Hodnocení a zvládání rizik

4.1 Hodnocení bezpečnostních rizik

V rámci hodnocení rizik by měla být identifikována a kvantifikována rizika, měla by být určena

důležitost jednotlivých rizik s ohledem na kritéria pro jejich akceptaci a cíle organizace.

Výstupem z hodnocení rizik by měla být doporučení a priority řízení jednotlivých rizik a priority

implementace vybraných opatření na ochranu proti těmto rizikům. Celý proces hodnocení rizik

a výběru vhodných opatření může být nutné opakovat pro různé části organizace nebo

jednotlivé informační systémy.

Součástí hodnocení rizik by také měl být systematický přístup k odhadu velikosti rizika (analýza

rizik) a proces porovnání odhadnutých rizik se stanovenými kritérii pro určení jejich důležitosti

(vyhodnocení rizik).

Hodnocení rizik by mělo být prováděno v pravidelných intervalech, aby byly zjištěny změny

v bezpečnostních požadavcích a změny z pohledu rizik, např. změny aktiv, hrozeb,

zranitelností, dopadů, vyhodnocení rizik a také v případě, že nastanou významné organizační

změny. Hodnocení rizik by mělo být prováděno metodicky tak, aby výsledky jednotlivých

hodnocení byly srovnatelné a reprodukovatelné.

Rozsah hodnocení rizik by měl být jasně definován, hodnocení rizik v jednotlivých oblastech

(části organizace, informační systémy) by měla být vzájemně propojena.

Rozsah hodnocení rizik může zahrnovat celou organizaci, část(i) organizace, vybraný

informační systém, specifické prvky systému a nebo tam kde je to proveditelné, reálné

a užitečné, služby. Příklady metodologií hodnocení rizik jsou uvedeny v normě ISO/IEC TR

13335-32.

4.2 Zvládání bezpečnostních rizik

Předtím než je rozhodnuto o způsobu zvládání rizika, měla by být stanovena kritéria, na základě

kterých bude určováno, jestli je riziko pro organizaci akceptovatelné. Riziko může být

akceptováno například z důvodu, že je nízké a nebo, že náklady spojené s jeho zvládáním jsou

pro organizaci cenově nepříznivé. O takovýchto rozhodnutích by měly být vytvořeny záznamy.

Následně po provedeném hodnocení rizik musí být učiněno rozhodnutí jakým způsobem bude

s identifikovanými riziky naloženo. Možné varianty zahrnují:

a) aplikace vhodných opatření na snížení velikosti rizika;

b) vědomá a objektivní akceptace rizika, za předpokladu, že je tak učiněno v souladu

s bezpečnostní politikou organizace a kritérii pro akceptaci rizika;

c) vyhnutí se riziku zamezením činností, které jsou příčinou jeho vzniku;

d) přenos rizika na jiný subjekt (např. pojišťovny, dodavatele).

Jestliže bylo učiněno rozhodnutí o zvládáni rizika formou aplikace vhodných opatření, měl by

být výběr těchto opatření proveden na základě požadavků identifikovaných v rámci hodnocení

rizik.

Opatření by měla zaručit snížení rizika na přijatelnou úroveň, přičemž v úvahu by mělo být

vzato následující:

a) požadavky a omezení národní a mezinárodní legislativy a předpisů;

b) cíle organizace;

c) provozní požadavky a omezení;

d) cena za implementaci a provozní náklady spojené s přijetím opatření na snížení rizika,

dle požadavků a omezení organizace;

e) potřeba udržovat rovnováhu mezi investicemi spojenými s implementací a provozem

opatření a případnými škodami způsobenými selháním bezpečnosti.

Opatření k implementaci mohou být vybírána z této normy nebo z jiných obdobných souborů

opatření, případně mohou být navržena zcela nová opatření tak, aby co nejlépe odpovídala

požadavkům organizace. Je důležité si uvědomit, že ne všechna opatření uvedená v této normě

budou aplikovatelná pro každý informační systém, prostředí nebo organizaci. Jako příklad lze

uvést opatření z kapitoly 10.1.3, které popisuje oddělení jednotlivých rolí jako způsob prevence

proti podvodům a chybám. Zejména u malých organizací nemusí být toto opatření

realizovatelné a pro dosažení stejného cíle bude nutné hledat jiná opatření. Jiným příkladem

může být opatření z kapitoly 10.10, popisující monitorování přístupu k systému a sběr důkazů.

Popsaná opatření, např. zaznamenávání událostí, mohou být v rozporu s platnou legislativou,

jako je ochrana soukromí zákazníků nebo ochrana soukromí na pracovišti.

Opatření by měla být vybírána již ve fázi návrhu a specifikaci požadavků projektu nového

systému. Opačný případ může mít za následek dodatečné zvýšení nákladů, méně účinná

řešení a v nejhorším případě neschopnost dosáhnout požadované úrovně bezpečnosti.

Žádná sada opatření nemůže sama o sobě zajistit kompletní bezpečnost. Na podporu cílů

organizace by měly proto být zavedeny řídící činnosti pro monitorování, vyhodnocování,

zlepšování výkonnosti a účinnosti bezpečnostních opatření.