Problémy řízení rizik informační bezpečnosti. Řízení rizik informační bezpečnosti

Na tento moment rizika informační bezpečnost představují velkou hrozbu pro normální provoz mnoha podniků a institucí. V našem věku informační technologie získat jakákoli data není prakticky obtížné. Na jednu stranu to samozřejmě přináší mnoho pozitivních aspektů, ale pro tvář a značku mnoha firem se to stává problémem.

Ochrana informací v podnicích se nyní stává téměř prioritou. Odborníci se domnívají, že tohoto cíle lze dosáhnout pouze vyvinutím určitého vědomého sledu akcí. V tomto případě je možné se řídit pouze spolehlivými fakty a používat pokročilé analytické metody. Jistým přínosem je rozvoj intuice a zkušeností specialisty odpovědného za tuto jednotku v podniku.

Tento materiál bude vyprávět o řízení rizik informační bezpečnosti ekonomického subjektu.

Jaké typy možných hrozeb existují v informačním prostředí?

Existuje mnoho druhů hrozeb. Analýza rizik zabezpečení podnikových informací začíná zvážením všech možných potenciálních hrozeb. To je nezbytné pro stanovení metod ověřování v případě těchto nepředvídaných situací a také pro vytvoření vhodného ochranného systému. Rizika informační bezpečnosti jsou rozdělena do určitých kategorií v závislosti na různých klasifikačních prvcích. Jsou následujících typů:

• fyzické zdroje;
• nevhodné používání počítačové sítě a World Wide Web;
• únik z uzavřených zdrojů;
• úniky technickými prostředky;
• neoprávněné vniknutí;
• útok na informační aktiva;
• porušení integrity modifikace dat;
• mimořádné události;
• porušení zákona.

Co zahrnuje pojem „fyzické hrozby pro informační bezpečnost“?

Typy rizik informační bezpečnosti jsou stanoveny v závislosti na zdrojích jejich výskytu, způsobu realizace nelegálního vniknutí a účelu. Technicky nejjednodušší, ale přesto vyžadující profesionální provedení, jsou fyzické hrozby. Představují neoprávněný přístup k uzavřeným zdrojům. To znamená, že tento proces je ve skutečnosti obyčejná krádež. Informace je možné získat osobně, vlastníma rukama, pouhým vpádem na území instituce, do kanceláří, archivů a získat tak přístup k technickému vybavení, dokumentaci a dalším nosičům informací.

Krádež nemusí spočívat ani v samotných datech, ale v místě jejich uložení, tedy přímo počítačové vybavení. Aby útočníci narušili běžnou činnost organizace, mohou jednoduše způsobit poruchu provozu paměťových médií nebo technického zařízení.

Účelem fyzického narušení může být také získání přístupu do systému, na kterém závisí ochrana informací. Útočník může změnit nastavení sítě odpovědné za informační bezpečnost, aby dále usnadnil zavádění nelegálních metod.

Možnost fyzického ohrožení mohou poskytnout i členové různých skupin, kteří mají přístup k utajovaným informacím, které nejsou veřejné. Jejich cílem je cenná dokumentace. Takové osoby se nazývají insideři.

Činnost vnějších zlodějů může být zaměřena na stejný objekt.

Jak mohou ohrožovat sami zaměstnanci podniku?

Rizika informační bezpečnosti často vznikají v důsledku nevhodného používání internetu a interního počítačového systému zaměstnanci. Malefactory dokonale hrají na nezkušenost, nepozornost a neznalost některých lidí ohledně informační bezpečnosti. S cílem eliminovat tuto možnost krádeže důvěrných dat má vedení mnoha organizací mezi svými zaměstnanci zvláštní politiku. Jeho účelem je vzdělávat lidi, jak se chovat a používat sítě. Jedná se o poměrně běžnou praxi, protože hrozby, které tímto způsobem vznikají, jsou zcela běžné. Programy pro získání dovedností v oblasti informační bezpečnosti zaměstnanci podniku zahrnují následující body:

• překonání neefektivního používání nástrojů auditu;
• snížení míry vykořisťování lidmi speciální prostředky pro zpracování dat;
• snížení využívání zdrojů a aktiv;
• zvyklí získávat přístup k síťovým zařízením pouze zavedenými metodami;
• přidělení zón vlivu a určení území odpovědnosti.

Když každý zaměstnanec pochopí, že osud instituce závisí na odpovědném plnění úkolů, které mu byly přiděleny, snaží se dodržovat všechna pravidla. Před lidmi je nutné stanovit konkrétní úkoly a zdůvodnit dosažené výsledky.

Jak jsou porušovány podmínky ochrany osobních údajů?

Rizika a ohrožení informační bezpečnosti jsou do značné míry spojena s nelegálním získáváním informací, které by neměly být dostupné outsidery. První a nejběžnější kanály úniku jsou všechny možné způsoby spojení a komunikace. V době, kdy by se zdálo, že osobní korespondence je dostupná pouze dvěma stranám, je odposlouchávána zájemci. I když rozumní lidé chápou, že je nutné něco extrémně důležitého a tajného přenést jinými způsoby.

Vzhledem k tomu, že mnoho informací je nyní uloženo na přenosných médiích, útočníci aktivně ovládají a zachycují informace prostřednictvím tento druh technika. Poslouchání komunikačních kanálů je velmi populární, teprve nyní je veškeré úsilí technických géniů zaměřeno na prolomení ochranných bariér smartphonů.

Zaměstnanci organizace mohou neúmyslně prozradit důvěrné informace. Nemusí přímo prozradit všechny „vzhledy a hesla“, ale pouze navést útočníka na správnou cestu. Lidé, aniž by o tom věděli, například hlásí informace o umístění důležité dokumentace.

Pouze podřízení nejsou vždy zranitelní. Dodavatelé mohou také poskytnout důvěrné informace v průběhu partnerství.

Jak je informační bezpečnost narušena technickými prostředky ovlivňování?

Zajištění bezpečnosti informací je z velké části způsobeno používáním spolehlivých technické prostředky ochrana. Pokud je podpůrný systém účinný a efektivní, alespoň v samotném vybavení, pak je to již polovina úspěchu.

Únik informací je tedy v zásadě zajišťován řízením různých signálů. Mezi takové metody patří vytváření specializovaných zdrojů rádiového vyzařování nebo signálů. Ten může být elektrický, akustický nebo vibrační.

Poměrně často se používají optická zařízení, která umožňují čtení informací z displejů a monitorů.

Různorodost zařízení určuje širokou škálu metod pro zavádění a extrahování informací ze strany narušitelů. Kromě výše uvedených metod existují ještě televizní, fotografická a vizuální inteligence.

Vzhledem k tak širokým možnostem zahrnuje audit informační bezpečnosti především kontrolu a analýzu fungování technických prostředků pro ochranu důvěrných dat.

Co je považováno za neoprávněný přístup k informacím společnosti?

Řízení rizik informační bezpečnosti je nemožné bez prevence hrozeb neoprávněného přístupu.

Jedním z nejvýraznějších představitelů této metody hackování cizího bezpečnostního systému je přidělení uživatelského ID. Tato metoda se nazývá "Maškaráda". Neoprávněný přístup v tomto případě spočívá v použití autentizačních údajů. To znamená, že cílem narušitele je získat heslo nebo jakýkoli jiný identifikátor.

Zločinci mohou ovlivnit zevnitř objektu nebo zvenčí. Potřebné informace mohou získat ze zdrojů, jako je protokol auditu nebo nástroje auditu.

Útočník se často pokouší aplikovat politiku vkládání a používat zdánlivě legální metody.

Neoprávněný přístup se týká následujících zdrojů informací:

• webové stránky a externí hostitelé;
• podniková bezdrátová síť;
• zálohování dat.

Způsobů a metod neoprávněného přístupu je nespočet. Útočníci hledají chybné výpočty a mezery v konfiguraci a architektuře softwaru. Data získávají úpravou softwaru. Aby neutralizovali a uklidnili ostražitost, narušitelé spouštějí malware a logické bomby.

Jaké jsou právní hrozby pro informační bezpečnost společnosti?

Řízení rizik informační bezpečnosti funguje v různých oblastech, protože jeho hlavním cílem je poskytovat komplexní a holistickou ochranu podniku před průniky třetích stran.

Neméně důležitý než technický směr je i ten právní. Ukazuje se tedy, že to, co by, zdá se, mělo naopak hájit zájmy, získává velmi užitečné informace.

Porušení právní stránky se může týkat vlastnických práv, autorských práv a patentových práv. Do této kategorie patří i nelegální používání softwaru, včetně importu a exportu. Porušení právních předpisů lze provést pouze nedodržením podmínek smlouvy resp legislativní rámec obvykle.

Jak nastavit cíle informační bezpečnosti?

Zajištění bezpečnosti informací začíná zřízením oblasti ochrany. Je potřeba jasně definovat, co je potřeba chránit a před kým. K tomu je určen portrét potenciálního zločince a také možné způsoby hackování a infiltrace. Aby bylo možné stanovit cíle, je prvním krokem mluvit s vedením. Navrhne prioritní oblasti ochrany.

Od tohoto okamžiku začíná audit bezpečnosti informací. Umožňuje určit, v jakém poměru je nutné aplikovat technologické metody a obchodní metody. Výsledkem tohoto procesu je konečný seznam činností, který konsoliduje cíle, kterým jednotka čelí, aby byla zajištěna ochrana před neoprávněným vniknutím. Auditní postup je zaměřen na identifikaci kritických momentů a slabých míst systému, které narušují běžný chod a rozvoj podniku.

Po stanovení cílů je také vypracován mechanismus pro jejich realizaci. Formují se nástroje pro kontrolu a minimalizaci rizik.

Jakou roli hrají aktiva v analýze rizik?

Rizika informační bezpečnosti organizace přímo ovlivňují aktiva podniku. Cílem útočníků je totiž získat cenné informace. Jeho ztráta nebo prozrazení nevyhnutelně povede ke ztrátám. Škoda způsobená neoprávněným vniknutím může mít přímý nebo pouze nepřímý dopad. To znamená, že nezákonné akce proti organizaci mohou vést k úplné ztrátě kontroly nad podnikem.

Výše škody se odhaduje podle majetku, kterým organizace disponuje. Dotčené zdroje jsou všechny zdroje, které jakýmkoli způsobem přispívají k dosažení cílů managementu. Pod aktivy podniku se rozumí veškeré hmotné i nehmotné hodnoty, které přinášejí a pomáhají vytvářet příjmy.

Aktiva jsou několika typů:

• materiál;
• člověk;
• informační;
• finanční;
• procesy;
• značka a prestiž.

Poslední typ aktiv trpí neoprávněným vniknutím nejvíce. To je způsobeno skutečností, že jakákoli skutečná rizika informační bezpečnosti ovlivňují image. Problémy v této oblasti automaticky snižují respekt a důvěru v takový podnik, protože nikdo nechce, aby se jeho důvěrné informace dostaly na veřejnost. Každá seberespektující organizace se stará o ochranu svých vlastních informačních zdrojů.

