Víte jakým hrozbám je vaše organizace vystavena a jaké jsou dopady?

Víte jakým hrozbám je vaše organizace vystavena a jaké jsou dopady?

18. 08. 2020
Nestačí se spoléhat jen na vlastní intuici, řídit se metodou pokus-omyl či vyvozovat závěry podle hrubých odhadů. Následné odstraňování škod může vyjít několikanásobně dráž. Řízení rizik je proces používaný k vyloučení, snížení nebo kontrole rizik celé organizace či konkrétního projektu.

Cíle řízení rizik

Proces řízení rizik je nedílnou součástí systému řízení bezpečnosti informací. Základním cílem řízení rizik je snížení rizika na přijatelnou úroveň. Přijatelná úroveň je pak taková míra rizika, při níž lze dané riziko v souvislosti se závažností případných ztrát přijmout. Můžeme také říct, že účelem tohoto procesu je předejít neočekávaným událostem (např. kybernetický útok) s negativním efektem a zamezit vzniku incidentů.

Výstupy tohoto procesu pomáhají i v rámci plánování investic, protože seznam identifikovaných a ohodnocených rizik pomáhá vedení při stanovování priorit jednotlivých investičních projektů s cílem zvýšení bezpečnosti dat. Organizace se tak může zaměřit nejdříve na aktiva, která jsou nejvíce ohrožena.

Požadavky normy a vyhlášky

Požadavky na oblast řízení rizik mají také dva nejdůležitější dokumenty z oblasti bezpečnosti informací. Prvním je mezinárodní norma ČSN ISO/IEC 27001:2014 (dále jen „Norma“) a druhým je zákon č. 181/2014 Sb. o kybernetické bezpečnosti, zejména v podobě požadavků vyhlášky č. 82/2018 Sb. (dále jen „Vyhláška“).

 

Norma popisuje požadavky na proces řízení rizik v kapitolách 6.1.2 a 6.1.3 takto:

·         Musí být stanovena kritéria akceptace rizik a kritéria pro provádění posouzení rizik.

·         Musí být zajištěno, že výsledky hodnocení rizik jsou konzistentní, opodstatněné a porovnatelné.

·         Dochází k identifikaci rizik na základě ztráty důvěrnosti, integrity a dostupnosti. Každé riziko má přiřazeného vlastníka.

·         Dochází k analýze rizik. Posuzují se dopady i pravděpodobnost výskytu rizika a na jejich základě je určena úroveň rizika.

·         Dochází k ošetření rizik na základě dříve definovaných kritérií.

·         Je vytvořeno tzv. Prohlášení o aplikovatelnosti a Plán ošetření rizik.

·         O celém procesu jsou vedeny a uchovávány dokumentované informace.

 

V §5 Vyhlášky jsou stanoveny následující požadavky na řízení rizik:

·         Stanovit metodiku a kritéria pro akceptaci.

·         Identifikovat hrozby a zranitelnosti.

·         Provádět hodnocení rizik a zpracovat Zprávu o hodnocení rizik.

·         Zpracovat Prohlášení o aplikovatelnosti a Plán zvládání rizik.

·         Na základě Plánu zavádět bezpečnostní opatření.

·         Provádět hodnocení rizik alespoň jednou ročně v případě kritické infrastruktury a systémů základní služby.

·         Provádět hodnocení rizik alespoň jednou za tři roky v případě významných informačních systémů.

 

Nechte nám na sebe kontakt a společně najdeme ideální řešení pro vaši bezpečnost

Jaromír Žák
Jaromír Žák
Ředitel
Jaromír se podílí na rozvoji a strategii našeho businessu a zodpovídá za kvalitu veškerých služeb.
Rychlý kontakt
Náš konzultant se vám ozve do 24 hodin od poptávky.
Individuální přístup
Poradíme vám s vaším problémem a najdeme pro vás ideální řešení na míru.
Náskok před konkurencí
Kromě toho, co vás zajímá, si vždy odnesete i něco navíc, abyste byli neustále krok před konkurencí.
NEXT GENERATION SECURITY SOLUTIONS s.r.o.
U Uranie 18, 170 00 Praha 7

IČ: 06291031
DIČ: CZ06291031

NGSS má zaveden systém řízení bezpečnosti informací dle normy ČSN ISO/IEC 27001:2014. Politika systému řízení bezpečnosti informací (ISMS) NGSS zde.
Etický kodex
Nevíte si rady?
Ozvěte se nám.