9. Analýzy rizik#

Podpora provádění analýzy rizik je nejdůležitější funkcí platformy Risk Flow. V tomto modulu bude detailně popsána použitá metodika.

9.1. Zobrazení seznamu analýz rizik#

Po přechodu do modulu Analýzy se uživateli zobrazí seznam všech analýz rizik, ke kterým má práva přistupovat. Rozdělení oprávnění je v tomto případě následující:

Role

Oprávnení

Admin

Práva vidět a editovat všechny dostupné neukončené analýzy.

Analytik

Práva provádět analýzy rizik, ke kterým byl přidělen. Nemá práva upravovat parametry analýzy rizik, může editovat řádky analýzy a žádat o schválení manažerem. Může přidávat komentáře.

Klient

Práva nahlížet a komentovat analýzy rizik, která byla vytvořena pro jeho společnost.

Auditor

Práva pro čtení do všech částí, může přidávat komentáře.
../_images/analyses-overview.png

9.2. Založení analýzy rizik#

Založení analýzy rizik na platformě Risk Flow je možné po kliknutí na tlačítko Začít novou analýzu nebo otevřením https://NAZEV-INSTANCE.riskflow.cz/cs/analysis/create.

Parametr

Vyžadován

Popis

Klient

Ano

Vybrání klienta, pro kterého se bude analýza rizik zpracovávat.

Název analýzy

Ne

Název analýzy rizik. Slouží pro lepší orientaci.

Odpovědný manažer

Ano

Lze vybrat pouze uživatele s rolí Risk manažer. Lze vybrat pouze aktivní uživatele. V případě, že analýzu rizik zakládá uživatel s rolí Risk manažer, je k ní automaticky přidělen.

Analytici

Ne

Lze vybrat pouze uživatele s rolí Risk manažer nebo Risk analytik. Lze vybrat pouze aktivní uživatele. Lze přiřadit více analytiků, kteří na zpracován analýzy budou spolupracovat.

Termín pro vyřízení

Ano

Stanovení termínu k vyřešení. Nelze stanovit do minulosti ani na dnešní datum.

Po úspěšném vytvoření analýzy rizik jsou e-mailem upozorněni přiřazení analytici i manažer. Informační e-mail nepřijde uživateli, který akci vyvolal, tzn. pokud analýzu vytváří manažer, nepřijde mu informační e-mail o přiřazení k analýze rizik. Tímto způsobem se Risk Flow snaží minimalizovat množství informačních e-mailů.

9.3. Editace analýzy rizik#

Editace analýzy rizik je možná v aktualizačním formuláři, který si může uživatel otevřít v seznamu analýz skrze ikonu tří teček nebo v detailu analýzy rizik skrze tlačítko Upravit.

9.4. Kopírování analýzy rizik#

Uživatel s editačními právy ke konkrétní analýze rizik může vytvářet její kopie. Při kopírování analýzy rizik je nutné nastavit stejné parametry jako při založení nové analýzy rizik. V tomto procesu jsou duplikovány všechny řádky analýzy rizik. Tato funkce je velmi vhodná při provádění revizí dříve dokončených analýz rizik. Kopírovat analýzu rizik je možné prostřednictvím ikony kopírování v seznamu všech dostupných analýz rizik nebo v detailu konkrétní analýzy rizik. Odpovědný manažer a analytici jsou informování e-mailem o přiřazení k analýze.

../_images/analysis-copy.png

9.5. Smazání analýzy rizik#

Mazání analýzy rizik je možné v seznamu dostupných analýz rizik nebo v detailu konkrétní analýzy. Oprávněný uživatel může mazat analýzy rizik, které nejsou součástí žádných schvalovacích procesů.

9.6. Export analýz rizik#

Export analýz je možný v patřičném modulu po kliknutí na tlačítko Export a vybrání typu exportu.

../_images/analysis-export.png

Export do MS Excel#

Export seznamu analýz rizik do sešitu aplikace Microsoft Excel má následující hodnoty. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis

Klient

Název klienta.

Termín pro vyřízení

Datum.

Odpovědný manažer

Uživatel s rolí Risk manažer, který je odpovědný za dokončení analýzy rizik.

Analytici

Seznam uživatelů s rolí Risk analytici kteří se podílejí/podíleli na provádění analýzy rizik.

Stav

  • Založeno – analýza byla založena, zatím se neprovádí.

  • Provádí se – analýza je zpracovávána.

  • Čeká na schválení – analýza byla dokončena a čeká na schválení odpovědným manažerem.

  • Schváleno – analýza dokončena a schválena odpovědným manažerem.

  • Neschváleno – analýza dokončena, ale zatím neschválena odpovědným manažerem, vrácena k dopracování.