Jak moc a která aktiva utrpí, ovlivňují různé faktory. Dělí se na vnější a vnitřní. Jejich komplexní dopad se zpravidla týká současně několika skupin cenných zdrojů.

Celá činnost podniku je postavena na aktivech. Jsou přítomny v jakémkoli objemu v činnosti jakékoli instituce. Prostě pro někoho jsou některé skupiny důležitější a jiné méně. Podle toho, jaký typ majetku se útočníkům podařilo ovlivnit, závisí výsledek, tedy způsobená škoda.

Hodnocení rizik informační bezpečnosti vám umožňuje jasně identifikovat hlavní aktiva, a pokud byla ovlivněna, znamená to pro podnik nenapravitelné ztráty. Samotné vedení by mělo věnovat pozornost těmto skupinám cenných zdrojů, protože jejich bezpečnost je v zájmu vlastníků.

Prioritní oblast pro divizi informační bezpečnosti je obsazena pomocnými prostředky. Za jejich ochranu odpovídá zvláštní osoba. Rizika s nimi spojená nejsou kritická a ovlivňují pouze systém řízení.

Jaké jsou faktory informační bezpečnosti?

Výpočet rizik informační bezpečnosti zahrnuje konstrukci specializovaného modelu. Představuje uzly, které jsou vzájemně propojeny funkčními vazbami. Uzly jsou samým aktivem. Model využívá následující cenné zdroje:

• Lidé;
• strategie;
• technologie;
• procesy.

Žebra, která je svazují, jsou velmi rizikovými faktory. Pro identifikaci možných hrozeb je nejlepší kontaktovat přímo oddělení nebo specialistu, který se těmito aktivy zabývá. Předpokladem pro vznik problému může být jakýkoli potenciální rizikový faktor. Model zdůrazňuje hlavní hrozby, které mohou nastat.

U týmu je problém v nízké úrovni vzdělání, nedostatku personálu, nedostatku momentu motivace.

Mezi rizika procesů patří variabilita vnějšího prostředí, špatná automatizace výroby a nejasné oddělení povinností.

Technologie mohou trpět zastaralým softwarem, nedostatkem kontroly nad uživateli. Příčinou mohou být také problémy s heterogenním prostředím informačních technologií.

Výhodou tohoto modelu je, že prahové hodnoty rizik informační bezpečnosti nejsou jasně stanoveny, protože problém je posuzován z různých úhlů.

Co je audit bezpečnosti informací?

Důležitým postupem v oblasti informační bezpečnosti podniku je audit. Jedná se o kontrolu aktuálního stavu systému ochrany proti vniknutí. Proces auditu zjišťuje míru souladu se stanovenými požadavky. Pro některé typy institucí je povinný, pro jiné má poradní charakter. Přezkoumání se provádí ve vazbě na dokumentaci účetního a daňového oddělení, technických prostředků a finanční a ekonomické části.

Pro pochopení úrovně zabezpečení je nutný audit a v případě jeho nekonzistence optimalizace na normál. Tento postup také umožňuje vyhodnotit proveditelnost finančních investic do informační bezpečnosti. Nakonec odborník dá doporučení ohledně míry finančních výdajů pro maximalizaci efektivity. Audit umožňuje upravit ovládací prvky.

Odbornost v oblasti informační bezpečnosti je rozdělena do několika fází:

1. Stanovení cílů a způsobů, jak jich dosáhnout.
2. Analýza informací potřebných k vynesení rozsudku.
3. Zpracování shromážděných dat.
4. Odborný názor a doporučení.

Nakonec rozhodne odborník. Doporučení komise jsou nejčastěji zaměřena na změnu konfigurací hardwaru, ale i serverů. Problémový podnik je často požádán, aby zvolil jinou metodu zabezpečení. Možná, pro další posílení, odborníci jmenují soubor ochranných opatření.

Práce po auditu je zaměřena na informování týmu o problémech. V případě potřeby se vyplatí provést další instruktáž, aby se zvýšila vzdělanost zaměstnanců v oblasti ochrany informačních zdrojů podniku.

Základní principy řízení rizik informační bezpečnosti

Navzdory různým operacím, produktům a službám používají organizace pět principů řízení rizik informační bezpečnosti:

Vyhodnoťte rizika a identifikujte potřeby

· Nastavte centralizovanou správu

Implementujte nezbytné zásady a vhodné kontroly

Podporovat informovanost zaměstnanců

Monitorujte a vyhodnocujte účinnost politik a kontrol

Nezbytným faktorem efektivní implementace těchto principů je překlenovací cyklus činností, který zajistí, že řízení informační bezpečnosti bude neustále zaměřeno na aktuální rizika. Je důležité, aby nejvyšší vedení organizace rozpoznalo rizika narušení podnikových procesů spojená s bezpečností informačních systémů. Základ pro rozvoj a implementaci politik a možností potřebné finanční prostředky kontrola je hodnocení rizik jednotlivých podnikových aplikací. Přijaté kroky zvýší povědomí uživatelů o rizicích a souvisejících zásadách. Účinnost kontrol je předmětem hodnocení prostřednictvím různých studií a auditů. Získané výsledky poskytují přístup k následnému hodnocení rizik a určují nezbytné změny v politikách a kontrolách. Všechny tyto akce centrálně koordinuje bezpečnostní služba nebo tým specialistů složený z konzultantů, zástupců obchodních jednotek a vedení organizace.

Hodnocení rizik je prvním krokem při implementaci programu informační bezpečnosti. Bezpečnost není vnímána „sama o sobě“, ale jako soubor zásad a souvisejících kontrol navržených k zabezpečení obchodních procesů a zmírnění souvisejících rizik. Identifikace podnikatelských rizik spojených s informační bezpečností je tedy výchozím bodem cyklu řízení rizik (bezpečnosti informací).

Rozpoznání rizik informační bezpečnosti vedením organizace a také soubor opatření zaměřených na identifikaci a řízení těchto rizik je důležitým faktorem při vývoji programu bezpečnosti informací. Tento přístup řízení zajistí, že informační bezpečnost bude brána vážně na nižších organizačních úrovních organizace a že odborníci na informační bezpečnost budou mít k dispozici zdroje nezbytné k efektivní implementaci programu.

Existují různé metodiky hodnocení rizik, od neformální diskuse o riziku až po poměrně složité metody zahrnující použití specializovaných softwarových nástrojů. Světové zkušenosti s úspěšnými postupy řízení rizik však popisují poměrně jednoduchý proces, na kterém se podílejí různá oddělení finančních institucí se zapojením specialistů se znalostí podnikových procesů, technických specialistů a specialistů na informační bezpečnost. Je třeba zdůraznit, že pochopení rizik neumožňuje jejich přesnou kvantifikaci, včetně pravděpodobnosti incidentu nebo nákladů na škody. Tyto údaje nejsou k dispozici, protože ztráty nemusí být zjištěny a vedení nemusí být informováno. Kromě toho jsou k dispozici omezené údaje o celkových nákladech na nápravu škod způsobených slabými bezpečnostními kontrolami a také o provozních nákladech těchto mechanismů (kontrol). Vzhledem k neustálým změnám technologií, ale i softwarových nástrojů a nástrojů, které mají útočníci k dispozici, je aplikace statistik shromážděných v minulých letech sporná. V důsledku toho je obtížné přesně porovnat náklady na kontroly s rizikem ztráty, aby bylo možné určit, která kontrola je nákladově nejefektivnější. V každém případě by se manažeři obchodních jednotek a odborníci na informační bezpečnost měli při rozhodování o volbě nezbytných kontrol (metod) spoléhat na nejlepší informace, které mají k dispozici.

Manažeři obchodních jednotek by měli být primárně odpovědní za stanovení úrovně zabezpečení (důvěrnosti) informačních zdrojů, které podporují obchodní procesy. Jsou to manažeři obchodních jednotek, kteří jsou schopni nejlépe určit, který z informačních zdrojů je nejkritičtější, stejně jako možný dopad na podnikání v případě porušení jeho integrity, důvěrnosti nebo dostupnosti. Kromě toho mohou manažeři obchodních jednotek upozornit na kontroly, které mohou poškodit obchodní procesy. Jejich zapojením do výběru kontrol lze tedy zajistit, že kontroly splňují požadavky a budou úspěšně implementovány.

Bezpečnosti informací by měla být věnována trvalá pozornost, aby byla zajištěna přiměřenost a účinnost kontrol. Moderní informace a související technologie, stejně jako faktory související s informační bezpečností, se neustále mění. Mezi takové faktory patří hrozby, technologie a konfigurace systému, známé zranitelnosti software, úroveň spolehlivosti automatizované systémy a elektronických dat, kritičnost dat a operací. Řídící skupina působí primárně jako poradce nebo konzultant obchodních jednotek a nemůže vnucovat metody (prostředky) informační bezpečnosti. Obecně platí, že řídící skupina by měla být (1) katalyzátorem (urychlovačem) procesu, který zajišťuje průběžné zvažování rizik informační bezpečnosti; (2) centrální konzultační zdroj pro organizační jednotky; (3) prostředek pro sdělování informací vedení organizace o stavu informační bezpečnosti a přijatých opatřeních. Řídící skupina navíc umožňuje centrálně spravovat přidělené úkoly, jinak mohou být tyto úkoly duplikovány různými odděleními organizace. Zaměstnanci organizace by měli být zapojeni do různých aspektů programu informační bezpečnosti a mít odpovídající dovednosti a znalosti. Požadované úrovně profesionality zaměstnanců lze dosáhnout prostřednictvím školení, která mohou provádět jak specialisté organizace, tak externí konzultanti.

Politiky v oblasti informační bezpečnosti jsou základem pro přijetí určitých postupů a volbu prostředků (mechanismů) kontroly (řízení). Politika je primární mechanismus, kterým management sděluje své názory a požadavky zaměstnancům, zákazníkům a obchodním partnerům. Pro bezpečnost informací, stejně jako pro ostatní oblasti vnitřní kontroly, požadavky politik přímo závisí na výsledcích hodnocení rizik. Komplexní soubor adekvátních zásad, které jsou uživatelům dostupné a srozumitelné, je jedním z prvních kroků při vytváření programu zabezpečení informací. Stojí za to zdůraznit důležitost průběžné údržby (úpravy) politik pro včasnou reakci na identifikovaná rizika a možné neshody.

Kompetence uživatelů je předpokladem pro úspěšnou informační bezpečnost a také pomáhá zajistit správné fungování kontrol. Uživatelé nemohou dodržovat zásady, které neznají nebo jim nerozumí. Neuvědomujíce si rizika spojená s informačními zdroji organizace, nemusí vidět potřebu implementovat zásady určené ke zmírnění rizik.

Jako každý typ činnosti i bezpečnost informací podléhá kontrole a periodickému přehodnocování, aby byla zajištěna přiměřenost (soulad) politik a prostředků (metod) kontroly se stanovenými cíli.

