HRVATSKI OGRANAK MEUNARODNOG VIJEA

ZA VELIKE ELEKTROENERGETSKE SUSTAVE CIGR

9. simpozij o sustavu voenja EES-a
Zadar, 8. 10. studenoga 2010.

Mr.sc. Ante Martini, dipl.ing.

Konar - Inenjering za energetiku i transport d.d.
ante.martinic@koncar-ket.hr

1-32
Juraj Ljubei, mag.ing.el.
Konar - Inenjering za energetiku i transport d.d.
juraj.ljubesic@koncar-ket.hr

Marko malcelj, mag.ing.el.

Konar - Inenjering za energetiku i transport d.d.
marko.smalcelj@koncar-ket.hr

PREGLED METODOLOGIJA ZA PROCJENU RIZIKA

SAETAK
Meu mehanizmima uspostave i odravanja sustava upravljanja informacijskom sigurnou (eng.
Information Security Management System - ISMS) vano mjesto zauzima metodologija procjene rizika.
Za metodologiju procjene rizika vano je zadovoljavanje dosljednosti i ponovljivosti. Dosljednost
podrazumijeva da su pravila jednako primjenjiva na sve, dok ponovljivost omoguava da naknadne
procjene uz identine ulazne podatke daju identine rezultate. U praktinoj primjeni dosljednost sprjeava
nastanak iskrivljene slike o rizicima, dok ponovljivost omoguava praenje uinaka mjera provedenih s
ciljem smanjivanja rizika.
Prilikom izbora metodologije procjene rizika vano je da ona bude dobro definirana te prikladna
za sustav na koji se primjenjuje. Jednom odabranu metodologiju ne treba mijenjati bez prijeke potrebe.
To se posebno odnosi na vrijeme tijekom procjene rizika budui da promjena metodologije naruava
ponovljivost, a potencijalno i dosljednost.
Postoji velik broj metodologija za procjenu rizika i svaka od njih ima svoje prednosti i nedostatke.
U praktinoj primjeni se pokazuje izrazita zemljopisna opredijeljenost pri izboru metodologije procjene
rizika. S obzirom na velik broj postojeih metodologija procjene rizika nije jednostavno pratiti sve
dostupne metodologije, preporuke, sustave i norme. U ovom radu e biti dana usporedba nekoliko
najpoznatijih i najee primjenjivanih metodologija.
Kljune rijei: Sustav upravljanja informacijskom sigurnou, ISMS, metodologija procjene
rizika, ISO/IEC 27000

OVERVIEW OF RISK ASSESSMENT METHODOLOGIES

SUMMARY
Risk assessment methodology plays important part in implementation and maintenance of
Information Security Management System (ISMS). Risk assessment methodology must comply to two
criterions consistency and repeatability. Consistency means that the same rules must be applied to
everything and everyone. Repeatability ensures that all future reassessments that use the same inputs
provide the same results. These two criterions prevent distortion of assessment results and ensure
possibility to measure results of controls implemented to reduce risks.
It is important for risk assessment methodology to be well defined and appropriate for the
assessed risks. Once decided on, methodology should not be changed without strong reason. This is

especially important during the risk assessment phase, because every change in methodology impairs
repeatability and potentially consistency.
There is a large number of various risk assessment methodologies in use, each one having its
own set of advantages and disadvantages. There is also strong geographical bias present in the choice of
methodologies. Considering multitude of risk assessment methodologies, recommendations, frameworks
and standards it is difficult to present them all. This article will give comparison of most common risk
assessment methodologies.
Key words: Information security management systems, ISMS, risk assessment methodologies,
ISO/IEC 27000
1.

