Transform your PDFs into Flipbooks and boost your revenue!
Leverage SEO-optimized Flipbooks, powerful backlinks, and multimedia content to professionally showcase your products and significantly increase your reach.
OCENJEVANJE TVEGANJ<br />
PRAKTIČNI PRISTOP<br />
Peter Grasselli
Koliko predavanj na konferencah SIR/<strong>ISACA</strong> je<br />
imelo od leta 2006 v naslovu besedo tveganje?<br />
2006<br />
1. DEMISTIFIKACIJA OPERATIVNIH TVEGANJ, Borut Radi, univ. dipl. ekon; Armin D. Rheinbay<br />
2. REVIDIRANJE PODROČJA UPRAVLJANJA OPERATIVNIH TVEGANJ, Igor Karner, univ. dipl. org.-inf.; Urška<br />
Podgoršek, univ. dipl. mat.; Renato Burazer<br />
3. REVIZOR IS IN PESTROST PRISTOPOV PRI IZVEDBI ANALIZE TVEGANJ, Mag. Goran Šušnjar<br />
2007<br />
4. INFORMACIJSKA PODPORA ZBIRANJA ŠKOD NIH DOGODKOV- OPERATIVNA TVEGANJA PO<br />
KAPITALSKI UREDITVI BASEL II, Mag. Leon Slak<br />
2008<br />
5. OPERATIVNA TVEGANJA V LETNIH POROČILIH BANK- RAZKRITJA, Mag. Leon Slak<br />
6. TVEGANJA PRI UPORABI CRM SISTEMOV, Tadej Kosmačin<br />
7. POGOJI (DROBNI TISK) ZA PRIMER ZAVAROVANJA ZA ŠKODO IZ OPERATIVNIH TVEGANJ UPORABE<br />
INFORMACIJSKE TEHNOLOGIJE, Marjan Trobina, univ. dipl. inž. el.; Dalibor Baškovč, univ. dipl. ing.<br />
8. TVEGANJA IN ZAŠČITA SCADA SISTEMOV, Mag. Borut Žnidar<br />
2009<br />
9. OBVLADOVANJE TVEGANJ - METODE IN DOBRE PRAKSE V ČASU EKONOMSKE KRIZE: IZVAJATI ALI<br />
NE OBSTATI, Doron Ronen<br />
10. UPRAVLJANJE INFORMACIJSKIH TVEGANJ PO ISO/IEC 27005:2008, Dr. Borut Jereb, Mateja Škornik<br />
11. KAJ SO TVEGANJA?, Dr. Borut Jereb<br />
12. OKVIR ZA UPRAVLJANJE Z IT TVEGANJI DOKUMENT IT GOVERNANCE INSTITUTA, Franci Tajnik, univ.<br />
dipl. ing. fizike<br />
13. OBVLADOVANJE TVEGANJ V POVEZAVI S POSLOVNIMI PROCESI TER DILEME, POVEZANE Z<br />
LASTNIŠTVOM VIROV IN PROCESOV, Renato Burazer<br />
14. ZMANJŠANJE TVEGANJA INFORMACIJSKEGA SISTEMA Z UVEDBO PROGRAMSKIH MERILNIKOV,<br />
Dušan Vezjak, univ. dipl. ing. rač.
