{"id":2901,"date":"2015-10-21T19:01:11","date_gmt":"2015-10-21T17:01:11","guid":{"rendered":"http:\/\/preventista.sk\/info\/?p=2901"},"modified":"2015-10-19T21:38:29","modified_gmt":"2015-10-19T19:38:29","slug":"riadenie-rizik-v-informacnej-bezpecnosti","status":"publish","type":"post","link":"https:\/\/preventista.sk\/info\/riadenie-rizik-v-informacnej-bezpecnosti\/","title":{"rendered":"Riadenie riz\u00edk v informa\u010dnej bezpe\u010dnosti"},"content":{"rendered":"

<\/h1>\n

IT riziko ako t\u00e9ma d\u0148a<\/h1>\n

Informa\u010dn\u00e9 technol\u00f3gie s\u00fa dnes integr\u00e1lnou s\u00fa\u010das\u0165ou v\u00e4\u010d\u0161iny podporn\u00fdch, ale aj obchodn\u00fdch podnikov\u00fdch procesov. Rast\u00faca z\u00e1vislos\u0165 na IT aplik\u00e1ci\u00e1ch v\u0161ak v s\u00fa\u010dasnosti znamen\u00e1 aj dramatick\u00fd n\u00e1rast riz\u00edk a potrebami ich nepretr\u017eitej a systematickej ochrany.<\/p>\n

Rie\u0161en\u00edm probl\u00e9mov ochrany informa\u010dn\u00fdch akt\u00edv organiz\u00e1cie pred rizikami vypl\u00fdvaj\u00facimi z prev\u00e1dzky IT je zavedenie Syst\u00e9mu mana\u017e\u00e9rstva informa\u010dnej bezpe\u010dnosti<\/strong> (\u010falej len ISMS), ktor\u00fd je prisp\u00f4soben\u00fd individu\u00e1lnym potreb\u00e1m podniku a\u00a0zah\u0155\u0148a v\u00a0sebe aj n\u00e1vrh procesov \u00fa\u010dinn\u00e9ho riadenia IT riz\u00edk.<\/p>\n

Existuj\u00fa r\u00f4zne defin\u00edcie informa\u010dnej bezpe\u010dnosti, no na z\u00e1klade sk\u00fasenosti z\u00a0hospod\u00e1rskej praxe m\u00e1 zrejme najbli\u017e\u0161ie k\u00a0realite defin\u00edcia, pod\u013ea ktorej bezpe\u010dnos\u0165 je udr\u017eiavanie akceptovate\u013enej miery identifikovan\u00e9ho rizika<\/strong>. Bezpe\u010dnos\u0165 je teda komplex procesov a \u010dinnost\u00ed zameran\u00fdch na odvr\u00e1tenie alebo zmen\u0161enie identifikovan\u00fdch riz\u00edk, resp. prejavov hrozieb ktor\u00e9 p\u00f4sobia na informa\u010dn\u00e9 akt\u00edva.<\/p>\n

Bezpe\u010dnos\u0165 nie je kone\u010dn\u00fd stav, ani produkt. Bezpe\u010dnos\u0165 a\u00a0riadenie IT rizika s\u00fa nepretr\u017eit\u00e9, komplexn\u00e9, cyklick\u00e9 procesy s kontinu\u00e1lnym prehodnocovan\u00edm a\u00a0zlep\u0161ovan\u00edm. V\u00a0oboch procesoch sa jedn\u00e1 o iterat\u00edvny pr\u00edstup,\u00a0 ktor\u00fd by mal by\u0165 riaden\u00fd, pl\u00e1novan\u00fd, implementovan\u00fd, overovan\u00fd a\u00a0udr\u017eiavan\u00fd.<\/p>\n

Nepretr\u017eitos\u0165 procesu riadenia IT rizika je mo\u017en\u00e9 zn\u00e1zorni\u0165 aj na upravenom Demingovom cykle (tzv. model PDCA) zn\u00e1mom z\u00a0ISO 27001 a\u00a0zalo\u017eenom na \u0161tyroch nadv\u00e4zn\u00fdch a\u00a0opakuj\u00facich\u00a0 sa f\u00e1zach Pl\u00e1nova\u0165 \u2013 Vykon\u00e1va\u0165 \u2013 Kontrolova\u0165 \u2013 P\u00f4sobi\u0165. V\u00a0dekompoz\u00edcii na proces riadenia IT rizika by Demingov cyklus PDCA mohol by\u0165 zn\u00e1zornen\u00fd aj nasledovne:<\/p>\n