UVOD

Metodologija procjene rizika definira naine odreivanja vrijednosti ulaznih veliina na kojima se
zasniva procjena rizika. Ulazne veliine pri procjeni rizika su najee vjerojatnost (eng. probability) i
utjecaj (eng. impact), a mogu biti i mnoge druge. Koje sve ulazne veliine e biti koritene definirano je u
svakoj pojedinoj metodologiji. Osim ulaznih veliina metodologijom je odreen nain izraunavanja razine
rizika te kriteriji za odreivanje prihvatljivosti, odnosno neprihvatljivosti razine rizika. Vrijednosti ulaznih
veliina mogu se odreivati na razne naine: odabirom iz predefiniranih tablica, neposrednim mjerenjem i
sl. Metodologija mora osigurati ponovljivost vrijednosti, to je u praktinoj primjeni nije jednostavno
postii.
Ne postoji najbolja metodologija za procjenu rizika. Na postoji ak ni najbolja metodologija
procjene rizika za neko podruje primjene. Svaki korisnik mora ili odabrati neku od postojeih
metodologija ili na temelju postojeih razviti vlastitu metodologiju. Postojee, etablirane metodologije u
odreenim primjenama mogu biti nepotrebno komplicirane. Neke metodologije nisu javno dostupne te je
za njihovo koritenje potrebno je plaanje odreenih naknada. Ograniavajui imbenik moe biti i
nepostojanje adekvatnog ili slubenog prijevoda to u zemljama gdje neki od svjetskih jezika nije u
svakodnevnoj upotrebi dodatno komplicira primjenu odreenih metodologija.
U Sjedinjenim Amerikim Dravama esto se koriste The Department of Homeland Securitys
Risk Assessment Methodology razvijena od strane ministarstva domovinske sigurnosti, Risk Assessment
Methodology (RAM) razvijena u Sandia National Laboratories te komplet preporuka i smjernica iz
podruja informacijske sigurnosti razvijenih od strane National Institute of Standards and Technology
(NIST) i U.S. Department of Commerce.
U Europi su meu poznatijim metodologijama francuska Mehari 2007 razvijena u Club de la
Scurit de l'Information Franais (CLUSIF) i britanska Sherwood Applied Business Security Architecture
(SABSA).
Meu neovisne i svjetski rairenije metodologije moe se svrstati komplet CobiT-ValIT-RiskIT
razvijen od strane Information Systems Audit and Control Association (ISACA) te komplet normi ISO/IEC
27000 Information technology -- Security techniques od kojih je do sada objavljeno 10 od planirane 32
pojedinane norme.
Zbog svega toga vrlo esto korisnici ponu s primjenom neke poznatije metodologije te je
prilagode je svojim potrebama. Na takav nain zapravo razviju vlastitu metodologiju procjene rizika.
Budui da takve novostvorene metodologije nisu ope namjene, ve su prilagoene za konkretnu
organizaciju, pokazalo se da u primjeni mogu postii zavidne rezultate. Glavna mana metodologija
nastalih vlastitim razvojem je to to se organizacija mora sama brinuti o odravanju i prilagoavanju
metodologije dinaminom svijetu informacijske sigurnosti.
2.

PREGLED METODOLOGIJA PROCJENE RIZIKA

Ovim prikazom obuhvaene su svjetski poznatije metodologije. Neke od njih su vie orijentirane
prema informatikim tehnologijama (CobiT), neke prema elektroenergetskom sektoru (RAM), a neke
imaju izrazitu geografsku zastupljenost bez obzira na podruje primjene (DHS, MEHARI, SABSA).
Primjenom ISO/IEC 27001 grupe normi formalna standardizacija sve vie uzima maha i u podruju
sustava upravljanja informacijskom sigurnou. Ovaj prikaz obuhvaa najpoznatije metodologije procjene
rizika bez obzira na podruja primjene i zemljopisnu zastupljenost.
2.1.
2

The Department of Homeland Securitys Risk Assessment Methodology

Ministarstvo domovinske sigurnosti SAD-a kontinuirano razvija metodologiju procjene rizika te se

ova metodologija kroz vrijeme prilino izmijenila. Razvoj metodologije ilustriran je na slici 1 (izvor: The
Department of Homeland Securitys Risk Assessment Methodology: Evolution, Issues, and Options for
Congress - Order Code RL33858).

