Analýza rizik Miroslav Čermák

Identifikace respondentů Identifikace aktiv Kvantifikace aktiv Řízení rizik ŘÍZENÍ RIZIK Identifikace respondentů Identifikace aktiv Kvantifikace aktiv Identifikace hrozeb Kvantifikace hrozeb Identifikace zranitelností Kvantifikace zranitelností VYMEZENÍ HRANIC HODNOCENÍ RIZIK IDENTIFIKACE RIZIK ANALÝZA RIZIK VYHODNOCENÍ RIZIK ZVLÁDÁNÍ RIZIK

Přístup k provedení AR: Analýza rizik Přístup k provedení AR: interní externí kombinovaný Strategie AR: orientační detailní Metodika AR: kvantitativní kvalitativní

Plán analýzy rizik Projektové řízení je pro úspěšné provedení AR naprosto nezbytné. K AR je proto vhodné přistupovat jako k jakémukoliv jinému projektu. Vždy musíme sledovat: rozsah délku trvání náklady a samozřejmě: kvalitu rizika ČAS PENÍZE KVALITA ROZSAH

Plán analýzy rizik Stanovení hranic AR Hranice AR je pomyslná čára, která odděluje aktiva, která jsou předmětem AR, říkáme, že leží uvnitř hranic analýzy, od těch aktiv, která nejsou předmětem AR, a říkáme o nich, že leží mimo hranice nebo za hranicemi AR. ČAS PENÍZE KVALITA ROZSAH

Plán analýzy rizik Stanovení hloubky AR granualitou aktiv, tedy tím jak moc jsou aktiva agregována, množstvím hrozeb, typické, specifické x všechny možné, množstvím respondentů pro aktiva, hrozby a zranitelnosti. ČAS PENÍZE KVALITA ROZSAH

Stanovení délky trvání AR Plán analýzy rizik Stanovení délky trvání AR šíře AR (dáno hranicemi AR) hloubka AR (kvalita) množství finančních prostředků ČAS PENÍZE KVALITA ROZSAH

Plán analýzy rizik Stanovení nákladů AR šíře AR (dáno hranicemi AR) hloubka AR (kvalita) délka trvání PENÍZE ČAS KVALITA ROZSAH

Sestavení analytického týmu uživatelé: vlastník systému uživatel systému experti: správce systému správce aplikace správce databáze správce sítě pracovník informační bezpečnosti pracovník fyzické bezpečnosti systémový analytik pracovník řízení lidských zdrojů expert na analýzu a řízení rizik

Identifikace respondentů Získávání informací Analýza informací Analýza rizik Identifikace respondentů Získávání informací Analýza informací Interpretace informací Verifikace informací Dokumentace informací

Identifikace aktiv Business Process Analysis – procesně orientovaná analýza, jejímž cílem je identifikace všech procesů a aktiv, která se v rámci daného procesu používají. Útvar - číslo útvaru a název útvaru Manažer - jméno manažera daného útvaru Název procesu - co nejvýstižnější Název aktiva - jedinečný název Snažte se maximálně využít dostupných informací!

Objektově hierarchická dekompozice aktiv Organizační vrstva - procesy Logická vrstva - SW Fyzická vrstva - HW

Agregace aktiv hardware (HW) software (SW) síť (NET) média (MDA) Každý proces je více či méně závislý na těchto aktivech: hardware (HW) software (SW) síť (NET) média (MDA) data (DTA) personál (STF) prostory (SPC)

Kvantifikace aktiv Business Impact Analysis Důvěrnost Integrita Dostupnost Minuty Hodiny Dny Týdny

Kvantifikace aktiv Stupeň 1 2 3 4 Popis dopadu malé škody Vážné škody velmi vážné škody přežití je ohroženo Relativní ztráta v % 0-5% 5-10% 10-30% 30% a více Absolutní ztráta v Kč 0-50.000 50.000-100.000 100.000-300.000 300.000 a více

Identifikace a kvantifikace hrozeb Úmyslné škody Neúmyslné škody Technické selhání Přírodní hrozby

Identifikace a kvantifikace zranitelností

ŘÍZENÍ INFORMAČNÍCH RIZIK V PRAXI Řízení rizik Kontakt: Miroslav Čermák mc@cleverandsmart.cz Knihu: ŘÍZENÍ INFORMAČNÍCH RIZIK V PRAXI si můžete objednat na: www.cleverandsmart.cz