Koliko predavanj na konferencah SIR/<strong>ISACA</strong> je<br />
imelo od leta 2006 v naslovu besedo tveganje?<br />
2010<br />
15. PODOBNOSTI IN RAZLIKE V METODOLOGIJAH ZA OBVLADOVANJE OPERATIVNIH TVEGANJ IN<br />
METODOLOGIJAH ZA CELOVITO OBVLADOVANJE TVEGANJ, Renato Burazer<br />
16. TVEGANJA IN PRILOŽNOSTI, KI JIH PREDSTAVLJAJO SOCIALNA OMREŽJA, mag. Pavle Golob; Maja<br />
Hmelak, univ. dipl. ekon.<br />
17. PREGLED IN PRIMERJAVA ORODIJ ZA PODPORO OBVLADOVANJU TVEGANJ, mag. Aleš Košir; mag.<br />
Andrej Orel<br />
2011<br />
18. STANDARDA ZA UPRAVLJANJE TVEGANJ: ISO 31000:2009 in ISO/IEC 31010:2009, Dr. Borut Jereb<br />
19. MODEL COSO IN REGISTER TVEGANJ, Primož Simončič<br />
20. OCENA TVEGANJ, Mag. Aleš Košir; mag. Andrej Orel; Jernej Potočnik<br />
21. VARNOST IN PSIHOLOGIJA, Mag. Borut Žnidar
Vsebina<br />
• Namen<br />
Opozoriti na najpogostejše pomanjkljivosti in neučinkovite prakse<br />
ocenjevanja (upravljanja) operativnih tveganj IT.<br />
• Potek<br />
I. Uvod<br />
II.<br />
III.<br />
UNP in ocenjevanje tveganja<br />
Od zgoraj navzdol ali od spodaj navzgor<br />
IV. Ocenjevanje posledic<br />
V. Zrelost procesov in uporaba orodij<br />
VI. Obseg dokumentacije (katalog tveganj)<br />
VII. Usklajenost kriterijev ocenjevanja tveganj
I. Uvod<br />
• Tveganja<br />
• Opredelitev obsega<br />
• Proces upravljanja tveganj<br />
• Merjenje tveganja
Celovit pristop<br />
O how they cling and wrangle, some who claim<br />
For preacher and monk the honored name!<br />
For, quarreling, each to his view they cling.<br />
Such folk see only one side of a thing.<br />
All of you are right. The reason every<br />
one of you is telling it differently is<br />
because each one of you touched the<br />
different part of the elephant. So,<br />
actually the elephant has all the features<br />
you mentioned
Definicija tveganja<br />
• Tveganje je možnost, da se bo zgodilo kaj, kar bo imelo vpliv na doseganje ciljev.<br />
(AS/NZS 4360:2004 Risk Management)<br />
• Učinek negotovosti na doseganje ciljev (effect of uncertainty on objectives) (IS0/IEC<br />
31000, 2009)<br />
Negotovost : stanje, tudi delno, pomanjkanja informacij povezanih z bodočimi dogodki(3.1.4), posledicami(3.1.2) ali<br />
verjetnostjo(3.1.3)<br />
• Kombinacija verjetnosti dogodka in njegovih posledic (ISO/IEC Guide 73:2002)<br />
• V poslovnem svetu se nanaša na možnost, da bi se grožnja uresničila in izkoristila<br />
ranljivost sredstva ali množice sredstev ter povzročila škodo in/ali uničila sredstva;<br />
običajno se meri s kombinacijo posledic in verjetnosti dogodka. (COBIT)<br />
• Operativno tveganje je tveganje nastanka izgube, vključno s pravnim tveganjem, zaradi<br />
naslednjih okoliščin:<br />
1. neustreznosti ali nepravilnega izvajanja notranjih procesov,<br />
2. drugih nepravilnih ravnanj ljudi, ki spadajo v notranjo poslovno sfero pravne<br />
osebe,<br />
3. neustreznosti ali nepravilnega delovanja sistemov, ki spadajo v notranjo poslovno<br />
sfero pravne osebe, ali<br />
4. zunanjih dogodkov ali dejanj. (Operativno tveganje, ZBAN 112. , ZTFI 327., 418. člen)
