Analýza rizik
Miroslav Čermák
Řízení rizik
Identifikace respondentů Identifikace aktiv Kvantifikace aktiv Identifikace hrozeb Kvantifikace hrozeb Identifikace zranitelností Kvantifikace zranitelností
ŘÍZENÍ RIZIK
IDENTIFIKACE RIZIK
IDENTIFIKACE RIZIK
ANALÝZA RIZIK
VYHODNOCENÍ RIZIK
ZVLÁDÁNÍ RIZIK
HO
DN
OC
EN
Í RIZ
IK
VYMEZENÍ HRANIC
VYMEZENÍ HRANIC
Analýza rizik
Přístup k provedení AR:– interní– externí– kombinovaný
Strategie AR:– orientační– detailní
Metodika AR:– kvantitativní– kvalitativní
Plán analýzy rizik
rozsah délku trvání náklady
a samozřejmě:
kvalitu rizika
Vždy musíme sledovat:
PENÍZE
ROZSAH
ČAS
KVALITA
Projektové řízení je pro úspěšné provedení AR naprosto nezbytné. K AR je proto vhodné přistupovat jako k jakémukoliv jinému projektu.
Plán analýzy rizik
Stanovení hranic AR
Hranice AR je pomyslná čára, která odděluje aktiva, která jsou předmětem AR, říkáme, že leží uvnitř hranic analýzy, od těch aktiv, která nejsou předmětem AR, a říkáme o nich, že leží mimo hranice nebo za hranicemi AR.
PENÍZE
ROZSAH
ČAS
KVALITA
Plán analýzy rizik
Stanovení hloubky AR
granualitou aktiv, tedy tím jak moc jsou aktiva agregována, množstvím hrozeb, typické, specifické x všechny možné, množstvím respondentů pro aktiva, hrozby a zranitelnosti.
PENÍZE
ROZSAH
ČAS
KVALITA
Plán analýzy rizik
Stanovení délky trvání AR
šíře AR (dáno hranicemi AR) hloubka AR (kvalita) množství finančních prostředků
PENÍZE
ROZSAH
ČAS
KVALITA
Plán analýzy rizik
Stanovení nákladů AR
šíře AR (dáno hranicemi AR) hloubka AR (kvalita) délka trvání
PENÍZE
ROZSAH
ČAS
KVALITA
Sestavení analytického týmu
uživatelé:– vlastník systému– uživatel systému
experti:– správce systému– správce aplikace– správce databáze– správce sítě– pracovník informační bezpečnosti– pracovník fyzické bezpečnosti– systémový analytik– pracovník řízení lidských zdrojů– expert na analýzu a řízení rizik
Analýza rizik
Identifikace respondentů Získávání informací Analýza informací Interpretace informací Verifikace informací Dokumentace informací
Identifikace aktiv
Útvar - číslo útvaru a název útvaru Manažer - jméno manažera daného útvaru Název procesu - co nejvýstižnější Název aktiva - jedinečný název
Business Process Analysis – procesně orientovaná analýza, jejímž cílem je identifikace všech procesů a aktiv, která se v rámci daného procesu používají.
Snažte se maximálně využít dostupných informací!
Dekompozice aktiv
Organizační vrstva- procesy Logická vrstva - SW Fyzická vrstva - HW
Objektově hierarchická dekompozice aktiv
Agregace aktiv
hardware (HW) software (SW) síť (NET) média (MDA) data (DTA) personál (STF) prostory (SPC)
Každý proces je více či méně závislý na těchto aktivech:
Kvantifikace aktiv
Důvěrnost Integrita Dostupnost
– Minuty– Hodiny– Dny– Týdny
Business Impact Analysis
Kvantifikace aktiv
Manažer CNF INT AVL (min) AVL (hod) AVL (dny) AVL (týdny)
Manažer1 45 80 10 20 40 80
Manažer2 40 90 20 30 60 120
Manažer3 50 60 30 40 80 160
Dopad 135 230 60 90 180 360
Stupeň 1 2 3 4
Popis dopadu malé škody Vážné škodyvelmi vážné
škodypřežití je ohroženo
Relativní ztráta v % 0-5% 5-10% 10-30% 30% a více
Absolutní ztráta v Kč 0-50.000 50.000-100.000 100.000-300.000 300.000 a více
Identifikace a kvantifikace hrozeb
Úmyslné škody Neúmyslné škody Technické selhání Přírodní hrozby
Stupeň Zkratka Úroveň hrozby Popis hrozby Od Do
1 N nízká nepravděpodobná 0% 25%
2 S střední pravděpodobná 25% 50%
3 V vysoká vysoce pravděpodobná 50% 75%
4 K jistá jistá 75% 100%
Identifikace a kvantifikace zranitelností
Stupeň Zkratka Zranitelnosti Opatření Od Do
1 N nízká Opatření jsou zavedena, dokumentována, kontrolována a zlepšována.
0% 25%
2 S střední Opatření jsou zavedena, dokumentována a kontrolována.
25% 50%
3 V vysoká Opatření jsou zavedena a dokumentována. 50% 75%
4 K kritická Žádná opatření nejsou zavedena, dokumentována, kontrolována a zlepšována.
75% 100%
Stupeň Zkratka Zranitelnost Bezpečnostní incidenty Od Do
1 N nízká Neexistují důkazy o žádných závadách či selhání bezpečnostních opatření.
0% 25%
2 S střední Existují důkazy o malém počtu závad či selhání bezpečnostních opatření.
25% 50%
3 V vysoká Existují důkazy o větším počtu závad či selhání bezpečnostních opatření.
50% 75%
4 K kritická Existují důkazy o rozsáhlých závadách či selhání bezpečnostních opatření.
75% 100%
Stupeň Zkratka Zranitelnost Havarijní plány Od Do
1 N nízká Pro všechna potenciální narušení businessu jsou připraveny havarijní plány a jsou pravidelně testovány a optimalizovány.
0% 25%
2 S střední Havarijní plány spíše neselžou. 25% 50%
3 V vysoká Havarijní plány spíše selžou. 50% 75%
4 K kritická Pro žádná potenciální narušení businessu nejsou připraveny žádné havarijní plány.
75% 100%
Řízení rizik
Kontakt:Miroslav Čermá[email protected]
Knihu:
ŘÍZENÍ INFORMAČNÍCH RIZIK V PRAXI
si můžete objednat na:
www.cleverandsmart.cz