Definice rizika, materialita informace

Definice rizika, materialita informace. Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze © Zdeněk Blažek, 2011

Řízení rizik v informatice LS 2010/11, Předn. 1 https://edux.fit.cvut.cz/RRI

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM.

Definice rizika, materialita informace.

Přednáška 1/13, 2011

Řízení rizik v informatice 1/13 Temata přednášek 1. Definice rizika, materialita informace 2. Hrozby v informatice 3. Metody přístupu k řízení rizik 4. Kategorie a katalog hrozeb 5. Životní cyklus rizik - identifikace 6. Životní cyklus rizik - Identifikace hrozeb v organizaci 7. Životní cyklus rizik – Vyhodnocení, eliminace 8. Životní cyklus rizik – omezení, kontrola a registr rizik. 9. Organizace a řízení rizik, bezpečnosti (RACI…) 10. Návratnost investic procesu řízení rizik v informatice – ROI 11. Business Continuity Management – udržení činnosti organizace i v podmínkách katastrofy apod. 12. Archivace, legislativní dopady na práci informatika I 13. Archivace, legislativní dopady na práci informatika II

Řízení rizik v informatice 1/13

Kontaktní údaje: Ing. Zdeněk Blažek, CSc. CISM COMMERZBANK AG Jugoslávská 934/1 Praha 2 [email protected] [email protected] GSM: 603 200 858

Řízení rizik v informatice 1/13 – – – – – – – – – – – – – –

Hrozba Zranitelnost Dopad Pravděpodobnost Vyhodnocení rizika Řízení rizika Riziko/Informační riziko Odpověď na riziko Vlastník rizika Tolerance vůči riziku Výbor pro řízení rizik Mapa rizik Zbytkové riziko Registr rizik

Řízení rizik v informatice 1/13 •

Možné studijní materiály (Kurzivou jsou zvyrazneny materialy nakladne a verejne nepristupne) ČSN BS 25999-1:2006 (vydáno únor 2009) BS 25999-2:2007 USA - Published by the National Fire Protection Association NFPA 1600: Standard on Disaster/Emergency Management and Business Continuity Programs. International Organization for Standardization (ISO) ISO/PAS 22399:2007 Guideline for incident preparedness and operational continuity management Standards Australia HB 292-2006 : A practitioners guide to business continuity management HB 293-2006 : Executive guide to business continuity management After 5 years of development, the Risk Management Standard, AS/NZS 4360:2004 has been superseded by AS/NZS ISO 31000:2009, Risk management - Principles and guidelines. ISACA COBIT 4.1 ISO/IEC 27001: Správa bezpečnosti informací (ISO/IEC 17799 je odpovídajícím souborem postupů) ISF 2010 methodology – Pozor: veřejně nepřístupné – ITIL • ISO/IEC 20000–1:2005 část 1: Specifikace Definuje požadavky na Správu služeb • ISO/IEC 20000–2:2005 část 2: Soubor postupů Poskytuje návody a doporučení, jak dosáhnout požadavků z části 1 • ISO/IEC 20000–3:2007 část 3: Stanovení rozsahu a aplikovatelnost (zatím není k dispozici) • ISO/IEC 20000–4:2007 část 4: Referenční model procesu Správa služeb (zatím není k dispozici) • BIP 0005 : A Manager`s Guide to Service Management • BIP 0015 IT Service Management: Manuál pro ocenění sama sebe (v současnosti se oceňuje vůči ITIL® V2, má být revidováno prostřednictvím doplňkových publikací ITIL® V3).


Příklady - Důsledek zanedbání

Přesné příčiny neštěstí nejsou jasné, v regionu (B. Reichenthal, At) však napadlo značné množství sněhu. Policie se proto domnívá, že střecha nemusela jeho nápor vydržet. Zřícená bruslařská hala byla postavena v 70. letech, všechny čtyři její strany byly prosklené.