  • Ve Flow – dokončená a schválená analýza rizik, která je součástí schvalovacího procesu.

  • Ve Flow, neschváleno – dokončená analýza, která byla klientem v rámci schvalovacího procesu vrácena k dopracování.

  • Ve Flow, schváleno – dokončená analýza rizik, schválená odpovědným manažerem i příslušným klientem.

Vytvořeno

Datum vytvoření záznamu.

Čas vytvoření

Čas vytvoření záznamu.

Vytvořil

E-mail uživatele, který záznam vytvořil.

Aktualizováno

Datum poslední změny záznamu.

Poslední aktualizace

Čas poslední změny záznamu.

Změnil/a

E-mail uživatele, který provedl poslední změny.

Export do PDF#

Export seznamu analýz do formátu PDF obsahuje soupis podobný výpisu v aplikaci. Obsahuje níže uvedené informace. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis

Klient

Název klienta.

Termín pro vyřízení

Datum.

Odpovědný manažer

Uživatel s rolí Risk manažer, který je odpovědný za dokončení analýzy rizik.

Analytici

Seznam uživatelů s rolí Risk analytici kteří se podílejí/podíleli na provádění analýzy rizik.

Stav

  • Založeno – analýza byla založena, zatím se neprovádí.

  • Provádí se – analýza je zpracovávána.

  • Čeká na schválení – analýza byla dokončena a čeká na schválení odpovědným manažerem.

  • Schváleno – analýza dokončena a schválena odpovědným manažerem.

  • Neschváleno – analýza dokončena, ale zatím neschválena odpovědným manažerem, vrácena k dopracování.

  • Ve Flow – dokončená a schválená analýza rizik, která je součástí schvalovacího procesu.

  • Ve Flow, neschváleno – dokončená analýza, která byla klientem v rámci schvalovacího procesu vrácena k dopracování.

  • Ve Flow, schváleno – dokončená analýza rizik, schválená odpovědným manažerem i příslušným klientem.

Průběh

Průběh provádění analýzy vyjádřený v %.

Export do JSON#

Export analýz do formátu JSON je dostupný pouze administrátorům instance. Tento typ exportu je možné využívat pouze v licenci Enterprise. Exportovaný soubor může sloužit jako jednoduchá záloha nebo může být využit k importu do aplikací třetích stran.

9.7. Detail analýzy rizik#

Oprávněné osoby mohou nahlížet do pro ně dostupných analýz rizik. Administrátor či odpovědné osoby mohou přidávat a editovat řádky analýzy rizik. Uživatelé s oprávněním editovat mohou zatím neschválené analýzy rizik editovat přímo v jejím detailu, stejně jako funguje správa aktiv.

../_images/analysis-detail.png

Přidání řádku analýzy rizik#

Formulář pro přidání řádku analýzy rizik je možné najít na adrese https://NAZEV-INSTANCE.riskflow.cz/cs/analysis/<ID ANALÝZY>/row/create nebo po kliknutí na tlačítko Přidat řádek.

V tomto formuláři můžete využívat výhod Risk Flow katalogu, ze kterého lze čerpat konkrétní texty popisů rizik, hrozeb a zranitelností. Vyhledávání v katalogu funguje po zadání alespoň tří znaků a jeho použití demonstruje následující obrázek.

../_images/analysis-new-row.png

Využití katalogu rizik je v tomto formuláři možné pro následující pole – Popis rizika, Hrozba, Zranitelnost.

Manažeři a analytici mohou katalog rizik doplňovat ponecháním zaškrtnutého políčka Přidat do katalogu rizik. Katalog může být používán všemi manažery a analytiky u všech analýz rizik, a proto by do katalogu neměly být přidávány texty specifické pro zpracovávaného klienta. Editovat katalog má práva pouze administrátor instance.

Název sloupce

Popis

#

Číslo záznamu v exportu.

Ozn.

Identifikátor slouží pro zlepšení orientace uživatele v systému.

Popis rizika

Stručný popis evidovaného rizika – například únik citlivých informací, infiltrace systému či aplikace, nedostupnost služeb, atd.

Detailní popis rizika

Detailní popis evidovaného rizika.

Aktivum

Výběr aktiva, na jež se evidované riziko vztahuje. Je možné vybrat až po vybrání skupiny aktiv. Tento seznam je filtrován, aby zobrazoval pouze aktiva vybrané skupiny.

V analýze rizik lze použít pouze aktiva, která jsou plně ohodnocena z pohledu dostupnosti, integrity a důvěrnosti ve správě aktiv.

Hodnota aktiva

1 / 2 / 3 / 4

Hrozba

Hrozba využívá zranitelnosti aktiva a může způsobit jeho poškození nebo narušení. Hrozbou mohou být např. živelné pohromy, havárie, společenské jevy, ekonomické jevy nebo také chování jednotlivců. Je vždy nezbytné brát v úvahu i další hrozby relevantní pro daná aktiva a kontext organizace.

