Metodologija vredovanja resursa

Metodologija vrednovanja resursa, verovatnoće nastanka rizika i potencijalnog uticaja rizika, kao i definicija nivoa prioriteta rizika – ISO 31010; NIST

Proces upravljanja rizikom je sveobuhvatan proces koji se sastoji od identifikacije i vrednovanja resursa neophodnih za funkcionisanje ključnih poslovnih procesa, analize i vrednovanja rizika nad identifikovanim resursima i definisanja načina za umanjenje rizika čija vrednost prevazilazi unapred određeni nivo prihvatljivosti.

Svrha procesa upravljanja rizikom je utvrđivanje konteksta i kriterijuma, procene, analize i vrednovanja rizika sa ciljem kreiranje tretmana rizika.

Proces upravljanja rizikom započinje utvrđivanjem ciljeva, obima i kriterijuma za upravljanje rizicima , a završava se planom za tretman rizika.

Proces upravljanja rizikom je definisan u skladu sa međunarodnim standardima ISO 31000:2009 i ISO/IEC 27001:2013.

Ciljevi implementacije procesa upravljanja rizikom su:

  • Podrška sistemu kvaliteta
  • Podrška sistemu informacione bezbednosti
  • Podrška sistemu za upravljanje kontinuitetom poslovanja
  • Usaglašavanje sa zakonskom regulativom, standardima i dobrom poslovnom praksom.

Proces upravljanja rizikom je definisan u skladu sa PDCA (eng. Plan – Do – Check –Act) procesnim modelom i obuhvata četiri faze, predstavljene na slici

Metodologija vrednovanja resursa

Za efikasan model zaštite resursa bitnih za funkcionisanje ključnih poslovnih procesa organizacije, potrebna je adekvatna procena vrednosti resursa.

Vrednost resursa je mera potrebnog vremena i dodatnih resursa potrebnih da se neki resurs ključnih poslovnih procesa zameni ili vrati u prethodno stanje. Ekvivalentan termin je cena zamene resursa.

Metodologija vrednovanja resursa doprinosi pravilnoj oceni nivoa kritičnosti neraspoloživosti resursa po kritične procese, koji bi mogli da dovedu do prekida isporuke proizvoda i/ili usluga.

Vrednovanje resursa se sprovodi na osnovu dobijenih informacija od predstavnika organizacionih jedinica organizacije koji definišu načine korišćenja neophodnih resursa i njihovu važnost za poslovne procese. Prilikom vrednovanja resursa procenjuje se potencijalna (finansijska, materijalna, reputacijska ili slična) šteta za poslovanje, koja nastaje u slučaju neraspoloživosti resursa.

Pri proceni štete uzima se u obzir uvek najgori mogući scenario.

Za svaki od identifikovanih ključnih resursa određuje se vrednost resursa u odnosu na sledeće aspekte vrednosti resursa:

  1. Poverljivost – podrazumeva zaštitu od neovlašćenog pristupa resursima, u bilo kom obliku. Neovlašćene su sve osobe (ili organizacije) koje nemaju direktnu dozvolu pristupa od strane vlasnika resursa (tj. od strane odgovorne osobe za odgovarajući resurs).
  2. Integritet – predstavlja očuvanje tačnosti i celovitosti resursa tokom manipulacije, ispravno korišćenje i zaštitu od neovlašćene modifikacije (npr. pod integritetom računarskih mreža i sistema, kao i telefonske mreže, razmatra se, osim ispravnog prenosa podataka, i autentičnost izvora ili odredišta)
  3. Raspoloživost – definiše potrebu za dostupnošću resursa ovlašćenim licima, s`obzirom na vreme i mesto dostupnosti, tj. u kojem vremenskom periodu i na kojim lokacijama resursi moraju biti dostupni.
  4. Finansijska vrednost – definiše finansijsku vrednost resursa.
  5. Reputaciona vrednost – analizira negativan uticaj nerasploživosti resursa na kršenje pravnih i regulatornih obaveza, kao i posledice po ugled

Postupak procene vrednosti resursa se sprovodi na sledeći način:

  • Za svaki resurs se definiše ocena uticaja gubitka poverljivosti, integriteta i raspoloživosti resursa, finansijska vrednost i reputaciona vrednost
  • Vrednost resursa je maksimalna vrednost od pet dobijenih vrednosti.

Metodologija vrednovanja rizika

Tim za procenu rizika nakon vrednovanja resursa bitnih za funkcionisanjnje ključnih poslovnih procesa, razmatra verovatnoću ostvarivanja i uticaj identifikovanih pretnji uzimajući u obzir prisutne ranjivosti.

