Řízení rizik
Aktualizováno: 19.12.2024
Implementace efektivního řízení kybernetických rizik je klíčová pro ochranu firemních aktiv v souladu se směrnicí NIS2 a novým zákonem o kybernetické bezpečnosti. Tento proces zahrnuje pravidelnou identifikaci, hodnocení a zmírňování hrozeb v oblastech, jako je bezpečnost sítí, kontinuita činností nebo fyzická bezpečnost. Článek podrobně vysvětluje jednotlivé kroky řízení rizik, včetně metod identifikace aktiv a hrozeb, analýzy a hodnocení rizik, až po pravidelný monitoring a dokumentaci opatření.
Co je to řízení rizik?
Řízení rizik v kontextu směrnice NIS2 a nového zákona o kybernetické bezpečnosti představuje systematický proces identifikace, hodnocení a řízení kybernetických bezpečnostních rizik v organizacích, které spadají pod působnost této směrnice.
Jaké jsou požadavky na řízení rizik?
Efektivní řízení rizik je základním předpokladem pro zajištění kybernetické bezpečnosti organizace a vyžaduje systematický přístup k identifikaci, hodnocení a zmírňování potenciálních hrozeb.
- Pravidelné posuzování rizik
- Implementace přiměřených bezpečnostních opatření
- Dokumentace všech významných kybernetických bezpečnostních incidentů
Hlavní oblasti hodnocení rizik:
Pro komplexní zajištění bezpečnosti organizace je nezbytné systematicky hodnotit rizika ve všech klíčových oblastech, které mohou ovlivnit její fungování a bezpečnost. Jedná se především o tyto oblasti kybernetické bezpečnosti:
- Bezpečnost sítí
- Bezpečnost systémů a zařízení
- Kontinuita činností
- Dodavatelský řetězec
- Lidské zdroje
- Fyzická bezpečnost
Jak na řízení rizik?
Při plánování projektu se vytvoří seznam rizik a definují způsoby, jak tento seznam aktualizovat v reakci na možné vnější vlivy.
Identifikace aktiv a hrozeb
Začíná identifikací a zhodnocením informačních aktiv (dat, systémů, lidských zdrojů atp.). Každému riziku je přisouzena pravděpodobnost výskytu a závažnost dopadu.
- Systematické mapování informačních aktiv organizace
- Identifikace hrozeb a zranitelností
- Analýza možných scénářů útoku
- Dokumentace existujících bezpečnostních opatření
Analýza rizik
Systematická analýza rizik představuje klíčový nástroj pro identifikaci a vyhodnocení potenciálních hrozeb, který umožňuje organizaci efektivně alokovat zdroje na jejich zmírnění.
- Kvalitativní nebo kvantitativní hodnocení pravděpodobnosti výskytu hrozeb
- Posouzení potenciálních dopadů na organizaci
- Stanovení úrovně rizika jako kombinace pravděpodobnosti a dopadu
- Prioritizace rizik podle jejich závažnosti
Hodnocení rizik
Spočívá v rozboru konkrétních hrozeb (uvedených v katalogu hrozeb) na jednotlivá aktiva. Významnost se vyčísluje jako součin pravděpodobnosti a dopadu. Méně závažná rizika se z dalšího zpracování vylučují. Významná rizika jsou zaevidována v katalogu rizik. Ke každému riziku je přiřazen vlastník, který zodpovídá za jeho monitorování.
Ošetření rizik
Výběr vhodných reakcí na riziko od jeho eliminace (minimalizace dopadu či pravděpodobnosti) po akceptování.
Zvládnutí rizik
Zavedení praktických opatření k eliminaci výskytu rizik nebo k ochraně před nepřijatelnými dopady.
Monitoring rizik
Systematické sledování rizik a účinnosti opatření k jejich zvládnutí. Zodpovídá vlastník rizika.
Monitoring a přezkum
Pravidelný monitoring a přezkum představují nezbytnou součást procesu řízení rizik, která zajišťuje aktuálnost a efektivitu všech zavedených bezpečnostních opatření v organizaci.
- Průběžné sledování účinnosti zavedených opatření
- Pravidelná aktualizace hodnocení rizik
- Přizpůsobování bezpečnostních opatření novým hrozbám
Dokumentace a reporting rizik
Pro efektivní řízení kontinuity činností je klíčové důsledně dokumentovat všechna přijatá bezpečnostní opatření, pravidelně aktualizovat dokumentaci a vést záznamy o provedených analýzách rizik. Organizace má také povinnost hlásit významné bezpečnostní incidenty na NÚKIB.
- Povinnost dokumentovat všechna významná bezpečnostní opatření
- Nutnost hlášení významných incidentů na NÚKIB a odběratelům
- Vedení evidence o provedených analýzách rizik