Vrste tveganj<br />
OKOLJE<br />
IT<br />
REGULATIVA<br />
SREDSTVA<br />
OPERATIVNA<br />
LJUDJE<br />
SKLADNOST<br />
PRODAJA<br />
MARKETING<br />
PRES.<br />
VERIGA<br />
KODEKS<br />
DELA<br />
ZAKONODAJA<br />
RAČ.<br />
POROČANJE<br />
LIKVIDNOSTNA<br />
KREDITNA<br />
PREVZEMI<br />
ZDRUŽITVE<br />
NAČRTOVANJE<br />
VIROV<br />
KAP.<br />
STRUKTURA<br />
FINANČNA<br />
DAVČNA<br />
TRŽNA<br />
DINAMIKA<br />
STRATEŠKA<br />
UPRAVLJANJE<br />
TRG<br />
INVESTITORJI<br />
POMEMBNE<br />
INICIATIVE
Proces upravljanje tveganj<br />
Vzpostaviti kontekst upravljanja s tveganji<br />
Identifikacija tveganj<br />
Analiza tveganj<br />
Vrednotenje tveganj<br />
Obravnavanje tveganj<br />
Ocenjevanje<br />
tveganj<br />
Spremljanje in poročanje
Ocenjevanje tveganj<br />
IDENTIFIKACIJA TVEGANJ<br />
· kaj se lahko zgodi?<br />
· kdaj in kje?<br />
· kako in zakaj?<br />
ANALIZA TVEGANJ<br />
spoznamo kontrolno okolje<br />
določimo<br />
določimo<br />
posledice verjetnost<br />
določimo stopnjo tveganja<br />
VREDNOTENJE TVEGANJ<br />
· primerjamo s kriteriji<br />
· določimo prioritete<br />
SPREMLJANJE IN POROČANJE<br />
obravnavamo
Merjenje tveganja<br />
VIRI<br />
RANLJIVOSTI<br />
OCENA<br />
GROŽNJE<br />
F(A, V, T) M<br />
• Kako podrobno modelirati vire?<br />
• Ali ranljivosti in grožnje združujemo?<br />
• Odvisnost/neodvisnost dogodkov?<br />
• Verjetnost dogodkov?
proxy<br />
AS<br />
STRANKE<br />
INTERNET<br />
U1<br />
S1<br />
PS<br />
U2<br />
S2<br />
DS<br />
S3<br />
UPORABNIKI<br />
UPORABNIKI
storitev: naročanje<br />
vir grožnja M<br />
internet okvara<br />
proxy<br />
napaka (SW)<br />
U1<br />
namerna dejanja<br />
U1<br />
prekinitev povezav<br />
S1<br />
S2<br />
S3<br />
AS<br />
PS<br />
DS<br />
DP1<br />
DP2<br />
DP3
Preprost model merjenja tveganj<br />
stopnja<br />
skoraj<br />
g otovo<br />
verjetno<br />
možno<br />
redko<br />
izredno<br />
redko<br />
Vrsta škode / Zelo velike velike omejene majhne<br />
izg uba -Izg uba zaposlenih og roža -Izg uba/odsotnost ključneg a -Izg uba/odsotnost ključneg a -Lahko pride do teg a,<br />
delovanje celotneg a<br />
izvajalca in njeg oveg a namestnika na izvajalca na posameznem projektu da posamezni<br />
podjetja.<br />
-Izg uba dokumentacije<br />
posameznem projektu<br />
<br />
-Izg uba podatkov o zključenih<br />
projektih (razen revizijskih)<br />
zaposleni izg ubijo<br />
nekaj ur dela<br />
zaključenih revizijskih<br />
preg ledov<br />
-Izg uba podatkov v kaki od tekočih<br />
zbirk ali e-pošti<br />
prekinitev Daljša od 1 teden Do 1 teden Do 2 dni Nekaj ur<br />
razkritje<br />
informacij<br />
izg uba<br />
celovitosti<br />
indikativna<br />
Opis<br />
frekvenca<br />
Tovrstni dog odki so se zg odili v<br />
preteklem letu v ITAD; tovrstni enkrat letno ali<br />
dog odki se stalno dog ajajo (npr. pog osteje<br />
okužba z zlonamerno kodo)<br />
Tak dog odek se je zg odil v ITAD;<br />
tovrstni dog odki se v Sloveniji enkrat na tri<br />
dog odijo vsako leto; tovrstni leta<br />