Kontroly by se měly zaměřit především na (1) dostupnost kontrol a metod a jejich použití ke zmírnění rizik a (2) vyhodnocení účinnosti programu a zásad bezpečnosti informací, které zlepšují pochopení uživatelů a snižují výskyt incidentů. Tyto kontroly zahrnují testování prostředků (metod) kontroly, hodnocení jejich souladu s politikami organizace, analýzu bezpečnostních incidentů a dalších ukazatelů účinnosti programu informační bezpečnosti. Výkon řídící skupiny lze hodnotit například na základě následujících ukazatelů (nikoli však pouze):

počet uskutečněných školení a setkání;

počet provedených posouzení rizik;

počet certifikovaných specialistů;

absence incidentů, které brání práci zaměstnanců organizace;

· snížení počtu nových projektů realizovaných se zpožděním kvůli problémům s informační bezpečností;

úplný soulad nebo dohodnuté a zaznamenané odchylky od minimálních požadavků na bezpečnost informací;

· snížení počtu incidentů zahrnujících neoprávněný přístup, ztrátu nebo zkreslení informací.

Monitorování jistě uvádí organizaci do souladu s přijatými politikami informační bezpečnosti, ale plného přínosu monitorování nebude dosaženo, pokud výsledky nebudou použity ke zlepšení programu bezpečnosti informací. Analýza výsledků kontrol poskytuje odborníkům na informační bezpečnost a manažerům obchodních jednotek prostředky k (1) přehodnocení dříve identifikovaných rizik, (2) identifikaci nových problémových oblastí, (3) přehodnocení dostatečnosti a vhodnosti stávajících kontrol a metod kontrola (řízení) a akce k zajištění informační bezpečnosti, (4) stanovení potřeby nových prostředků a mechanismů kontroly, (5) přesměrování kontrolních snah (kontrolní akce). Kromě toho lze výsledky použít k hodnocení výkonu obchodních manažerů odpovědných za pochopení a zmírnění rizik napříč obchodními jednotkami.
Je důležité zajistit, aby (1) odborníci na informační bezpečnost drželi krok s vývojem metod a nástrojů (aplikací) a měli nejnovější informace o zranitelnosti informačních systémů a aplikací, (2) vrcholový management zajistil, že má potřebné zdroje pro tohle.

Metody analýzy

PEST je zkratka čtyř anglických slov: P - Political-legal - politický a právní, E - Esopomis - ekonomický, S - Sociocultural - sociokulturní, T - Technologické síly - technologické faktory.

PEST-analýza spočívá v identifikaci a vyhodnocení vlivu faktorů makroprostředí na výsledky současných a budoucích aktivit podniku. .

Existují čtyři skupiny faktorů, které jsou pro strategii podniku nejvýznamnější:

Politické a právní;

Hospodářský;

Sociokulturní;

Technologický.

Účelem PEST analýzy je sledovat (monitorovat) změny v makroprostředí ve čtyřech klíčových oblastech a identifikovat trendy a události, které nejsou pod kontrolou podniku, ale ovlivňují výsledky přijatých strategických rozhodnutí.

Tabulka 1. Analýza PEST

Politický faktor vnější prostředí je studováno především proto, abychom měli jasnou představu o záměrech orgánů veřejné moci ve vztahu k rozvoji společnosti a o prostředcích, kterými stát hodlá své politiky realizovat.

Analýza ekonomický aspekt vnější prostředí nám umožňuje porozumět tomu, jak se formují a rozdělují ekonomické zdroje na úrovni státu. Pro většinu podniků je to nejdůležitější podmínka pro jejich podnikatelskou činnost.

Studium sociální složka vnějšího prostředí je zaměřena na pochopení a vyhodnocení vlivu na podnikání takových společenských jevů, jako je postoj lidí ke kvalitě života, mobilita lidí, spotřebitelská aktivita atd.

Analýza technologická součást umožňuje předvídat příležitosti spojené s rozvojem vědy a techniky, včas se přizpůsobit výrobě a prodeji technologicky slibného produktu, předvídat okamžik opuštění použité technologie.

Postup při provádění PE5T - analýza.

Přidělit Další kroky externí analýza:

1. Vytváří se seznam vnějších strategických faktorů, které mají vysokou pravděpodobnost implementace a dopadu na fungování podniku.

2. Významnost (pravděpodobnost realizace) každé události pro daný podnik se posuzuje tak, že se jí přiřadí určitá váha od jedné (nejdůležitější) po nulu (nevýznamná). Součet vah musí být roven jedné, což zajišťuje normalizace.

3. Uvádí se hodnocení míry vlivu každého faktoru-události na strategii společnosti na 5bodové škále: "pět" - silný dopad, vážné nebezpečí; "jednotka" - absence dopadu, ohrožení.

4. Vážené odhady se stanoví vynásobením váhy faktoru silou jeho dopadu a vypočítá se celkový vážený odhad pro daný podnik.

Celkové skóre udává stupeň připravenosti podniku reagovat na aktuální a předpokládané faktory prostředí.

Tabulka 2. Výsledky analýzy vnějších strategických faktorů

V tomto případě skóre 3,05 ukazuje, že reakce společnosti na strategické faktory prostředí je na průměrné úrovni.

Metoda SWOT používaná pro environmentální analýzu je široce uznávaným přístupem, který umožňuje společné studium vnějšího a vnitřního prostředí.

Aplikací metody SWOT analýzy je možné vytvořit vazby mezi silnými a slabými stránkami, které jsou vlastní organizaci, a vnějšími hrozbami a příležitostmi. Metodika zahrnuje nejprve identifikaci silné a slabé stránky, a hrozby a příležitosti a poté vytvoření řetězců vazeb mezi nimi, které lze později použít k formulaci strategie organizace.

Thompson a Strickland navrhli následující přibližný soubor charakteristik, jejichž závěr by měl umožnit výčet slabých a silných stránek organizace a také výčet hrozeb a příležitostí pro ni, uzavřených ve vnějším prostředí.

Silné stránky:

Vynikající způsobilost;

Přiměřené finanční zdroje;

vysoká kvalifikace;

Dobrá pověst mezi kupujícími;

Renomovaný lídr na trhu;

Vynalézavý stratég ve funkčních oblastech organizace;

Možnost získání úspor z růstu objemu výroby;

Zabezpečení (alespoň někde) před silným konkurenčním tlakem;

Vhodná technologie;

Cenové výhody;

Výhody v oblasti hospodářské soutěže;

Přítomnost inovačních schopností a možnost jejich realizace;

Osvědčený management.

Slabé stránky:

Neexistují žádné jasné strategické směry;

Zhoršující se konkurenční postavení;

zastaralé vybavení;

Nižší ziskovost, protože…;

Nedostatek manažerského talentu a hloubka zvládání problémů;

Nedostatek určitých typů klíčových kvalifikací a kompetencí;

Špatné sledování procesu implementace strategie;

Úzkost s vnitřními výrobními problémy;

Zranitelnost vůči konkurenčnímu tlaku;

Nedostatek ve výzkumu a vývoji;

Velmi úzká výrobní linka;

Špatné porozumění trhu;

Konkurenční nevýhody;

Podprůměrné marketingové schopnosti;

Nefinancování nezbytných změn ve strategii.

možnosti:

Vstup na nové trhy nebo segmenty trhu;

Rozšíření výrobní linky;

Nárůst, rozmanitost souvisejících produktů;

Přidání souvisejících produktů;

Vertikální integrace;

Schopnost přejít do skupiny s lepší strategií;

Spokojenost mezi konkurenčními firmami;

Zrychlení růstu trhu.

Možnost nových konkurentů;

Růst prodeje náhradního produktu;

Zpomalení růstu trhu;

Nepříznivá vládní politika;

Zvyšování konkurenčního tlaku;

Recese a slábnutí hospodářského cyklu;

Zvýšení vyjednávací síly kupujících a dodavatelů;

Měnící se potřeby a vkus zákazníků;

Nepříznivé demografické změny.

Podtitul: Metodika provádění analýzy a sestavení matice SWOT analýzy

Organizace může každou ze čtyř částí seznamu doplnit o ty charakteristiky vnějšího a vnitřního prostředí, které odrážejí konkrétní situaci, ve které se nachází.

Po sestavení konkrétního seznamu silných a slabých stránek organizace, jakož i hrozeb a příležitostí, začíná fáze vytváření vazeb mezi nimi. Pro vytvoření těchto vazeb je sestavena SWOT matice, která má následující podobu (obr. 1).

Rýže. 1. Matice SWOT analýzy

Vlevo jsou dva bloky (silné a slabé stránky), ve kterých jsou vypsány všechny strany organizace identifikované v první fázi analýzy.

V horní části matice jsou dále dva bloky (příležitosti a hrozby), do kterých jsou zapsány všechny identifikované příležitosti a hrozby. Na průsečíku bloků se vytvoří čtyři pole:

SIV (síla a příležitosti); SIS (síla a hrozby); WLS (slabost a příležitosti); SLN (slabost a hrozby). V každé z oblastí musí výzkumník zvážit všechny možné kombinace párů a zdůraznit ty, které by měly být brány v úvahu při vývoji strategie chování organizace.

Pro ty páry, které byly vybrány z oblasti SIV, by měla být vypracována strategie pro využití silných stránek organizace s cílem získat návratnost příležitostí, které se objevily ve vnějším prostředí.

Pro ty páry, které se ocitly v oblasti SLV, by měla být strategie postavena tak, aby se vzhledem k příležitostem, které se objevily, snažily překonat slabiny v organizaci.

Pokud je pár na poli SIS, pak by strategie měla zahrnovat využití síly organizace k odstranění hrozby.

A konečně, pro páry v oblasti SLN musí organizace vyvinout strategii, která by jí umožnila zbavit se slabosti a zároveň se pokusit zabránit hrozbě, která se nad ní rýsuje.

Při vývoji strategií je třeba mít na paměti, že příležitosti a hrozby se mohou změnit ve svůj opak. Nevyužitá příležitost se tak může stát hrozbou, pokud ji konkurent využije. Nebo naopak, úspěšně zabráněná hrozba může otevřít organizaci další funkce v případě, že konkurenti nedokázali eliminovat stejnou hrozbu.

Podtitul: Budování Matrixu příležitostí

Pro úspěšnou analýzu prostředí organizace metodou SWOT analýzy je důležitá nejen schopnost odhalit hrozby a příležitosti, ale také umět je vyhodnotit z hlediska jejich důležitosti a míry vlivu na strategii organizace.

K posouzení příležitostí se používá metoda umístění každé konkrétní příležitosti na matici příležitostí (obr. 2).

Rýže. 2. Matice příležitostí

Matrice je postavena následovně:

- shora horizontálně se odkládá míra vlivu příležitosti na činnost organizace (silná, střední, malá);

- vlevo vertikálně se odkládá pravděpodobnost, že se organizaci podaří chopit příležitosti (vysoká, střední, nízká).

