Proces upravljanja rizicima za informacijski sigurnosni sustav

Odgovarajui proces upravljanja rizicima je izuzetno kritina komponenta uspjenog rada

informacijske sigurnosti. Glavni cilj procesa organizacije upravljanja rizicima je osigurati
sposobnost organizacije da obavlja svoju poslovnu misiju. Dakle, proces upravljanja rizicima
ne moe biti samo kao tehnika uloga koju obavljaju informacijski sigurnosni strunjaci, ve
treba biti bitna funkcija upravljanja od organizacije koja je vrsto integrirana u razvoj sustava.
Rizik se ne moe eliminirati u potpunosti, praksa i procedura upravljanja rizikom je da budu
na odgovarajui nain primjenjeni kako bi se omoguilo slubenicima informacijske
sigurnosti da uravnotee operativne prednosti i trokove zatitne mjere, te postizanje dobitka
u misiji.

1. Uvod

Uinkovit proces upravljanja rizicima je vana komponenta uspjenog informacijskog

sigurnosnog programa. Cilj procesa organizacije upravljanja rizicima je zatititi organizaciju i
njezinu sposobnost da obavlja svoju zadau,a ne samo informacijsku imovinu. Dakle, proces
upravljanja rizicima ne bi trebalo biti tretrano prvenstveno kao tehniku funkciju koju
obavljaju sigurnosni strunjaci, ve kao bitnu funkciju u koja je vrsto integrirana u ivotu
razvoja sustava ciklusa (SDLC) [1], kako je prikazano na slici.

Slika 1.Proces upravljanja rizicima

Upravljanje rizicima obuhvaa tri procesa: procjena rizika, smanjenje rizika i evaluaciju
procjena. Budui da se rizik ne moe eliminirati u potpunosti, proces upravljanja rizicima
omoguuje upraviteljima informacijske sigurnosti da uravnotee operativne i ekonomske
trokove zatitnih mjera i postizanje dobitka u misiji sposobnosti.

2. Pregled

Procesi i aktivnosti informacijskog sustavava sigurnosti daju vrijedan doprinos u upravljanju

IT sustava i njihov razvoj, omoguavajui identifikaciju rizika, planiranje
i ublaavanje. Upravljanje rizicima ukljuuje stalno balansiranje izmeu zatite informacija
agencije i troka sigurnosnih kontrola i strategije ublaavanja tijekom potpunog "ivotnog
ciklusa razvoja informacijskog sustava". Najuinkovitiji nain za implementaciju upravljanja
rizikom je identificirati kritini dio sustava i poslovanja, i nai ranjivosti agencije.

"Rizik" je utjecaj uoene 'prijetnje' na 'ranjivost' (organizacije)

Jednadba "Rizika":
Rizik = Prijetnja Ranjivost Trokovi

Prijetnja je vjerojatnost da e odreena ranjivost biti uspjeno napadnuta u odreenom

razdoblju. Ranjivost je bilo koja slabost u sustavu (ukljuujui hardver, softver,
administrativne kontrole, i povezani procesi i procedure) ije (namjerno ili sluajno)
iskoritavanje dovodi do povrede sigurnosne politike ili nepovoljan utjecaj na imovinu, kao i
bilo koje nepridravanje sigurnosnim zahtjevima.

Troak dogaaja je kvantni iznos gubitka koji nastaje ako se ranjivost iskoritava.
Jedna od stvari koje ini rizike tako tekima je njihova nesigurnost. To je razlog zato se
naziva rizik.

Upravljanje rizicima je agregacija tri procesa [2], [3]:

Procjena rizika: Procjena prijetnji, utjecaji na ranjivost informacija, obradu informacija i
vjerojatnost njihove pojave.
 Smanjenje (ublaavanje) rizika: Kad se stvori kombinacija prijetnji, ranjivosti i trokova
nastaje netrivijaln rizik za odreenu klasu imovine, taj rizik se plasira u sljedeu fazu za
smanjenje ili eliminaciju rizika.
Vrednovanje i procjena: Danas se informacijska tehnologija kontinuirano razvija. Dakle,
vanao je obavljati periodine provjere sigurnosnih rizika i kontrole, uzeti u obzir promjene u
poslovnim potrebama i prioritetima, a takoer i nove prijetnje i ranjivosti.