Slika 1. DHS - Razvoj metodologije procjene rizika

U prikazanim formulama za izraun razine rizika pojedini simboli imaju sljedea znaenja:
R - razina rizika
P - populacija zahvaena prijetnjom
T - prijetnja (eng. threat)
CI - kritina infrastruktura (eng. critical infrastructure)
PD - gustoa naseljenosti (eng. population density)
V - ranjivost (eng. vulnerability)
C - posljedice (eng. consequence)
Nain odreivanja ulaznih parametara nije javno poznat.
Tijekom 2007. godine dolo je do daljnjeg razvoja metodologije procjene rizika, tako da je trenutno
aktualna sljedea shema prikazana na slici 2 (izvor: The Department of Homeland Securitys Risk
Assessment Methodology: Evolution, Issues, and Options for Congress - Order Code RL33858).

Slika 2 - DHS - metodologija procjene rizika od 2007.

2.2

Risk Assessment Methodology (RAM)

U Sandia National Laboratories razvili su na prvi pogled jednostavnu metodologiju procjene rizika
ija se razina izraunava po formuli (izvor: http://www.sandia.gov/ram/index.htm):

Risk = PA * (1 - PE ) * C

(1)

gdje je:
PA - vjerojatnost napada protivnika
PE - uinkovitost sigurnosnog sustava
(1 - PE) - uspjenost protivnika
C - posljedice gubitka imovine
Proces poinje s karakterizacijom pogona, ukljuujui identifikaciju neeljenih dogaaja i
odgovarajue kritine imovine. Smjernice za definiranje prijetnje, opasnosti i vjerojatnosti napada su
vezane uz procjene za odreeni objekt. Relativne vrijednosti posljedica i uinkovitosti sigurnosnih sustava
se procjenjuju. Konkretne naine procjene ulaznih veliina mogue je saznati pohaanjem odgovarajueg
seminara.
2.3

Mehari 2007

Francuski Club de la Scurit de l'Information Franais (CLUSIF) razvio je prilino sloenu, dobro
dokumentiranu i javno dostupnu metodologiju. Dostupna je na francuskom i engleskom jeziku, a
zajednica Mehari korisnika je otvorena i stalno poziva na prevoenje i prilagodbu svoje metodologije.
Metodologija vrlo detaljno definira sve postupke. Osim opisa dostupna je i baza znanja
pohranjena je u MS Excel formatu koji se sastoji od dvadesetak meusobno povezanih listova s detaljima
izrauna i primjerima to je ilustrirano donjim tablicama.
Table T1 (Example)

CL ASSIFICATION

Business Processes
o r activity d omains
and
Co mmon Services

Service
types

Typ
column nam e for Classificati on -->

Applicatio n
and/or
procedures

Ap plication
data
(d atabases)

Application data
in transit
Messag es

INFRASTRUCTURE

Associated
deskto p files

Aap Iap Cap AAa IAa CAa Atm I tm Ctm Afb Ifb Cfb

Hand
Listin gs or w ritten
printouts docs or
archives
C
Cli

email o r
postmail
Fax

Indicate (by a 1 o r a name) that the application, pro cess or appl

domain, requires the availability of the quo ted assets (servers, n
specialized equipment, mobile or portab le devices, etc.)

Aec Cec Acf Icf Ccf

Appli.
Serv.

desktop
serv.

LAN

WAN

PDN

Sp ec
equipt.