\"pcap\"<\/a><\/p>\n

 <\/p>\n

Pre korektn\u00e9 uplatnenie metodiky riadenia IT rizika sa IT riziko definuje ako: \u201eriziko finan\u010dn\u00fdch a\u00a0reputa\u010dn\u00fdch str\u00e1t sp\u00f4soben\u00fdch naru\u0161en\u00edm d\u00f4vernosti, integrity, dostupnosti, alebo sledovate\u013enosti informa\u010dn\u00fdch akt\u00edv, vytvoren\u00fdch, ulo\u017een\u00fdch, sprac\u00favan\u00fdch, alebo\u00a0 pren\u00e1\u0161an\u00fdch informa\u010dn\u00fdmi technol\u00f3giami<\/strong>.<\/p>\n

Pou\u017e\u00edvanie a rozvoj pou\u017e\u00edvan\u00fdch informa\u010dn\u00fdch syst\u00e9mov ako aj\u00a0zmeny prev\u00e1dzkov\u00fdch procesov v\u00a0z\u00e1vislosti na \u00farovni ich automatiz\u00e1cie m\u00f4\u017eu organiz\u00e1cii sp\u00f4sobova\u0165 riziko.<\/p>\n

Pr\u00edstup k\u00a0mana\u017ementu riz\u00edk na z\u00e1klade medzin\u00e1rodnej normy ISO\/IEC 27001 podporuje osvojenie si procesn\u00e9ho pr\u00edstupu k\u00a0n\u00e1vrhu, implement\u00e1cii, prev\u00e1dzke, monitorovaniu, udr\u017eovaniu a\u00a0zlep\u0161ovaniu efektivity ISMS.<\/p>\n

\n

O\u0161etrovanie rizika<\/h1>\n

O\u0161etrovanie rizika je proces v\u00fdberu a\u00a0implement\u00e1cie opatren\u00ed na modifikovanie rizika.<\/p>\n

Najvhodnej\u0161ie met\u00f3da o\u0161etrenia rizika by mala by\u0165 vybrat\u00e1 na z\u00e1klade v\u00fdsledku hodnotenia rizika. Pou\u017eit\u00e1 by mala by\u0165 v\u017edy t\u00e1 met\u00f3da o\u0161etrenia rizika, ktorou je mo\u017en\u00e9 z\u00edska\u0165 v\u00fdraznej\u0161iu redukciu rizika s dosiahnut\u00edm relat\u00edvne ni\u017e\u0161\u00edch n\u00e1kladov.<\/p>\n

V\u00a0zmysle ISO 27005 je mo\u017en\u00e9 na o\u0161etrenie riz\u00edk pou\u017ei\u0165 protiopatrenia ktor\u00e9 je mo\u017en\u00e9 zaradi\u0165 do jednej z\u00a0mo\u017en\u00fdch kateg\u00f3ri\u00ed:<\/p>\n

 <\/p>\n

\"riziko\"<\/a><\/p>\n

 <\/p>\n

<\/a><\/a>Zn\u00ed\u017eenie rizika<\/h3>\n

Zn\u00ed\u017eenie rizika je met\u00f3da o\u0161etrenia rizika, pri ktorej je uplatnen\u00fd v\u00fdber vhodn\u00fdch opatren\u00ed tak, aby riziko bolo zn\u00ed\u017een\u00e9 a\u017e na \u00farove\u0148 zostatkov\u00e9ho rizika, ktor\u00e9 m\u00f4\u017ee by\u0165 n\u00e1sledne prehodnoten\u00e9 ako akceptovate\u013en\u00e9.<\/p>\n

