Organizācijas risku analīze ir pirmais solis ceļā uz veiksmīgu risku pārvaldību. Risku vadība ir nepārtraukts pilnveides process – tas var būt vai nu ļoti vienkāršs, vai ļoti detalizēts. Viss atkarīgs no organizācijas izmēra, izmantoto sistēmu sarežģītības, apstrādāto datu konfidencialitātes un citiem elementiem. Informācijas tehnoloģiju risku analīzi parasti vada atbildīgais par IT drošību, sadarbojoties gan ar vadību, gan citu nodaļu pārstāvjiem.

Resursu klasifikācija

Veiksmīgākai risku analīzei organizācijai būtu ieteicams sākt ar visu informācijas resursu klasifikāciju, ar mērķi novērtēt to nozīmību pēc šādiem kritērijiem: konfidencialitāte, vērtība un pieejamība. Svarīgi gan norādīt, ka šis ir tikai viens no klasifikācijas piemēriem, un, atkarībā no iestādes / organizācijas specifikas, var izmantot arī citas detalizētākas klasificēšanas sistēmas.

Informācijas konfidencialitātes līmeni nosaka, ņemot vērā kaitējumu, kas varētu tikt nodarīts organizācijai, ja informācijai piekļūst nepilnvarotas personas.

Konfidencialitātes līmeņi:

  • Publiska informācija – nav svarīga konfidencialitātes aspektā, tā ir brīvi pieejama organizācijas darbiniekiem, jebkurai personai vai organizācijai, kas to ir pieprasījusi. Šīs informācijas izplatīšana neietekmē iestādi negatīvā veidā.
  • Ierobežotas pieejamības informācija – ir svarīga konfidencialitātes aspektā, tās pazīmes noteiktas Informācijas atklātības likuma 5., 6., un 7. pantā. Šī informācija ir pieejama tikai organizācijas darbiniekiem, kuriem ir piešķirtas šādas tiesības.

Informācijas vērtības līmeni nosaka atkarībā no kaitējuma, kas varētu būt nodarīts organizācijai, ja netiktu nodrošināta informācijas resursu integritāte. Piemēram, kas notiktu, ja kāds piekļūtu organizācijas klientu bāzei un veiktu tajā nesankcionētas izmaiņas, vai arī organizācijas vietnē tiktu publicēta nepatiesa informācija utt. Šajā līmenī nosaka vai informācija ir: augstas vērtības, vidēja vērtības vai zema vērtības informācija.

Informācijas pieejamības līmeņus nosaka atkarībā no organizācijas darbības jomas, ņemot vērā kaitējumu, kas varētu tikt nodarīts organizācijai vai tās klientiem, ja netiktu nodrošināta resursu pieejamība.

Informācijas pieejamības līmeni nosaka pēc šādas skalas:

  • informācija pieejama 24 stundas diennaktī, 7 dienas nedēļā,
  • informācija pieejama iestādes darba laikā.

Risku analīze

Risku novērtēšanā jāiesaista visas ieinteresētās puses, kuras strādā ar noteiktiem resursiem. Organizācijas var brīvi izvēlēties sev piemērotu metodoloģiju, iegūtā informācija ļaus izveidot risku pārvaldības plānu. Šajā plānā būs redzami aktuālie apdraudējumi un to iestāšanās varbūtība. Izvērtējot šo informāciju, būs iespējams novērtēt zaudējumus apdraudējuma iestāšanās gadījumā un nepieciešamos ieguldījumus riska samazināšanai līdz pieņemamam līmenim.

4 soļi risku analīzei

  1. Organizācijas darbības sfēras definēšana, IT drošības nozīmība organizācijas darbības sfērā – vai pastāv kādi īpaši, tieši Jūsu organizācijai specifiski riski?
  2. Sfēras izklāsts:
    1. IT resursa definēšana (kādas iekārtas ir organizācijas rīcībā, kāda programmatūra tiek izmantota uz serveriem vai ir vajadzīga darbinieku pienākumu izpildei? Kāda veida informācija tiek uzglabāta organizācijas IT sistēmās?);
    2. ievainojamību un apdraudējumu definēšana (kas apdraud šīs iekārtas vai izmantoto programmatūru, kādas ir vājās vietas? Kāda ir izmantoto produktu drošības vēsture? Cik bieži iznāk atjaunojumi, vai tie būs jātestē pirms ieviešanas un cik ātri atjaunojumi ir jāievieš pēc to publicēšanas? Kādos veidos varētu tikt pazaudēta vai kompromitēta IT sistēmās glabātā informācija?);
    3. ietekmes novērtējuma veikšana (kas notiek, ja šo iekārtu darbība tiek traucēta, kāds nesankcionēti piekļūst, modificē vai dzēš informāciju, kas šajās ierīcēs glabājas? Kādas pakalpojuma atteikuma situācijas var rasties?).
  3. Risku novērtēšana un reaģēšana:
    1. veicamās darbības identificēto risku novēršanai (piemēram, darbinieku izglītošana, procesu automatizēšana, rezerves kopiju veidošana, utt.);
    2. papildus veicamie pasākumi drošības uzlabošanai un tālākai risku mazināšanai
  4. Ieviesiet regulāras pārbaudes – cikliski atkārtojiet risku analīzi un pārskatiet izstrādātos plānus.

Riski pastāv vienmēr un izvairīties no tiem pilnībā nav iespējams. Risku analīze ir pirmais solis ceļā uz veiksmīgu risku pārvaldību. Risku novērtēšanā jāiesaista visas ieinteresētās puses, kuras strādā ar noteiktiem resursiem.