CAM00399 2

Stosowanie narzędzi wspomagających wymaga jednak dyspono. wania kadrą wysoko kwalifikowanych specjalistów. Należy stwierdzić że dostępność narzędzi analizy ryzyka teleinformatycznego jest doić ograniczona. Narzędzia te stały się domeną:

—    niezbyt licznej, elitarnej grupy wyspecjalizowanych firm konsultingowych, które posiadają swoje zestawy narzędzi, ale oferują przeważnie nie same narzędzia, lecz usługi z ich wykorzystaniem; wynika to także z konieczności posiadania ogromnej wiedzy do samodzielnego ich stosowania (klientom często się to nie opłaca tub nie są oni do tego należycie przygotowani);

—    służb odpowiadających za bezpieczeństwo teleinformatyczne w różnych krajach.

Metodyka NI etapach opracowl Cyd*) - tab. 6.2. uczestników pro rownictwa, wlaU 1 tak dalej.

Tabela 6.2. Procesy urtąduj

Fu* cyklu życia systemu

t. Inicjatywa    Okroi

powstania    tamuj

6.2.

Metodyka zarządzania ryzykiem opracowana w instytucie NIST

Wspomniany już amerykański rządowy¹) NIST (National Institute oj Standardu and Technology), opracował wytyczne dotyczące zarządzania ryzykiem |SM22j. Już na samym wstępie zwrócono w nich uwagę, że zarządzanie ryzykiem powinno służyć instytucji i realizowanej przez nią misji, nie zaś „jako tako" ochronie samych jej zasobów teleinformatycznych.

Celami zarządzania ryzykiem w instytucji są:

•    Zapewnienie niezakłóconej realizacji zadań składających się na misję instytucji, przez doskonalsze zabezpieczenie jej zasobów teleinformatycznych, służących do przetwarzania, przechowywania i przesyłania informacji.

•    Umożliwienie kierownictwu instytucji podejmowania optymalnych decyzji, dotyczących wydatków na wdrażanie technologii teleinformatycznych, w tym na zabezpieczenia.

•    Pomoc kierownictwu w decyzjach związanych z akredytacją systemów na podstawie wyników analizy ryzyka.

Opracowanle I nabywanie

). Implementacja

eksploatacja I utrzymanie

Kont)

jsktOi

mowj

Funk*

zos ca ulom wam

Metodyka NIST umocowana jest w amerykańskich dyrektywach dotyczących bezpieczeństwa teleinformatycznego.

Celem niniejszego rozdziału nie jest pełne przedstawienie tego dokumentu i innych z nim związanych, lecz tylko samej istoty metodyki, która może być szeroko stosowana w sferach komercyjnych oraz należących do administracji publicznej. Dokumenty NIST, doceniane na arenie międzynarodowej, cechuje pragmatyzm i duży uniwersalizm, aczkolwiek pod względem terminologicznym można w nich napotkać pewne różnice względem dokumentów wydanych przez połączony komitet ISO/iEC.

*> Zbywania

w i

chcx

oprc

kow

czar