V rámci matice má devět polí schopností pro organizaci různé významy.

Příležitosti, které mají pole BC, B, Y a CC velká důležitost pro organizaci a musí být použity.

Příležitosti spadající do oborů SM, NU a NM si prakticky nezaslouží pozornost organizace.

Podtitul: Budování matrice "hrozeb"

Podobná matice je sestavena pro posouzení nebezpečnosti (obr. 3):

- jsou uloženy vodorovně shora možné následky pro organizaci, což může vést k realizaci ohrožení (destrukce, kritický stav, vážný stav, „lehké modřiny“).

- pravděpodobnost realizace hrozby (vysoká, střední, nízká) je vykreslena svisle vlevo.

Rýže. 3. Matice hrozeb

Ty hrozby, které dopadají na obory BP, VC a SR, představují pro organizaci velmi velké nebezpečí a vyžadují okamžitou a povinnou eliminaci.

Hrozby, které spadly do oblasti BT, NC a NR, by měly být i v zorném poli vrcholového managementu a přednostně eliminovány.

U hrozeb lokalizovaných v oborech NK, ST a VL je k jejich eliminaci nutný pečlivý a zodpovědný přístup. I když to neklade za úkol jejich primární eliminaci. Hrozby, které spadly do zbývajících oborů, by také neměly zmizet z dohledu vedení organizace. Jejich vývoj musí být pečlivě sledován.

Podtitul: Profilování prostředí

Spolu s metodami studia hrozeb, příležitostí, silných a slabých stránek organizace lze k analýze prostředí použít metodu sestavení jejího profilu. Tuto metodu je vhodné použít při sestavování profilu odděleně od makroprostředí, bezprostředního prostředí a vnitřního prostředí. Pomocí metody environmentálního profilování je možné posoudit relativní význam pro organizaci jednotlivých faktorů prostředí.

Metoda profilování prostředí je následující. Jednotlivé faktory prostředí jsou uvedeny v tabulce profilu prostředí (obr. 4). Každý z faktorů je posuzován odborným způsobem:

Význam pro průmysl na stupnici: 3 - velký, 2 - střední, 1 - slabý;

Dopad na organizaci na škále: 3 – silný, 2 – střední, 1 – slabý, 0 – žádný dopad;

Směry vlivu na stupnici: +1 - pozitivní, -1 - negativní.

Rýže. 4. Tabulka profilu prostředí

Dále se všechna tři expertní hodnocení znásobí a získá se ucelené hodnocení, které ukazuje míru důležitosti faktoru pro organizaci. Z tohoto hodnocení může management usoudit, které z faktorů prostředí jsou pro jejich organizaci relativně důležitější, a proto si zaslouží nejvážnější pozornost, a které faktory si zaslouží menší pozornost.

Environmentální analýza je velmi důležitá pro rozvoj strategie organizace a velmi složitý proces, který vyžaduje pečlivé sledování procesů probíhajících v prostředí, posouzení faktorů a vytvoření spojení mezi faktory a těmito silnými a slabými stránkami organizace, stejně jako příležitosti a hrozby, které jsou obsaženy ve vnějším prostředí.

Je zřejmé, že bez znalosti prostředí nebude organizace schopna existovat. Neplave však jako loď bez kormidla, vesel nebo plachty. Organizace studuje prostředí, aby zajistila úspěšný pokrok směrem ke svým cílům. Ve struktuře procesu strategického řízení proto na analýzu prostředí navazuje stanovení poslání organizace a jejích cílů.

9.3. Životní cyklus produktu/služby

Jakýkoli produkt (služba) prochází svým životním cyklem od svého vzniku (uvedení na trh) až po ukončení (uvolnění posledního vzorku).

Lze rozlišit následující hlavní fáze životního cyklu (obr. 5):

Rýže. 5. Obvyklý graf životního cyklu výrobku v čase

BCG matrice

Nejoblíbenějším postupem pro analýzu pozice společnosti na trhu je konstrukce portfoliových matic. Typicky jsou takové matice konstruovány na základě několika strategicky důležitých proměnných, jako je míra růstu odvětví, velikost trhu, dlouhodobá atraktivita odvětví, konkurenční postavení atd. Takovéto dvourozměrné matice jsou relativně jednoduché a poskytují jasné tržní prostředí. Nejpoužívanější matice jsou BCG (BCG - Boston Consulting Group) a General Electric.

Boston Matrix je založen na modelu životního cyklu produktu, podle kterého produkt prochází čtyřmi fázemi svého vývoje: vstup na trh (produkt je „divoká kočka“), růst (produkt je „hvězda“). , splatnost (produkt je „dojná kráva“) a recese (produkt je „pes“).

Pro hodnocení konkurenceschopnosti určitých typů podnikání se používají dvě kritéria: tempo růstu průmyslového trhu; relativní podíl na trhu.

Tempo růstu trhu je definováno jako vážený průměr tempa růstu různých tržních segmentů, ve kterých podnik působí, nebo se rovna tempu růstu hrubého národního produktu. Míra růstu odvětví o 10 % nebo více se považuje za vysoká.

Relativní podíl na trhu se určuje vydělením tržního podílu daného podniku podílem největšího konkurenta na trhu.

Rýže. 6. BCG matice pro hypotetickou firmu

Hodnota podílu na trhu 1 odděluje produkty – lídry na trhu – od následovníků. Provádí se tak rozdělení druhů podnikání (jednotlivé produkty) do čtyř různých skupin (obr. 6).

Matice BCG je založena na dvou předpokladech:

1. Podnik s významným podílem na trhu získává v důsledku efektu konkurenční výhodu z hlediska výrobních nákladů. Z toho vyplývá, že největší konkurent má nejvyšší ziskovost při prodeji za tržní ceny a pro něj maximální finanční toky.

2. Přítomnost na rostoucím trhu znamená zvýšenou potřebu finančních zdrojů pro jeho rozvoj, tzn. obnova a rozšíření výroby, intenzivní reklama atd. Pokud je míra růstu trhu nízká, jako například vyspělý trh, pak produkt nepotřebuje významné financování.

V případě, že jsou splněny obě hypotézy, lze rozlišit čtyři skupiny produktových trhů odpovídající různým prioritním strategickým cílům a finančním potřebám:

Divoké kočky (rychlý růst/nízký podíl): Tato skupina produktů by mohla být velmi slibná, protože trh expanduje, ale vyžaduje značný kapitál k udržení růstu. S ohledem na tuto skupinu produktů je nutné se rozhodnout, zda zvýšit tržní podíl těchto produktů nebo je přestat financovat.

Hvězdy (rychlý růst/vysoký podíl) jsou lídry na trhu. Vytvářejí značné zisky díky své konkurenceschopnosti, ale také potřebují finanční prostředky k udržení vysokého podílu na dynamickém trhu.

Dojné krávy (pomalý růst/vysoký podíl): Produkty schopné generovat větší zisk, než je nutné k udržení jejich růstu. Jsou hlavním zdrojem finančních prostředků pro diverzifikaci a vědecký výzkum. Prioritním strategickým cílem je „sklizeň“.

"Psi" (pomalý růst/nízký podíl) jsou produkty, které jsou v nevýhodě z hlediska nákladů a nemají prostor pro růst. Uchování takového zboží je spojeno s významnými finanční výdaje s malou šancí na zlepšení. Prioritní strategií je deinvestice a skromná existence.

V ideálním případě by vyvážené produktové portfolio podniku mělo zahrnovat:

2-3 krávy, 1-2 hvězdičky, pár koček jako náskok a možná malý počet psů. Přemíra stárnoucího zboží („psi“) ukazuje na nebezpečí poklesu, i když je současná výkonnost podniku relativně dobrá. Přemíra nových produktů může vést k finančním potížím.

V dynamickém podnikovém portfoliu se rozlišují následující vývojové trajektorie (scénáře) (obr. 7).

Rýže. 7. Hlavní scénáře vývoje

"Trajektorie produktu". Investicí do prostředků na výzkum a vývoj získaných od „dojných krav“ vstupuje společnost na trh se zásadně novým produktem, který zaujímá místo hvězdy.

„dráha následovníka“. Prostředky od „dojných krav“ jsou investovány do produktu – „kočky“, na jehož trhu dominuje lídr. Společnost sleduje agresivní strategii zvyšování podílu na trhu a produkt - "kočka" se mění v "hvězdu".

"dráha selhání". V důsledku nedostatečných investic ztrácí hvězdicový produkt své vedoucí postavení na trhu a stává se „kočičím“ produktem.

„Trajektorie průměrnosti“. Produkt – „kočka“ nezvýší svůj podíl na trhu a přechází do další fáze (produkt – „pes“).

Při implementaci systému řízení bezpečnosti informací (ISMS) v organizaci bývá jedním z hlavních kamenů úrazu systém řízení rizik. Úvahy o řízení rizik informační bezpečnosti jsou podobné problému UFO. Na jedné straně se zdá, že to nikdo v okolí neviděl a událost samotná se zdá být nepravděpodobná, na druhé straně existuje mnoho důkazů, byly napsány stovky knih, dokonce jsou zapojeny relevantní vědecké disciplíny a sdružení vědců v tomto výzkumném procesu a jako obvykle mají speciální služby v této oblasti se zvláštními tajnými znalostmi.

Alexander Astakhov, CISA, 2006

Úvod

Mezi specialisty na informační bezpečnost nepanuje jednota v otázkách řízení rizik. Někdo to popírá kvantitativní metody hodnocení rizik, někdo popírá kvalitativní, někdo obecně popírá proveditelnost a samotnou možnost hodnocení rizik, někdo obviňuje vedení organizace z nedostatečného povědomí o důležitosti bezpečnostních otázek nebo si stěžuje na potíže spojené se získáním objektivního posouzení hodnoty určitého aktiva, jako je pověst organizace. Jiní, kteří nevidí žádný způsob, jak ospravedlnit náklady na bezpečnost, navrhují, aby to bylo považováno za určitý druh hygienického postupu a utratili za tento postup tolik peněz, kolik je vám líto nebo kolik zbývá v rozpočtu.

Ať už existují jakékoli názory na problematiku řízení rizik informační bezpečnosti a bez ohledu na to, jak s těmito riziky zacházíme, jedna věc je jasná, že v Tento problém spočívá podstata mnohostranné činnosti specialistů na informační bezpečnost, která ji přímo propojuje s byznysem a dává jí přiměřený smysl a účelnost. Tento článek nastiňuje jeden možný přístup k řízení rizik a odpovídá na otázku, proč různé organizace zacházejí s riziky zabezpečení informací a řídí je odlišně.

Hlavní a pomocná aktiva

Když mluvíme o podnikatelských rizicích, máme na mysli možnost vzniku určité škody s určitou pravděpodobností. Může se jednat jak o přímé materiální škody, tak o nepřímé škody, vyjádřené např. ušlým ziskem, až po odchod z podnikání, protože při nezvládnutí rizika může dojít ke ztrátě obchodu.

