Řízení rizik

Komplexní proces identifikace, analýzy a ošetření rizik ohrožujících bezpečnost informací v organizaci. Tvoří jádro ISMS.

Normativní základ

Proces řízení rizik (ISO/IEC 27005)

1. Stanovení kontextu — rozsah, kritéria, metodika, role
2. Identifikace rizik — aktiva, hrozby, zranitelnosti
3. Analýza rizik — kvantifikace nebo kvalitativní popis
4. Vyhodnocení rizik — prioritizace dle kritérií
5. Zvládání rizik — výběr opatření (redukce, přenos, retence, vyhnutí)
6. Akceptace rizik — formální rozhodnutí
7. Komunikace — sdílení informací o rizicích
8. Monitorování — průběžné přezkoumávání

Výpočet hodnoty rizika

Riziko = dopadová hodnota aktiva × hrozba × zranitelnost

• Hrozba — potenciální příčina incidentu (stupnice 1–5)
• Zranitelnost — slabé místo aktiva (stupnice 1–5)
• Dopad — hodnota aktiva při ztrátě CIA

Obecný model hodnocení rizik

Hrozba → Systém → Zranitelnost → Zneužitelnost? → Riziko → Přijatelné? → Opatření/Zbytkové riziko

Klíčové dokumenty

• RTP (Risk Treatment Plan) — plán zvládání rizik s opatřeními, prioritami, termíny, zdroji
• PoA/SoA (Statement of Applicability) — přehled aplikovaných a neaplikovaných opatření

Bezpečnostní role dle ZKB

• Výbor pro řízení KB — organizovaná skupina pro celkové řízení
• Manažer KB — odpovědný za ISMS
• Architekt KB — návrh a implementace opatření
• Auditor KB — provádění auditů
• Garant aktiva — zajištění rozvoje a bezpečnosti aktiva

Tří-úrovňový model (NIST SP 800-39)

Propojení s dalšími tématy

• ISMS — řízení rizik jako součást systému
• BCM — kontinuita činnosti při materializaci rizik
• Disaster Recovery — obnova po havárii
• Kybernetická bezpečnost — kontext hrozeb

Zdroje v kurzu ImorK

• Risk Management — shrnutí přednášky
• Manažerská bezpečnost