ASA

ASB

ARL

ARE

ARP

AED

1
1

RLC

Busi ness processes

Process 1 : HR
Process 2 : Sales management
Process 3 : Strategic planni ng
Process 4 : Financial and accounting
domain
Process 5 :
Process 6 : CAD/CAM
Process 7 : commercial website
/
Process N
Common Services
e-mail
postal service
Archiving of IT files
Document archives
System admi nistration
User help & support

MSG
COU
ARI
ARD
ADM
HLP

2
2

3
2

1
4

2
2

3
2

2
4

2
2

3
2

2
4

2
3
3

3
3
3

1
3
1

2
3
3

3
3
3

1
3
1

2
3
3

3
3
3

1
3
1

2
3
1

3
3
1

1
3
1

3
3
3
3
3
1

3
3
2
3

1
1
2

1
3
2

3
3
3

2
1
1

1
3
3

1
3

3
3
2
3

3
3
3
1

1
1
1
1

1
1
1
1

1
1
3
1

1
1
1
1

2
4

1
1
1

Ulysse
1
1

2
2
1
1

1
1
1
1

1
1
1
1

Interne t

Wan

1
1

1
1

1
3

1
1
1
1

1
2

1
1
1

3
1

Tablica 1 - MEHARI - primjer izrauna rizika po poslovnim procesima

CLASSIFICATION

Ta ble T2 (Example)

Infrastructural components

FUNCTION (description)
Optional

Infras truct cabling & configuration

files
equip.
s ubclass
A

Column name for clas ification formulae ---->

LANs
WANs
Telephone network
Application servers & data servers
IT o r network service servers (DNS, LDAP,
authentication server, etc.)
Peripherals
Access g ateways
Global working environment

SCA
RL
RE
RT
SV
SS
PF
PA
ET

Aeq Ieq Afc

2
3
3
2
2
3
2
2
3
2
2
3
2
2
2
1
2
2

1
2
1

I
Ifc
3
3
3
2
3

System
program
library
A

Cfc Alp
1
3
2
1
1
3
1
1
1
1

1
1

Tablica 2 - MEHARI - primjer izrauna rizika za infrastrukturne komponente

Ilp
2
2
2
2
3

Clp
1
1
1
1
1

2
2

1
1

2.4

SABSA

Slino kao to je u Francuskoj razvijena Mehari metodologija, u Velikoj Britaniji je razvijena Sherwood
Applied Business Security Architecture (SABSA) metodologija. Ova metodologija kontinuirano se razvija
na SABSA Institute. Metodologija je takoer besplatna. U metodologiji su razraeni naini obrade rizika,
pa osim modela sigurnosne arhitekture ilustriranog na slici 3 (izvor: http://www.sabsa.org/the-sabsamethod/the-sabsa-model.aspx) definira i atribute pojedinog segmenta poslovanja na nain prikazan na
slici 4 (izvor: http://www.sabsa.org/the-sabsa-method/sabsa-attributes.aspx).

Slika 3 - SABSA - model sigurnosne arhitekture

Slika 4 - SABSA - pregled poslovnih atributa

2.5

CobiT-ValIT-RiskIT

Information Systems Audit and Control Association (ISACA) je meunarodna udruga osnovana
1967. od strane grupe IT auditora. Osim razvijanja metodologija bavi se i certificiranjem osoba
osposobljenih za rad u podruju informatike sigurnosti. Control Objectives for Information and related
Technology (CobiT) je radni okvir (eng. framework) orijentiran prvenstveno na informatiki dio
informacijske sigurnosti. RiskIT i ValIT radni okviri su proirenja u smjeru vrijednosti isporuka i upravljanja
rizicima. Meuovisnost pojedinih komponenti CobiT radnih okvira prikazana je na slici 5 (izvor: CobiT 4.1
http://www.isaca.org/AMTemplate.cfm?Section=Downloads&Template=/ContentManagement/ContentDis
play.cfm&ContentID=34172).

Slika 5 - CobiT - Meuovisnost pojedinih komponenti

2.7

ISO/IEC 27000 norme

U skupini meunarodnih normi ISO/IEC27000 vezanih uz informacijsku sigurnost ISO/IEC 27000

"Information technology -- Security techniques -- Information security management" do sada je objavljeno
deset normi od ukupno planiranih 32 pojedinane norme. Pregled planiranih i objavljenih normi prikazan
je u tablici 3.