Ako se primjenjuje na odgovarajui nain s dunom panjom, ovaj proces zadovoljava

zahtjeve " pruajui informacijsku sigurnost od rizika i veliina tete koja proizlazi iz
neovlatenog pristupa, koritenja, objavljivanja, poremeaja, izmjena ili unitenja podataka i
informacijskog sustava" koje prikuplja i koristi organizacija, i "osigurava da je proces
upravljanja informacijske sigurnosti integriran s strategijom agencije i planiranim
operacijskim procesima ".

2.1. Procjena Rizika

Da bi razumjeli proces procjene rizika, bitno je definirati pojam rizik [3], kao "funkciju
vjerojatnosti od zadane prijetnje koja rezultira kao nepovoljni dogaaj u organizaciji." Cilj
postupka procjene rizika je identificirati i procijeniti rizike za zadano okruenje. Dubina
procjene rizika se uvelike razlikuju i odreuje kritinost i osjetljivost sustava, koji se
primjenjuje na povjerljivost, integritet i dostupnost [4]. Kako bi se postigao cilj procjene
rizika, definiran je proces devet koraka (NIST SP 800-30). Kako bi se pojednostavio proces
devet koraka ,opisan u NIST SP 800-30, on je skraen na est koraka, pri emu se koraci 4, 5,
i 6 kombiniraju i tvore analize rizika kako je prikazano na slici.
 Slika 2. Devet koraka -NIST SP 800-30

Vjerojatnost da e odreene prijetnje uspjeno iskoristiti odreenu ranjivost procjenjuje se

ocjenjivanjem izvora motivacije prijetnje, prilika, i provoenjem postupaka takvog
izrabljivanja. Utjecaj uspjenog iskoritavanja ranjivosti procjenjuje se kroz analizu koju
moe imati na povjerljivost, integritet i dostupnost sustava i podatke koje obrauje.
Odreivanje kritinosti i osjetljivosti sustava, u smislu njegove povjerljivosti, integriteta i
dostupnosti, je pronaao u primjeni koncepata i procesa o kojima se raspravlja u FIPS 199.

Proces procjene rizika se obino ponavlja najmanje svake tri godine za federalne agencije.
Meutim, procjene rizika treba provoditi i integrirati u SDLC za informacijske sustave, ne
zato to je po zakonu ili propisu, ve zato to je to dobra praksa i podrava ciljeve ili misije
poslova organizacije.

2.1.1. Karakterizacija sustava

Karakterizacija informacijskog sustava uspostavlja opseg napora procjene rizika, ocrtava

operativna odobrenja (ili akreditacije), i prua informacije (primjerice, hardver, softver,
povezivanje sustava i podrku za osoblje). Ovaj korak zapoinje s identifikacijom granice
informacijskog sustava, resursa i informacija. Kad karakteriziraju sustav, misije
kritinosti i osjetljivosti (kao to je ranije identificirano pomou FIPS 199 sustava za utvrditi
kategoriju odgovarajue sigurnosti) opisani su u dovoljnim uvjetima kako bi se dobila osnova
za opseg procjene rizika. Na primjer, sustav koje je od niskog utjecaja ne moe zahtijevati
velka sigurnosna testiranja i evaluaciju. Razliite tehnike, kao to su upitnici, intervjui,
dokumentacija miljenja i automatizirani alati za skeniranje, mogu koristiti za prikupljanje
informacija potrebnih za potpuno karakteriziranje sustava. U najmanju ruku, sustav
karakterizacije opisuje sljedee komponente pojedinog sustava:

Hardvera (hardware i OS za svaki pojedinani posluitelj, radnu stanicu, terminal, itd);

Softvera (RDBMS, web-posluitelj, Internet Info.Posluitelj, itd);
Suelja (vanjsko) prema drugim sustavima;
Podacima; i
Ljudima.
Sustav karakterizacija opisuje i druge imbenike koji mogu utjecati na sigurnost sustava,
kao to su:

Funkcionalni zahtjevi sustava;

Organizacijska sigurnosna politika i arhitektura;
Mrena topologija sustava;
Podaci koji prolaze kroz sustav;
Upravljanje;
Fiziki i okolini sigurnosni mehanizmi.

