{"id":4874,"date":"2010-04-02T17:35:12","date_gmt":"2010-04-02T17:35:12","guid":{"rendered":"https:\/\/multiacademstg.wpengine.com\/27001academy\/blog\/010\/04\/02\/savjeti-za-procjenu-rizika-u-manjim-tvrtkama\/"},"modified":"2022-07-17T15:26:43","modified_gmt":"2022-07-17T15:26:43","slug":"savjeti-za-procjenu-rizika-u-manjim-tvrtkama","status":"publish","type":"post","link":"https:\/\/staging.advisera.com\/27001academy\/hr\/blog\/2010\/04\/02\/savjeti-za-procjenu-rizika-u-manjim-tvrtkama\/","title":{"rendered":"Savjeti za procjenu rizika u manjim tvrtkama"},"content":{"rendered":"<p>Vidio sam kako mnoge manje tvrtke (do 50 zaposlenih) poku\u0161avaju primijeniti alate za procjenu rizika kao dio projekta implementacije norme <a href=\"\/27001academy\/hr\/sto-je-iso-27001\/\" target=\"_blank\" rel=\"noopener noreferrer\">ISO 27001<\/a>. Rezultat je da to obi\u010dno oduzima previ\u0161e vremena i novca, a ne proizvodi dovoljne u\u010dinke.<\/p>\n<p>Prije svega, \u0161to je ustvari procjena rizika i koja joj je svrha? Procjena rizika je postupak pomo\u0107u kojeg organizacija treba uo\u010diti rizike vezane za informacijsku sigurnost i odrediti njihovu vjerojatnost i posljedice. Pojednostavljeno re\u010deno, organizacija bi trebala prepoznati sve potencijalne probleme vezane za informacije, kolika je vjerojatnost da se pojave i koje bi mogle biti posljedice. Svrha procjene rizika je utvr\u0111ivanje mjera koje su potrebne da bi se rizik smanjio \u2013 odabir mjera naziva se procesom obrade rizika, a u normi ISO 27001 one se odabiru iz Aneksa A u kojem su navedene 133 mjere.<\/p>\n<p>U procjeni rizika moraju se identificirati i ocijeniti resursi, ranjivosti i prijetnje. Resurs je sve ono \u0161to ima vrijednost za organizaciju \u2013 hardver, softver, ljudi, infrastruktura, podaci (u raznim oblicima i na raznim medijima), dobavlja\u010di i partneri, itd. Ranjivost je slabost resursa, procesa, mjere itd. koju bi prijetnja mogla iskoristiti; prijetnja je bilo koji uzrok koji mo\u017ee na\u0161tetiti sustavu ili organizaciji. Primjer ranjivosti je nepostojanje antivirusnog softvera; s time povezana prijetnja je ra\u010dunalni virus.<\/p>\n<p>Sad kad sve to znate, a va\u0161a organizacija je mala, zapravo vam nije potreban sofisticiran alat za provedbu procjene rizika. Sve \u0161to vam treba je Excel tablica, dobar katalog ranjivosti i prijetnji i dobra metodologija procjene rizika. Pravi posao se zapravo sastoji u tome da ocijenite vjerojatnost i u\u010dinke, a to ne mo\u017ee svaki alat \u2013 to je ne\u0161to o \u010demu moraju razmi\u0161ljati va\u0161i vlasnici resursa koriste\u0107i svoje znanje o tim resursima.<\/p>\n<p>Dakle, gdje nabaviti katalog i metodologiju? Ako koristite usluge konzultanta, on bi tvam ih trebao dati. U suprotnom, na internetu postoji nekoliko besplatnih kataloga, samo ih morate potra\u017eiti pomo\u0107u Googlea. Metodologija nije dostupna besplatno, ali mo\u017eete koristiti normu ISO 27005 (ona detaljno opisuje procjenu i obradu rizika), ili mo\u017eete koristiti neke druge web stranice koje prodaju metodologiju. Za sve to bi trebalo znatno manje vremena i novca nego za kupnju alata za procjenu rizika i u\u010denje kako se koristi.<\/p>\n<p>Dobra metodologija trebala bi sadr\u017eavati metodu za identifikaciju resursa, prijetnji i ranjivosti, tablice za ozna\u010davanje vjerojatnosti i u\u010dinaka, metodu za izra\u010dun rizika, te definirati prihvatljivu razinu rizika. U katalozima bi trebalo biti navedeno najmanje 30 ranjivosti i 30 prijetnji; u nekim se katalozima navodi i po nekoliko stotina ranjivosti i prijetnji, ali to je vjerojatno previ\u0161e za malu tvrtku.<\/p>\n<p>Postupak zaista nije kompliciran \u2013 evo osnovnih koraka za procjenu i obradu:<\/p>\n<ol>\n<li>definirajte i dokumentirajte metodologiju (uklju\u010duju\u0107i kataloge), dostavite je svim vlasnicima resursa u organizaciji<\/li>\n<li>organizirajte intervjue sa svim vlasnicima resursa u kojima \u0107ete od njih zatra\u017eiti da identificiraju svoje resurse i s njima povezane ranjivosti i prijetnje; u drugom koraku ih zamolite da ocijene vjerojatnost i u\u010dinak pojave odre\u0111enog rizika<\/li>\n<li>objedinite podatke u jednoj Excel tablici, izra\u010dunajte rizike i odredite neprihvatljive rizike<\/li>\n<li>za svaki neprihvatljiv rizik odaberite jednu ili vi\u0161e mjera iz Aneksa A norme ISO 27001 \u2013 izra\u010dunajte koja bi bila nova razina rizika nakon provedbe tih mjera<\/li>\n<\/ol>\n<p>Da zaklju\u010dim: procjena i obrada rizika zaista jesu temelj informacijske sigurnosti \/ ISO 27001, \u0161to ne zna\u010di da moraju biti komplicirane. Mo\u017eete ih provesti na jednostavan na\u010din, bitan je samo zdrav razum.<\/p>\n<p><em>Da saznate vi\u0161e, preuzmite ovaj besplatni <\/em><a href=\"https:\/\/info.staging.advisera.com\/27001academy\/free-download\/diagram-of-iso-270012013-risk-assessment-and-treatment-process\" target=\"_blank\" rel=\"noopener noreferrer\">Diagram of ISO 27001:2013 Risk Assessment and Treatment process<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Vidio sam kako mnoge manje tvrtke (do 50 zaposlenih) poku\u0161avaju primijeniti alate za procjenu rizika kao dio projekta implementacije norme ISO 27001. Rezultat je da to obi\u010dno oduzima previ\u0161e vremena i novca, a ne proizvodi dovoljne u\u010dinke. Prije svega, \u0161to je ustvari procjena rizika i koja joj je svrha? Procjena rizika je postupak pomo\u0107u kojeg &#8230;<\/p>\n","protected":false},"author":26,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[309],"tags":[],"class_list":["post-4874","post","type-post","status-publish","format-standard","hentry","category-blog-hr"],"acf":[],"_links":{"self":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4874","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/users\/26"}],"replies":[{"embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/comments?post=4874"}],"version-history":[{"count":0,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/posts\/4874\/revisions"}],"wp:attachment":[{"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/media?parent=4874"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/categories?post=4874"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/staging.advisera.com\/27001academy\/hr\/wp-json\/wp\/v2\/tags?post=4874"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}