Luděk Novák dubna 2006 Proč a jak řídit informační rizika ve veřejné správě
2 Obsah prezentace Informační rizika a bezpečnost informací Základní prvky řízení rizik Potřeby řízení rizik Řízení rizik a veřejná správa Motto: Kdo chce vyřadit každé riziko, ten také zničí všechny šance.
3 Zákon č. 365/2000 Sb., o ISVS § 5b Bezpečnost informačních systémů veřejné správy (1) Orgány veřejné správy zajišťují bezpečnost informačních systémů veřejné správy v rozsahu daném prováděcím právním předpisem. Prováděcí právní předpis dále stanoví minimální bezpečnostní požadavky k zajištění důvěrnosti, integrity a dostupnosti zpracovávaných informací. (2) Orgány veřejné správy odpovídají za výběr a zavedení přiměřených bezpečnostních opatření odpovídajících minimálním bezpečnostním požadavkům.
4 Pravidla řízení bezpečnosti ČSN ISO/IEC 27001:2006 – Systém řízení bezpečnosti informací – Požadavky mezinárodní podoba známé normy BS , definuje postup řízení bezpečnosti a způsob výběru bezpečnostních opatření, Návrh systému řízení se opírá především o analýzu a zvládání informačních rizik. ČSN ISO/IEC 17799:2006 – Soubor postupů pro řízení bezpečnosti informací katalog 133 bezpečnostních opatření s doporučením pro realizaci.
5 Základní prvky řízení rizik Analýza informačních rizik určení hodnoty chráněných aktiv identifikování možných hrozeb a jejich dopadů určení účinnosti existujících opatření Zvládání informačních rizik určení nezbytnosti a způsobu snižování míry rizika výběr vhodných bezpečnostních opatření Kvalita analýzy a zvládání rizik rozhoduje o účinnosti a efektivnosti řízení bezpečnosti informací.
6 Klasické metody řízení Mají zdůrazněnu analytickou povahu snaha o vysokou přesnost analytických výsledků. Vysoká časová náročnost provedení analýzy analýzy prováděny s omezenou periodou (1 až 3 roky). Složité a nečitelné vnitřní vazby omezené schopnosti dále s riziky pracovat, omezené možnosti reagovat na provozní zkušenosti. Metody nejsou určeny pro každodenní řízení rizik hlavním cílem metod jsou převážně jednorázové analýzy, omezená integrace externích informačních zdrojů.
7 Co dnes potřebujeme? Každodenní řízení rizik úroveň rizika by měla být určena rychle, riziko by mělo být včas předáno a správně zvládáno, sledování rizika během jeho zvládání, úzké propojení (splynutí) s řízením bezpečnosti Zapojení širokého spektra informačních zdrojů již existující znalosti o rizicích, informace získávané během kontroly bezpečnosti, metody sebehodnocení, podměty uživatelů apod. Přehled a evidenci informačních rizik.
8 Jednoduchá metoda řízení rizik Doporučení BITS pro hodnocení rizik Riziko = Dopady * Hrozba * Zranitelnost Stupnice pro hodnocení aktiv ICT Stupnice pro hodnocení rizik vyjádření výše možných dopadů, vyjádření pravděpodobnosti hrozby, vyjádření pravděpodobnost zranitelnosti. Organizace si musí ujasnit pravidla a postupy pro zvládání rizik (priority pro výběr opatření), pravidla a postupy pro akceptování zbytkových rizik.
9 Struktura pro řízení rizik Základem je efektivní propojení řízení rizik s konkrétním prostředím informačních a komunikačních systémů jednoznačné rozdělení prostředí ICT, jasné určení odpovědností, definování role manažera rizik, způsoby komunikace manažera rizik, pravidla pro eskalaci rizik.
10 Využít různých informačních zdrojů Využití již provedených analýz rizik. Využití výsledků řešení bezpečnostních incidentů. Využití výsledků bezpečnostních testů. Využití zpráv z auditu bezpečnosti a provozu. Využití podnětů pro zlepšení bezpečnosti a provozu. Využití sebehodnocení rizik. Využití výsledků nově provedených analýz rizik.
11 Řízení rizik a veřejná správa Decentralizovaná struktura řízení VS zahrnuje informatiku i informační rizika, není možné účinně centralizovat, potřeba prohlubovat vztahy důvěry. Bezpečná výměna dat základem je sladění představ o úrovni přijatelných rizik, potřeba použití obdobných principů řízení rizik, potřeba použití shodných stupnic pro vyjádření rizik, nalezení společného jazyka je nejjednodušším řešením.
12 Stupnice pro ohodnocení rizik Fungování registru rizik Stupnice dopadů Analýzy rizik Stupnice zranitelnosti Stupnice hrozeb Bezpečnostní incidenty Bezpečnostní testy Bezpečnostní audity Sebehodnocení bezpečnosti Přidělení rizik Výběr opatření Akceptování rizik Zbytková rizika Eskalace rizik Registr rizik ICT Další podněty
13 Závěr Řízení rizik je základem ekonomicky smysluplné bezpečnosti informací. Potřeba aplikovaní vhodných metod řízení rizik při řízení každodenních aktivit. Využití širokého spektra informačních zdrojů zpřesňuje a snižuje náročnost řízení rizik. Pro veřejnou správu je důležité upřesnit společný jazyk – umožní otevřenou komunikaci o rizicích.