qtrust@qtrust.sk          +421 917 941 299            Q-TRUST s. r. o.​, Klincová 37 821 08 Bratislava - mestská časť Ružinov

Riadenie rizík

pomoc pri implementácií informačnej a kyber bezpečnosti a privacy

Riadenie rizík

Úvod do riadenia rizík

Riadenie rizík je riešenie rizík, ktoré môžu nastať v organizácii alebo časti činnosti organizácie (napr. kreditné riziko) resp. na životnom prostredí resp. riešenie technických rizík.

Riadenie rizík má 4 základné fázy:

  • identifikácia rizika
  • analýza rizika a jeho následkov
  • riadenie reakcií na riziko
  • monitoring rizika.

Riadenie rizík je systematický proces, v ktorom sa riziko identifikuje, analyzuje a navrhuje efektívny spôsob jeho zvládnutia. Dôležité je si uvedomiť, že vždy je to o peniazoch.

Prioritou riadenia rizík je dosiahnutie bezpečnosti a ochrany majetku vypracovaním optimálnej stratégie riadenia rizík.

Riadenie rizík sa dostáva do všetkých oblastí súkromného sektoru a verejnej správa. Vyžaduje si to legislatíva, regulácie ako aj plnenie zmluvných záväzkov

Základný prístup k riadeniu rizík
riadenie rizik1

Kde všade riadime riziká?

ISO 9001 – Požiadavka na riadenie rizík a príležitostí spoločnosti (SWOT analýza)
ISO 27001 – ISMS Riadenie informačnej bezpečnosti – požiadavka normy
ISO 31000 – Všeobecné riadenie rizík
ISO 27005 – Riadenie ICT rizík
ISO 29100 – Riadenie PRIVACY rizík (DPIA)
ISO 22301 – Analýza rizík pre BCM – zníženie dopadu výpadku služieb
69/2018 ZoKB – Analýza rizík pre Kybernetické hrozby
69/2018 ZoKB – Analýza rizík pri výbere dodávateľa
Zákon č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe
Vyhláška č. 179/2020 Z. z. Zákona č. 95/2019 Z. z.
Zákon č. 18/2018 Z. z. ochrane osobných údajov
Vyhláška č. 158/2018 Z. z. k Zákonu č. 18/2018 Z. z.
Riadenie rizík počas celého cyklu systémov (SDLC)pre

Každý účel, pre ktorý sa analýza rizík vykonáva, má svoje špecifické požiadavky a vykonáva sa s aplikovaním rozličných štandardov. Hlavný rozdiel je v tom, voči komu sa vzťahujú dopady, obsahu hrozieb a zraniteľností ako ah použitých mitigačných opatrení. Všetky spôsoby sú však odvodené od základnej metodiky riadenia všeobecných rizík podľa ISO 31000.

Základné typy, s ktorými pri bežnej praxi sú nasledovné:

  • Riadenie ICT Rizík
  • Riadenie Privacy rizík
  • Riadenie kybernetických rizík
  • Riadenie rizík pre potreby BCM

Riadenie ICT Rizík

Aplikácie riadenia ICT rizika podľa ISO 27005

Roadmap pre riadenie rizík informačnej bezpečnosti na základe požiadavky ISO 27001. Metodika sa odkazuje na štandard ISO 27005 – Riadenie ICT rizík

ISO / IEC 27005 poskytuje návody a techniky na riadenie rizík informačnej bezpečnosti. Jej aplikácia je nevyhnutná pri zavádzaní informačnej bezpečnosti ISMS podľa štandardu ISO 27001. Štandard  sa odvoláva pri mitigačných opatreniach na prílohu A, ISO 27001, ktorá obsahuje 114 technických a organizačných opatrení. Je vhodné túto knižnicu rozširovať o vlastné opatrenia, vychádzajúce so špecifických hrozieb konkrétnej spoločnosti.  Tieto opatrenia a ich implementácia sú popísané vo výkladovej norme ISO 27002.

 

riadenie rizik2

— Potrebujete pomoc ohľadne informačnej a kyber bezpečnosti a privacy? —  

 

 

Potrebujete pomoc ohľadne informačnej a kyber bezpečnosti a privacy?

