Analiza rizika

Analiza rizika je cjelokupan proces analize rizika i njegovog vrednovanja. Cilj analize rizika je da provjeri nivo sigurnosti
povjerljivih informacija, što se ogleda kroz zadovoljavanje tri kriterija:

 tajnost - do informacije može doći samo ovlašteni korisnik (Confidentiality )

 cjelovitost - informacija ne smije promijeniti sadržaj bez znanja vlasnika. Tu se ne misli samo na informaciju,
već i na metode obrade informacija (Integrity).
 dostupnost - do informacije se može doći kada i gdje treba (Availability).

S ciljem procjene sigurnosti informacija u skladu sa ova tri principa vršimo analizu rizika. Tim za procjenu rizika koristi
open source i komercijalne alate da procjeni nivo rizika s kojim se suočavaju povjerljivi resursi. Analiza počinje popisom
resursa i procjenom njihove važnosti. Zatim se određuju prijetnje i ranjivosti koje bi mogle pogoditi resurse firme te se
izvršava procjena vjerojatnoće da će se identificirane prijetnje i ranjivosti ostvariti, kao i procjena utjecaja ostvarivanja tih
prijetnji.

Rizik se definiše kao proizvod procjenjene važnosti imovine, vjerovatnosti ostvarivanja prijetnje i uticaja koji bi ostvarena
prijetnja ostavila na imovinu.

Nakon analize rizika kreira se plan obrade rizika gdje se definišu mjere koje se trebaju primjeniti da bi se nivo rizika
smanjio, prihvatio, izbjegao ili prebacio na treće lice

Implementacija plana obrade rizika zahtijeva kontinuirano praćenje i održavanje uspostavljenih kontrola uz kontinuirano
poboljšanje kao dio P-D-C-A ciklusa koji je osnova ISMS-a uspostavljenog po ISO/IEC 27001 zahtjevima.