Hodnocení a zvládání rizik
4.1 Hodnocení bezpečnostních rizik
V rámci hodnocení rizik by měla být identifikována a kvantifikována rizika, měla by být určena
důležitost jednotlivých rizik s ohledem na kritéria pro jejich akceptaci a cíle organizace.
Výstupem z hodnocení rizik by měla být doporučení a priority řízení jednotlivých rizik a priority
implementace vybraných opatření na ochranu proti těmto rizikům. Celý proces hodnocení rizik
a výběru vhodných opatření může být nutné opakovat pro různé části organizace nebo
jednotlivé informační systémy.
Součástí hodnocení rizik by také měl být systematický přístup k odhadu velikosti rizika (analýza
rizik) a proces porovnání odhadnutých rizik se stanovenými kritérii pro určení jejich důležitosti
(vyhodnocení rizik).
Hodnocení rizik by mělo být prováděno v pravidelných intervalech, aby byly zjištěny změny
v bezpečnostních požadavcích a změny z pohledu rizik, např. změny aktiv, hrozeb,
zranitelností, dopadů, vyhodnocení rizik a také v případě, že nastanou významné organizační
změny. Hodnocení rizik by mělo být prováděno metodicky tak, aby výsledky jednotlivých
hodnocení byly srovnatelné a reprodukovatelné.
Rozsah hodnocení rizik by měl být jasně definován, hodnocení rizik v jednotlivých oblastech
(části organizace, informační systémy) by měla být vzájemně propojena.
Rozsah hodnocení rizik může zahrnovat celou organizaci, část(i) organizace, vybraný
informační systém, specifické prvky systému a nebo tam kde je to proveditelné, reálné
a užitečné, služby. Příklady metodologií hodnocení rizik jsou uvedeny v normě ISO/IEC TR
13335-32.
4.2 Zvládání bezpečnostních rizik
Předtím než je rozhodnuto o způsobu zvládání rizika, měla by být stanovena kritéria, na základě
kterých bude určováno, jestli je riziko pro organizaci akceptovatelné. Riziko může být
akceptováno například z důvodu, že je nízké a nebo, že náklady spojené s jeho zvládáním jsou
pro organizaci cenově nepříznivé. O takovýchto rozhodnutích by měly být vytvořeny záznamy.
Následně po provedeném hodnocení rizik musí být učiněno rozhodnutí jakým způsobem bude
s identifikovanými riziky naloženo. Možné varianty zahrnují:
a) aplikace vhodných opatření na snížení velikosti rizika;
b) vědomá a objektivní akceptace rizika, za předpokladu, že je tak učiněno v souladu
s bezpečnostní politikou organizace a kritérii pro akceptaci rizika;
c) vyhnutí se riziku zamezením činností, které jsou příčinou jeho vzniku;
d) přenos rizika na jiný subjekt (např. pojišťovny, dodavatele).
Jestliže bylo učiněno rozhodnutí o zvládáni rizika formou aplikace vhodných opatření, měl by
být výběr těchto opatření proveden na základě požadavků identifikovaných v rámci hodnocení
rizik.
Opatření by měla zaručit snížení rizika na přijatelnou úroveň, přičemž v úvahu by mělo být
vzato následující:
a) požadavky a omezení národní a mezinárodní legislativy a předpisů;
b) cíle organizace;
c) provozní požadavky a omezení;
d) cena za implementaci a provozní náklady spojené s přijetím opatření na snížení rizika,
dle požadavků a omezení organizace;
e) potřeba udržovat rovnováhu mezi investicemi spojenými s implementací a provozem
opatření a případnými škodami způsobenými selháním bezpečnosti.
Opatření k implementaci mohou být vybírána z této normy nebo z jiných obdobných souborů
opatření, případně mohou být navržena zcela nová opatření tak, aby co nejlépe odpovídala
požadavkům organizace. Je důležité si uvědomit, že ne všechna opatření uvedená v této normě
budou aplikovatelná pro každý informační systém, prostředí nebo organizaci. Jako příklad lze
uvést opatření z kapitoly 10.1.3, které popisuje oddělení jednotlivých rolí jako způsob prevence
proti podvodům a chybám. Zejména u malých organizací nemusí být toto opatření
realizovatelné a pro dosažení stejného cíle bude nutné hledat jiná opatření. Jiným příkladem
může být opatření z kapitoly 10.10, popisující monitorování přístupu k systému a sběr důkazů.
Popsaná opatření, např. zaznamenávání událostí, mohou být v rozporu s platnou legislativou,
jako je ochrana soukromí zákazníků nebo ochrana soukromí na pracovišti.
Opatření by měla být vybírána již ve fázi návrhu a specifikaci požadavků projektu nového
systému. Opačný případ může mít za následek dodatečné zvýšení nákladů, méně účinná
řešení a v nejhorším případě neschopnost dosáhnout požadované úrovně bezpečnosti.
Žádná sada opatření nemůže sama o sobě zajistit kompletní bezpečnost. Na podporu cílů
organizace by měly proto být zavedeny řídící činnosti pro monitorování, vyhodnocování,
zlepšování výkonnosti a účinnosti bezpečnostních opatření.