2.1.2. Identifikacijska prijetnja

Identifikacijska prijetnja se sastoji od identificiranja izvora prijetnji s potencijalom da
iskoriste slabosti u sustavu. Ovaj korak bi trebao kulminirati u razvoju "Izjava prijetnji", ili
sveobuhvatan popis od potencijalnih izvora prijetnji. Izjava prijetnja mora biti
izraena za pojedine organizacije i njihov prostor u kojem rade, to se postie sa
procjenom opasnosti, koristei karakterizaciju sustava kao osnovu, za otkrivanje rizika tetnih
za sustav.

Tu su uobiajeni izvori prijetnji koji se obino pojavljuju, bez obzira na sustav, koji bi trebao
biti oteen. Te zajednike prijetnje mogu se svrstati u tri podruja: (a) prirodne prijetnje (npr,
poplave, potresi, tornada, klizita, lavine, oluje), (b) ljudska prijetnje (namjerne ili
nenamjerne), i (c) ekoloke prijetnje (npr nestanak struje). Openito, informacije o prirodnim
prijetnjama (primjerice, poplava, potresa, oluje) trebaju biti lako dostupne. Alati za otkrivanje
upada postaju dostupniji, a vlada i industrijske organizacije kontinuirano prikupljaju podatke
o sigurnosnim dogaajima, ime se poboljava sposobnost za realnu procijenu nadolazee
prijetnje. Izvori informacija ukljuuju, ali nisu ogranieni na, sljedee:
Intelligence agencies;
United States Computer Emergency Readiness Team (US-CERT); and
Masovne medije, ukljuujui i Web-bazirane izvore.

2.1.3. Identifikacija ranjivosti

Ranjivost je definirana kao "nedostatak ili slabost u sustavu sigurnosne procedure, dizajna,
implementacije, ili unutarnje kontrole koja bi mogla biti upotrijebljena (sluajno izazvana ili
namjerno iskoritena) i moe dovesti do proboja sigurnosti ili povrede sigurnosne politike
sustava "[3].

Ranjivosti se mogu identificirati koristei kombinaciju mnogobrojnih tehnika i izvora. Pregled

takvih izvora su procjene prethodnih rizika, revizijska izvjea, popisi ranjivosti [npr NIST
National Vulnerability Database (NVD)] i sigurnosni naputci koji mogu koristiti kako bi
zapoeli proces Identifikacije ranjivosti. Sigurnosno ispitivanje sustava,
koristi metode kao to su automatizirana testiranja ranjivosti; sigurnost, testiranje i evaluacija
(ST & E); i penetracijsko testiranje moe se koristiti za pronalazak izvora ranjivosti i
identificirati ranjivosti koje nisu pronaene u drugim izvorima.

Razvijanje popisa sigurnosnih zahtjeva na temelju o sigurnosnih zahtjeva koji su propisani za

sustav tijekom idejne, dizajnerske i implementacijske faze SDLC moe se koristiti za pruanje
pregleda sustava za 360 stupnjeva[5]. Poduzima se sve kako bi se osiguralo ukljuivanje
odgovarajuih pitanja u podrujima upravljanja i tehnike zatite kontrole. Rezultati provjere
(ili upitnik) moe se koristiti kao podloga za slaganje i neslaganje, to zauzvrat identificira
sustav, procese, i proceduralne slabosti koje predstavljaju potencijalne ranjivosti.
2.1.4. Analiza rizika

Kod analize rizika istovremeno (ili gotovo istovremeno) se provode 4 koraka:

