spoléhání se na klíčové lidi Nejsou jasné odpovědnosti Nejsou formální procesy Současná pozice hyp. firmy 0 Neexistuje
Riziko Riziko definujeme jako pravděpodobnost, že dojde k narušeníčinnosti organizace dopad události Dopad Pravděpodobnost Riziko
Řízení rizika Majetek Vyhodnocení. Co vlastně chcete chránit? Hrozba Vnitřní/vnější Příčina? Zranitelnost. Jak je majetek vystaven nebezpečí? Odstranění nebezpečí Co pomůže ohrožení zmírnit? Dopad Způsobí omezení nebo likvidaci činnosti organizace. Pravděpodobnost Možnost, že dojde k nebezpečné události Riziko riziko = dopad x pravděpodobnost
Řízení rizika Jeden z největších problémů každé firmy. Majetek Vyhodnocení. Co vlastně chcete chránit? Hrozba Vnitřní/vnější Příčina? Zranitelnost. Jak je majetek vystaven nebezpečí? Odstranění nebezpečí Co pomůže ohrožení zmírnit? Dopad Způsobí omezení nebo likvidaci činnosti organizace. Pravděpodobnost Možnost, že dojde k nebezpečné události Riziko riziko = dopad x pravděpodobnost
Řízení rizika Úkol: jaké jsou vlastně možné hrozby? Majetek Vyhodnocení. Co vlastně chcete chránit? Hrozba Vnitřní/vnější Příčina? Zranitelnost. Jak je majetek vystaven nebezpečí? Odstranění nebezpečí Co pomůže ohrožení zmírnit? Dopad Způsobí omezení nebo likvidaci činnosti organizace. Pravděpodobnost Možnost, že dojde k nebezpečné události Riziko riziko = dopad x pravděpodobnost
Řízení rizika Úkol: jsme zranitelní hrozbami, které přicházejí v úvahu? Majetek Vyhodnocení. Co vlastně chcete chránit? Hrozba Vnitřní/vnější Příčina? Zranitelnost. Jak je majetek vystaven nebezpečí? Odstranění nebezpečí Co pomůže ohrožení zmírnit? Dopad Způsobí omezení nebo likvidaci činnosti organizace. Pravděpodobnost Možnost, že dojde k nebezpečné události Riziko riziko = dopad x pravděpodobnost
Řízení rizika Úkol: jak snížit zranitelnost? Majetek Vyhodnocení. Co vlastně chcete chránit? Hrozba Vnitřní/vnější Příčina? Zranitelnost. Jak je majetek vystaven nebezpečí? Odstranění nebezpečí Co pomůže ohrožení zmírnit? Dopad Způsobí omezení nebo likvidaci činnosti organizace. Pravděpodobnost Možnost, že dojde k nebezpečné události Riziko riziko = dopad x pravděpodobnost
Informace jako materialita Informace je materialitou tehdy, jestliže její opomenutí, ztráta nebo změna mají vliv na ekonomické rozhodování uživatelů, které je založeno právě na finančních úvahách. Materialita závisí jednak na velikosti položky nebo na vyhodnocení problémů, které může opomenutí, ztráta/krádež nebo změna způsobit. Materialita tak poskytuje prahovou hodnotu.
Dotazy Řízení rizik v informatice 1/13
TERM Activity Business Continuity Business Continuity Management (BCM) Business continuity plan Business Impact Analysis (BIA) Civil Emergency Consequence Critical activities Disaster Disruption Exercise/test Gain Impact Incident Invocation Likelihood Loss Řízení rizik v informatice 1/13 Dodatek I DEFINITION Process or set of processes undertaken by an organization that produces or supports one or more products or services Strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable pre-defined level. Management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value creating activities. Documented collection of procedures and information that is developed, compiled and maintained in readiness for use in an incident to enable an organization to continue to deliver its critical activities at an acceptable predefined level. Process of analysing business functions and the effect that a business disruption might have upon them. Event or situation which threatens serious damage to human welfare Outcome of an incident that will have an impact on an organization objectives. Those activities which have to be performed in order to deliverthe key products and services which enable the organization to meet its most important and time sensitive objectives. A disaster is any event that prevents the bank to perform operational business for an extended period of time, therefore causing serious financial and operational risk. It does not have a foreseeable end. Event, whether anticipated (e.g. labour strike or hurricane) or unanticipated (e.g. a blackout or earthquake), which causes an unplanned, negative deviation from the expected delivery of products or services according to the organization objectives. Activity in which business continuity plan is rehersead in part or in whole gto ensure that the plan obtains the appropriate information and produces the desired results when put into effect. Positive consequence Evaluated consequence of a particular outcome Situation that might be, or could lead to, a business disruption, loss, emergency or crisis. Act of declaring that an organization business continuity plan needs to be put in effect in order to continue delivery of key products or services Chance of something happening whether definwed, measured or estimated objectively or subjectively, or in terms of general dwescriptors (such as rare, unlikely, likely, almost certain), frequencies or mathematical probabilities. Negative consequence
Dodatek II TERM Maximum tolerable period of disruption Products and services Recovery time objectives Resilience Risk Risk appetite Risk assessment Risk management Stakeholders Top management DEFINITION Duration after it the organization viability will be irrevocably threatened if product and service delivery cannopt be resumed Benficial outcomes provided by an organization to its customers, recipients or stakeholders, e.g. manufactured items, car insurance, regulatory compliance and community nursing Target time set for: - resumption of product or service delivery after an incident - eresumption of performance of an activity after an incident - recovery of an IT system or application after an incident Ability of an organization to resist being affected by an incident Something that might happen and its effect on the achievments of objectives. Risk = Impact x Likelihood Total amount of risk that an organization is prepared to accept, tolerate or be exposed to at any point of time. Overall process of risk identification, analysis and evaluation Structured development and application of management culture, policy, procedures and practices to the tasks of identifying, analysing, evaluating and controlling responding to risk. Those with vested interset in an organization achievment Person or group of people who direct and control an organization at the highest level (BS EN ISO 9000:2005)