Riadenie rizík
pomoc pri implementácií informačnej a kyber bezpečnosti a privacy
Riadenie rizík
Úvod do riadenia rizík
Riadenie rizík je riešenie rizík, ktoré môžu nastať v organizácii alebo časti činnosti organizácie (napr. kreditné riziko) resp. na životnom prostredí resp. riešenie technických rizík.
Riadenie rizík má 4 základné fázy:
- identifikácia rizika
- analýza rizika a jeho následkov
- riadenie reakcií na riziko
- monitoring rizika.
Riadenie rizík je systematický proces, v ktorom sa riziko identifikuje, analyzuje a navrhuje efektívny spôsob jeho zvládnutia. Dôležité je si uvedomiť, že vždy je to o peniazoch.
Prioritou riadenia rizík je dosiahnutie bezpečnosti a ochrany majetku vypracovaním optimálnej stratégie riadenia rizík.
Riadenie rizík sa dostáva do všetkých oblastí súkromného sektoru a verejnej správa. Vyžaduje si to legislatíva, regulácie ako aj plnenie zmluvných záväzkov
Základný prístup k riadeniu rizík
Kde všade riadime riziká?
ISO 9001 – Požiadavka na riadenie rizík a príležitostí spoločnosti (SWOT analýza)
ISO 27001 – ISMS Riadenie informačnej bezpečnosti – požiadavka normy
ISO 31000 – Všeobecné riadenie rizík
ISO 27005 – Riadenie ICT rizík
ISO 29100 – Riadenie PRIVACY rizík (DPIA)
ISO 22301 – Analýza rizík pre BCM – zníženie dopadu výpadku služieb
69/2018 ZoKB – Analýza rizík pre Kybernetické hrozby
69/2018 ZoKB – Analýza rizík pri výbere dodávateľa
Zákon č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe
Vyhláška č. 179/2020 Z. z. Zákona č. 95/2019 Z. z.
Zákon č. 18/2018 Z. z. ochrane osobných údajov
Vyhláška č. 158/2018 Z. z. k Zákonu č. 18/2018 Z. z.
Riadenie rizík počas celého cyklu systémov (SDLC)pre
Každý účel, pre ktorý sa analýza rizík vykonáva, má svoje špecifické požiadavky a vykonáva sa s aplikovaním rozličných štandardov. Hlavný rozdiel je v tom, voči komu sa vzťahujú dopady, obsahu hrozieb a zraniteľností ako ah použitých mitigačných opatrení. Všetky spôsoby sú však odvodené od základnej metodiky riadenia všeobecných rizík podľa ISO 31000.
Základné typy, s ktorými pri bežnej praxi sú nasledovné:
- Riadenie ICT Rizík
- Riadenie Privacy rizík
- Riadenie kybernetických rizík
- Riadenie rizík pre potreby BCM
Riadenie ICT Rizík
Aplikácie riadenia ICT rizika podľa ISO 27005
Roadmap pre riadenie rizík informačnej bezpečnosti na základe požiadavky ISO 27001. Metodika sa odkazuje na štandard ISO 27005 – Riadenie ICT rizík
ISO / IEC 27005 poskytuje návody a techniky na riadenie rizík informačnej bezpečnosti. Jej aplikácia je nevyhnutná pri zavádzaní informačnej bezpečnosti ISMS podľa štandardu ISO 27001. Štandard sa odvoláva pri mitigačných opatreniach na prílohu A, ISO 27001, ktorá obsahuje 114 technických a organizačných opatrení. Je vhodné túto knižnicu rozširovať o vlastné opatrenia, vychádzajúce so špecifických hrozieb konkrétnej spoločnosti. Tieto opatrenia a ich implementácia sú popísané vo výkladovej norme ISO 27002.
— Potrebujete pomoc ohľadne informačnej a kyber bezpečnosti a privacy? —
Potrebujete pomoc ohľadne informačnej a kyber bezpečnosti a privacy?
Ak sa potrebujete spoľahnúť na profesionálov neváhajte nás kontaktovať. Náš tím odborníkov je tu pre vás a poskytne vám aktívnu pomoc pri vzdelávaní, poradenstve, meranie úrovne bezpečnosti, implementácií štandardov, príprave na certifikačné audity.
Riadenie Privacy rizík
Roadmap pre riadenie PIVACY rizík je požadovaná v špecifických prípadoch pri riešení GDPR, ktorá sa nazýva DPIA (Data Protection Impact Assessment). - posúdenia vplyvu na súkromie.
Je vhodné aplikovať štandard ISO 27005 – Riadenie ICT rizík ale v kombinácií s ISO 29100 Privacy framework, ktorý má mierne odlišný prístup na chránené aktíva a aplikuje rozdielne dvojice hrozieb a zraniteľností. Taktiež je vhodné nahradiť knižnicu mitigačných opatrení ISO 27002 vyhláškou č, 158, ÚOOÚ. Je vhodné túto tieto mitigačné opatrenia rozširovať o vlastné, vychádzajúce so špecifických hrozieb konkrétnej spoločnosti.
Zásadný rozdiel je v tom, že dopady sa neposudzujú voči spoločnosti ale voči tzv., „Dotknutým osobám“ (fyzickým osobám).
ISO / IEC 27005 poskytuje návody a techniky na riadenie rizík informačnej bezpečnosti. Jej aplikácia je nevyhnutná pri zavádzaní informačnej bezpečnosti ISMS podľa štandardu ISO 27001. Štandard sa odvoláva pri mitigačných opatreniach na prílohu A, ISO 27001, ktorá obsahuje 114 technických a organizačných opatrení. Tieto opatrenia a ich implementácia sú popísané vo výkladovej norme ISO 27002.
Riadenie kybernetických rizík
Roadmap pre riadenie rizík kybernetickej bezpečnosti je identická ako pri riadení ICT rizík podľa požiadaviek ISO 27001. Metodika sa odkazuje na štandard ISO 27005. Rozdielom je, že u kybernetickej bezpečnosti musíme zohľadňovať všetky aspekty riadenia ICT rizík a PRIVACY rizík. Do dvojíc Hrozba / Zraniteľnosť treba doplniť špecifické hrozby, vychádzajúce zo základných vektorov kybernetických útokov, ktoré sa v ICT ani PRIVACY frameworku zásadne nevyskytujú. Taktiež opatrenia treba rozšíriť z oblastí Detection a Response.
Riadenie rizík BCM
Roadmap pre riadenie rizík pre potreby BCM vychádza z metodiky riadenia ICT rizík podľa štandardu ISO 27005 – Riadenie ICT rizík
V oblasti BCM obsahom analýzy je určenie hrozieb a zraniteľností, ktoré majú priamy súvis s poskytovaním služieb, predovšetkým „Dostupnosť“.
Neoddeliteľnou súčasťou je podrobné posúdenie schopnosti plynulej dodávky služieb dodávateľov, od ktorých je spoločnosť závislá pri plnení svojich SLA. Preto je dôležité uistenie, či dodávateľ je schopný poskytovať služby aj v stave krízy a nie len počas štandardnej prevádzky.