1. Analiza kontrole
2. Odreivanje vjerojatnosti prijetnje
3. Analiza utjecaja prijetnje
4. Odreivanje rizika

2.1.4.1. Analiza kontrole

Cilj ovog koraka je da se analiziraju kontrole koje su primijenjene ili su planirane za primjenu
u organizaciji da bi smanjile ili uklonile vjerojatnost da prijetnja iskoristi ranjivost sustava.
Sigurnosne kontrole obuhvaaju upotrebu tehnikih i ne-tehnikih metoda. Tehnike kontrole
su zatitni alati koji su ugraeni u raunalni hardver, softver ili firmver (npr. mehanizmi za
kontrolu pristupa, mehanizmi za identifikaciju i autentifikacija, enkripcijske metode, softver
za otkrivanje upada). Ne-tehnike kontrole su kontrole upravljanja i radne kontrole, kao to su
sigurnosne politike, radne procedure, te sigurnost osoblja, fizika sigurnost i sigurnost
okolia. I tehnike i ne-tehnike kontrole mogu se dalje klasificirati na preventivne i aktivne:
Preventivne kontrole sprjeavaju pokuaje prekraja sigurnosne politike i ukljuuju takve
kontrole kao to su kontrola pristupa, enkripcija i autentifikacija. Aktivne kontrole
upozoravaju na prekraje sigurnosne politike i sadre takve kontrole kao to su nadzorna
praenja (audit trails), metode otkrivanja upada i kontrolne sume (checksums).

2.1.4.2. Odreivanje vjerojatnosti prijetnje

Da bi se izvela klasifikacija vjerojatnosti koja oznaava mogunost da se iskoristi ranjivost od

strane prijetnje, moraju se razmotriti slijedei faktori:
Motivacija i mogunosti prijetnje
Priroda ranjivosti
Postojanje i uinkovitost tekuih kontrola
Razina vjerojatnosti Definicija vjerojatnosti

Prijetnja je visoko motivirana i ima dovoljno mogunosti za realizaciju, a

Visoki
kontrole koje bi trebale sprijeiti iskoritavanje ranjivosti su neefektivne.

Prijetnja je motivirana i ima mogunosti za realizaciju, ali postoje kontrole

Srednji
koje mogu sprijeiti uspjeno izvoenje prijetnje.

Prijetnja nije motivirana ili nema dovoljno mogunosti za realizaciju, ili

Nizak
postoje kontrole koje mogu sprijeiti iskoritavanje ranjivosti

Tablica 1. Razina vjerojatnosti

2.1.4.3. Analiza utjecaja prijetnje

Slijedei vaan korak u mjerenju nivoa rizika je da se odredi tetni utjecaj koji je rezultat
uspjenog iskoritavanja ranjivosti od strane prijetnje. Prije poetka analize utjecaja, potrebno
je dobiti slijedee informacije:

Svrha sustava (npr. proces koji treba izvriti sustav)

Kritinost sustava i podataka (npr. vrijednost sustava ili njegova vanost za
organizaciju)
Osjetljivost sustava i podataka

Ove informacije mogu se dobiti iz postojee dokumentacije organizacije, kao to su izvjetaj o