dog odki se redno dog ajajo<br />
Tovrsten dog odek se je zg odil v<br />
ITAD; tak dog odek se je večkrat enkrat na<br />
zg odil v Sloveniji; tovrstni deset let<br />
dog odki se občasno dog ajajo<br />
Takšni dog odki se občasno kje enkrat na<br />
zg odijo<br />
trideset let<br />
Tak ali podoben dog odek se je<br />
kje že zg odil; teoretično je<br />
možno, da se tak dog odek zg odi<br />
enkrat na sto<br />
ali več let<br />
Razkritje celotneg a<br />
revizijskeg a poročila ali<br />
njeg oveg a dela, ki opisuje<br />
visoka tveg anja<br />
Razkritje celotne evidence<br />
tržnih aktivnosti (ponudbe,<br />
pog odbe)<br />
Dalj časa neodkrito razkritje<br />
Dovolj je ena nepooblaščena<br />
sprememba v revizijskem<br />
Razkritje evidence osebnih podatkov<br />
zaposlenih<br />
Razkritje davčne evidence<br />
Razkritje osebnih podatkov<br />
poslovnih partnerjev oziroma<br />
sodelavcev na projektih<br />
Razkritje celotne evidence projektov<br />
(razen revizijskih- zelo velike)<br />
Razkritje posamičnih zapisov iz<br />
evidence osebnih podatkov<br />
Razkritje dokumentacije posameznih<br />
projektov (razen revizijskih-zelo<br />
velike)<br />
Razkritje računovodskih podatkov<br />
Večje razkritje org anizacijske<br />
dokumentacije interne narave<br />
Razkritje org anizacijske<br />
dokumentacije interne<br />
narave<br />
Nad 60 000 EUR 30 000 EUR 5000 EUR 100 EUR<br />
velika velika srednja nizka<br />
Velika velika srednja sprejmljiva<br />
Velika srednja nizka sprejemljiva<br />
srednja nizka sprejemljiva sprejemljiva<br />
nizka sprejemljiva sprejemljiva sprejemljiva
Primer vrednotenja tveganj<br />
stopnja tveganja Obravnavanje<br />
veliko<br />
srednje<br />
nizko<br />
sprejemljivo<br />
Tveganja ni mogoče upravičiti/sprejeti, razen<br />
morda v izrednih razmerah. Uvesti je<br />
potrebno kontrole, ki bodo zmanjšale<br />
verjetnost takšnega dohodka in/ali posledic,<br />
tako da bo kombinacija obojega predstavljala<br />
sprejemljivo tveganje.<br />
Potrebno je uvesti kontrolne ukrepe, tako da<br />
bo tveganje uvrščeno v sprejemljivejše<br />
področje (nizko, sprejemljivo).<br />
Preostalo tveganje je sprejemljivo, če njegovo<br />
nadaljnje zmanjševanje ni izvedljivo ali<br />
upravičeno. Praviloma je potrebno v takšnem<br />
primeru pretehtati, če se investicija v<br />
kontrolno okolje povrne.<br />
Uvajanje dodatnih kontrol praviloma ni<br />
potrebno.<br />
Rok za obravnavanje tveganja<br />
Načrt obravnavanja tveganja je<br />
potrebno izdelati in izvesti takoj ali<br />
najkasneje v roku pol leta, če izvedba<br />
priporočila vključuje projekt s področja<br />
IKT (npr.: razvoj/vpeljavo storitve IKT).<br />
Načrt obravnavanja tveganja je<br />
potrebno izdelati in izvesti v roku pol<br />
leta ali najkasneje v enem letu, če<br />
izvedba vključuje projekt s področja<br />
IKT (npr.:razvoj/vpeljavo storitve IKT).<br />
Načrt obravnavanja tveganja je<br />
potrebno izdelati in izvesti kot del<br />
stalnega procesa izboljševanja<br />
kontrolnega okolja.<br />
Rok izvedbe ni določen.