Norma

Naziv

ISO/IEC
27000

Information technology -- Security techniques -- Information

security management systems -- Overview and vocabulary

ISO/IEC
27001

Information technology -- Security techniques -- Information

security management systems -- Requirements

ISO/IEC
27002
ISO/IEC
27003

Information technology -- Security techniques -- Code of

practice for information security management
Information technology -- Security techniques -- Information
security management system implementation guidance

Podruje pokrivanja /
namjena

Status

Objava

Objavljeno

2009-04-30

Objavljeno

2005-10-14

Objavljeno

2005-06-15

Smjernice za primjenu

Objavljeno

2010-02-01

Objavljeno

2009-12-15

Pregled, uvod i rjenik

Zahtjevi sustava
upravljanja informacijske
sigurnosti
Kodeks prakse za
upravljanje sigurnou

ISO/IEC
27004

Information technology -- Security techniques -- Information

security management -- Measurement

Mjerenja u sustavu
upravljanja sigurnou
(sigurnosna metrika)

ISO/IEC
27005

Information technology -- Security techniques -- Information

security risk management

Upravljanje rizikom

Objavljeno

2008-06-04

ISO/IEC
27006

Information technology -- Security techniques -Requirements for bodies providing audit and certification of
information security management systems

Proces certifikacije i
akreditacije za
certifikacijska tijela

Objavljeno

2007-02-13

ISO/IEC
27007

Information technology -- Security techniques -- Guidelines

for information security management systems auditing

Smjernice za audit ISMSa

U razvoju

***

Norma

Naziv

ISO/IEC
27008

Guidance for auditors on ISMS controls

ISO/IEC
27010

Information security management guidelines for inter-sector

communications

ISO/IEC
27011

Information technology -- Security techniques -- Information

security management guidelines for telecommunications
organizations based on ISO/IEC 27002

ISO/IEC
27013
ISO/IEC
27014
ISO/IEC
27015
ISO/IEC
27031
ISO/IEC
27032
ISO/IEC
27033-1
ISO/IEC
27033-2
ISO/IEC
27033-3
ISO/IEC
27033-4
ISO/IEC
27033-5
ISO/IEC
27033-6
ISO/IEC
27033-7
ISO/IEC
27034-1
ISO/IEC
27034-2
ISO/IEC
27034-3
ISO/IEC
27034-4
ISO/IEC
27034-5

ICT readiness for business continuity

Guidelines for cybersecurity.
Information technology -- Security techniques -- Network
security -- Part 1: Overview and concepts

Smjernice za audit
kontrola informacijske
sigurnosti
Smjernice za ISMS u
meusektorskoj
komunikaciji
Smjernice za ISMS u
telekomunikacijskim
organizacijama
Smjernice za integriranu
primjenu ITIL-a i ISMS-a
Upravljanje
informacijskom
sigurnou
Smjernice za ISMS u
financijskim
organizacijama
Kontinuitet poslovanja
usmjereno na ICT
Smjernice za
cybersecurity
Zamjena za IT mrenu
sigurnost u ISO/IEC
18028

Information technology -- Security techniques -- Network

security -- Part 2: Guidelines for the design and
implementation of network security
Information technology -- Security techniques -- Network
security -- Part 3: Reference networking scenarios -- Risks,
design techniques and control issues
Information technology -- Security techniques -- Network
security -- Part 4: Securing communications between
networks using security gateways - Risks, design
techniques and control issues
Information technology -- Security techniques -- Network
security -- Part 5: Securing virtual private networks - Risks,
design techniques and control issues
Information technology -- Security techniques -- Network
security -- Part 6: IP convergence
Information technology - Security techniques -- Information
security incident management
Application security -- Part 1: Overview and concepts

Smjernice za aplikacijsku
sigurnost

Application security -- Part 5: Protocols and application

security controls data structure

ISO/IEC
27036
ISO/IEC
27037

Information technology - Security techniques -- Guidance for

auditors on ISMS controls
Guidelines for identification, collection and/or acquisition and
preservation of digital evidence
Health informatics -- Information security management in
health using ISO/IEC 27002