analizi utjecaja na poslovanje ili izvjetaj o procjeni kritine opreme. Analiza utjecaja na
poslovanje klasificira nivoe utjecaja koji bi mogli ugroziti informatika sredstva organizacije
zasnovano na kvalitativnoj ili kvantitativnoj procjeni osjetljivosti i kritinosti tih sredstava.
Procjena kritine opreme identificira i klasificira osjetljivu i kritinu informacijsku opremu
organizacije (npr. hardver, softver, sustave, servise i pripadna tehnoloka sredstva) koja
podrava kritine poslovne procese organizacije. Neki utjecaji se mogu mjeriti kvantitativno,
kao npr. gubitak u prihodu, trokovi popravka sustava, ili nivo napora koji se zahtijeva da se
poprave problemi uzrokovani uspjenom akcijom prijetnje. Drugi utjecaji (npr. gubitak
povjerenja javnosti, gubitak vjerodostojnosti, teta interesu organizacije) se ne mogu mjeriti
odreenim jedinicama, ali se mogu opisati pojmovima visokog, srednjeg ili niskog nivoa
utjecaja. Glavna prednost kvalitativne analize utjecaja je da ona klasificira rizik i identificira
podruja za neposredno poboljanje uvidom u ranjivosti. Mana kvalitativne analize je da ne
daje specifine kvantitativne mjere veliine utjecaja, tako da se ne moe provesti analiza
trokova. Glavna prednost kvantitativne analize utjecaja je da ona omoguuje mjerenje
veliine utjecaja koje se moe iskoristiti u procjeni trokova za preporuene kontrole. Mana
kvantitativne analize je da, ovisno o numerikim podrujima koja se koriste za prikaz
mjerenja, znaenje ovakve analize moe biti nejasno, zahtijevajui da se rezultati ipak
interpretiraju kvalitativno.

2.1.4.4. Odreivanje rizika

Svrha ovog koraka je procjena nivoa rizika za informacijski sustav. Odreivanje rizika za
odreeni par prijetnja/ranjivost moe se prikazati kao umnoak vjerojatnosti odreene
prijetnje da iskoristi odreenu ranjivost i veliine utjecaja ako je prijetnja uspjeno iskoristila
ranjivost. Tablica 2. prikazuje kako izraunati ukupnu vrijednost razine rizika

Vjerojatnost Utjecaj
prijetnje Niski (10) Srednji (50) Visoki (100)

Niski Srednji Visoki

Visoka (1.0)
10 X 1.0 = 10 50 X 1.0 = 50 100 X 1.0 =100

Niski Srednji Srednji

Srednja (0.5)
10 X 0.5 = 5 50 X 0.5 = 25 100 X 0.5 = 50

Niski Niski Niski

Niska (0.1)
10 X 0.1 = 1 50 X 0.1 = 5 100 X 0.1 = 10

Tablica 2. Matrica za odreivanje vrijednost razine rizika

Kako je odreivanje razine rizika za vjerojatnost i utjecaj subjektivne prirode, najbolja metoda
za lake izraunavanje bi bila dodijeliti numeriku vrijednost za svaki nivo.
Tablica 3. daje opis za svaku vrijednost razine rizika prikazane u prethodnoj matrici.
Nivo rizika Opis rizika i potrebne akcije
Ako je neka pojava procijenjena kao visoki rizik, postoji jaka potreba
Visoki za korektivnim mjerama. Postojei sustav moe nastaviti s radom, 45
ali plan korektivnih akcija mora se ostvariti to prije mogue.
Ako je neka pojava procijenjena kao srednji rizik, potrebne su
Srednji korektivne akcije i mora se razviti plan da se te akcije ostvare u
razumnom vremenu.
Ako je neka pojava procijenjena kao nizak rizik, mora se odluiti da li
Nizak
su potrebne korektivne akcije ili se rizik moe prihvatiti.

Tablica 3. Opis vrijednosti razine rizika

2.1.5. Korak 5 Preporuke za kontrolu

Preporuka kontrola je rezultat procesa procjene rizika i daje smjernice za proces ublaavanja
rizika, za vrijeme kojeg se preporuene proceduralne i tehnike sigurnosne kontrole
procjenjuju, klasificiraju i primjenjuju. Za vrijeme ovog koraka u procesu upravljanja
rizikom, preporuuju se kontrole koje mogu ublaiti ili eliminirati rizik, na nain koji
odgovara radnim operacijama organizacije.
Cilj preporuke kontrola je smanjiti nivo rizika za sustav i njegove podatke na prihvatljivi nivo.
Slijedei faktori trebaju se razmotriti u preporuci kontrola:

Efektivnost preporuenih kontrola (npr. kompatibilnost sa sustavom)

Zakoni i uredbe
Organizacijska politika
Utjecaj na rad
Sigurnost i pouzdanost

2.1.6. Dokumentiranje rezultata

Rezultati procjene rizika (identificirane prijetnje i ranjivosti, procijenjeni rizik i preporuene
kontrole) trebaju se dokumentirati u obliku izvjetaja. Izvjetaj o procjeni rizika opisuje
prijetnje i ranjivosti, mjeri rizik i preporuuje kontrole koje se trebaju primijeniti.