Detailní popis hrozby

Detailní popis hrozby.

Hodnota

Nízký / Střední / Vysoký / Kritický

Zranitelnost

Zranitelnost je slabé místo (nedostatek) aktiva nebo slabé místo (nedostatek) bezpečnostního opatření, kterého může využít jedna či více hrozeb.

Detailní popis zranitelnosti

Detailní popis zranitelnosti.

Hodnota

Nízký / Střední / Vysoký / Kritický

Riziko

Vypočítána hodnota rizika, číslo z intervalu <1, 64>.

Akceptováno

Ano / Ne

Vytvořeno

Datum vytvoření záznamu.

Čas vytvoření

Čas vytvoření záznamu.

Vytvořil

E-mail uživatele, který záznam vytvořil.

Aktualizováno

Datum poslední změny záznamu.

Poslední aktualizace

Čas poslední změny záznamu.

Změnil/a

E-mail uživatele, který provedl poslední změny.

Editace řádku analýzy#

Oprávněný uživatel může provádět úpravu řádků analýzy rizik přímo v detailu analýzy rizik nebo v detailu konkrétního řádku po otevření příslušného formuláře kliknutím na ikonu tří teček. I zde je možné využívat výhod Risk Flow katalogu jako při přidávání řádku analýzy.

Smazání řádku analýzy rizik#

Oprávněný uživatel může provádět mazání řádků zatím neschválené analýzy rizik přímo v detailu analýzy rizik detailu konkrétního řádku po otevření příslušného formuláře kliknutím na ikonu odpadkového koše a následným potvrzením v modální okně.

Hodnocení#

V analýze rizik lze použít pouze aktiva, která jsou plně ohodnocena z pohledu dostupnosti, integrity a důvěrnosti ve správě aktiv. Pro výpočet hodnoty rizika řádku analýzy jsou třeba tři hodnoty – hodnota aktiva, hodnota hrozby, hodnota zranitelnosti. Jelikož je hodnota aktiva vypočítána vytvořením a ohodnocením aktiva ve správě aktiv, zbývá v tomto kroku definovat hodnoty hrozby a zranitelnosti.

Hodnota rizika je vypočítána následovně:

RIZIKO = AKTIVUM x HROZBA x ZRANITELNOST

Hodnocení hrozby#

V Risk Flow se používá následující škála pro hodnocení hrozeb.

../_images/threat-rating-scale.png

Hodnocení zranitelnosti#

V Risk Flow se používá následující škála pro hodnocení zranitelností.

../_images/vulnerability-rating-scale.png

Výpočet a akceptace rizika#

V momentě, kdy jsou u řádku analýzy definována všechna potřebná data, provede Risk Flow výpočet hodnoty rizika. Jedná se o celé číslo spadající do jednoho z následujících intervalů.

../_images/risk-acceptance-calculation.png

Riziko může a nemusí být akceptováno. Vychází z finálního hodnocení rizika a stupnice je definována následovně.

../_images/final-risk-rating.png

Export detailu analýzy rizik#

Export detailu analýzy rizik je možný po kliknutí na tlačítko Export a následném vybrání typu exportu.

Export do MS Excel#

Export detailu analýzy rizik do sešitu aplikace Microsoft Excel má následující hodnoty. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis

#

Číslo záznamu v exportu

Ozn.

Identifikátor slouží pro zlepšení orientace uživatele v systému

Popis rizika

Stručný popis evidovaného rizika – například únik citlivých informací, infiltrace systému či aplikace, nedostupnost služeb, atd.

Detailní popis rizika

Detailní popis evidovaného rizika

Aktivum

Výběr aktiva, na jež se evidované riziko vztahuje. Je možné vybrat až po vybrání skupiny aktiv. Tento seznam je filtrován, aby zobrazoval pouze aktiva vybrané skupiny.

V analýze rizik lze použít pouze aktiva, která jsou plně ohodnocena z pohledu dostupnosti, integrity a důvěrnosti ve správě aktiv.

Hodnota aktiva

1 / 2 / 3 / 4

Hrozba

Hrozba využívá zranitelnosti aktiva a může způsobit jeho poškození nebo narušení. Hrozbou mohou být např. živelné pohromy, havárie, společenské jevy, ekonomické jevy nebo také chování jednotlivců. Je vždy nezbytné brát v úvahu i další hrozby relevantní pro daná aktiva a kontext organizace.

Detailní popis hrozby

Detailní popis hrozby

Hodnota

Nízký / Střední / Vysoký / Kritický

Zranitelnost

Zranitelnost je slabé místo (nedostatek) aktiva nebo slabé místo (nedostatek) bezpečnostního opatření, kterého může využít jedna či více hrozeb.

