Analýza rizík

Spracovanie analýzy rizík (AR)

Analýza rizíkRiziko. Existuje veľa definícií tohto významu ako nebezpečenstvo, vysoká miera pravdepodobnosti neúspechu či straty. V terminológii disciplíny zvanej riadenie rizík však jednoducho vyjadruje riziko určitú pravdepodobnosť, že dôjde k udalosti, ktorá spôsobí škodu. Tieto udalosti môžu byť spôsobené prírodnými vplyvmi, poruchami dnešných zložitých technológií, zlyhaním ľudského faktora. Denne podstupujeme riziká – podnikateľské, finančné či bezpečnostné a ďalšie. Aby sme ich dokázali s prehľadom zvládať, obvykle ich potrebujeme s predstihom a čo možno najlepšie poznať, pretože to nám umožní uskutočniť také kroky, ktoré dané riziká minimalizujú.

Aj z pohľadu ochrany informácií je žiaduce uskutočňovať také opatrenia, ktoré sú schopné ochrániť naše informácie pred bezpečnostnými rizikami. Táto snaha je efektívna iba v prípade, že investujeme svoje prostriedky tak, aby cena chránených hodnôt (aktív) bola úmerne vynaloženým nákladom na ochranné opatrenia, ktoré sú zase závislé od veľkosti ohrozenia.

Ciele analýzy rizík

Náplňou analýzy rizík je identifikovať aktíva spoločnosti a stanoviť ich význam pre bezproblémový beh organizácie (ohodnotenie aktív), nájsť možné zdroje ohrozenia (hrozby) týchto aktív, zhodnotiť aktuálny spôsob ochrany i existujúce slabiny takýchto ochranných opatrení (zraniteľnosti) a určiť výslednú veľkosť rizík, ohrozujúcich dané aktíva.

Súčasťou procesu posúdenia rizík je:

  • vytvorenie modelu aktív spoločnosti (identifikácia a ohodnotenie aktív)
  • analýza aktuálnych ochranných opatrení a určenie zraniteľnosti aktív
  • identifikácia relevantných hrozieb
  • stanovenie miery rizika z pohľadu narušenia dôvernosti, integrity a dostupnosti
  • odporúčania k náprave – návrh úpravy aktuálnych opatrení, prípadne i ďalších doplnkových opatrení tak, aby bola zaistená zodpovedajúca ochrana informácií podľa ich ceny a výšky ich ohrozenia.

Primárnym cieľom analýzy rizík je totiž nielen obyčajné nájdenie aktív (informácií a prostriedkov k ich spracovaniu), hrozieb a zraniteľností ochranných opatrení, ale hlavne súlad nutných výdajov na ochranu aktív voči možným stratám pri poškodení týchto aktív.

Hlavné prínosy

  • detailná identifikácia kľúčových aktív (nielen informačných), zraniteľných miest v prevádzkových postupoch i spôsoboch využívania technológií – úplný prehľad o možných ohrozeniach vašich informácií
  • podklad pre manažérske rozhodnutia pri riadení rizík
  • návrh konkrétnych opatrení smerujúcich k náprave zistených nedostatkov členených podľa priority realizácie a náročnosti
  • výstup analýzy podľa požiadaviek SMIB (štruktúra dokumentácie, spojenie vybraných opatrení, prehlásenie o aplikovateľnosti podľa požiadaviek normy)

Normativna základňa

Použité metódy a postupy, ktoré uplatňujeme pri analýzach rizík, vychádzajú z:

  • legislatívy Slovenskej republiky (napr. zákon o ochrane osobných údajov)
  • STN ISO/IEC 27001 (základná norma SMIB)
  • STN ISO/IEC 27002 (v minulosti ISO/IEC 17799)