informatsioon, rakendused,infrastruktuur ja finantskapital. 5. Mis on riskihaldus? Riskihaldus (Risk Management) on protsess, mis vastutab riskide määramise, analüüsi ja juhtimise eest. See sisaldab vajalike vastumeetmete tuvastamist, valimist ja kasutuselevõttu vastavalt ressursside tuvastatud riskitasemele ja riskide piiramist aktsepteeritavale tasemele. 7.2.4 1. Mida tähendab riskihalduse metoodika? Riskihalduse metoodika tähendab iga riski jaoks mingi valiku tegemist. 2. Mida tähendab riski aktsepteerimine? Aktsepteerida riski - klient võib otsustada lubada riski kui selle vastumeetmed osutuvad liialt kulukaks. 3. Milline näeb välja üldine riskihindamise definitsioon infoturbe alal? P = f (V, T) , kus V on haavatavus, T on oht, P on tõenäosus 4. Mis on Avariijärgne taasteplaan? Avariijärgne taasteplaan (Disaster Recovery Plan) on dokument, mis on
mille hindamiseks tuleks arvesse võtta kaadrivoolavus, töötajate haiguspäevad jpm · töötajate efektiivsus numbriliste tulemuste saamiseks näiteks "Productivity Ratio" = töötaja toodetud tulu / töötaja palk · projektitsükli pikkus lühikesed projektid lõppevad reeglina edukamalt kui pikaajalised · eelmistest projektidest õppimine kas korraldatakse "post mortem" koosolekuid, et möödunud projektide vigadest õppida · riskihalduse efektiivsus kas riskide maandamisega tegeletakse teadlikult · vastavus ettevõtte strateegilistele eesmärkidele projektid võivad küll lõppeda edukalt, ent mitte vastata ettevõtte pikaajalistele eesmärkidele ja arengusuundadele; mõõtmiseks võib kasutada empiirilist kümne palli skaalat · kliendirahulolu mõõtmiseks võib luua oma "Customer Satisfaction Indexi", milles arvestatakse ettevõttele olulisi kliendirahulolu näitajaid.
· Samu meetmeid saab rakendada paljudele erinevatele süsteemidele Puudused: · Kui etalontase on kõrgel,võime teha tühja tööd · Kui etalontase on liiga madal siis jäävad liiga suured jääkriskid /esineb turvakadu) · Unikaalse arhitektuuriga infosüsteemide korral võib mõni valdkond jääda katmata ja tekitada ülisuure turvariski Segametoodika: olemus Segametoodika võtab nii riskihalduse metoodikast kui ka etalonturbe metoodikast üle mitmeid häid omadusi, leides nende vahel mõistliku kompromissi Segametoodika kaks peamist võtet: 1.etalonturbe metoodika (etalonmeetmete komplektid) on välja töötatud mitme erineva turvataseme (käideldavus- terviklus- ja konfidentsiaalsustaseme) jaoks 2. infosüsteemi kriitilistes valdkondades ja unikaalse arhitektuuri osades kasutatkse riskianalüüsi, mujal aga odavamt etalonturbe metoodikat. Segametoodika omadused Eelised:
kahju inimeste elule ja tervisele, varale, riigi/asutuse rahvusvahelisele mainele, keskkonnale jm. RISK = TÕENÄOSUS x TAGAJÄRJED 4. Riskianalüüsi mõiste sisuline ja vormiline käsitlus - Sisuline määratlus - protsess riski iseloomu väljaselgitamiseks ja riskitaseme määramiseks. Vormiline määratlus - hädaolukorra riskianalüüs on dokument, milles kirjeldatakse üleriigilisel ning vajaduse korral regionaalsel ja kohaliku omavalitsuse tasandil. 5. Riskianalüüs riskihalduse (riskijuhtimise) osana - Riskihaldus (riskijuhtimine): kooskõlastatud tegevused organisatsiooni suunamiseks ja juhtimiseks riski suhtes. 6. Riskianalüüsi meetodid - Üldised (ligikaudsed); Detailsed (üksikasjalikud); Kvalitatiivsed (kirjeldavad); Poolkvantitatiivsed (hõlmavad teatud teatud arvulisi näitajaid); Kvantitatiivsed (suures osas arvutuslikud). 7. Hargmikmeetodid, ristlipsuanalüüs – *Sündmus => perspektiivne ehk edasivaatav loogika => Tagajärjed
tagajärgi/mõjusid · Risk on ebasoodsa sündmuse võimalus · Oht on ebasoodsa sündmuse võimalikkus Riskianalüüs ·Protsess riski iseloomu väljaselgitamiseks ja riskitaseme määramiseks. ·Hädaolukorra riskianalüüs (edaspidi riskianalüüs) on dokument, milles hinnatakse hädaolukorra tekkimise tõenäosust ja hädaolukorra tagajärgi ning esitatakse ettepanekud hädaolukorra ennetamiseks.. · Riskianalüüs on riskihalduse (riskijuhtimise) osa · Riskihaldus (riskijuhtimine): kooskõlastatud tegevused organisatsiooni suunamiseks ja juhtimiseks riski suhtes Mõjuahel 1. Stressor (agent) 2. Mõju allikas (riskiallikas, oht) - kust stressor vallandub 3. Levikutee, mille kaudu stressor levib 4. Eksponeeritus - stressori jõudmine sihtmärgini 5. Sihtmärk objekt, mida mõjutatakse 6. Mõju- muutused, mida stressori toime põhjustab sihtmärkidele Riskianalüüsi metoodika etapid · Riskituvastus