Ak sa potrebujete spoľahnúť na profesionálov neváhajte nás kontaktovať. Náš tím odborníkov je tu pre vás a poskytne vám aktívnu pomoc pri vzdelávaní, poradenstve, meranie úrovne bezpečnosti, implementácií štandardov, príprave na certifikačné audity.

Riadenie Privacy rizík

Roadmap pre riadenie PIVACY rizík je požadovaná v špecifických prípadoch pri riešení GDPR, ktorá sa nazýva DPIA (Data Protection Impact Assessment). - posúdenia vplyvu na súkromie.

Je vhodné aplikovať štandard ISO 27005 – Riadenie ICT rizík ale v kombinácií s ISO 29100 Privacy framework, ktorý má mierne odlišný prístup na chránené aktíva a aplikuje rozdielne dvojice hrozieb a zraniteľností. Taktiež je vhodné nahradiť knižnicu mitigačných opatrení ISO 27002 vyhláškou č, 158, ÚOOÚ. Je vhodné túto tieto mitigačné opatrenia rozširovať o vlastné, vychádzajúce so špecifických hrozieb konkrétnej spoločnosti.

Zásadný rozdiel je v tom, že dopady sa neposudzujú voči spoločnosti ale voči tzv., „Dotknutým osobám“ (fyzickým osobám).

ISO / IEC 27005 poskytuje návody a techniky na riadenie rizík informačnej bezpečnosti. Jej aplikácia je nevyhnutná pri zavádzaní informačnej bezpečnosti ISMS podľa štandardu ISO 27001. Štandard sa odvoláva pri mitigačných opatreniach na prílohu A, ISO 27001, ktorá obsahuje 114 technických a organizačných opatrení. Tieto opatrenia a ich implementácia sú popísané vo výkladovej norme ISO 27002.

 

riadenie rizik3

Riadenie kybernetických rizík

Roadmap pre riadenie rizík kybernetickej bezpečnosti je identická ako pri riadení ICT rizík podľa požiadaviek ISO 27001. Metodika sa odkazuje na štandard ISO 27005. Rozdielom je, že u kybernetickej bezpečnosti musíme zohľadňovať všetky aspekty riadenia ICT rizík a PRIVACY rizík. Do dvojíc Hrozba / Zraniteľnosť treba doplniť špecifické hrozby, vychádzajúce zo základných vektorov kybernetických útokov, ktoré sa v ICT ani PRIVACY frameworku zásadne nevyskytujú. Taktiež opatrenia treba rozšíriť z oblastí Detection a Response.

 

riadenie rizik4

Riadenie rizík BCM

Roadmap pre riadenie rizík pre potreby BCM vychádza z metodiky riadenia ICT rizík podľa štandardu ISO 27005 – Riadenie ICT rizík

V oblasti BCM obsahom analýzy je určenie hrozieb a zraniteľností, ktoré majú priamy súvis s poskytovaním služieb, predovšetkým „Dostupnosť“.

Neoddeliteľnou súčasťou je podrobné posúdenie schopnosti plynulej dodávky služieb dodávateľov, od ktorých je spoločnosť závislá pri plnení svojich SLA. Preto je dôležité uistenie, či dodávateľ je schopný poskytovať služby aj v stave krízy a nie len počas štandardnej prevádzky.

 

riadenie rizik5

Ciele portálu Q-Trust

Aktívna pomoc pri implementácií informačnej, kybernetickej bezpečnosti a Privacy v slovenských spoločnostiach. Portál združuje spoločnosti, ktoré na seba dobrovoľne preberajú spoluzodpovednosť za rozvoj informačnej bezpečnosti na Slovensku, ktorá je kľúčovou požiadavka naplnenia regulačných požiadaviek. Aktivity pre naplnenie tohto cieľa: Vzdelávanie, Poradenstvo, Meranie úrovne bezpečnosti, Pomoc pri implementácií štandardov, Príprava na certifikačné audity.

KONTAKTUJTE NÁS

Prosím zadajte telefónne číslo
Prosím zadajte vašu správu
 
Prosím odsúhlaste
 

KDE NÁS NÁJDETE

logo vzor

Q-TRUST s. r. o.​, IČO: 52912621

  Kancelária:

Klincová 37 821 08 Bratislava - Ružinov

  Pracovné hodiny:

Pon - Pia: 9:00 - 17:00 hod.

  Telefón: +421 917 941 299 

  Email: qtrust@qtrust.sk