Příklad

Výstavní hala v Katowicích Po kolaudaci


Příčiny neštěstí

Po neštěstí •Se střechou katovické haly byly problémy od okamžiku její stavby. •Do stavby zatékalo ihned po uvedení do provozu. Izolace, protikorozní ochrana, zanedbání bezpečnosti. •Vše nasvědčuje tomu, že střecha se zřítila pod tíhou neodklizeného sněhu a ledu.


Příklad – zanedbání následků projektu Který ze dvou obrázků představuje bezpečnější řešení? Jaké zde vidíte riziko a proč? přehrada

přehrada

skály

skály

El. průtok

El. průtok proud jezero

jezero

proud

přepad

přepad

skály

skály


Druhy rizik Hrozby/Rizika obchodní Hrozby/Rizika technicko-technologická Hrozby/Rizika z vyšší moci (Force majeure) Hrozby/Rizika personální Hrozby/Rizika bezpečnostní – fyzická bezpečnost informační bezpečnost personální bezpečnost Hrozby/Rizika finanční Hrozby/Rizika legislativní


Ohodnocení firem Úroveň Problémy společnosti 5 Společnosti se silnými a prosazovanými procesy řízení. Akceptují nejlepší praktiky v dané oblasti. 4 Společnosti s dobrými řídícími procesy, nicméně stále potřebují vylepšit dialog mezi vedením a týmem, starajícím se o rizika. Potřeba silnějšího důrazu vedení firmy na danou problematiku. 3 Vedení společnosti si je vědomo rizika chce být o nich informováno. Ve společnosti je potřeba prosadit chápání toho, co rizika znamenají a co je třeba vedení sdělovat. 2 Společnost si je vědoma rizik, ale nemá jasno v jejich ohodnocení a ve způsobu hlášení svému vedení. Je potřeba vnějšího zásahu pro zavedení příslušných procesů. 1 Společnost potřebuje odborné vedení a objasnění způsobu, jak zavést rizikové řízení. Je potřeba zavést celkovou firemní integritu do řízení společnosti. 0 Společnost potřebuje pomoc, aby vůbec započala s identifikací a vyhodnocováním rizik. Není zájem ze strany vedení – chybí jakýkoliv tlak na zavedení řízení rizik. Poznámka: Body 4 a 5 představují spíše teoretickou možnost


Ohodnocení firem Atributy 5

Optimalizováno

4

Řízeno

Zralost

3

2

1

0

Definováno

Opakovatelné

Počteční st.

Neexistuje

(Kvalitativní/kvantitativní) Existují politiky, standardy, postupy-formalizováno

(Intuitivní) Procesy jsou stanoveny a jsou opakovatelné; omezeno spoléhání na klíčové jedince

(Ad Hoc/Chaotické) Závislost na iniciativě jedinců; nedostatek kapacit

Způsob dosažení

•Proces řízení informačního rizika je standardizován v celé organizaci •Vedení organizace si je vědomo existence rizik a podporuje jejich řízení •Procedury jsou definovány •Existuje a je udržována databáze materiálu

•Dosažitelná pozice hyp. firmy

•Kvalitní personál existuje •V některých oblastech jsou

definovány procesy a úkoly •Povědomí o riziku je roztříštěno •Není jasné že informační riziko je

důležité •Nejasné úkoly •Spoléhání se na klíčové lidi •Nejsou jasné odpovědnosti •Nejsou formální procesy

•Současná pozice hyp. firmy


Riziko Riziko definujeme jako pravděpodobnost, že dojde k narušení činnosti organizace – dopad události

Pravděpodobnost

Dopad

Riziko


Řízení rizika Majetek Vyhodnocení. Co vlastně chcete chránit?

Hrozba Vnitřní/vnější Příčina?

Zranitelnost. Jak je majetek vystaven nebezpečí?

Dopad Způsobí omezení nebo likvidaci činnosti organizace.

Odstranění nebezpečí Co pomůže ohrožení zmírnit?

Pravděpodobnost Možnost, že dojde k nebezpečné události

Riziko

riziko = dopad x pravděpodobnost


Řízení rizika Jeden z největších problémů každé firmy.

Majetek Vyhodnocení. Co vlastně chcete chránit?






