Analýza rizik

1. Analýza rizik Miroslav Čermák

2. IDENTIFIKACE RIZIK VYMEZENÍ HRANIC VYHODNOCENÍ RIZIK ANALÝZA RIZIK ZVLÁDÁNÍ RIZIK Řízení rizik ŘÍZENÍ RIZIK • Identifikace respondentů • Identifikace aktiv • Kvantifikace aktiv • Identifikace hrozeb • Kvantifikace hrozeb • Identifikace zranitelností • Kvantifikace zranitelností HODNOCENÍ RIZIK

3. Analýza rizik • Přístup k provedení AR: • interní • externí • kombinovaný • Strategie AR: • orientační • detailní • Metodika AR: • kvantitativní • kvalitativní

4. Plán analýzy rizik Projektové řízení je pro úspěšné provedení AR naprosto nezbytné.K AR je proto vhodné přistupovat jako k jakémukoliv jinému projektu. Vždy musíme sledovat: • rozsah • délku trvání • náklady a samozřejmě: • kvalitu • rizika ČAS PENÍZE KVALITA ROZSAH

5. Plán analýzy rizik Stanovení hranic AR Hranice AR je pomyslná čára, která odděluje aktiva, která jsou předmětem AR, říkáme, že leží uvnitř hranic analýzy, od těch aktiv, která nejsou předmětem AR, a říkáme o nich, že leží mimo hranice nebo za hranicemi AR. ČAS PENÍZE KVALITA ROZSAH

6. Plán analýzy rizik Stanovení hloubky AR • granualitou aktiv, tedy tím jak moc jsou aktiva agregována, • množstvím hrozeb, typické, specifické x všechny možné, • množstvím respondentů pro aktiva, hrozby a zranitelnosti. ČAS PENÍZE KVALITA ROZSAH

7. Plán analýzy rizik Stanovení délky trvání AR • šíře AR (dáno hranicemi AR) • hloubka AR (kvalita) • množství finančních prostředků ČAS PENÍZE KVALITA ROZSAH

8. Plán analýzy rizik Stanovení nákladů AR • šíře AR (dáno hranicemi AR) • hloubka AR (kvalita) • délka trvání PENÍZE ČAS KVALITA ROZSAH

9. Sestavení analytického týmu • uživatelé: • vlastník systému • uživatel systému • experti: • správce systému • správce aplikace • správce databáze • správce sítě • pracovník informační bezpečnosti • pracovník fyzické bezpečnosti • systémový analytik • pracovník řízení lidských zdrojů • expert na analýzu a řízení rizik

10. Analýza rizik • Identifikace respondentů • Získávání informací • Analýza informací • Interpretace informací • Verifikace informací • Dokumentace informací

11. Identifikace aktiv • Útvar - číslo útvaru a název útvaru • Manažer - jméno manažera daného útvaru • Název procesu - co nejvýstižnější • Název aktiva - jedinečný název Business Process Analysis – procesně orientovaná analýza, jejímž cílem je identifikace všech procesů a aktiv, která se v rámci daného procesu používají. Snažte se maximálně využít dostupných informací!

12. Dekompozice aktiv • Organizační vrstva - procesy • Logická vrstva - SW • Fyzická vrstva - HW Objektově hierarchická dekompozice aktiv

13. Agregace aktiv • hardware (HW) • software (SW) • síť (NET) • média (MDA) • data (DTA) • personál (STF) • prostory (SPC) Každý proces je více či méně závislý na těchto aktivech:

14. Kvantifikace aktiv • Důvěrnost • Integrita • Dostupnost • Minuty • Hodiny • Dny • Týdny Business Impact Analysis

15. Kvantifikace aktiv

16. Identifikace a kvantifikace hrozeb • Úmyslné škody • Neúmyslné škody • Technické selhání • Přírodní hrozby

17. Identifikace a kvantifikace zranitelností

18. Řízení rizik Kontakt: Miroslav Čermák mc@cleverandsmart.cz Knihu: ŘÍZENÍ INFORMAČNÍCH RIZIK V PRAXI si můžete objednat na: www.cleverandsmart.cz