Verovatnoća ostvarivanja pretnje uzimajući u obzir prisutne ranjivosti, tj. verovatnoća nastanka rizika na identifikovane resurse se izražava prema definicijama iz sledeće tabele:

Numerička vrednost Verovatnoća nastanka Opis
1 Niska Rizik je manje verovatan zbogimplementiranih kontrola  
2 Srednja Nedostatak kontrola čini ovaj rizik vrlo verovatnim iako se još uvek nije pojavio  
3 Visoka Nedostatak kontrola je za posledicu već imao pojavljivanje ovog rizika  
4 Vrlo  visoka Ovaj rizik predstavlja hronični problem koji se kontinuirano pojavljuje  

Potencijalni uticaj pretnje na ranjivost, tj, potencijalni uticaj rizika na identifikovane resurse se izražava prema definicijama iz sledeće tabele:

Numerička vrednost Potencijalni uticaj Opis
1 Niska Resurs nije značajnije ugrožen
2 Srednja Moguć privremeni gubitak
3 Visoka Moguć trajni gubitak resursa  
4 Vrlo  visoka Siguran trajni gubitak resursa

   

Rizik se izračunava za svaki resurs neophodan za odvijanje ključnih poslovnih procesa.

Vrednost rizika se izračunava prema sledećoj formuli:

R = VR x V x U

gde su:

  • R – vrednost rizika
  • VR – vrednost resursa
  • V – verovatnoća nastanka rizika
  • U – potencijalni uticaj rizika.

Prihvatljiv nivo rizika je maksimalna vrednost rizika koja je prihvatljiva u smislu mogućih posledica njihovog ostvarivanja.

U skladu sa dobrom praksom primene ISO/IEC 27001:2013 sistema menadžmenta bezbednosti informacija najviše rukovodstvo donosi Odluku o prihvatljivom nivou rizika.

Rizici čija je vrednost manja od prihvatljivog nivoa rizika smatraju se prihvatljivim i kao takvi ne ulaze u Plan obrade rizika, tj. u njihovom slučaju nije potrebno umanjivati moguće posledice ostvarivanja pretnje. Menadžment svesno prihvata postojanje ovih rizika.

Za sve rizike čija je vrednost jednaka ili veća od prihvatljivog nivoa rizika potrebno je odrediti efikasno i usmereno preventivno delovanje koje se definiše Planom obrade rizika. Ovim planom mogu biti obuhvaćeni i rizici koji su prihvatljivog nivo ako menadžment proceni da je potrebno ili svrsishodno za svoje poslovanje.

Rizici se klasifikuju po vrednosti.

Vrednost rizika može biti vrednost od 1 do 64.

Prioritet rizika se određuje u odnosu na vrednost rizika.

Prioritet može biti:

Prioritet  rizika          Vrednost rizika

        Vrlo visok            Veća od 41 (≥41)

         Visok                          31 -40

        Srednji                          21-30

         Nizak                Manja od 20 (≤ 20)

Primena i funkcionisanje

Faza primene i funkcionisanja obuhvata sledeće aktivnosti:

  • Identifikacija i vrednovanje resursa
  • Identifikacija resursa
  • Vrednovanje resursa
  • Procena rizika
  • Analiza rizika
  • Vrednovanje rizika
  • Obrada rizika
  • Izbor metoda za obradu rizika
  • Izrada Plana obrade rizika.

Identifikacija i vrednovanje resursa

Identifikovanje resursa ima za cilj identifikaciju IT servisa i ostalih resursa koji su potrebni za podršku ključnim poslovnim procesima. Vrednovanje resursa se sprovodi za sve identifikovane resurse (IT servise i ostale resurse) koji su potrebni za podršku ključnim poslovnim procesima na osnovu definisane metodologije vrednovanja resursa.

Vrednovanje resursa se sprovodi na osnovu dobijenih informacija od predstavnika organizacije koji definišu načine korišćenja resursa i njihovu važnost za poslovne procese. Na osnovu poslovnih parametara potrebno je odrediti vrednost resursa zasebno za svaki od pet aspekata vrednovanja resursa: poverljivost, integritet, raspoloživost, finansijsku vrednost i reputacionu vrednost.

Postupak vrednovanja resursa sprovodi se u skladu sa Metodologijom vrednovanja resursa.

Procena rizika

Procena rizika sastoji se od sledećih postupaka:

  • Analiza rizika i Vrednovanje rizika.

Analiza rizika obuhvata identifikovanje potencijalnih pretnji, ranjivosti i na osnovu tih informacija kreiranje Kataloga rizika.

Vrednovanje rizika je postupak određivanja potencijalnog uticaja i verovatnoće nastanka rizika, kao i izračunavanja vrednosti rizika nad resursima ključnih poslovnih procesa.

Procena rizika se dokumentuje u Registru Rizika. Procenu rizika sprovodi Tim za procenu rizika.

Analiza rizika

Analiza rizika je prvi korak u proceni rizika. Rizik je koncept koji uključuje događaj, verovatnoću pojave događaja i ozbiljnost negativnog uticaja događaja.

