18
Analýza rizik Miroslav Čermák

Analýza rizik

  • Upload
    blade

  • View
    68

  • Download
    0

Embed Size (px)

DESCRIPTION

Analýza rizik. Miroslav Čermák. IDENTIFIKACE RIZIK. VYMEZENÍ HRANIC. VYHODNOCENÍ RIZIK. ANALÝZA RIZIK. ZVLÁDÁNÍ RIZIK. Řízení rizik. ŘÍZENÍ RIZIK. Identifikace respondentů Identifikace aktiv Kvantifikace aktiv Identifikace hrozeb Kvantifikace hrozeb Identifikace zranitelností - PowerPoint PPT Presentation

Citation preview

Page 1: Analýza rizik

Analýza rizik

Miroslav Čermák

Page 2: Analýza rizik

Řízení rizik

Identifikace respondentů Identifikace aktiv Kvantifikace aktiv Identifikace hrozeb Kvantifikace hrozeb Identifikace zranitelností Kvantifikace zranitelností

ŘÍZENÍ RIZIK

IDENTIFIKACE RIZIK

IDENTIFIKACE RIZIK

ANALÝZA RIZIK

VYHODNOCENÍ RIZIK

ZVLÁDÁNÍ RIZIK

HO

DN

OC

EN

Í RIZ

IK

VYMEZENÍ HRANIC

VYMEZENÍ HRANIC

Page 3: Analýza rizik

Analýza rizik

Přístup k provedení AR:– interní– externí– kombinovaný

Strategie AR:– orientační– detailní

Metodika AR:– kvantitativní– kvalitativní

Page 4: Analýza rizik

Plán analýzy rizik

rozsah délku trvání náklady

a samozřejmě:

kvalitu rizika

Vždy musíme sledovat:

PENÍZE

ROZSAH

ČAS

KVALITA

Projektové řízení je pro úspěšné provedení AR naprosto nezbytné. K AR je proto vhodné přistupovat jako k jakémukoliv jinému projektu.

Page 5: Analýza rizik

Plán analýzy rizik

Stanovení hranic AR

Hranice AR je pomyslná čára, která odděluje aktiva, která jsou předmětem AR, říkáme, že leží uvnitř hranic analýzy, od těch aktiv, která nejsou předmětem AR, a říkáme o nich, že leží mimo hranice nebo za hranicemi AR.

PENÍZE

ROZSAH

ČAS

KVALITA

Page 6: Analýza rizik

Plán analýzy rizik

Stanovení hloubky AR

granualitou aktiv, tedy tím jak moc jsou aktiva agregována, množstvím hrozeb, typické, specifické x všechny možné, množstvím respondentů pro aktiva, hrozby a zranitelnosti.

PENÍZE

ROZSAH

ČAS

KVALITA

Page 7: Analýza rizik

Plán analýzy rizik

Stanovení délky trvání AR

šíře AR (dáno hranicemi AR) hloubka AR (kvalita) množství finančních prostředků

PENÍZE

ROZSAH

ČAS

KVALITA

Page 8: Analýza rizik

Plán analýzy rizik

Stanovení nákladů AR

šíře AR (dáno hranicemi AR) hloubka AR (kvalita) délka trvání

PENÍZE

ROZSAH

ČAS

KVALITA

Page 9: Analýza rizik

Sestavení analytického týmu

uživatelé:– vlastník systému– uživatel systému

experti:– správce systému– správce aplikace– správce databáze– správce sítě– pracovník informační bezpečnosti– pracovník fyzické bezpečnosti– systémový analytik– pracovník řízení lidských zdrojů– expert na analýzu a řízení rizik

Page 10: Analýza rizik

Analýza rizik

Identifikace respondentů Získávání informací Analýza informací Interpretace informací Verifikace informací Dokumentace informací

Page 11: Analýza rizik

Identifikace aktiv

Útvar - číslo útvaru a název útvaru Manažer - jméno manažera daného útvaru Název procesu - co nejvýstižnější Název aktiva - jedinečný název

Business Process Analysis – procesně orientovaná analýza, jejímž cílem je identifikace všech procesů a aktiv, která se v rámci daného procesu používají.

Snažte se maximálně využít dostupných informací!

Page 12: Analýza rizik

Dekompozice aktiv

Organizační vrstva- procesy Logická vrstva - SW Fyzická vrstva - HW

Objektově hierarchická dekompozice aktiv

Page 13: Analýza rizik

Agregace aktiv

hardware (HW) software (SW) síť (NET) média (MDA) data (DTA) personál (STF) prostory (SPC)

Každý proces je více či méně závislý na těchto aktivech:

Page 14: Analýza rizik

Kvantifikace aktiv

Důvěrnost Integrita Dostupnost

– Minuty– Hodiny– Dny– Týdny

Business Impact Analysis

Page 15: Analýza rizik

Kvantifikace aktiv

Manažer CNF INT AVL (min) AVL (hod) AVL (dny) AVL (týdny)

Manažer1 45 80 10 20 40 80

Manažer2 40 90 20 30 60 120

Manažer3 50 60 30 40 80 160

Dopad 135 230 60 90 180 360

Stupeň 1 2 3 4

Popis dopadu malé škody Vážné škodyvelmi vážné

škodypřežití je ohroženo

Relativní ztráta v % 0-5% 5-10% 10-30% 30% a více

Absolutní ztráta v Kč 0-50.000 50.000-100.000 100.000-300.000 300.000 a více

Page 16: Analýza rizik

Identifikace a kvantifikace hrozeb

Úmyslné škody Neúmyslné škody Technické selhání Přírodní hrozby

Stupeň Zkratka Úroveň hrozby Popis hrozby Od Do

1 N nízká nepravděpodobná 0% 25%

2 S střední pravděpodobná 25% 50%

3 V vysoká vysoce pravděpodobná 50% 75%

4 K jistá jistá 75% 100%

Page 17: Analýza rizik

Identifikace a kvantifikace zranitelností

Stupeň Zkratka Zranitelnosti Opatření Od Do

1 N nízká Opatření jsou zavedena, dokumentována, kontrolována a zlepšována.

0% 25%

2 S střední Opatření jsou zavedena, dokumentována a kontrolována.

25% 50%

3 V vysoká Opatření jsou zavedena a dokumentována. 50% 75%

4 K kritická Žádná opatření nejsou zavedena, dokumentována, kontrolována a zlepšována.

75% 100%

Stupeň Zkratka Zranitelnost Bezpečnostní incidenty Od Do

1 N nízká Neexistují důkazy o žádných závadách či selhání bezpečnostních opatření.

0% 25%

2 S střední Existují důkazy o malém počtu závad či selhání bezpečnostních opatření.

25% 50%

3 V vysoká Existují důkazy o větším počtu závad či selhání bezpečnostních opatření.

50% 75%

4 K kritická Existují důkazy o rozsáhlých závadách či selhání bezpečnostních opatření.

75% 100%

Stupeň Zkratka Zranitelnost Havarijní plány Od Do

1 N nízká Pro všechna potenciální narušení businessu jsou připraveny havarijní plány a jsou pravidelně testovány a optimalizovány.

0% 25%

2 S střední Havarijní plány spíše neselžou. 25% 50%

3 V vysoká Havarijní plány spíše selžou. 50% 75%

4 K kritická Pro žádná potenciální narušení businessu nejsou připraveny žádné havarijní plány.

75% 100%

Page 18: Analýza rizik

Řízení rizik

Kontakt:Miroslav Čermá[email protected]

Knihu:

ŘÍZENÍ INFORMAČNÍCH RIZIK V PRAXI

si můžete objednat na:

www.cleverandsmart.cz