2.2. Smanjenje (ublaavanje) rizika

Ublaavanje rizika, drugi proces upravljanja rizikom, sadri klasifikaciju, procjenu i primjenu
odgovarajuih kontrola za smanjenje rizika koje su preporuene u procesu procjene rizika.
Budui da je eliminacija ukupnog rizika obino nepraktina ili nemogua, na upravi lei
odgovornost za upotrebu najisplativijeg pristupa i primjenu najvie odgovarajuih kontrola za
smanjenje rizika misije na prihvatljivi nivo, sa minimalnim tetnim utjecajem na resurse i
misiju organizacije. Prilikom provoenja mjera potrebno je posebnu pozornost posvetiti
smanjenju najznaajnijih rizika (kombinacija prijetnja i ranjivosti koje mogu potencijalno
uzrokovati znaajan negativan uinak) na prihvatljivu razinu uz najmanji mogui utjecaj na
ostale poslovne procese. Smanjivanje rizika identificiranih u procesu procjena rizika moe se
postii na sljedee naine:

Izbjegavanjem rizika uklanjanjem uzroka i/ili posljedica (npr. odricanje odreenih

funkcija sustava ili prestankom koritenja sustava kad su rizici otkriveni).
Ograniavanjem rizika provoenje mjera kojima se smanjuju potencijalni negativni
uinci na prihvatljivu razinu.
Prenoenje rizika prenoenje rizika pomou drugih naina naknade pretrpljene tete
(npr. ugovaranjem osiguranja).

Smanjivanje rizika trebalo bi obuhvatiti sljedee radnje:

Odreivanje prioriteta aktivnosti
Procjenu preporuenih sigurnosnih kontrola
Provoenje analize isplativosti (trokova i dobiti)
Odabir mjera za smanjivanje rizika
Dodjeljivanje odgovornosti
Izradu plana provoenja odabranih mjera
Ugradnja odabranih kontrola
Prioriteti provoenja aktivnosti odreuju se na temelju razina rizika sadranih u ljestvici
rizika i u izvjeu o procjeni rizika. Na mjestima na kojima je identificiran sigurnosni rizik
visoke razine, neprihvatljiv u pogledu izvrenja poslovnih ciljeva organizacije, potrebno je
prvo krenuti sa provoenjem sigurnosnih kontrola za reduciranje rizika. Odreivanje liste
prioriteta posebno je vaan korak kako bi se sigurnosni rizik uklonio sa onih mjesta gdje je
najpotrebnije i koja imaju najveu vanost za funkcioniranje organizacije. Neprikladan odabir
aktivnosti, prilikom implementacije sigurnosnih kontrola, moe kritine komponente sustava
nepotrebno dugo izlagati razliitim prijetnjama. Upravo zbog tog razloga je vrlo vano da se
kao prvi korak umanjivanja sigurnosnog rizika napravi lista prioritetnih zadataka, kojim e se
definirati redoslijed uklanjanja sigurnosnog rizika prema kritinosti. Kod procjene
preporuenih sigurnosnih kontrola potrebno je detaljno analizirati preporuene kontrole koje
su dobivene kao rezultat osmog koraka u procesu procjene rizika. Neke od preporuka mogu
biti zbog odreenih razloga neprikladne ili neizvedive za pojedinu organizaciju ili
informacijski sustav. Ogranienja koja se javljaju mogu biti razliite prirode; od onih ne-
tehnikih, tehnikih, pa do pravnih kao to su zakonske regulative. Cilj ovog koraka je
odabrati najprikladnije mjere kako bi se rizik smanjio na prihvatljivu razinu. Prilikom odabira
sigurnosnih kontrola treba uzeti u obzir kompatibilnost sa ranijim rjeenjima, edukaciju
korisnika, poslovne ciljeve , u kolikoj se mjeri umanjuje rizika implementacijom preporuenih
kontrola i sl. Analiza isplativosti prikladnih mjera provodi se kako bi se olakalo donoenje
odluka i utvrdila isplativost provoenja navedenih mjera. Svrha takve analize jest utvrivanje
mjera iji e trokovi provoenja biti opravdani smanjenjem rizika na prihvatljivu razinu. Kao
i kod procjene rizika, cost/benefit(uloeno/dobiveno) analiza moe biti kvalitativna i
kvantitativna. Bez obzira o kojoj se vrsti analize radi cilj je isti : pokazati da se
implementacijom odgovarajuih sigurnosnih kontrola isplati u odnosu na potencijalne gubitke
u sluaju realizacije pojedinog rizika. Na temelju rezultata analize isplativosti (cost/benefit)
menadment donosi konanu odluku o implementaciji najisplativijih i najefikasnijih kontrola.
Svrha dodjeljivanja odgovornosti je odabir osoba (zaposlenika, vanjskih suradnika i sl.) koje
raspolau odreenim znanjima i vjetinama potrebnim za provoenje odabranih sigurnosnih
mjera te dodjeljivanje odgovornosti za provoenje mjera. Za uspjenu realizaciju ciljeva
podjela odgovornosti moraju biti to jasnija. Nakon odabranih kontrola potrebno je razraditi
temeljiti plan koji e omoguiti njihovu implementaciju. Provoenje odabranih mjera
ostvaruje se uvoenjem novih ili izmjenom postojeih kontrola. Implementacije sigurnosnih
kontrola smanjuje rizik na odreenu razinu pri emu ostaje rezidualni rizik, za kojeg su
analize pokazale sa ga se ne isplati uklanjati.
Slika 3. Strategija smanjenja (ublaavanja) rizika
2.3. Vrednovanje i procjena