Ve skutečnosti podstata problému spočívá v tom, že organizace má a využívá několik hlavních kategorií zdrojů k dosažení výsledků své činnosti (svých obchodních cílů) (budeme používat pojem aktiva přímo souvisejícího s podnikáním). Aktivum je cokoli, co má pro organizaci hodnotu a generuje její příjem (jinými slovy, je to něco, co vytváří pozitivní peněžní tok nebo šetří peníze)

Jde o materiální, finanční, lidský a informační majetek. Moderní mezinárodní standardy definují i ​​další kategorii aktiv – to jsou procesy. Proces je agregované aktivum, které funguje na všech ostatních aktivech společnosti za účelem dosažení obchodních cílů. Image a pověst společnosti jsou také považovány za jednu z nejdůležitějších aktiv. Tato klíčová aktiva pro jakoukoli organizaci nejsou ničím jiným než zvláštním druhem informačních aktiv, protože image a pověst společnosti není nic jiného než obsah otevřených a široce šířených informací o ní. Informační bezpečnost se zabývá problémy s image, pokud jde o organizační bezpečnostní problémy, stejně jako úniky důvěrná informace extrémně negativní dopad na obraz.

Obchodní výsledky jsou ovlivněny různými externími a interními faktory souvisejícími s kategorií rizika. Tento vliv je vyjádřen v negativním dopadu na jednu nebo více skupin aktiv organizace současně. Selhání serveru například ovlivňuje dostupnost informací a aplikací na něm uložených a jeho oprava odvádí lidské zdroje, vytváří jejich nedostatek v určité oblasti práce a způsobuje narušení obchodních procesů, zatímco dočasná nedostupnost klientských služeb může negativně ovlivnit ovlivnit image firmy.

Podle definice jsou pro organizaci důležité všechny typy aktiv. Každá organizace má však základní životně důležitá aktiva a podpůrná aktiva. Určení, která aktiva jsou hlavní, je velmi jednoduché, protože. to jsou aktiva, na kterých je postavena činnost organizace. Podnikání organizace tedy může být založeno na vlastnictví a užívání hmotného majetku (například pozemků, nemovitostí, zařízení, nerostů), podnikání může být postaveno i na správě finančních aktiv (úvěrové činnosti, pojištění, investice) , podnikání může být založeno na kompetenci a autoritě konkrétních specialistů (poradenství, audit, školení, high-tech a znalostně náročná odvětví) nebo se podnikání může točit kolem informačních aktiv (vývoj softwaru, informační produkty, e-commerce, podnikání na internet). Rizika dlouhodobého majetku jsou zatížena ztrátou podnikání a nenapravitelnými ztrátami pro organizaci, proto je pozornost majitelů firem primárně zaměřena na tato rizika a vedení organizace se jimi osobně zabývá. Vedlejší rizika aktiv obvykle vedou k nahraditelné škodě a nejsou nejvyšší prioritou v systému řízení organizace. Obvykle jsou tato rizika řízena speciálně určenými lidmi nebo jsou tato rizika převedena na třetí stranu, jako je outsourcing nebo pojišťovna. Pro organizaci je to spíše otázka efektivity řízení než přežití.

Stávající přístupy k řízení rizik

Vzhledem k tomu, že rizika informační bezpečnosti zdaleka nejsou těmi hlavními pro všechny organizace, praktikují se tři hlavní přístupy k řízení těchto rizik, které se liší hloubkou a úrovní formalismu.

U nekritických systémů, kdy jsou informační aktiva pomocná a úroveň informatizace není vysoká, což je typické pro většinu moderních ruských společností, existuje minimální potřeba hodnocení rizik. V takových organizacích bychom měli hovořit o nějaké základní úrovni zabezpečení informací, určované stávajícími předpisy a standardy, osvědčenými postupy, zkušenostmi a také tím, jak se to dělá ve většině ostatních organizací. Nicméně, stávající normy, popisující některé základní sada požadavky a bezpečnostní mechanismy, vždy stanoví nutnost posouzení rizik a ekonomické proveditelnosti aplikace určitých kontrolních mechanismů s cílem vybrat z obecného souboru požadavků a mechanismů ty, které jsou aplikovatelné v konkrétní organizaci.

U kritických systémů, ve kterých nejsou informační aktiva hlavní, ale úroveň informatizace podnikových procesů je velmi vysoká a informační rizika mohou významně ovlivnit hlavní podnikové procesy, je nutné aplikovat hodnocení rizik, ale v tomto případě je vhodné omezit se na neformální kvalitativní přístupy k řešení tohoto problému a věnovat zvláštní pozornost nejkritičtějším systémům.

Když je podnikání organizace postaveno na informačních aktivech a rizika informační bezpečnosti jsou těmi hlavními, je nutné použít formální přístup a kvantitativní metody k posouzení těchto rizik.

V mnoha společnostech může být životně důležitých několik druhů aktiv současně, například když je podnikání diverzifikované nebo se společnost zabývá tvorbou informačních produktů, a lidské i informační zdroje pro ni mohou být stejně důležité. V tomto případě je obezřetným přístupem provést hodnocení rizik na vysoké úrovni, aby se určilo, které systémy jsou vysoce rizikové a které jsou pro obchodní operace kritické, a poté následuje podrobné hodnocení rizik pro identifikované systémy. U všech ostatních nekritických systémů je vhodné omezit se na uplatňování základního přístupu, rozhodování o řízení rizik na základě stávajících zkušeností, odborných názorů a osvědčených postupů.

úrovně zralosti

Volbu přístupu k hodnocení rizik v organizaci ovlivňuje kromě charakteru jejího podnikání a úrovně informatizace podnikových procesů také její vyspělost. Řízení rizik informační bezpečnosti je obchodní úkol iniciovaný vedením organizace z důvodu jeho povědomí a stupně informovanosti o problémech informační bezpečnosti, jehož smyslem je chránit podnik před reálnými hrozbami informační bezpečnosti. Podle stupně informovanosti lze vysledovat několik úrovní vyspělosti organizací, které do určité míry korelují s úrovněmi vyspělosti definovanými v COBIT a dalších standardech:

1. Na počáteční úrovni neexistuje žádné povědomí jako takové, organizace přijímá dílčí opatření k zajištění bezpečnosti informací, která iniciují a realizují IT specialisté na vlastní odpovědnost.
2. Na druhé úrovni organizace definuje odpovědnost za informační bezpečnost, snaží se využívat integrovaná řešení s centralizovaným řízením a implementovat samostatné procesy řízení informační bezpečnosti.
3. Třetí úroveň je charakterizována aplikací procesního přístupu k řízení bezpečnosti informací, popsaného ve standardech. Systém řízení bezpečnosti informací se pro organizaci stává natolik významným, že je považován za nezbytnou součást systému řízení organizace. nicméně kompletní systém management bezpečnosti informací zatím neexistuje, protože chybí základní prvek tohoto systému – procesy řízení rizik.
4. Organizace s nejvyšším stupněm povědomí o problémech informační bezpečnosti se vyznačují používáním formalizovaného přístupu k řízení rizik informační bezpečnosti, který se vyznačuje přítomností zdokumentovaných procesů plánování, implementace, monitorování a zlepšování.

Procesní model řízení rizik

V březnu tohoto roku byla přijata nová britská norma BS 7799 Část 3 – Systémy řízení bezpečnosti informací – Postupy řízení rizik informační bezpečnosti. Očekává, že ISO přijme tento dokument jako mezinárodní normu do konce roku 2007. BS 7799-3 definuje procesy hodnocení rizik a řízení jako nedílný prvek systému řízení organizace, přičemž používá stejný procesní model jako ostatní standardy řízení, který zahrnuje čtyři skupiny procesů: plánovat, implementovat, kontrolovat, jednat (PRAP), který odráží standard cyklu jakýchkoli řídících procesů. Zatímco ISO 27001 popisuje celkové kontinuum řízení bezpečnosti, BS 7799-3 obsahuje jeho projekci na procesy řízení rizik informační bezpečnosti.

V systému řízení rizik informační bezpečnosti se ve fázi Plánování stanoví politika a metodika řízení rizik a provede se posouzení rizik, včetně inventarizace majetku, sestavení profilů hrozeb a zranitelností, posouzení účinnosti protiopatření a potenciálních škod, posouzení rizik a rizik v systému řízení rizik informační bezpečnosti. a stanovení přijatelné úrovně zbytkových rizik.

Během implementační fáze se ošetřují rizika a zavádějí se kontroly k jejich zmírnění. Vedení organizace učiní jedno ze čtyř rozhodnutí pro každé identifikované riziko: ignorovat, vyhnout se, přenést na externí stranu nebo minimalizovat. Poté je vypracován a implementován plán léčby rizik.

Ve fázi Auditu je sledováno fungování kontrolních mechanismů, kontrolovány změny rizikových faktorů (aktiva, hrozby, zranitelnost), jsou prováděny audity a různé kontrolní postupy.

Ve fázi Actions jsou na základě výsledků průběžného monitorování a průběžných auditů přijímána nezbytná nápravná opatření, která mohou zahrnovat zejména přehodnocení velikosti rizik, úpravu politiky a metodiky řízení rizik, jakož i plán léčby rizik.

Rizikové faktory

Podstata každého přístupu k řízení rizik spočívá v analýze rizikových faktorů a přijímání adekvátních rozhodnutí o léčbě rizik. Rizikové faktory jsou hlavní parametry, které používáme při hodnocení rizik. Existuje pouze sedm možností:

• Aktivum
• Poškození
• Ohrožení
• Zranitelnost
• Ovládací mechanismus (Control)
• Průměrná roční ztráta (ALE)
• Návratnost investic (ROI)

Jak jsou tyto parametry analyzovány a vyhodnocovány, je určeno metodikou hodnocení rizik organizace. Obecný přístup a schéma uvažování jsou přitom přibližně stejné, bez ohledu na to, jaká metodika je použita. Proces hodnocení rizik (posouzení) zahrnuje dvě fáze. V první fázi, která je ve standardech definována jako analýza rizik (analýza), je nutné zodpovědět následující otázky:

• Co je hlavním aktivem společnosti?
• Jaká je skutečná hodnota tohoto aktiva?
• Jaké jsou hrozby pro toto aktivum?
• Jaké jsou důsledky těchto hrozeb a poškození podniku?
• Jak pravděpodobné jsou tyto hrozby?
• Jak zranitelný je podnik vůči těmto hrozbám?
• Jaká je očekávaná průměrná roční ztráta?

Ve druhé fázi, která je standardy definována jako hodnocení rizik (hodnocení), je nutné si odpovědět na otázku: Jaká míra rizika (velikost průměrných ročních ztrát) je pro organizaci přijatelná a na základě toho jaká rizika překročit tuto úroveň.

