§ 8 Řízení rizik

Zjistěte, jak efektivně řídit rizika nebo proč se vytváří plán zvládání rizik a prohlášení o aplikovatelnosti.


Řízení rizik je zásadní proces v rámci organizací stanoveného ISMS. V praxi znamená systematické uplatňování stanovených politik, postupů a činností s cílem rizika určit, analyzovat, hodnotit, ošetřovat a zároveň pravidelně sledovat a přezkoumávat. Součástí je i zajištění efektivní komunikace napříč organizací. Podle vyhlášky zahrnuje řízení rizik zejména hodnocení rizik, zavádění vhodných bezpečnostních opatření ke zvládání těchto rizik a zajištění odpovídající komunikace rizik směrem k vrcholnému vedení.

Metodika pro hodnocení rizik

V rámci řízení rizik je nutné stanovit metodiku pro určování a hodnocení rizik, a to včetně kritérií pro akceptovatelnost rizik. Stejně jako u metodiky pro hodnocení aktiv je nezbytné, aby metodika byla přizpůsobená potřebám organizace a klíčové bezpečnostní role (manažer kybernetické bezpečnosti a garanti aktiv) byly schopné s touto metodikou pracovat. Proces hodnocení rizik by měl být formalizovaný, prokazatelný, přezkoumatelný a opakovaně proveditelný bez závislosti na konkrétní osobě.


Kritéria pro akceptovatelnost rizik

V rámci kritérií pro akceptovatelnost rizik by měla být rozlišena rizika, která jsou akceptovatelná a taková, která akceptovatelná nejsou a je třeba je dále snižovat. Akceptovatelným rizikem se rozumí riziko, které je přijatelné a není nutné jej zvládat pomocí dalších bezpečnostních opatření.

  • Akceptovatelné riziko může být např. z důvodu nízké pravděpodobnosti, nízkých možných následků nebo malého vlivu na míru bezpečí, případně z důvodu nepřiměřených nákladů viz Graf přiměřené bezpečnosti za akceptovatelné náklady níže v obsahu.
  • V organizaci musí být jasně definováno, za jakých podmínek je možné rizika akceptovat.


Přiměřená bezpečnost

Jako přiměřená bezpečnost se označuje stav, kdy velikost úsilí a investic do bezpečnosti odpovídá hodnotě aktiv a míře možných rizik – viz graf:

Graf

Graf přiměřené bezpečnosti za akceptovatelné náklady.
Zdroj: Sedlák, P. Problematika ISMS v manažerské informatice

Zranitelnosti

Zranitelnost je slabé místo (nedostatek) aktiva nebo slabé místo (nedostatek) bezpečnostního opatření, které může využít jedna či více hrozeb.V rámci ISMS je zranitelnost často vnímána jako vlastnost aktiva. Je však potřeba uvažovat i další zranitelnosti relevantní pro daná aktiva a kontext organizace. Je potřeba myslet na to, že zranitelnost může mít nejen aktivum, které je předmětem primární ochrany (tj. na které je zaváděno bezpečnostní opatření), ale také ono bezpečnostní opatření, kterým se původní zranitelnost snažíme vyřešit.

Příklady zranitelností (dle přílohy č. 3 vyhlášky):
  • nedostatečná údržba aktiv,
  • zastaralost aktiv,
  • nedostatečná ochrana perimetru,
  • nedostatečné bezpečnostní povědomí uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení,
  • nedostatečné zálohování,
  • nevhodné nastavení přístupových oprávnění.

Hrozby

Hrozba využívá zranitelnosti aktiva a může způsobit jeho poškození nebo narušení. Hrozbou mohou být např. živelní pohromy, havárie, společenské jevy, ekonomické jevy nebo také chování jednotlivců. Je vždy nezbytné uvažovat i další hrozby relevantní pro daná aktiva a kontext organizace.

