Riziko je potenciální možnost, že daná hrozba využije zranitelnosti aktiva a způsobí tak ztrátu nebo zničení aktiv. Jedná se o souběh několika faktorů v čase.
Riziko popisuje pravděpodobnost a praktický následek negativní události.
Jednou z nejdůležitější fází analýzy rizik je identifikace hrozeb a zranitelností.
Typický průběh analýzy rizik:
- identifikovat aktiva organizace;
- identifikovat potenciální hrozby, kterým jsou tato aktiva vystavena;
- identifikovat zranitelnosti jednotlivých aktiv;
- identifikovat dopady na jednotlivá aktiva;
- vypočítat míru rizik.
Hodnocení rizik je vyjádřeno jako funkce, kterou ovlivňuje dopad, hrozba a zranitelnost. Pro hodnocení rizik lze použít zejména tuto funkci:
riziko = hrozba x zranitelnost x dopad
Po provedení analýzy rizik je nutné u každého aktiva, kde vypočtená míra rizika překročí akceptační úroveň, najít a uvést do praxe opatření, která povedou ke snížení míry rizika. Po jejich aplikaci v praxi je provedena navazující analýza rizik, kdy je k řešeným hrozbám znovu přiřazena hodnota dopadu, hrozby, zranitelnosti a znovu je určena míra rizika. Tento proces se periodicky opakuje, dokud není dosaženo míry rizika pod nebo rovno akceptační úrovni.
Opatření, která je možné využít, je možné čerpat z Přílohy A normy ČSN ISO/IEC 27001, tato příloha však není vyčerpávající a je vhodné přijmout i jiná opatření vycházející z konkrétní situace organizace.
Pokud již není možné nebo ekonomicky zdůvodnitelné přijímaní dalších opatření snižujících pravděpodobnost nebo dopady bezpečnostního incidentu, je povinností zodpovědné osoby vypracovat o zprávu pro vedení organizace.
Vedení společnosti tuto zprávu projedná a rozhodne o dalším postupu, který může být následující:
- akceptace zvýšeného rizika z důvodu ekonomické neúnosnosti protiopatření,
- rozhodnutí o vyhnutí se rizikům,
- rozhodnutí o přenesení rizika na třetí stranu (dodavatel, pojišťovna, …),
- přeskupení aktiv tak, aby se snížila jejich hodnota (např. rozložení informací na více míst apod.),
- uvolnění dalších zdrojů pro řešení rizik.
Nabízíme Vám odborné konzultace na téma:
- Řízení technologických rizik
- Řízení bezpečnostních rizik
- Analýzy rizik dle Kybernetického zákona nebo norem ČSN ISO/IEC 27001.
Potřebujete pomoc se zpracováním analýzy rizik?
Neváhejte nás kontaktovat prostřednictvím kontaktního formuláře. Děkujeme.