jne. Riskipõhise testimise tulemuste põhjal võib võtta vastu otsused riskide vähendamiseks, aktsepteerimiseks või jagamiseks, tegevuse lõpetamiseks jne. Riskipõhine testimine on osa laiemast organisatsiooni IT riskihaldusest. IT riskihaldus on infotehnoloogilise süsteemi ressursse mõjutada võivate määramatute sündmuste tuvastuse, ohje ja välistamise või minimeerimise protsess tervikuna. Riskihalduse põhitegevused: · Riskianalüüs (riskide tuvastamine, hindamine ja turvameetmeid vajavate alade tuvastus). Milline on vajalik tase? Milline on olemasolev tase? · Riskihalduse strateegia väljatöötamine. Kuidas katta vahe olemasoleva ja vajaliku taseme vahel? · Riskide minimeerimine või välistamine. Meetmete rakendamine, et jõuda vajaliku tasemeni. "Riskihalduse 4 T": treat, transfer, tolerate, terminate. Ekspertteadmiste põhine testimine
See võimaldab täpsemalt välja tuua kahju põhjused ja ka tingimused, mis teevad kahju 6 võimalikuks või suurendavad kahju võimalikkust. Selline analüüs võib olla kasulik nii koguriski olemuse paremaks mõistmiseks ja tema suuruse hindamiseks kui ka riskiallikate suhtes mitmesuguste meetmete rakendamiseks. (Paas Tiiu, lk 25) 7 RISKIANALÜÜS Riskianalüüs on riskihalduse osa see on protsess, kus hinnatakse ja kirjeldatakse süsteemi(s) varitsevaid ohte, süsteemi nõrkusi, varasid, millest süsteem koosneb, mida süsteem töötleb ja millele süsteem ligipääsu võimaldab, süsteemis rakendatud turvameetmeid, ning kõige selle läbituuakse (arvutatakse) välja süsteemiga seotud olulisemad riskid. Riskianalüüsi väljundit kasutatakse selleks, et neid (olulisemaid) riske sobivaid turvameetmeid rakendades vähendada
108. Turvateadlikkuse programm tuleks evitada kõikidel tasanditel, tippjuhtkonnast kasutajani. Programm peab andma teadmised üleüldise infoturbe poliitika kohta ning katma üleüldise turbeplaani eesmärgid. Programmis peab käsitlema: · informatsiooni kaitse põhivajadusi · turvaintsidentide tähtsust (nii kasutajale kui kogu organisatsioonile) · üleüldise infoturbe poliitika ja riskihalduse strateegia aluseks olevaid eesmärke (koos selgitusega) · infoturbeplaani turvameetmete evitamiseks ja kontrollimiseks · informatsiooni turvaliigitust · andmeomanike kohustusi · turvariketest (nende katsetest) teatamist ja nende uurimise vajadust · volitamata tegevuste tagajärgi · turbe vastavuse kontrollimist · muutuse- ja konfiguratsioonihaldust 109. Infoturbe järeltegevused · hooldus · turvaaudit
muudab projekti liiga bürokraatlikuks ja kohmakaks, kusjuures projekti edukus kasvab minimaalselt. Liiga suure osa vahendite kulutamine riskihaldusele (üle 25%) vähendab projekti tulemuslikkust, kuna põhitegevusele jääb sel juhul liiga vähe vahendeid. Riskihaldamise edukus sõltub sellest, kuivõrd pühendunult seda tehakse, selle läbiviimise võime arendamisest, vastavate riske vähendavate tegevuste sooritamisest ja selle kontrollimisest, et iga riski haldamise kava oli efektiivne. Riskihalduse kava peab olema kirjalik, koos vajalike eelarveliste vahenditega ja riskide analüüsi tulemusi peab arvestama projekti edasisel täitmisel. Keskmiste ja suurte projektide korral on otstarbekas määratleda riskide analüüsi ja võimalike probleemide ennetamise peale eraldi töötaja riskihaldur (kel võib projekti raames olla ka muid ülesandeid). Sageli on need ülesanded ühitatud testimisega. Riskihalduri üheks ülesandeks on ka regulaarselt (näiteks iga kahe nädala tagant) antud
Infosüsteemide väljatöötamist tuleks alustada hinnangutes: kus momendil ollakse, kuhu tahetakse jõuda, millised on rahalised võimalused Lõppkasutaja on infosüsteemis: reaalne kasutaja Tehnosuhtlus on: ärijuhtide ja IT spetsialistide vahendustegevus Kõige suurema üldistusastmega informatsiooni vajavad: tippjuhid Infosüsteemi kvaliteedi võtmeküsimus on: riskide maandamine infosüsteemis vigade ennetamise ja riskihalduse kaudu Kvaliteedijuhtimise alane tegevus seondub: võimalike vigade ennetamisega Kas firma üldkulud sisaldavad saamata jäänud kasumit? Jah Missugune lause järgnevatest kirjeldab kõige paremini IT-osakonna sise- ja väliskliendi erinevusi? IT osakonna ja sisekliendi koostöös luuakse ja hooldatakse reeglina organisatsiooni infosüsteeme teenuste osutamiseks väljapoole ning oma töö korraldamiseks. Koostöös väliskliendiga luuakse
annaabi.ee 