Obravnavanje tveganj<br />
obravnavanje tveganj<br />
izognitev tveganju<br />
zmanjšanje tveganja<br />
prenos tveganja<br />
sprejeti tveganje<br />
spremeniti cilje<br />
spremeniti kraj<br />
zmanjšati verjetnost<br />
zmanjšati posledice<br />
pogodba<br />
zavarovanje<br />
partnerski odnos/<br />
sovlaganja<br />
sredstva za nepredvidene<br />
dogodke<br />
popravi ob napaki<br />
krizno vodenje<br />
načrtovanje nadaljevanja<br />
poslovanja v primeru...<br />
Primer pravil sprejemanja tveganja<br />
Za sprejem tveganja, z oznako stopnje:<br />
• veliko je potrebno pridobiti odobritev uprave,<br />
• srednje je potrebno pridobiti odobritev izvršnega direktorja,<br />
• nizko je potrebno pridobiti direktorja enote,<br />
• sprejemljivo je potrebno pridobiti odobritev vodje OE.
II. UNP in ocenjevanje tveganja
Področja obravnave<br />
VELIKE POSLEDICE<br />
Načrtuj<br />
Izredne razmere<br />
Zmanjšaj<br />
meja zmožnosti načrtovanja<br />
UNP<br />
VELIKA/ZNANA VERJETNOST<br />
MAJHNA/NEZNANA VERJETNOST<br />
SUVI<br />
Sprejmi<br />
Upravljaj<br />
MAJHNE POSLEDICE
AVP in OT za potrebe UNP<br />
Analiza vpliva na poslovanje<br />
• Za storitve in aktivnosti dokumentirati časovni vpliv izgube/prekinitve<br />
• Opredeljen in potrjen Najdaljši Sprejemljivi Čas Prekinitve (NSCP)<br />
• Opredeljen in potrjen Najdaljši Sprejemljiv Izpad Podatkov (NSIP)<br />
Ocena potrebnih virov<br />
Ocena tveganja za potrebe UNP<br />
• Identifikacija groženj, ki bi lahko povzročile prekinitev nudenja storitev<br />
• Določanje prioritete glede na dogovorjene kriterije (metodologija)<br />
V BS 25999 je obseg ocene osredotočen na časovno kritične aktivnosti in<br />
grožnje virom, ki so potrebni za njihovo izvajanje.<br />
Standardi in dobre prakse: BS2599, ISO/PAS 22399:2007, GPG
Primer povezave<br />
PC<br />
SC
Identifikacija tveganj<br />
Zavedati se moramo, da je potresna nevarnost pri nas realna in stvarna in da do potresa lahko<br />
pride kadarkoli. Iz kranjskega stolnega mesta z nemško provincialno podobo, ko je imela<br />
pred dobrimi sto leti le krog 30.000 prebivalcev, se je Ljubljana prelevila v moderno<br />
slovensko središče - prometno križišče, logistično in upravno središče, prestolnico države,<br />
kar seveda pomeni, da bi s potresom, ne le mesto, tudi država imela resne težave. Lahko<br />
bi se celo zgodilo, da bi logistično "razpadla" na štiri dele...<br />
– Citat je iz gradiva Ocena ogroženosti mestne občine Ljubljana zaradi potresa, Mestna občina Ljubljana, Oddelek za zaščito,<br />
reševanje in civilno obrambo.<br />
V prejšnjem stoletju so se pojavile tri pandemije gripe; 1918/19 (španska gripa), 1957/58<br />
(azijska gripa) in 1968/69 (hongkongška gripa). Strokovnjaki napovedujejo verjetnost<br />
nastanka nove pandemije v bližnji prihodnosti. Pandemija gripe za razliko od epidemije<br />
obicajne gripe ne predstavlja samo pomembnega javno zdravstvenega problema, ampak širši<br />
družbeni problem, saj lahko zboli od 25-45% ljudi. Zaskrbljujoce je, da je klinicna slika<br />