Na základě výsledků hodnocení rizik tak získáme popis rizik, která překračují přípustnou míru, a odhad velikosti těchto rizik, který je dán velikostí průměrných ročních ztrát. Dále je třeba rozhodnout o ošetření rizik, tzn. Odpovězte na následující otázky:

• Jakou variantu rizikové léčby volíme?
• Pokud je přijato rozhodnutí o minimalizaci rizika, jaké kontrolní mechanismy by měly být použity?
• Jak účinné jsou tyto kontroly a jakou návratnost investic zajistí?

Výstupem tohoto procesu je plán ošetření rizik, který definuje, jak se s riziky zachází, náklady na protiopatření a načasování a odpovědnost za provedení protiopatření.

Rozhodnutí o léčbě rizik

Rozhodnutí o léčbě rizik je klíčovým a nejkritičtějším momentem v procesu řízení rizik. Aby se management mohl správně rozhodnout, musí mu osoba odpovědná za řízení rizik v organizaci poskytnout relevantní informace. Forma prezentace takových informací je určena standardním algoritmem obchodní komunikace, který zahrnuje čtyři hlavní body:

• Zpráva o problému: Co je to obchodní hrozba (zdroj, cíl, implementace) a proč existuje?
• Závažnost problému: Jak to ohrožuje organizaci, její management a akcionáře?
• Navrhované řešení: Co se navrhuje udělat pro nápravu situace, kolik to bude stát, kdo by to měl udělat a co se požaduje přímo od vedení?
• Alternativní řešení: Jaké jiné způsoby řešení problému existují (vždy existují alternativy a management by měl mít na výběr).

Položky 1 a 2, stejně jako 3 a 4, lze zaměnit v závislosti na konkrétní situaci.

Metody řízení rizik

Existuje dostatečné množství osvědčených a poměrně široce používaných metod hodnocení a řízení rizik. Jednou z takových metod je OCTAVE, vyvinutá na Carnegie Melon University vnitřní použití V organizaci. OCTAVE – Operationally Critical Threat, Asset, and Vulnerability Evaluation (Operationally Critical Threat, Asset, and Vulnerability Evaluation) má řadu modifikací určených pro organizace různých velikostí a oblastí činnosti. Podstata této metody spočívá v tom, že k hodnocení rizik je využíván sled vhodně organizovaných interních seminářů (workshopů). Hodnocení rizik probíhá ve třech fázích, kterým předchází soubor přípravných činností, včetně odsouhlasení harmonogramu seminářů, přidělení rolí, plánování a koordinace akcí členů projektového týmu.

V první fázi jsou v rámci praktických seminářů vypracovány profily hrozeb, které zahrnují inventarizaci a posouzení hodnoty aktiv, identifikaci příslušných právních a regulatorních požadavků, identifikaci hrozeb a posouzení jejich pravděpodobnosti, jakož i stanovení systému organizačních opatření k udržení režimu informační bezpečnosti.

Ve druhé fázi je provedena technická analýza zranitelností informačních systémů organizace vůči hrozbám, jejichž profily byly vytvořeny v předchozí fázi, která zahrnuje identifikaci stávajících zranitelností informačních systémů organizace a posouzení jejich zranitelnosti. velikost.

Ve třetí fázi jsou vyhodnocena a zpracována rizika informační bezpečnosti, která zahrnuje stanovení velikosti a pravděpodobnosti poškození v důsledku implementace bezpečnostních hrozeb pomocí zranitelností, které byly identifikovány v předchozích fázích, stanovení strategie ochrany, jakož i volbu možnosti a rozhodování o léčbě rizik. Riziková hodnota je definována jako průměrná hodnota ročních ztrát organizace v důsledku implementace bezpečnostních hrozeb.

Podobný přístup se používá ve známé metodě hodnocení rizik CRAMM, vyvinuté v té době na objednávku britské vlády. V CRAMM je hlavním způsobem hodnocení rizika pečlivě naplánované rozhovory, které využívají podrobné dotazníky. CRAMM se používá v tisících organizací po celém světě, mimo jiné díky dostupnosti vysoce vyvinuté softwarové sady nástrojů obsahující znalostní základnu o rizicích a mechanismech pro jejich minimalizaci, nástroje pro sběr informací, generování reportů a také implementaci algoritmů. pro výpočet velikosti rizik.

Na rozdíl od metody OCTAVE využívá CRAMM mírně odlišný sled akcí a metod pro stanovení velikosti rizik. Nejprve se určí proveditelnost hodnocení rizik obecně, a pokud informační systém organizace není dostatečně kritický, bude na něj aplikován standardní soubor kontrolních mechanismů popsaných v mezinárodních standardech a obsažených ve znalostní bázi CRAMM.

V první fázi se v metodě CRAMM sestaví model zdrojů informačního systému, který popisuje vztah mezi informacemi, softwarem a technickými zdroji, a hodnota zdrojů se odhadne na základě možných škod, které může organizace utrpět v důsledku jejich kompromis.

Ve druhé fázi je provedeno hodnocení rizik, které zahrnuje identifikaci a posouzení pravděpodobnosti hrozeb, posouzení velikosti zranitelnosti a výpočet rizik pro každou trojici: zdroj - hrozba - zranitelnost. CRAMM vyhodnocuje „čistá“ rizika bez ohledu na kontrolní mechanismy implementované v systému. Ve fázi hodnocení rizik se předpokládá, že nejsou aplikována žádná protiopatření a na základě tohoto předpokladu je vytvořen soubor doporučených protiopatření k minimalizaci rizik.

V konečné fázi sada nástrojů CRAMM vygeneruje sadu protiopatření k minimalizaci identifikovaných rizik a porovná doporučená a stávající protiopatření, načež se vytvoří plán léčby rizik.

Nástroje pro řízení rizik

V procesu hodnocení rizik procházíme řadou po sobě jdoucích fází, periodicky se vracíme k předchozím fázím, například přehodnocování určitého rizika po zvolení konkrétního protiopatření k jeho minimalizaci. V každé fázi by měly být k dispozici dotazníky, seznamy hrozeb a zranitelných míst, registry zdrojů a rizik, dokumentace, zápisy z jednání, normy a směrnice. V tomto ohledu je pro práci s těmito různorodými daty zapotřebí nějaký naprogramovaný algoritmus, databáze a rozhraní.

Ke správě rizik informační bezpečnosti můžete použít nástroje např. jako v metodě CRAMM nebo RA2 (zobrazeno na obrázku), ale není to povinné. Přibližně totéž říká norma BS 7799-3. Užitečnost použití sady nástrojů může spočívat v tom, že obsahuje předem naprogramovaný algoritmus hodnocení rizik a řízení workflow, který zjednodušuje práci nezkušenému specialistovi.

Použití sady nástrojů umožňuje sjednotit metodiku a zjednodušit použití výsledků pro přehodnocení rizik, i když je provádějí jiní specialisté. Pomocí nástrojů je možné zefektivnit ukládání dat a práci s modelem zdrojů, profily hrozeb, seznamy zranitelností a rizik.

Kromě skutečných nástrojů pro hodnocení a řízení rizik může sada softwarových nástrojů také obsahovat dodatečné finanční prostředky pro dokumentaci ISMS, analýzu nesrovnalostí s požadavky norem, vytvoření registru zdrojů a dalších nástrojů nezbytných pro implementaci a provoz ISMS.

závěry

Volba kvalitativních nebo kvantitativních přístupů k hodnocení rizik je dána povahou podnikání organizace a úrovní její informatizace, tzn. důležitost informačních aktiv pro něj, stejně jako úroveň vyspělosti organizace.

Při zavádění formálního přístupu k řízení rizik v organizaci je nutné spoléhat se především na zdravý rozum, existující normy (například BS 7799-3) a zavedené metodiky (například OCTAVE nebo CRAMM). K tomuto účelu může být užitečné použít softwarový nástroj, který implementuje příslušné metodiky a v maximální možné míře splňuje požadavky norem (např. RA2).

Efektivita procesu řízení rizik informační bezpečnosti je dána přesností a úplností analýzy a hodnocení rizikových faktorů a také účinností mechanismů používaných v organizaci pro přijímání manažerských rozhodnutí a sledování jejich realizace.

Odkazy

• Astakhov A.M., „Historie standardu BS 7799“, http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
• Astakhov A.M., "Jak vybudovat a certifikovat systém řízení bezpečnosti informací?",

V praxi se používají kvantitativní a kvalitativní přístupy k hodnocení rizik IS. Jaký je jejich rozdíl?

kvantitativní metoda

Kvantitativní hodnocení rizik se používá v situacích, kdy lze zkoumané hrozby a související rizika porovnat s konečnými kvantitativními hodnotami vyjádřenými v penězích, procentech, čase, lidských zdrojích atd. Metoda umožňuje získat konkrétní hodnoty objektů hodnocení rizik při implementaci hrozeb informační bezpečnosti.

Při kvantitativním přístupu jsou všem prvkům hodnocení rizik přiřazeny konkrétní a reálné kvantitativní hodnoty. Algoritmus pro získání těchto hodnot by měl být jasný a srozumitelný. Předmětem posouzení může být hodnota aktiva v peněžním vyjádření, pravděpodobnost realizace hrozby, škoda z realizace hrozby, cena ochranných opatření a podobně.

Jak kvantifikovat rizika?

1. Určete hodnotu informačních aktiv v peněžním vyjádření.

2. Kvantitativní odhad potenciálních škod způsobených implementací každé hrozby ve vztahu ke každému informačnímu aktivu.

Měli byste získat odpovědi na otázky „Jakou část hodnoty aktiva bude tvořit škoda z implementace každé hrozby?“, „Jaká je peněžní cena škody z jednoho incidentu během realizace této hrozby do toto aktivum?".

3. Určete pravděpodobnost realizace každé z hrozeb IS.

K tomu můžete využít statistická data, průzkumy mezi zaměstnanci a zainteresovanými stranami. V procesu stanovení pravděpodobnosti vypočítejte četnost výskytu incidentů souvisejících s implementací uvažované hrozby IS za kontrolní období (například za jeden rok).

4. Určete celkovou potenciální škodu z každé hrozby ve vztahu ke každému aktivu za kontrolní období (po dobu jednoho roku).

Hodnota se vypočítá vynásobením jednorázové škody z realizace hrozby četností realizace hrozby.

5. Analyzujte přijatá data poškození pro každou hrozbu.

Pro každou hrozbu je třeba učinit rozhodnutí: přijmout riziko, snížit riziko nebo riziko přenést.

Přijmout riziko znamená rozpoznat ho, přijmout jeho možnost a nadále jednat jako dříve. Použitelné pro hrozby s nízkou škodou a nízkou pravděpodobností výskytu.

Snížit riziko znamená zavádět další opatření a ochranné prostředky, provádět školení personálu atd. Tedy provádět promyšlenou práci na snížení rizika. Zároveň je nutné kvantifikovat účinnost dodatečných opatření a prostředků ochrany. Veškeré náklady, které organizaci vzniknou, od nákupu ochranných pomůcek až po uvedení do provozu (včetně instalace, konfigurace, školení, údržby atd.), by neměly přesáhnout výši škody z realizace hrozby.