U prisustvu ranjivosti, pretnja postaje rizik: Rizik = pretnja & ranjivost

Katalog rizika se sastoji od popisa pretnji, popisa ranjivosti i njihove međuzavisnosti u trenutku analize rizika.

Tim za procenu rizika identifikuje potencijalno ostvarive pretnje i primenjive ranjivosti za kritične poslovne procese. Prilikom ove aktivnosti uzimaju se u obzir svi važni resursi kritičnih poslovnih procesa.

Identifikovane pretnje i ranjivosti se dokumentuju u Katalogu rizika.

Analiza rizika podrazumeva ulaz u vidu:

  • Kataloga procesa i resursa
  • Kataloga IT servisa
  • Analize prethodnih bezbednosnih incidenata u organizaciji
  • Rezultati revizija
  • Razgovora sa vlasnicima poslovnih procesa
  • Standardi ISO 27001, ISO 27005, ISO 31000
  • Svetske statistike i katalozi pretnji i ranjivosti (npr. PWC, Gartner, Ernst & Young, CERT i sl.).

Vrednovanje rizika

Vrednovanje rizika je drugi korak u proceni rizika i obavalja se nakon sprovedene analize rizika.

Vrednovanje rizika se dokumentuje u Registru rizika.

Članovi Tima za procenu rizika razmatraju verovatnoću ostvarivanja i uticaj identifikovanih pretnji imajući u vidu prisutne ranjivosti resursa koje koriste ključni poslovni procesi. Postupak vrednovanja rizika sprovodi se u skladu sa Metodologijom vrednovanja rizika. Nakon vrednovanja rizika Tim za procenu rizika određuje prioritet rizika tj. stepen važnosti reagovanja na vrednost rizika.

Registar rizika sadrži spisak identifikovanih ključnih procesa, resurse neophodne za odvijanje ključnih procesa , procenjenu vrednost resursa, identifikovane rizike, njihove verovatnoće nastanka, potencijalne uticaje i vrednosti, kao i prioritet rizika.

Izbor tretmana rizika

Za svaki rizik, Tim za procenu rizika bira jedan od sledećih metoda tretmana rizika:

  • Umanjenje rizika: sprovođenje kontrola (npr. preventivnih i detektivnih kontrola) kojima se smanjuje potencijalni negativni uticaj rizika na prihvatljiv nivo ili se smanjuje verovatnoća pojavljivanja rizika
  • Izbegavanje rizika: uklanjanje uzroka i/ili posledica rizika (npr. odričući se određenih funkcija IS ili prestankom korištenja delova IS)
  • Prenošenje rizika: ugovaranje naknade štete (npr. sklapanjem Ugovora o osiguranju ili Ugovora o ciljnom nivou pružanja IT usluge sa klauzulom o naknadi eventualne štete)
  • Prihvatanje rizika: u slučaju da je vrednost rizika manja od prihvatljivog nivoa rizika za organizaciju.

Uz odabir metode tretmana rizika, tim predlaže kontrole koje treba sprovesti i procenjuje preostali (rezidualni) rizik ukoliko se predložene kontrole implementiraju.

Kontrola je svaka administrativna, upravljačka, tehnička ili zakonska metoda koja se koristi u svrhu ostvarivanja poslovnih ciljeva i sprečavanja ili otkrivanja neželjenih događaja. Uključuje politike, pravilnike, procedure, računarske programe, razne tehnologije i organizacionu strukturu.

Kontrole se razlikuju po načinu primene (upravljačke, tehničke i fizičke) i nameni (preventivne, detektivne i korektivne).

Izrada Plana obrade rizika

Planom obrade rizika se definiše implementacija predloženih kontrola za sve rizike za koje nije izabrana metoda prihvatanja rizika.

Plan obrade rizika sadrži:

  • Podatke o riziku (vrednost rizika, pretnja, ranjivost, resurs nad kojim je ocenjen rizik i postojecće kontrole)
  • Ocenu prioriteta
  • Odabrane kontrole za implementaciju
  • Predstavnici organizacije odgovorni za implementaciju kontrola i
  • Vremenska ograničenja za implementaciju.

Praćenje i preispitivanje

Faza Praćenja i preispitivanja procesa upravljanja rizikom obuhvata reviziju svih aktivnosti vezanih za upravljanje rizikom u vezi sa kontunuitetom poslovanja. Faza se sprovodi minimum jednom godišnje, prilikom većih promena infrastrukture ili poslovanja, uvođenja novih potencijalno rizičnih zainteresovanih strana, i/ili prilikom najave velikih potencijanih pretnji koji utiče na poslovanje.

Održavanje i unapređenje

Faza održavanja i unapređenja omogućava kontinuirano unapređenje Procesa upravljanja rizikom u vezi sa kontinuitetom poslovanja na osnovu korektivnih mera u skladu sa rezultatima internih revizija procesa i ostalih relevantnih informacija.