Objava

Prednacrt

***

Odobren
projekt

***

Objavljeno

2008-12-15

Prijedlog

***

Prijedlog

***

Prijedlog

***

U razvoju

***

U razvoju

***

Objavljeno

2009-12-10

U razvoju

***

U razvoju

***

Odobren
projekt

***

Odobren
projekt

***

U razvoju
Odobren
projekt
Odobren
projekt
Odobren
projekt
Odobren
projekt

Application security -- Part 4: Application security validation

Information technology - Security techniques -- Information

security incident management

Status

Odobren
projekt
Odobren
projekt

Application security -- Part 2: Organization normative

framework
Application security -- Part 3: Application security
management process

ISO/IEC
27035

ISO 27799

Podruje pokrivanja /
namjena

Zamjena za upravljanje
sigurnosnim incidentima u
ISO TR 18044
Smjernice za sigurnost
outsorcinga
Smjernice za digitalne
zapise
Smjernice za primjenu
ISMS u zdravstvu

U razvoju
Odobren
projekt
Odobren
projekt
Objavljeno

***
***
***
***
***
***
***
***
***
***
2008-06-12

Tablica 3 - ISO/IEC 27000 - pregled normi

Norma ISO/IEC 27001 u svom Aneksu A daje popis od 133 kontrole podijeljene u 39 ciljeva
kontrola, a sve je razvrstano u 11 cjelina. Uz kontrole iz glavnog dijela norme time su pokrivena sva
podruja nuna za kompletiranje sustava upravljanja informacijskom sigurnou, od organizacijskih
mjera, preko ljudskih resursa, fizike i tehnike sigurnosti pristupa, kriptografije, zatite od malicioznog
softvera, pa sve do usklaenosti sa zakonodavstvom. Naini procjene rizika nisu propisani. Propisano je
jedino da metodologija mora biti definirana, te da moraju biti obuhvaene sve propisane kontrole iz
glavnog dijela norma, te sve primjenjive kontrole iz aneksa A. Pristup nije vezan za tehnologiju pa je
norma primjenjiva na cijeli spektar organizacija, od potpuno IT orijentiranih do onih koje posluju iskljuivo
na klasini nain.
7

Uz ISO/IEC skupinu normi svakako treba spomenuti i ISO27k forum na kojem se mogu nai
mnogobrojne korisne informacije i ideje iz primjene ISO27k normi. Na forumu se mogu razmijeniti
iskustava iz primjene normi ISO/IEC 27000, ukljuujui i prijevode raznih uputa i pomonih radnih
materijala na razne jezike, ukljuujui i hrvatski. Na slici 6 prikazan je osnovni tijek procesa uspostave
ISMS-a gdje se vidi u kojoj se fazi procesa primjenom metodologije provodi procjena rizika (izvor:
http://www.iso27001security.com/html/iso27k_toolkit.html).

Slika 6 - ISO27k forum - Osnovni tijek procesa uspostave ISMS-a

3

KONAR KET METODOLOGIJA ZA PROCJENU RIZIKA

Zahtjev poslovodstva je bio da sustav upravljanja informacijskom sigurnou u Konar KET-u

bude to lake primjenjiv i kod KET-ovih klijenata, ta da se omogui certificiranje sustava u skladu s
normom ISO/IEC 27001 i time proiri postojei portfelj certifikata Politike upravljanja kvalitetom (ISO
9001) i Politike upravljanja okoliem (ISO 14001). Zbog toga je KET za svoje potrebe razvio metodologiju
temeljenu na kombinaciji ISO/IEC 27000 normi i metodologije Sandia National Laboratories iz podruja
elektroenergetike. Pri tome je od ISO/IEC 27000 normi preuzet organizacijski okvir, te implementacija
kontrola.
Kako KET radi preteno s elektroenergetskim sektorom, metodologija procjene i izrauna razine
rizika definirana je na temelju metodologije koju daje Sandia National Laboratories za elektroenergetska
postrojenja (RAM-TSM i RAM-DSM). Budui da nain kako Sandia National Laboratories procjenjuje ulazne
podatke za izraun razine rizika nije javno dostupan, odlueno je da e se naim uvjetima prilagoditi
tablice procjene utjecaja koje koriste neke velike kompanije iz podruja energetike i rudarstva. Na kraju je
odlueno da se za izraun razine rizika koristi formula:

(2)
8

gdje je:
R - razina rizika
Ut - utjecaj (teta)
Vj - vjerojatnost izraena kao uestalost na godinjoj razini
Ek - efikasnost kontrole u % (raspon vrijednosti 0 1)
Ulazni podaci (Ut, Vj, Ek) dobivaju se procjenom od strane kompetentnih osoba koje su dobro
upoznate sa konkretnim procesom, statistikih podataka, te podataka prikupljenih kroz suradnju i
kontakte s posebnim interesnim skupinama (specijalistiki sigurnosni forumi, profesionalne udruge i sl.).
Utjecaj se procjenjuje na temelju moguih posljedica realizacije neeljenog dogaaja. Utjecaj
moe biti na financije, konkurentnost i ugled, ivot i zdravlje, poslovne procese, te utjecaj na drutvo i
prirodu. Za svaki od tih vidova utjecaja procijeni se njegova razina te se iz prvog stupca tablice 4 oita
numerika vrijednost. Npr. dogaaj koji moe prouzroiti oteano odvijanje pomonih poslovnih procesa
za utjecaj na poslovne procese dobiva vrijednost 10. Na taj nain se dobije pet numerikih vrijednosti
utjecaja, po jedna kao mjera financijskog utjecaja, utjecaja na ugled i konkurentnost, utjecaja na sigurnost
i zdravlje ljudi, utjecaja na poslovne procese, te utjecaja na prirodu i drutvo. Zbroj svih pet vrijednosti
utjecaja se uvrtava u formulu (2) kao ukupna vrijednost svih utjecaja nekog mogueg sigurnosnog
dogaaja. Utjecaj nastao uslijed nelegalnog postupanja, postupanja mimo propisa, normi i pravila struke,
te posljedice postupaka koji su u suprotnosti s naelima postupanja "dobrog gospodara" smatraju se
neprihvatljivima, te se za njih ne radi procjena razina rizika. Takva postupanja se ne smiju dozvoliti niti u
kom sluaju.
Utjecaj

Financijska teta

Konkurentnost i
ugled

Sigurnost i zdravlje
ljudi

Poslovni
procesi

1.000

vrlo velika financijska

teta - moe ugroziti
poslovanje cjelokupne
organizacije

objava informacija
o incidentu u vie
drava

povrede s trajnim
posljedicama
(gubitak trajne radne
sposobnosti >30%)

prekid kljunih
(glavnih)
procesa

100

velika financijska teta

- moe ugroziti
poslovanje dijelova
organizacije

objava informacija
o incidentu u
jednoj dravi

potreba za
medicinskim
tretmanom, ali bez
trajnih
posljedica

oteani glavni
i/ili prekinuti
pomoni
procesi

10

umjerena financijska
teta - iziskuje izmjene
u financijskim
planovima

informacija o
incidentu koja je
dola do
potencijalnih
kupaca

bez potrebe za
medicinskim
tretmanom

oteani
pomoni
procesi

mala financijska teta

- mogua sanacija
unutar postojeih
financijskih planova

statistiki
oekivani
incidenti

bez posljedica

bez utjecaja

Utjecaj na drutvo, kulturna dobra i

prirodni okoli
- nepopravljiva teta na dobrima od
velikog kulturnog znaaja,
- ozbiljne posljedice na sveukupni
drutveni poredak,
- katastrofalan utjecaj na eko sustav
- nepopravljiva teta za kulturna dobra,
- manje posljedice na sveukupni
drutveni poredak,
- ozbiljan i dugotrajan negativni utjecaj na
eko sustav
- znaajne tete na kulturnim dobrima,
- ozbiljne posljedice za lokalnu drutvenu
zajednicu,
- ozbiljne srednjorone posljedice na
okoli
- popravljive tete na kulturnim dobrima,
- male posljedice za lokalnu drutvenu
zajednicu,
- umjerene kratkotrajne posljedice na
okoli bez poremeaja funkcija eko
sustava