Přenést riziko znamená přesunout důsledky realizace rizika na třetí osobu, například pomocí pojištění.

Na základě kvantitativního posouzení rizik by mělo být stanoveno následující:

• hodnota aktiv v peněžním vyjádření;
• kompletní seznam všech hrozeb IS se škodou z jednorázového incidentu pro každou hrozbu;
• četnost implementace každé hrozby;
• potenciální poškození z každé hrozby;
• doporučené bezpečnostní kontroly, protiopatření a akce pro každou hrozbu.

Kvantitativní analýza rizik bezpečnosti informací (příklad)

Zvažte techniku ​​na příkladu webového serveru organizace, který se používá k prodeji konkrétního produktu. Kvantitativní jednouŠkodu způsobenou výpadkem serveru lze odhadnout jako součin průměrného potvrzení o nákupu a průměrného počtu zásahů za určitý časový interval rovnající se výpadku serveru. Řekněme, že náklady na jednorázové poškození v důsledku přímého selhání serveru budou 100 tisíc rublů.

Nyní je potřeba odborně vyhodnotit, jak často může k takové situaci dojít (s přihlédnutím k intenzitě provozu, kvalitě napájení atd.). Například s ohledem na názory odborníků a statistické informace chápeme, že server může selhat až 2krát za rok.

Vynásobením těchto dvou hodnot dostaneme to průměrný ročníškoda z implementace hrozby přímého selhání serveru je 200 tisíc rublů ročně.

Tyto výpočty lze použít k odůvodnění volby ochranných opatření. Například implementace systému nepřerušitelný zdroj energie a systémy Rezervovat kopii s celkovými náklady 100 tisíc rublů ročně minimalizuje riziko selhání serveru a bude zcela efektivním řešením.

Kvalitativní metoda

Bohužel ne vždy je možné získat konkrétní vyjádření předmětu hodnocení z důvodu velké nejistoty. Jak přesně vyhodnotit poškození dobrého jména společnosti, když se objeví informace o incidentu informační bezpečnosti, který pro ni nastal? V tomto případě se používá kvalitativní metoda.

Kvalitativní přístup nepoužívá pro předmět hodnocení kvantitativní ani peněžní vyjádření. Místo toho je předmětu hodnocení přiřazen ukazatel seřazený na tříbodové (nízké, střední, vysoké), pětibodové nebo desetibodové škále (0 ... 10). Ke sběru dat pro kvalitativní hodnocení rizik se využívají průzkumy cílových skupin, rozhovory, dotazníky a osobní setkání.

Kvalitativní analýza rizik informační bezpečnosti by měla být provedena se zapojením zaměstnanců se zkušenostmi a kompetencemi v oblasti, ve které jsou hrozby zvažovány.

Jak provést kvalitativní hodnocení rizik:

1. Určete hodnotu informačních aktiv.

Hodnota aktiva může být určena úrovní kritičnosti (důsledků), kdy dojde k porušení bezpečnostních charakteristik (důvěrnost, integrita, dostupnost) informačního aktiva.

2. Určete pravděpodobnost realizace hrozby ve vztahu k informačnímu aktivu.

K posouzení pravděpodobnosti realizace hrozby lze použít třístupňovou kvalitativní škálu (nízká, střední, vysoká).

3. Stanovit míru možnosti úspěšné realizace hrozby s přihlédnutím k aktuálnímu stavu informační bezpečnosti, realizovaným opatřením a prostředkům ochrany.

K posouzení úrovně možnosti realizace hrozby lze také použít třístupňovou kvalitativní škálu (nízká, střední, vysoká). Hodnota schopnosti hrozby udává, do jaké míry je možné hrozbu úspěšně implementovat.

4. Udělejte závěr o úrovni rizika na základě hodnoty informačního aktiva, pravděpodobnosti realizace hrozby a možnosti realizace hrozby.

Pro určení míry rizika můžete použít pětibodovou nebo desetibodovou stupnici. Při určování úrovně rizika můžete použít referenční tabulky, které vám umožní pochopit, které kombinace ukazatelů (hodnota, pravděpodobnost, příležitost) vedou k jaké úrovni rizika.

5. Analyzujte data získaná pro každou hrozbu a úroveň rizika pro ni získanou.

Tým pro analýzu rizik často pracuje s konceptem „přijatelné úrovně rizika“. Jedná se o úroveň rizika, kterou je společnost ochotna přijmout (pokud má hrozba úroveň rizika menší nebo rovnou přijatelné, pak se nepovažuje za relevantní). Globálním úkolem v kvalitativním hodnocení je snížit rizika na přijatelnou úroveň.

6. Vyvinout bezpečnostní opatření, protiopatření a akce pro každou aktuální hrozbu ke snížení úrovně rizika.

Jakou metodu zvolit?

Smyslem obou metod je pochopení skutečných rizik informační bezpečnosti společnosti, stanovení seznamu aktuálních hrozeb a také výběr účinných protiopatření a ochranných nástrojů. Každá metoda hodnocení rizik má své výhody a nevýhody.

Kvantitativní metoda poskytuje vizuální reprezentaci v penězích předmětů hodnocení (škody, náklady), je však pracnější a v některých případech nepoužitelná.

Kvalitativní metoda umožňuje provádět hodnocení rizik rychleji, ale hodnocení a výsledky jsou více subjektivní a neposkytují jasné pochopení škod, nákladů a přínosů implementace GIS.

Výběr metody by měl být proveden na základě specifik konkrétní společnosti a úkolů přidělených specialistovi.

Stanislav Šiljajev, Information Security Project Manager ve společnosti SKB Kontur

Jak správně posoudit rizika informační bezpečnosti – náš recept

Úkol hodnotit rizika informační bezpečnosti je dnes odbornou veřejností vnímán nejednoznačně a má to několik důvodů. Za prvé, neexistuje žádný zlatý standard nebo uznávaný přístup. Četné standardy a metodiky, i když jsou si obecně podobné, se v detailech výrazně liší. Použití té či oné metody závisí na oblasti a předmětu hodnocení. Ale výběr správné metody může být problém, pokud mají účastníci procesu hodnocení odlišný výkon o něm a jeho výsledcích.

Za druhé, hodnocení rizik informační bezpečnosti je čistě odborným úkolem. Analýza rizikových faktorů (jako je poškození, hrozba, zranitelnost atd.) prováděná různými odborníky často poskytuje různé výsledky. Nedostatečná reprodukovatelnost výsledků hodnocení vyvolává otázku spolehlivosti a užitečnosti získaných dat. Lidská přirozenost je taková, že abstraktní odhady, zejména ty, které se týkají pravděpodobnostních jednotek měření, jsou lidmi vnímány různými způsoby. Stávající aplikované teorie navržené tak, aby zohledňovaly míru subjektivního vnímání člověka (např. prospektová teorie), komplikují již tak komplikovanou metodologii analýzy rizik a nepřispívají k její popularizaci.

Za třetí, samotný postup hodnocení rizik ve svém klasickém smyslu, s rozkladem a inventarizací majetku, je velmi pracný úkol. Pokus o ruční analýzu pomocí běžných kancelářských nástrojů (jako jsou tabulky) se nevyhnutelně utopí v moři informací. Specializované softwarové nástroje určené ke zjednodušení jednotlivých fází analýzy rizik do určité míry usnadňují modelování, ale vůbec nezjednodušují sběr a systematizaci dat.

A konečně samotná definice rizika v kontextu problému informační bezpečnosti ještě není vyřešena. Stačí se podívat na změny v terminologii v ISO Guide 73:2009 ve srovnání s verzí z roku 2002. Zatímco dříve bylo riziko definováno jako potenciál poškození v důsledku zneužití zranitelnosti hrozbou, nyní je to účinek odchylky od očekávaných výsledků. K podobným koncepčním změnám došlo v novém vydání ISO/IEC 27001:2013.

Z těchto a také z řady dalších důvodů hodnocení rizik informační bezpečnosti zahrnuje nejlepší případ opatrně a v nejhorším případě - s velkou nedůvěrou. To diskredituje samotnou myšlenku řízení rizik, což vede k sabotáži tohoto procesu ze strany vedení a v důsledku toho ke vzniku mnoha incidentů, které jsou plné výročních analytických zpráv.

Vzhledem k výše uvedenému, z jaké strany je lepší přistupovat k úkolu hodnocení rizik informační bezpečnosti?

Svěží vzhled

Informační bezpečnost se dnes stále více zaměřuje na obchodní cíle a je zabudována do obchodních procesů. K podobným metamorfózám dochází s hodnocením rizik – získává potřebný obchodní kontext. Jaká kritéria by měla splňovat moderní metodika hodnocení rizik IS? Je zřejmé, že by měl být dostatečně jednoduchý a univerzální, aby výsledky jeho aplikace byly věrohodné a užitečné pro všechny účastníky procesu. Vyjmenujme několik principů, na kterých by taková technika měla být založena:

1. vyhnout se přílišným detailům;
2. spoléhat na názor podniku;
3. používat příklady;
4. zvážit externí zdroje informace.

Podstatu navržené metodiky nejlépe demonstruje praktický příklad. Zvažte úkol hodnocení rizik informační bezpečnosti v obchodní a výrobní společnosti. Kde to obvykle začíná? Z vymezení hranic posouzení. Pokud se hodnocení rizik provádí poprvé, hranice by měly zahrnovat hlavní obchodní procesy, které generují výnosy, a také procesy, které jim slouží.

Pokud obchodní procesy nejsou zdokumentovány, lze o nich získat obecnou představu prozkoumáním organizační struktury a předpisů o odděleních, které obsahují popis cílů a záměrů.

Po určení hranic hodnocení přejděme k identifikaci aktiv. V souladu s výše uvedeným budeme hlavní obchodní procesy považovat za agregovaná aktiva, přičemž inventarizaci informačních zdrojů odložíme do dalších fází (pravidlo 1). To je způsobeno tím, že metodika zahrnuje postupný přechod od obecného ke konkrétnímu a danou úroveň podrobné informace prostě nejsou potřeba.

Rizikové faktory

Budeme předpokládat, že jsme se rozhodli o skladbě oceňovaného majetku. Dále musíte identifikovat hrozby a zranitelná místa, která jsou s nimi spojena. Tento přístup je však použitelný pouze při provádění podrobné analýzy rizik, kdy jsou předmětem hodnocení objekty prostředí informačních aktiv. V nová verze ISO/IEC 27001:2013 přesunula těžiště hodnocení rizik z tradičních IT aktiv na informace a jejich zpracování. Vzhledem k tomu, že při současné úrovni podrobností uvažujeme o agregovaných obchodních procesech společnosti, stačí identifikovat pouze rizikové faktory vysoké úrovně, které jsou jim vlastní.