zelo težka (ptičja gripa) in smrtnost zelo visoka (preko 50%).Načrt temelji na naslednjih<br />
predpostavkah:<br />
• Pojav pandemije gripe je po oceni SZO realna grožnja.<br />
• Virus gripe se bo širil zelo hitro in bo povzrocil visoko morbiditeto in povecano<br />
mortaliteto.<br />
– Tekst je povzet iz NACRTA PRIPRAVLJENOSTI NA PANDEMIJO GRIPE NA PODROCJU ZDRAVSTVA Julij 2006, MZZ<br />
• Viri:<br />
– Uprava RS za zaščito in reševanje (http://www.sos112.si/slo/page.php?src=og1.htm)<br />
– Portali občin (npr. http://www.ljubljana.si/si/mol/mestna-uprava/oddelki/zascita-resevanje-civilna-obramba/viri-ogrozanja/)<br />
– Druge vladne službe
Ocena tveganja<br />
Pomanjkljivosti metodologij ocenjevanja tveganj za primer<br />
katastofalnih dogodokov<br />
• Nemogoče je identificirati vse grožnje<br />
• O verjetnosti ugibamo ali pa jo določamo na podlagi zgodovinskih in<br />
dostikrat netočnih podatkih<br />
• Posledice naraščajo s časom<br />
• Numerično ocenjevanje lahko pretirano poudari posledice manjših<br />
dogodkov<br />
Ocena tveganj lahko odkrije nesprejmljive koncentracije<br />
tveganja (single points of failure).<br />
Primer
Primer
III. Od zgoraj navzdol ali od spodaj<br />
navzgor
Storitev
Inf. Elementi aplikacije<br />
Firewall<br />
Authentication Server<br />
Application Server<br />
Reverse Proxy<br />
Baza<br />
LOG server
Infrastruktura<br />
VPN<br />
PROD<br />
Virtual Center<br />
TEST<br />
Auth. Serv.<br />
VMWare ESX 1 VMWare ESX 2<br />
VMWare ESX 3<br />
Cluster<br />
BAZA<br />
BAZA<br />
BAZA<br />
BAZA<br />
Fiber switch<br />
3 U SAN
Kompleksnost OT<br />
1200<br />
1000<br />
800<br />
600<br />
400<br />
kriteriji<br />
ocenjevanja<br />
posledic<br />
200<br />
ranljivosti in<br />
grožnje<br />
0<br />
produkti, storitve aplikacije infrastruktura komponente IKT
• Orodja<br />
Nekaj priporočil<br />
• Manj je več<br />
• Princip KISS<br />
• Delavnice (ankete)<br />
• Modeliranje<br />
• Ali odraža dejansko stanje (v primeru revizije)<br />
• CMDB<br />
• IT Grundschutz<br />
• (nemški:<br />
https://www.bsi.bund.de/DE/Themen/weitereThemen/ITGrundschutzKataloge/Inh<br />
alt/inhalt_node.html)<br />
• (angleški:<br />
https://www.bsi.bund.de/EN/Topics/ITGrundschutz/ITGrundschutzCatalogues/itgr<br />
undschutzcatalogues_node.html
IV. Ocenjevanje posledic<br />
• Učinek negotovosti na doseganje ciljev (effect of uncertainty on objectives)<br />
• V poslovnem svetu se nanaša na možnost, da bi se grožnja uresničila in<br />
izkoristila ranljivost sredstva ali množice sredstev ter povzročila škodo in/ali<br />
uničila sredstva; običajno se meri s kombinacijo posledic in verjetnosti<br />
dogodka.<br />
Posledice vplivajo na to, v kolikšni meri bo organizacija<br />
dosegla cilje (obseg škode).<br />
• Kategorije posledic se nanašajo na poslovne cilje<br />
• Kriteriji enotni za celo organizacijo<br />
• Kriterije in meje naj opredeli poslovni del<br />
• Kriteriji niso nespremenljivi – lahko se jih dopolnjuje
V. Zrelost procesov in uporaba orodij<br />
IZBOLJŠUJOČE<br />
skupen napor vseh<br />
