CAM00403 2

fc. Wjtaww metody}fcenyuttrowt narzędziawspomagające

zabezpieczenia wspierające zarządzanie, takie jak; reguły postępo-wana plany zabezpieczeń;

—    zabezpieczenia związane z eksploatacją systemu, takie jak: bezpieczeństwo osobowe, kopie awaryjne, plany awaryjne i odtwarzania, zasady utrzymywania systemu, przechowywanie poza instytucją, zarządzanie kontami użytkowników, rozdział obowiązków, dostęp;

—• bezpieczeństwo fizyczne systemu - budynek, pomieszczenia, ośrodek przetwarzania danych;

—    bezpieczeństwo środowiska eksploatacyjnego - zasilanie, media, temperatura, wilgotność, zanieczyszczenia.

Do zebrania tych informacji służą techniki:

—    kwestionariusze;

—    wywiady z personelem;

—    przegląd dnkmnmtarji;

—    automatyczne narzędzia do skanowania sieci oraz rozpoznawania jej struktury.

W drugim kroku analizy ryzyka następuje identyfikacja potencjalnych zagrożeń odnoszących się do systemu. Dla każdego z nich jest określany czynnik sprawczy (threał-sources):

•    Zamysł celowy i metoda związane z rozmyślnym wykorzystaniem podatności (działania celowe).

•    Sytuacja i metoda prowadzące do przypadkowego ujawnienia się podatności (zdarzenia losowe).

Dla zagrożeń ze strony czynnika ludzkiego należy brać także pod uwagę motywację sprawcy oraz zasoby konieczne do przeprowadzenia skutecznego ataku- Z każdym zagrożeniem są związane działania. Związki między tymi elementami można przedstawić w formie przykładu.

Przykład I

cryn?nłc sprawczy —» motywacja    —* działanie

terrorysta    -» rewanż    .. —► podłożenie ładunku

przestępca    -+ korzyść finansową nadużycie finansowe

Do identyfikacji środowiska zagrożeń mogą być pomocne wzorcowe baty zagrożeń, raporty dotyczące zdarzeń z przeszłości systemu, informacje od personelu nadzorującego lub uzyskane z centrów reagowania, prasy czy specjalistycznych witryn internetowych.

W trzecim kroku następuje identyfikacja podatności, czyli wszelkich słabości i fok możliwych do wykorzystania przez czynniki sprawcze zagrożeń.