Rizikový faktor je specifická charakteristika objektu, technologie nebo procesu, která je zdrojem problémů v budoucnosti. O přítomnosti rizika jako takového lze přitom hovořit pouze v případě, že problémy mají negativní dopad na výkonnost firmy. Je vytvořen logický řetězec:

Úkol identifikace rizikových faktorů se tak redukuje na identifikaci neúspěšných vlastností a charakteristik procesů, které určují pravděpodobné rizikové scénáře, které mají negativní dopad na podnikání. Pro zjednodušení jeho řešení využijeme obchodní model informační bezpečnosti vyvinutý sdružením ISACA (viz obr. 1):

Rýže. 1. Obchodní model informační bezpečnosti

Uzly modelu označují základní hybné síly jakékoli organizace: strategii, procesy, lidi a technologie a jeho hrany představují funkční vazby mezi nimi. V těchto žebrech se v podstatě koncentrují hlavní rizikové faktory. Jak je snadno vidět, rizika jsou spojena nejen s informačními technologiemi.

Jak identifikovat rizikové faktory na základě výše uvedeného modelu? Je nutné do toho zapojit i podnikání (pravidlo 2). Obchodní jednotky si obvykle dobře uvědomují problémy, kterým při své práci čelí. Často se připomínají zkušenosti kolegů z branže. Tyto informace můžete získat položením správných otázek. Otázky týkající se personálu by měly být směrovány na lidské zdroje, technologické problémy na automatizaci (IT) a záležitosti obchodních procesů na příslušné obchodní jednotky.

V úloze identifikace rizikových faktorů je výhodnější vycházet z problémů. Po identifikaci jakéhokoli problému je nutné určit jeho příčinu. V důsledku toho může být identifikován nový rizikový faktor. Hlavním problémem je zde nerolovat. Pokud například k incidentu došlo v důsledku protiprávního jednání zaměstnance, rizikovým faktorem nebude to, že zaměstnanec porušil ustanovení nějakého předpisu, ale to, že se jednání stalo možné. Předpokladem vzniku problému je vždy rizikový faktor.

Aby personál lépe porozuměl tomu, na co se přesně ptá, je vhodné otázky doplnit příklady (pravidlo 3). Níže jsou uvedeny příklady několika rizikových faktorů vysoké úrovně, které mohou být společné mnoha podnikovým procesům:

Personál:

• Nedostatečná kvalifikace (okraj lidských faktorů na obr. 1)
• Nedostatek zaměstnanců (vznik žeber)
• Nízká motivace (kultura žeber)

Procesy:

• Častá změna vnějších požadavků (řídící hrana)
• Nedostatečně vyvinutá automatizace procesů (Enabling & Support edge)
• Kombinace rolí podle účinkujících (vznik žeber)

Technologie:

• Starší software (Eabling & Support edge)
• Špatná uživatelská odpovědnost (omezená lidskými faktory)
• Heterogenní IT prostředí (hrana architektury)

Důležitou výhodou navržené metody hodnocení je možnost křížové analýzy, kdy dvě různá oddělení posuzují stejný problém z různých úhlů pohledu. S ohledem na tuto okolnost je velmi užitečné klást dotazovaným otázky typu: „Co si myslíte o problémech, které vaši kolegové identifikovali?“. Je to skvělý způsob, jak získat další známky a také upravit ty stávající. Pro upřesnění výsledku lze provést několik kol takového hodnocení.

Dopad na podnikání

Jak vyplývá z definice rizika, je charakterizováno mírou dopadu na obchodní výkonnost organizace. Pohodlným nástrojem, který vám umožní určit povahu dopadu scénářů implementace rizik na podnikání, je systém Balanced Scorecards. Aniž bychom zacházeli do podrobností, poznamenáváme, že Balanced Scorecards identifikuje 4 obchodní vyhlídky pro každou společnost, které spolu hierarchicky souvisí (viz obr. 2).

Rýže. 2. Čtyři obchodní perspektivy Balanced Scorecard

Ve vztahu k uvažované metodice lze riziko považovat za významné, pokud negativně ovlivňuje alespoň jednu z následujících tří podnikatelských perspektiv: finance, zákazníci a/nebo procesy (viz obr. 3).

Rýže. 3. Klíčové ukazatele podnikání

Například rizikový faktor „Nízká uživatelská odpovědnost“ by mohl vést ke scénáři „Únik informací o zákazníkovi“. To zase ovlivní obchodní metriku počtu zákazníků.

Pokud společnost vyvinula obchodní metriky, značně to zjednodušuje situaci. Kdykoli je možné sledovat dopad konkrétního rizikového scénáře na jeden nebo více obchodních ukazatelů, lze odpovídající rizikový faktor považovat za významný a výsledky jeho vyhodnocení by měly být zaznamenány v dotaznících. Čím výše v hierarchii obchodních metrik je dopad scénáře, tím větší je potenciální dopad na podnikání.

Úkol analyzovat tyto důsledky je odborným úkolem, proto by měl být řešen se zapojením specializovaných obchodních jednotek (pravidlo 2). Pro dodatečnou kontrolu získaných odhadů je užitečné použít externí zdroje informací obsahující statistické údaje o velikosti ztrát v důsledku incidentů (pravidlo 4), například výroční zprávu Cost of Data Breach Study.

Skóre pravděpodobnosti

V konečné fázi analýzy je u každého identifikovaného rizikového faktoru, jehož dopad na podnikání lze určit, nutné posoudit pravděpodobnost scénářů s ním spojených. Na čem toto hodnocení závisí? Do značné míry z přiměřenosti ochranných opatření zavedených ve společnosti.

Zde je malé upozornění. Je logické předpokládat, že když byl problém identifikován, znamená to, že je stále aktuální. Realizovaná opatření přitom s největší pravděpodobností nestačí k narovnání předpokladů pro její vznik. O dostatečnosti protiopatření rozhodují výsledky hodnocení efektivity jejich aplikace např. pomocí systému metrik.

Pro hodnocení můžete použít jednoduchou 3-úrovňovou stupnici, kde:

3 - realizovaná protiopatření jsou obecně dostatečná;

2 - protiopatření jsou implementována nedostatečně;

1 - žádná protiopatření.

Jako referenční knihy popisující protiopatření můžete použít specializované normy a směrnice, jako je CobiT 5, ISO / IEC 27002 atd. Každé protiopatření by mělo být spojeno s určitým rizikovým faktorem.

Je důležité si uvědomit, že analyzujeme rizika spojená nejen s používáním IT, ale také s organizací interní informační procesy ve společnosti. Proto by měla být protiopatření zvažována šířeji. Ne nadarmo nová verze ISO/IEC 27001:2013 obsahuje klauzuli, že při volbě protiopatření je nutné použít jakékoli externí zdroje (pravidlo 4), a nikoli pouze přílohu A, která je v normě pro referenční účely.

Velikost rizika

Pro stanovení konečné hodnoty rizika lze použít jednoduchou tabulku (viz tabulka 1).

Tab. 1. Matice hodnocení rizik

V případě, že rizikový faktor ovlivňuje několik obchodních perspektiv, jako jsou „Zákazníci“ a „Finance“, jsou jejich ukazatele shrnuty. Dimenze škály, stejně jako přijatelné úrovně rizik IS, lze určit jakýmkoli pohodlným způsobem. Ve výše uvedeném příkladu jsou rizika s úrovněmi 2 a 3 považována za vysoká.

V tomto okamžiku lze považovat první fázi hodnocení rizik za dokončenou. Konečná hodnota rizika spojeného s posuzovaným obchodním procesem je stanovena jako součet složených hodnot pro všechny identifikované faktory. Za vlastníka rizika lze považovat osobu odpovědnou ve společnosti za posuzovaný objekt.

Výsledné číslo nám neříká, kolik peněz organizaci hrozí ztráta. Místo toho označuje oblast koncentrace rizik a povahu jejich dopadu na výkonnost podniku. Tyto informace jsou nezbytné, abychom se mohli dále zaměřit na nejdůležitější detaily.

Detailní posouzení

Hlavní výhodou této techniky je, že umožňuje provádět analýzu rizik informační bezpečnosti s požadovanou úrovní detailů. V případě potřeby můžete „propadnout“ do prvků modelu bezpečnosti informací (obr. 1) a podrobněji je zvážit. Například identifikací nejvyšší koncentrace rizika v okrajích souvisejících s IT můžete zvýšit úroveň detailů technologického uzlu. Jestliže dříve fungoval jako objekt hodnocení rizik samostatný podnikový proces, nyní se pozornost přesune na konkrétní informační systém a procesy jeho použití. Aby byla zajištěna požadovaná úroveň podrobností, může být vyžadován soupis informačních zdrojů.

To vše platí i pro ostatní oblasti hodnocení. Když změníte detail uzlu Lidé, objekty hodnocení se mohou stát personální role nebo dokonce jednotliví zaměstnanci. Pro uzel Process to mohou být specifické pracovní zásady a postupy.

Změnou úrovně detailů se automaticky změní nejen rizikové faktory, ale i použitelná protiopatření. Obojí bude specifičtější pro předmět hodnocení. Obecný přístup k provádění hodnocení rizik se však nezmění. Pro každý identifikovaný faktor bude nutné vyhodnotit:

• míra dopadu rizika na obchodní vyhlídky;
• dostatek protiopatření.

Ruský syndrom

Vydání normy ISO/IEC 27001:2013 postavilo mnoho ruských společností do obtížné pozice. Na jedné straně již vyvinuli určitý přístup k hodnocení rizik informační bezpečnosti, založený na klasifikaci informačních aktiv, hodnocení hrozeb a zranitelností. Národním regulátorům se podařilo vydat řadu předpisů podporujících tento přístup, například standard Bank of Russia, příkazy FSTEC. Na druhou stranu úkol hodnocení rizik je již dávno pro změnu a nyní je nutné upravit zavedený řád tak, aby vyhovoval starým i novým požadavkům. Ano, dnes je stále možné získat certifikaci podle normy GOST R ISO / IEC 27001:2006, která je shodná s předchozí verze ISO/IEC 27001, ale ne na dlouho.

Výše zmíněná metodika analýzy rizik řeší tento problém. Kontrolou úrovně podrobností v hodnocení můžete zvážit aktiva a rizika v jakémkoli měřítku, od obchodních procesů až po jednotlivce informační toky. Tento přístup je také výhodný, protože umožňuje pokrýt všechna rizika na vysoké úrovni, aniž by něco chybělo. Zároveň společnost výrazně sníží mzdové náklady na další analýzy a nebude ztrácet čas detailním hodnocením nevýznamných rizik.

Je třeba poznamenat, že čím podrobnější je oblast hodnocení, tím větší odpovědnost leží na expertech a tím větší je požadovaná kompetence, protože když se změní hloubka analýzy, změní se nejen rizikové faktory, ale také krajina použitelných protiopatření.

Přes všechny pokusy o zjednodušení je analýza rizik informační bezpečnosti stále časově náročná a složitá. Vedoucí tohoto procesu má zvláštní odpovědnost. Mnoho věcí bude záviset na tom, jak kompetentně vybuduje přístup a jak se s úkolem vypořádá – od přidělení rozpočtu na bezpečnost informací až po udržitelnost podnikání.