Posljednja faza kod upravljanja rizicima je vrednovanje i procjena. U veini organizacija e se

mrea kontinuirano iriti i obnavljati, a njene komponente mijenjati i softverske aplikacije
zamijeniti ili obnoviti novim verzijama. Takoer e se i osoblje mijenjati to znai da e se i
sigurnosne politike morati mijenjati s vremenom. Ove promjene znae da e se pojaviti novi
rizik, a rizik prethodno smanjen moe opet doi u obzir. To znai da je proces upravljanja
rizikom neprekinut i u stalnom razvijanju.

Proces procjene rizika se mora ponavljati svake godine. Upravljanje rizikom trebalo bi
ugraditi u SDLC (Systems Development Life Cycle) za informacijski sustav, ne zato to to
zahtijeva zakon ili uredba, nego i zato to je to dobra praksa i podrava poslovne ciljeve i
misiju organizacije. Trebao bi postojati specifian redoslijed za procjenu i ublaavanje rizika,
ali taj periodiki proces bi trebao takoer biti i dovoljno fleksibilan da omogui promjene u
informacijskom sustavu i radnom okoliu zbog promjena u politikama i tehnologiji.

Vrednovanje rizika znai odreivanje vjerojatnosti pojave i utjecaja rizika., pri emu se ocjena
kolika je vjerojatnost pojave rizika moe razlikovati od njegova utjecaja.
Vanost vrednovanja rizika oituje se u injenici da rizici za koje je sigurno da e se pojaviti
te da e vrlo negativno utjecati na projekt mogu znaajno ugroziti isti. U takvim je
sluajevima poeljno revidirati stavove o nunosti provedbe projekta i isti otkazati.
Reference

http://www.hnb.hr/supervizija/h-smjernice-za-upravljanje-informacijskim-sustavom.pdf

http://www.cis.hr/files/Celuska-Osnove_upravljanja_rizikom.pdf

http://www.infotrend.hr/clanak/2009/6/kako-upravljati-it-rizicima,37,767.html

International Journal of Computer Science & Communication