Riziko



Řízení rizika Úkol: jaké jsou vlastně možné hrozby? Majetek Vyhodnocení. Co vlastně chcete chránit?






Riziko



Řízení rizika Úkol: jsme zranitelní hrozbami, které přicházejí v úvahu?

Majetek Vyhodnocení. Co vlastně chcete chránit?






Riziko



Řízení rizika Úkol: jak snížit zranitelnost? Majetek Vyhodnocení. Co vlastně chcete chránit?






Riziko



Informace jako materialita

Informace je materialitou tehdy, jestliže její opomenutí, ztráta nebo změna mají vliv na ekonomické rozhodování uživatelů, které je založeno právě na finančních úvahách. Materialita závisí jednak na velikosti položky nebo na vyhodnocení problémů, které může opomenutí, ztráta/krádež nebo změna způsobit.

Materialita tak poskytuje prahovou hodnotu.


• Dotazy

Řízení rizik v informatice 1/13 – Dodatek I TERM

DEFINITION

Activity

Process or set of processes undertaken by an organization that produces or supports one or more products or services

Business Continuity

Strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable pre-defined level. Management process that identifies potential threats to an organization and the impacts to business operations that those threats, if realized, might cause, and which provides framework for building organizational resilience with the capability for an effective response that safeguards the interests of its key stakeholders, reputation, brand and value creating activities. Documented collection of procedures and information that is developed, compiled and maintained in readiness for use in an incident to enable an organization to continue to deliver its critical activities at an acceptable predefined level. Process of analysing business functions and the effect that a business disruption might have upon them. Event or situation which threatens serious damage to human welfare Outcome of an incident that will have an impact on an organization objectives. Those activities which have to be performed in order to deliverthe key products and services which enable the organization to meet its most important and time sensitive objectives. A disaster is any event that prevents the bank to perform operational business for an extended period of time, therefore causing serious financial and operational risk. It does not have a foreseeable end. Event, whether anticipated (e.g. labour strike or hurricane) or unanticipated (e.g. a blackout or earthquake), which causes an unplanned, negative deviation from the expected delivery of products or services according to the organization objectives. Activity in which business continuity plan is rehersead in part or in whole gto ensure that the plan obtains the appropriate information and produces the desired results when put into effect. Positive consequence Evaluated consequence of a particular outcome Situation that might be, or could lead to, a business disruption, loss, emergency or crisis. Act of declaring that an organization business continuity plan needs to be put in effect in order to continue delivery of key products or services

Business Continuity Management (BCM) Business continuity plan Business Impact Analysis (BIA) Civil Emergency Consequence Critical activities

Disaster

Disruption

Exercise/test

Gain Impact Incident Invocation Likelihood

Loss

Chance of something happening whether definwed , measured or estimated objectively or subjectively, or in terms of general dwescriptors (such as rare, unlikely, likely, almost certain), frequencies or mathematical probabilities. Negative consequence

Řízení rizik v informatice 1/13 – Dodatek II

TERM

DEFINITION

Maximum tolerable period of disruption Products and services

Duration after it the organization viability will be irrevocably threatened if product and service delivery cannopt be resumed

Recovery time objectives

Resilience Risk Risk appetite Risk assessment Risk management

Stakeholders Top management

Benficial outcomes provided by an organization to its customers, recipients or stakeholders, e.g. manufactured items, car insurance, regulatory compliance and community nursing… Target time set for: - resumption of product or service delivery after an incident - eresumption of performance of an activity after an incident - recovery of an IT system or application after an incident Ability of an organization to resist being affected by an incident Something that might happen and its effect on the achievments of objectives. Risk = Impact x Likelihood Total amount of risk that an organization is prepared to accept, tolerate or be exposed to at any point of time. Overall process of risk identification, analysis and evaluation Structured development and application of management culture, policy, procedures and practices to the tasks of identifying, analysing, evaluating and controlling responding to risk. Those with vested interset in an organization achievment Person or group of people who direct and control an organization at the highest level (BS EN ISO 9000:2005)

Definice rizika, materialita informace

Recommend Documents