Analýza rizik

Dle Výkladového slovníku kybernetické bezpečnosti je analýza rizik definována jako „proces pochopení povahy rizika a stanovení úrovně rizika.“

Analýza rizik je značně obtížná a vyžaduje znalost aktiv, hrozeb a zejména je třeba mít v této oblasti již nějaké zkušenosti. Na základě analýzy rizik je možné stanovit opatření za účelem minimalizace nebo úplného odstranění rizik.

Analýza bezpečnostních rizik a její řízení představuje základní nástroj v rukou vrcholového vedení organizace k ochraně investic, vynaložených do informačních systémů a tím i do podpory hlavních procesů organizace. Vlastní provedení procesu analýzy rizik je možné rozlišit podle podrobnosti a hloubky přístupů k jejímu řešení:

  • nedělat nic,

  • neformální přístup - analýza rizik se provádí živelně bez dokumentace přesných postupů,

  • základní přístup - postupy jsou rámcově zdokumentovány a organizace má celkovou koncepci a vizi řešení bezpečnosti informací,

  • detailní přístup - všechna rizika jsou analyzována podrobně podle předem definované a dodržované metodiky,

  • přístup kombinovaný – některá rizika jsou analyzována podrobně, některá jsou případně při analýze i záměrně opomenutí.

Z důvodu, že problematika řízení kybernetické bezpečnosti je značně rozsáhlá, složitá s velikým množstvím jednotlivých prvků a vazeb mezi nimi nelze použít jedinou univerzální metodu analýzy rizik. Je nutné nalézt optimální metodu, ve většině případů kombinovat různé metody nebo jejich části.

Konečné rozhodnutí je tedy vždy na manažerovi kybernetické bezpečnosti, kterou z metod k analýze použije.

Základní metody jsou popsány v podkapitole Riziko.

Model řízení rizik

Použité zdroje

  • KOLOUCH, Jan a Pavel BAŠTA. CyberSecurity. Praha: CZ.NIC, z.s.p.o., 2019. CZ.NIC. ISBN 978-80-88168-31-7.

  • DOUCEK, Petr, Martin KONEČNÝ a Luděk NOVÁK. Řízení kybernetické bezpečnosti a bezpečnosti informací. Praha: Professional Publishing, 2019. ISBN 978-80-88260-39-4.

  • Sbírka zákonů č. 82 / 2018 Vyhláška o kybernetické bezpečnosti