NADZIRANO<br />
procesi se<br />
spremljajo in preverjajo<br />
Zakonodaja<br />
standardi<br />
DOLOČENO<br />
procesi so formalizirani<br />
in odobreni<br />
GA NI<br />
ni razumevanja<br />
ZAČETNO<br />
potek procesov odvisen<br />
od posameznikov
V. Zrelost procesov in uporaba orodij
Orodja<br />
• Večinoma namenjena za zrele procese (3 in več)<br />
• Vpeljava organizacijsko zahtevna, dodatno delo<br />
• Modeliranje medsebojnih odvisnosti zamudno<br />
• Verjeti v pravilnost izračunov (oziroma pravilno<br />
razumevanje, kakšne podatke/parametre je<br />
potrebno zagotoviti)<br />
• VPLIV NETOČNOSTI VHODNIH OCEN NA<br />
KONČNE REZULTATE NI OPREDELJEN
Vloge v OT<br />
• Kdo ocenjuje posledice<br />
• Kdo ocenjuje verjetnost dogodka (grožnje)<br />
• Kdo ocenjuje kontrolno okolje<br />
• Primer DB strežnika:<br />
– Naravne nesreče<br />
– Okoljska tveganja<br />
– Tehnične okvare<br />
– Napake konfiguracije<br />
– Namerna dejanja notranjih<br />
– Namerna dejanja zunanjih
VI. Obseg dokumentacije<br />
• Politika<br />
• Strategija<br />
• Metodologija<br />
• Dokumentirana uporaba orodij<br />
• Ocena<br />
• Katalog tveganj<br />
• Načrt upravljanja tveganj
Katalog tveganj<br />
opis tveganja kontrolno okolje analiza<br />
obravnava<br />
nje<br />
id tveganje grožnja ranljivost posledice<br />
1 Neprimerno Namerna<br />
Razkritje zaupnih<br />
upravljanje dejanja<br />
podatkov, ogrožena<br />
dostopnih zaposlenih ali<br />
celovitost podatkov in<br />
pravic bivših<br />
razpoložljivost sistemov.<br />
zaposlenih<br />
obstoječe<br />
kontrolno okolje uspešnost<br />
Postopki v<br />
primeru<br />
odpovedi ne<br />
zagotavljajo, da<br />
so vse pravice<br />
pravočasno<br />
odvzete.<br />
Zgodilo se je, da je imel<br />
zaposleni v času<br />
odpovednega roka vse<br />
pravice dostopa z visokimi<br />
pooblastili do sistema za<br />
izdelovanje varnostnih<br />
kopij, mrežne opreme in<br />
strežnikov.<br />
st. st. prio obrav<br />
verjetn posledi tveganj ritet navat<br />
ost c a a i<br />
redko zelo velika 1 da<br />
velike<br />
2 Tehnične<br />
napake na<br />
opremi IKT<br />
Odpoved<br />
opreme<br />
Ključne storitve niso na<br />
voljo<br />
Arhitektura IKT Prišlo je do<br />
opreme,<br />
nekonsistentnosti<br />
podvojen sistem konfiguracij U1 in U2, kar je<br />
na rezervni imelo za posledico izpad<br />
lokaciji, postopki storitev<br />
odprave napak<br />
možno velike srednja 2 da<br />
3 Nameščanje<br />
popravkov<br />
Heker ali<br />
nezadovoljni<br />
zaposleni<br />
Izkoristi znane<br />
ranljiovsti OS,<br />
za katere so na<br />
voljo orodja<br />
Prevzem strežnika,<br />
razkritje zaupnih<br />
podatkov, potvarjanje<br />
podatkov, motnje v<br />
razpoložljivosti<br />
sistemov.<br />
politika<br />
nameščanja<br />
varnostnih<br />
popravkov.<br />
Politika ne zajema mrežne<br />
opreme. Postopki na<br />
področju OS se ne izvajajo:<br />
odobritev, pravočasno<br />
nameščanje<br />
možno zelo<br />
velike<br />
velika 1 da
Pri katalogu tveganj je pomembno je tudi ?