Detailní popis zranitelnosti

Detailní popis zranitelnosti

Hodnota

Nízký / Střední / Vysoký / Kritický

Riziko

Vypočítána hodnota rizika, číslo z intervalu <1, 64>.

Akceptováno

Ano / Ne

Vytvořeno

Datum vytvoření záznamu

Čas vytvoření

Čas vytvoření záznamu

Vytvořil

E-mail uživatele, který záznam vytvořil.

Aktualizováno

Datum poslední změny záznamu

Poslední aktualizace

Čas poslední změny záznamu

Změnil/a

E-mail uživatele, který provedl poslední změny.

Export do PDF#

Export detailu analýzy rizik do formátu PDF obsahuje soupis podobný výpisu v aplikaci. Obsahuje následující informace. Jazyk reportu se přizpůsobuje aktuálně použitému jazyku aplikace.

Název sloupce

Popis

Ozn.

Identifikátor slouží pro zlepšení orientace uživatele v systému.

Popis rizika

Stručný popis evidovaného rizika – například únik citlivých informací, infiltrace systému či aplikace, nedostupnost služeb, atd.

Aktivum

Výběr aktiva, na jež se evidované riziko vztahuje. Je možné vybrat až po vybrání skupiny aktiv. Tento seznam je filtrován, aby zobrazoval pouze aktiva vybrané skupiny.

V analýze rizik lze použít pouze aktiva, která jsou plně ohodnocena z pohledu dostupnosti, integrity a důvěrnosti ve správě aktiv.

Hodnota aktiva

1 / 2 / 3 / 4

Hrozba

Hrozba využívá zranitelnosti aktiva a může způsobit jeho poškození nebo narušení. Hrozbou mohou být např. živelné pohromy, havárie, společenské jevy, ekonomické jevy nebo také chování jednotlivců. Je vždy nezbytné brát v potaz i další hrozby relevantní pro daná aktiva a kontext organizace.

Hodnota

Nízký / Střední / Vysoký / Kritický

Zranitelnost

Zranitelnost je slabé místo (nedostatek) aktiva nebo slabé místo (nedostatek) bezpečnostního opatření, kterého může využít jedna či více hrozeb.

Hodnota

Nízký / Střední / Vysoký / Kritický

Riziko

Vypočítána hodnota rizika, číslo z intervalu <1, 64>.

Akceptováno

Ano / Ne

Export do JSON#

Export řádků analýzy rizik do formátu JSON je dostupný pouze administrátorům instance. Tento typ exportu je možné využívat pouze v licenci Enterprise. Exportovaný soubor může sloužit jako jednoduchá záloha nebo může být využit k importu do aplikací třetích stran.

9.8. Schvalování analýzy rizik#

Jakmile jsou všechny řádku analýzy rizik kompletně ohodnocené a v parametru průběhu analýzy rizik se zobrazuje hodnota 100%, může analýza postoupit ke schválení.

Žádost o schválení dokončené analýzy rizik#

Uživatel s rolí manažera nebo analytika může odeslat požadavek na schválení analýzy. Odpovědný manažer je o požadavku informován e-mailem a vyzván k akci.

Schválení či vrácení k dopracování#

Schválení provádí odpovědný manažer konkrétní analýzy. Jakmile je analýza schválena, uzamkne se pro editaci a může být dále využita ve schvalovacích flows. Dokud není analýza schválena odpovědným manažerem, je možné ji dále editovat. Dokud není analýza součástí schvalovacího flow, může odpovědný manažer vzít své schválení zpět a vrátit analýzu analytikům k dopracování.

9.9. Komentáře#

Zobrazení komentářů#

Ke všem analýzám rizik mohou oprávnění uživatelé přidávat komentáře. Všechny komentáře je možno zobrazit po kliknutí na tlačítko Komentáře, jenž otevře stránku se soupisem existujících komentářů a formulářem pro přidání nového.

Přidání komentáře#

Přidat komentář je možné po vyplnění patřičného pole pro zadání textu komentáře a odeslání tlačítkem Přidat komentář.

Interní a veřejné komentáře#

Uživatelé mohou přidávat interní a veřejné komentáře. Interní komentáře se nezobrazují klientům, pro něž je analýza rizik zpracovávána. Administrátoři, manažeři, analytici a auditoři vidí všechny evidované komentáře a přílohy.

Přílohy ke komentářům#

Ke každému komentáři je možné přidávat přílohy. Pro výběr více příloh podržte klávesu CTRL a levým tlačítkem myši označte více souborů pro vložení nebo označte všechny soubory k nahrání a myší je přetáhněte do pole pro nahrávání souborů.