2
procjenu rizika
smanjivanje rizika
održavanje prihvatljive razine rizika.
Dobre prakse nalažu da se upravljanje rizikom integrira u životni ciklus informacijskog sustava
kako bi procijenjeni rizik odgovarao stvarnom stanju sustava te kako bi se podržali poslovni
ciljevi banke.
2. PROCJENA RIZIKA
Banka bi trebala pri procjeni rizika utvrditi razinu rizika kojem je izložen informacijski sustav te
predložiti zaštitne mjere kako bi se rizik smanjio na prihvatljivu razinu. Da bi se banke mogle
zaštititi od nepovoljnih učinaka raznovrsnih rizika trebaju ih prethodno identificirati, mjeriti i
njima upravljati.
2
Rizici se procjenjuju s aspekta mogućeg učinka uzrokovanog naglašavanjem
funkcionalnosti i/ili sigurnosti informacijskog sustava. Kako bi se utvrdila vjerojatnost pojave
nekog štetnog događaja, potrebno je analizirati prijetnje informacijskom sustavu zajedno s
ranjivostima te kontrolama koje su primijenjene u informacijskom sustavu. Učinak se odnosi na
opseg i veličinu štete koju prijetnja može uzrokovati ako iskoristi određenu ranjivost.
Procjena rizika trebala bi uključivati sljedeće radnje
3
:
određivanje obilježja sustava
identifikaciju prijetnja
identifikaciju ranjivosti
analizu sustava kontrola
određivanje vjerojatnosti
analizu učinka
utvrđivanje rizika
predlaganje mjera
dokumentiranje rezultata u obliku formalnog izvješća
2.1. ODREĐIVANJE OBILJEŽJA SUSTAVA
2
https://repozitorij.efst.unist.hr/islandora/object/efst%3A1130/datastream/PDF/view
3
https://www.hnb.hr/-/smjernice-za-upravljanje-informacijskim-sustavom-u-cilju-smanjenja-operativnog-rizika
3
Određivanje obilježja informacijskog sustava definira opseg procesa procjene rizika te daje
informacije ključne za definiranje rizika. Utvrđivanje rizika kojem je izložen informacijski
sustav zahtijeva razumijevanje njegova okruženja. Stoga je potrebno prikupiti informacije o
informacijskom sučelju koji uključuju:
hardver
softver
sistemska sučelja (npr. interna i eksterna sposobnost povezivanja)
poslovne informacije i ostale informacije koje rabi informacijski sustav (informacije je
potrebno klasificirati u različite grupe prema stupnju njihove osjetljivosti)
osobe koje održavaju i koriste informacijski sustav
svrhu sustava (npr. procesi koje obavlja informacijski sustav)
važnost i osjetljivost sustava i podataka (npr. vrijednost sustava ili kolika je njegova
važnost za banku)
ostalo.
Zatim je potrebno prikupiti i dodatne informacije povezane s operativnim okruženjem
informacijskog sustava koje uključuju sljedeće (ali nisu ograničene na to):
funkcionalne potrebe
interne akte koji se odnose na informacijski sustav
arhitekturu sigurnosti sustava
topografiju mreže (npr. Dijagram mreže)
tok informacija koje se odnose na informacijski sustav (npr. sistemska sučelja, dijagram
toka ulaznih i izlaznih podataka sustava)
identifikaciju upravljačkih, logičkih i fizičkih kontrola
fizičku sigurnost (npr. sigurnost prostorija, politike pristupa sistemskoj prostoriji)
sigurnost okoline u kojoj je informacijski sustav (npr. kontrola vlažnosti, vode,
napajanja, onečišćenja, temperature i kontrola prisutnosti kemikalija).
Rezultat: izvješće o obilježjima informacijskog sastava s cjelovitim prikazom okruženja
informacijskog sastava