Dokumentiraje, kako ste prišli do ocene<br />
• Standardni popis groženj<br />
Za osnovo popisa groženj je vzet katalog groženj, ki je sestavni del IT<br />
Baseline Protection Manual. (400)<br />
• Izločeni moduli, ki se nanašjo na tehnologije, ki se v<br />
organizaciji ne uporabljajo (27/65)<br />
• Določene grožnje, ki pripadajo preostalim modulom<br />
Izdelan je bil seznam groženj, ki se pojavljajo v preostalih modulih.<br />
Na podlagi seznama je bil izdelan vprašalnik, ki je služil za hitro<br />
oceno posledic. (300->150->30)<br />
• Izdelana ocena posledic v primeru uresničitve groženj
Načrt upravljanja tveganj<br />
tveganje obravnava izvedba<br />
izbrana<br />
priporočena<br />
možnos Odgvorna<br />
možnost ocena stroškov t<br />
id tveganje<br />
1 Neprimerno<br />
upravljanje<br />
dostopnih<br />
pravic<br />
2 Tehnične<br />
napake na<br />
opremi IKT<br />
3 Nameščanje<br />
popravkov<br />
prior<br />
iteta možnosti obravnave<br />
1 Opredeliti in izvajati<br />
postopke v primeru<br />
odpovedi<br />
2 1) popolna podvojitev<br />
opreme<br />
2) opredeliti osnovne<br />
konfiguracije in izvajati redni<br />
nadzor na uskljenostjo<br />
konfiguracij (testiranje)<br />
1 1) Vključitev mrežne opreme<br />
v politiko nameščanja<br />
popravkov<br />
2) nameščanje na vzorcu<br />
strežnikov, odobritev in<br />
prenos v produkcijo<br />
3) vzpostavitev sistema za<br />
nameščanje popravkov,<br />
testnega okolja za odobritev<br />
in prenos v produkcijo<br />
2 1) 200 000 EUR<br />
2) opredelitev<br />
konfiguracij 20čd<br />
+ letno 10 čd (10<br />
000 EUR + 2000<br />
EUR letno)<br />
1,3 1) 10 čd<br />
2) 30 čd letno,<br />
možne prekinitve<br />
(6000 EUR)<br />
3) WSUS strežnik<br />
+ virtualni<br />
strežniki za testno<br />
okolje (30 000<br />
EUR + 5 čd letno)<br />
oseba rok spremljanje<br />
Vodja<br />
kadrovske<br />
službe<br />
2 Vodja<br />
operacij IT<br />
1,2 vodja IT dva<br />
meseca<br />
1 mesec v okviru rednih<br />
pregeldov dostopnih<br />
pravic (poročilo o<br />
odvzetih pravicah)<br />
pol leta redni nadzor vključiti<br />
v kvartalna<br />
varnostna poročila<br />
o izvedenih<br />
nadgradnjah in<br />
popravkih, ki niso<br />
nameščeni poročati v<br />
kvartalnih varnostnih<br />
poročilih
VII. Usklajenost kriterijev ocenjevanja<br />
tveganj<br />
• Upravljanje operativnih tveganj<br />
• SUVI<br />
• Pregledi kakovosti<br />
• <strong>No</strong>tranja revizija<br />
• Naročeni pregledi
Hvala za pozornost<br />
peter.grasselli@itad.si<br />
www.itad.si
Change language