Vhodn\u00e9 a opodstatnen\u00e9 opatrenia by mali by\u0165 vybran\u00e9 tak, aby sp\u013a\u0148ali po\u017eiadavky stanoven\u00e9 ohodnoten\u00edm rizika. V\u00fdber opatren\u00ed by mal bra\u0165 do \u00favahy krit\u00e9ria akcept\u00e1cie rizika ako napr. pr\u00e1vne, regula\u010dn\u00e9 a zmluvn\u00e9 po\u017eiadavky. Taktie\u017e by mal vzia\u0165 do \u00favahy primeranos\u0165 n\u00e1kladov a \u010dasov\u00fd r\u00e1mec na implement\u00e1ciu opatren\u00ed ale aj technick\u00e9 a kult\u00farne aspekty. Okrem toho, d\u00f4le\u017eit\u00e1 je ot\u00e1zka n\u00e1vratnosti invest\u00edcie s\u00favisiacej so zn\u00ed\u017een\u00edm rizika a potenci\u00e1l na vyu\u017e\u00edvanie nov\u00fdch obchodn\u00fdch pr\u00edle\u017eitost\u00ed z\u00edskan\u00fd implement\u00e1ciou opatren\u00ed.<\/p>\n

<\/a><\/a>Presun rizika<\/h3>\n

Presun rizika je met\u00f3da o\u0161etrenia rizika, pri ktorej bude ur\u010dit\u00e1 \u010das\u0165 rizika zdie\u013ean\u00e1 s extern\u00fdmi subjektmi.<\/p>\n

Presun rizika sa m\u00f4\u017ee uskuto\u010dni\u0165 napr. poisten\u00edm, ktor\u00e9 zni\u017euje n\u00e1sledky, alebo v\u00fdberom zmluvn\u00e9ho partnera, ktor\u00e9ho \u00falohou bude monitorova\u0165 proces, alebo informa\u010dn\u00fd syst\u00e9m a prija\u0165 okam\u017eit\u00e9 opatrenia na zastavenie hrozby sk\u00f4r, ako vznikne \u0161koda.<\/p>\n

<\/a><\/a>Vyhnutie sa riziku<\/h3>\n

Vyhnutie sa riziku je met\u00f3da o\u0161etrenia rizika, pri ktorej bude riziko ob\u00edden\u00e9 nevykonan\u00edm pr\u00edslu\u0161n\u00fdch rizikov\u00fdch aktiv\u00edt, alebo uplatnen\u00edm \u0161pecifick\u00fdch podmienok na vykonanie aktivity.<\/p>\n

Ke\u010f je identifikovan\u00e9 riziko pova\u017eovan\u00e9 za pr\u00edli\u0161 vysok\u00e9, alebo n\u00e1klady na implement\u00e1ciu o\u0161etrenia rizika presahuj\u00fa pr\u00ednosy, rozhodnut\u00edm m\u00f4\u017ee by\u0165 aj \u00fapln\u00e9 vyhnutie sa riziku a to odobrat\u00edm pl\u00e1novanej alebo existuj\u00facej aktivity alebo s\u00faboru aktiv\u00edt, alebo zmenou podmienok pod\u013ea ktor\u00fdch je \u010dinnos\u0165 prev\u00e1dzkovan\u00e1.<\/p>\n

<\/a><\/a><\/a>Zachovanie rizika<\/h3>\n

Zachovanie rizika je met\u00f3da o\u0161etrenia rizika, pri ktorej nie s\u00fa uplatnen\u00e9 \u017eiadne opatrenia a\u00a0riziko zostane zachovan\u00e9 v\u00a0p\u00f4vodne ohodnotenej \u00farovni.<\/p>\n

Ak \u00farove\u0148 rizika sp\u013a\u0148a krit\u00e9ri\u00e1 na prijatie rizika, nie je potrebn\u00e9 implementova\u0165 opatrenia a riziko m\u00f4\u017ee zosta\u0165 zachovan\u00e9.<\/p>\n

<\/a><\/a><\/a><\/a>Zvy\u0161kov\u00e9 riziko<\/h2>\n

Zvy\u0161kov\u00e9 riziko je tak\u00e9 riziko, ktor\u00e9ho hodnota po komplexnom o\u0161etren\u00ed riz\u00edk implement\u00e1ciou p\u00f4vodn\u00fdch, dodato\u010dn\u00fdch a\u00a0vylep\u0161en\u00fdch opatren\u00ed na o\u0161etrenie rizika je tak\u00e1 n\u00edzka (t.j. nepresahuje referen\u010dn\u00fa \u00farove\u0148), \u017ee je pre podnik prijate\u013en\u00e9 a nie je nutn\u00e9 uplatni\u0165 \u010fal\u0161ie opatrenia na jeho zn\u00ed\u017eenie.<\/p>\n