Tablica 4 - Tablica procjene utjecaja Konar KET metodologije

Zbroj razina utjecaja procijenjenih po svim stupcima mnoi sa vjerojatnou izraenom kao
oekivana uestalost na godinjoj razini. Dobiveni rezultat daje procjenu razine rizika bez primjene
ikakvih kontrola (sirova razina rizika).
Procjena ukupne razine rizika dobiva se mnoenjem prethodnog (sirovog) rezultata
komplementarnom vrijednou uinkovitosti svake primijenjene kontrole (1 - Ek).
Tijekom PDCA ciklusa (eng. Plan-Do-Check-Act) na pojedine resurse e se primijeniti neke nove
kontrole i/ili e se prestati primjenjivati neke od postojeih kontrola. Kad do toga doe, nova razina rizika
e se lako izraunati dodavanjem ili isputanjem mnoenja izraza za izraun komplementarnom
vrijednou uinkovitosti dodane, odnosno uklonjene kontrole.
4.

ZAKLJUAK

Metodologija za procjenu rizika vaan je dio mehanizama za uspostavu sustava informacijske

sigurnosti. Metodologija za procjenu rizika definira nain odreivanja ulaznih vrijednosti, nain izrauna
razine rizika te naine definiranja prihvatljivosti izraunatih rizika. Postoji niz gotovih metodologija za
procjenu rizika koje korisnici mogu koristiti u svojim sustavima. Neophodno je da odabrana metodologija
zadovoljava specifine potrebe korisnika. Stoga se postojee metodologije esto prilagoavaju te se na
taj nain razvijaju vlastite metodologije. Kroz rad je dan pregled najee koritenih metodologija za
9

procjene rizika kao i primjer kako se na temelju postojeih metodologija moe razviti vlastita. Paljivim
odabirom i eventualnim prilagoavanjem metodologije za procjenu rizika osigurava se prilagoenost
specifinim potrebama te dosljednost i ponovljivost kao najvanije znaajke koje neka metodologija
procjene rizika mora zadovoljavati.
5.
[1]
[2]
[3]
[4]
[5]
[6]
[7]

[8]
[9]
[10]

10

LITERATURA
ISO/IEC 27001:2005, "Information technology Security techniques Information security
management systems Requirements".
ISO/IEC 27004:2009, "Information technology -- Security techniques -- Information security
management -- Measurement".
"The Department of Homeland Security's Risk Assessment Methodology: Evolution, Issues, and
Options for Congress", February 2, 2007.
RAM-TSM is a risk assessment process designed to analyze the current security risks for electrical
transmission systems and provide information to support effective risk reduction decisions.
(http://www.sandia.gov/ram/)
Mehari 2007 knowledge bases are free (http://www.clusif.asso.fr/)
SABSA is a six-layer model for security architecture widely accepted today (http://www.sabsa.org/)
With more than 86,000 constituents in more than 160 countries, ISACA is a leading global
provider of knowledge, certifications, community, advocacy and education on information systems
(IS) assurance and security, enterprise governance of IT, and IT-related risk and compliance
(http://www.isaca.org/)
International Organization for Standardization
(http://www.iso.org/iso/iso_catalogue/management_standards/specific_applications/specificapplications_it-security.htm)
International Electrotechnical Commission (http://www.iec.ch/)
The FREE ISO27k Toolkit consists of a collection of materials contributed by members of the
ISO27k Forum. (http://www.iso27001security.com/)