Příklady hrozeb (dle přílohy č. 3 vyhlášky):
  • porušení bezpečnostní politiky, provedení neoprávněných činností, zneužití oprávnění ze strany uživatelů, administrátorů, osob zastávajících bezpečnostní role, dodavatelů a vrcholného vedení,
  • poškození nebo selhání technického anebo programového vybavení,
  • zneužití identity,
  • užívání programového vybavení v rozporu s licenčními podmínkami,
  • škodlivý kód,
  • narušení fyzické bezpečnosti.

Metoda výpočtu hodnot rizika

Nezbytnou součástí hodnocení rizik je jednoznačné stanovení funkce pro výpočet rizika. Výše rizika je nejčastěji určena vztahem mezi závažností dopadu, která reflektuje hodnotu a důležitost aktiva, mírou hrozby a úrovní zranitelnosti.

Může být použita např. tato funkce: 

Riziko = dopadová hodnota aktiva × hrozba × zranitelnost

Hodnocení rizik

Při hodnocení rizik je nutné hodnotit rizika alespoň v rozsahu tabulek přiložených níže, zohlednit relevantní hrozby a zranitelnosti a posoudit možné dopady na aktiva. Hodnocení rizik lze zajistit i jinými způsoby, než jak je uvedeno zde, nicméně musí být zabezpečeno, že použitá metodika hodnocení rizik zajistí stejnou nebo vyšší úroveň procesu hodnocení rizik. Výsledky provedeného hodnocení rizik musí být obsahem zprávy o hodnocení rizik.

Organizace musí dle vyhlášky provádět hodnocení rizik v pravidelných intervalech alespoň jednou ročně a při významných změnách.

Stupnice pro hodnocení hrozeb

j

Stupnice pro hodnocení hrozeb. Zdroj: příloha č. 4 vyhlášky

Stupnice pro hodnocení zranitelností

k

Stupnice pro hodnocení zranitelností. Zdroj: příloha č. 4 vyhlášky

Stupnice pro hodnocení rizik

k

Stupnice pro hodnocení rizik. Zdroj: příloha č. 4 vyhlášky

Ukázka analýzy rizik

k

Ukázka analýzy rizik. Zdroj: vlastní tvorba

Plán zvládání rizik

Navazujícím dokumentem na hodnocení rizik je plán zvládání rizik (angl. Risk Treatment Plan). Jedná se o dokument obsahující cíle a přínosy bezpečnostních opatření pro zvládání jednotlivých rizik přesahujících akceptovatelnou úroveň, určení osoby zajišťující prosazování bezpečnostních opatření pro zvládání rizik, potřebné finanční, technické, lidské a informační zdroje, termín jejich zavedení, popis vazeb mezi riziky a příslušnými bezpečnostními opatřeními a způsob realizace bezpečnostních opatření. V souladu s tímto plánem zvládání rizik jsou zaváděna bezpečnostní opatření.

Dokumenty vycházející z hodnocení rizik včetně samotného hodnocení rizik je nutné pravidelně aktualizovat a musí zohledňovat nejen významné změny, ale např. i změny v rozsahu řízení KB, protiopatření podle § 20 zákona a kybernetické bezpečnostní incidenty, včetně dříve řešených a další.

Ukázka plánu zvládání rizik

k

Ukázka plánu zvládání rizik. Zdroj: vlastní tvorba

Prohlášení o aplikovatelnosti

V návaznosti na výsledky hodnocení rizik a s ohledem na bezpečnostní potřeby organizace je třeba zpracovat prohlášení o aplikovatelnosti (angl. Statement of Applicability). Jedná se o dokument, jehož obsahem je přehled bezpečnostních opatření podle Vyhlášky, přičemž jsou zde uvedena bezpečnostní opatření, která byla aplikována, včetně způsobu jejich plnění, a dále bezpečnostní opatření, která aplikována nebyla, včetně zdůvodnění, proč k jejich aplikaci nedošlo.

Ukázka prohlášení o aplikovatelnosti

k

Ukázka prohlášení o aplikovatelnosti. Zdroj: vlastní tvorba