Ocena tveganj

Obvladovanje tveganj je proces prepoznavanja ranljivosti in grožnje za informacijske vire, ki jih uporabljajo organizacije za doseganje poslovnih ciljev, in odločanje o nasprotnih ukrepih, če so ti potrebni za zmanjševanje tveganj na sprejemljivo raven, osnovano na vrednotah informacijskih virov organizacije. Proces obvladovanja tveganj je ponavljajoč proces, ki je neomejen. Poslovno okolje se neprestano spreminja in nove grožnje ter ranljivost se pojavljajo vsakodnevno. Izbira nasprotnih ukrepov (kontrole) z obvladovanjem tveganj mora oblikovati ravnovesje med produktivnostjo, ceno, učinkovitostjo nasprotnih ukrepov, in varovanje vrednosti informacijske pridobitve.

Tveganje je verjetnost, da se zgodi nekaj slabega, kar povzroči podjetju materialno ali nematerialno škodo. Ranljivost je šibkost, ki lahko ogrozi ali povzroči podjetju materialno ali nematerialno škodo. Grožnja je nekaj, kar ima potencial za povzročitev škode.

Tveganje ustvarja verjetnost, da bo grožnja izrabila ranljivost za povzročitev škode. Posledice nastopijo kadar grožnja izrabi ranljivost ter povzroči škodo. V kontekstu informacijske varnosti, je posledica izguba razpoložljivosti, neokrnjenosti ter zaupnosti in morda še drugih izgub (izguba dobička, izguba življenja, izguba lastninske pravice). Ugotovimo lahko, da ni možno identificirati vsa tveganja, niti jih izločiti. Ostalo tveganje je imenovano preostalo tveganje. Z ukrepi je možno tveganja zmanjšati na sprejemljivo raven.

Skladno z ISO/IEC 27002:2005 postopek za upravljanje informacijske varnosti zahteva oceno tveganja, ki zahteva sledeča preverjanja:

  • varnostna politika,
  • organizacija informacijske varnosti,
  • upravljanje dobička, varnost človeških virov,
  • fizična in okoljska varnost,
  • komunikacijsko in operacijsko upravljanje,
  • kontrola dostopa,
  • pridobitev informacijskega sistema,
  • razvoj in vzdrževanje,
  • informacijska varnost obvladovanja incidentov,
  • upravljanje neprekinjenega poslovanja in
  • normativna skladnost.


Proces upravljanja z tveganji je sestavljen iz:

1. Identifikacije premoženjskega stanja in ocene vrednosti. Vsebuje: ljudi, stavbe, računalniško strojno opremo, programsko opremo, podatke (digitalne, tiskane, ostalo), sredstva za oskrbo.

2. Ocene tveganja. Vsebuje: vplivi narave, posledice vojne, nesreče, zlonamerno delovanje, ki izvira iz notranje in zunanje organizacije.

3. Ocene ranljivosti in verjetnost, da bo le-ta izkoriščena. Vrednotenje politike, postopkov, standardov, izobraževanja, fizične varnosti, kvalitete kontrole, tehnične varnosti.

4. Izračuna vpliva, ki bi ga povzročena grožnja imela na poslovanje. Uporaba kvalitativne ali kvantitativne analize.

5. Identifikacije, izbire in implementacije primerne kontrole ali protiukrepa. Priskrbeti je potrebno odgovore kako bo implementirana kontrola vplivala na poslovanje.


 

Proces upravljanja s tveganji

Vodstvo podjetja lahko sprejme tveganje, temelječe na predpostavkah nizkega dobička, relativno nizki verjetnosti nastanka škodnega dogodka in relativno nizkemu vplivu na posel. Tveganja lahko zmanjšamo z izbiro in realizacijo ustrezne kontrole. V nekaterih primerih je tveganje lahko preneseno na drug posel z zavarovanjem ali z zunanjim poslom. Realnost nekaterih tveganj je lahko sporna. V teh primerih lahko vodstvo zavestno prezre tveganje.