Referen\u010dn\u00e1 \u00farove\u0148 je hranica miery rizika (stanoven\u00e1 hodnota rizika), ktor\u00e1 rozhoduje o tom, \u010di je riziko zvy\u0161kov\u00e9 (ve\u013ekos\u0165 rizika je men\u0161ia ne\u017e referen\u010dn\u00e1 \u00farove\u0148), alebo nie je zvy\u0161kov\u00e9 (ve\u013ekos\u0165 rizika je v\u00e4\u010d\u0161ia alebo rovn\u00e1 referen\u010dnej \u00farovni). T\u00fdm sa rozhodne, \u010di proti riziku je alebo nie je potrebn\u00e9 uplatni\u0165 \u010fal\u0161ie opatrenia pre jeho zn\u00ed\u017eenie. Referen\u010dn\u00e1 hodnota by mala by\u0165 na takej \u00farovni, aby dopad hrozby bol tak\u00fd n\u00edzky, \u017ee ju bude mo\u017en\u00e9 zanedba\u0165.<\/p>\n

Za predpokladu, \u017ee po\u010det implementovan\u00fdch protiopatren\u00ed postupne st\u00fapa, zvy\u0161kov\u00e9 rizik\u00e1 bud\u00fa z\u00a0v\u00fdchodiskov\u00fdch hodn\u00f4t postupne klesa\u0165, a\u017e sa zastavia na ur\u010ditej kone\u010dnej hodnote, ktor\u00e1 z\u00e1sadnej\u0161\u00edm sp\u00f4sobom neklesne ani po implement\u00e1cii \u010fal\u0161\u00edch protiopatren\u00ed. T\u00fato hodnotu rizika je mo\u017en\u00e9 ozna\u010di\u0165 za zvy\u0161kov\u00fa.<\/p>\n

\"protiopatrenia\"<\/a><\/p>\n

 <\/p>\n

V\u00a0praxi pravdepodobne \u017eiaden informa\u010dn\u00fd syst\u00e9m nie je bez riz\u00edk a\u00a0teda plat\u00ed, \u017ee\u00a0ani v\u0161etky implementovan\u00e9 opatrenia nezn\u00ed\u017eia riziko nato\u013eko, aby dosiahlo nulov\u00fa hodnotu.<\/p>\n

<\/a><\/a>Akcept\u00e1cia zvy\u0161kov\u00e9ho rizika<\/h3>\n

Krit\u00e9ri\u00e1 prijatia rizika \u010dasto z\u00e1visia na politike organiz\u00e1cie, cie\u013eoch a z\u00e1ujmoch zainteresovan\u00fdch str\u00e1n. V\u00a0ka\u017edom pr\u00edpade v\u0161ak rozhodnutie o\u00a0prijat\u00ed riz\u00edk by malo by\u0165 u\u010dinen\u00e9 a\u00a0form\u00e1lne zaznamenan\u00e9<\/strong>.<\/p>\n

Akcept\u00e1cia zvy\u0161kov\u00e9ho IT rizika je proces, v\u00a0ktorom vedenie podniku alebo veden\u00edm poveren\u00fd org\u00e1n (v bank\u00e1ch typicky Komisia pre riadenie opera\u010dn\u00e9ho rizika) form\u00e1lne vezme na vedomie eskalovan\u00e9 riziko.<\/p>\n

Krit\u00e9ri\u00e1 pre prijatie rizika by mali by\u0165 vopred vyvinut\u00e9 a \u0161pecifikovan\u00e9. Tieto nie je mo\u017en\u00e9 stanovi\u0165 v\u0161eobecne, preto ka\u017ed\u00e1 organiz\u00e1cia mus\u00ed definova\u0165 svoju vlastn\u00fa stupnicu pre \u00farovne prijatia rizika. Krit\u00e9ri\u00e1 pre prijatie rizika m\u00f4\u017eu samozrejme obsahova\u0165 aj nieko\u013eko r\u00f4znych prahov s\u00a0po\u017eadovanou cie\u013eovou \u00farov\u0148ou rizika.<\/p>\n

N\u00e1vrhy mo\u017en\u00fdch pr\u00edstupov (resp. hodnotiacich krit\u00e9ri\u00ed) pre prijatie zvy\u0161kov\u00e9ho rizika:<\/p>\n