Analýza rizik

Zpracování analýzy rizik (AR)

Riziko. Existuje mnoho definic tohoto významu, jako nebezpečí, vysoká míra pravděpodobnosti nezdaru či ztráty. V terminologii disciplíny zvané řízení rizik však jednoduše vyjadřuje riziko určitou pravděpodobnost, že dojde k události, která způsobí škodu. Tyto události mohou být působeny přírodními vlivy, poruchami dnešních složitých technologií, selháním lidského faktoru. Denně podstupujeme rizika - podnikatelská, finanční či bezpečnostní a další. Abychom je dokázali s přehledem zvládat, obvykle je potřebujeme s předstihem a co možná nejlépe poznat, neboť to nám umožní učinit takové kroky, které daná rizika minimalizují.

I z pohledu ochrany informací je žádoucí  provádět taková opatření, která jsou schopna ochránit naše informace před bezpečnostními riziky. Efektivní tato snaha však je pouze v případě, že investujeme své prostředky tak, že cena chráněných hodnot (aktiv) je úměrná vynaloženým nákladům na ochranná opatření, která jsou zase odvislá od velikosti ohrožení.

Cíle analýzy rizik

Náplní analýzy rizik je identifikovat aktiva společnosti a stanovit jejich význam pro bezproblémový běh organizace (ohodnocení aktiv), nalézt možné zdroje ohrožení (hrozby) těchto aktiv, zhodnotit stávající způsob ochrany i existující slabiny takových ochranných opatření (zranitelnosti) a určit výslednou velikost rizik, ohrožující daná aktiva.

Součástí procesu posouzení rizik je:

• vytvoření modelu aktiv společnosti (identifikace a ohodnocení aktiv)
• analýza stávajících ochranných opatření a určení zranitelností aktiv
• identifikace relevantních hrozeb
• stanovení míry rizika z pohledu narušení důvěrnosti, integrity a dostupnosti
• doporučení k nápravě - návrh úpravy stávajících opatření případně i dalších doplňkových opatření tak, aby byla zajištěna odpovídající ochrana informací podle jejich ceny a výše jejich ohrožení.

Primárním účelem analýzy rizik je totiž nejenom pouhé nalezení aktiv (informací a prostředků k jejich zpracování), hrozeb a zranitelností ochranných opatření, ale zejména soulad nutných výdajů na ochranu aktiv vůči možným ztrátám při poškození těchto aktiv.

Hlavní přínosy

• detailní identifikace klíčových aktiv (nejen informačních), zranitelných míst v provozních postupech i způsobu užívání technologií - úplný přehled o možných ohroženích vašich informací
• podklad pro manažerská rozhodnutí při řízení rizik

• návrh konkrétních opatření k nápravě zjištěných nedostatků členěných podle priorit realizace a náročnosti
• výstup analýzy dle požadavků ISMS (struktura dokumentace, vazba vybraných opatření, prohlášení o aplikovatelnosti dle požadavků normy)

Normativní základna

Použité metody a postupy, které uplatňujeme při analýzách rizik, vycházejí z osvědčených mezinárodních norem:

• český právní řád (např. zákon 101/2000Sb. o ochraně os. údajů)
• ISO/IEC 27001 (základní norma ISMS)
• ISO/IEC 27002 (dříve ISO/IEC 17799)