CAM00404 2
113
t& Metodyka zarządzania ryzykiem opracowana w instytucie NIST
Przykład 2
podatność —> czynnik sprawczy —> działanie
nie zainstalowano —> nieautoryzowany —» nieautoryzowany
poprawek w systemie użytkownik (haker) dostęp do informacji
wrażliwej
Do identyfikacji podatności danego systemu pomocnymi mogą być:
— publikacje producentów dotyczące podatności;
— dokumentacja z poprzedniej analizy ryzyka;
— raporty z audytu i eksploatacji systemu, anomalie i incydenty oraz wyniki przeglądów;
— źródła internetowe - NIST publikuje własną listę podatności NIST I-CAT pN41];
— centra reagowania;
— inne publikacje.
Wielu ważnych informacji szczegółowych o podatnościach konkretnego systemu może dostarczyć tak zwana metoda proaktywna, oparta na wspomaganych komputerowo testach bezpieczeństwa systemu. Stosuje się następujące metody postępowania:
• Skanowanie podatności - sprawdzane są często takie usługi, jak FTP czy sendmail.
• Testowanie i ocena bezpieczeństwa (ST&E - Security Test and Etmlu-ation) - sprawdzana jest skuteczność zabezpieczeń systemu w środowisku eksploatacyjnym na zgodność ze specyfikacją wymagań, polityką i standardami.
• Testy penetracyjne umożliwiają spojrzenie na zabezpieczenia systemu od strony rzeczywistego czynnika zagrożeń - z perspektywy intruza.
Trzecim elementem pomocnym przy identyfikacji podatności jest opracowanie listy kontrolnej wymagań bezpieczeństwa, na podstawie jednego lub kilku dostępnych źródeł referencyjnych (normy, przepisy, zalecenia), specyficznych dla dziedziny zastosowań i przepisów prawa.
Czwarty krok analizy ryzyka według NIST obejmuje analizę istniejących i zaplanowanych zabezpieczeń, jako czynnika zmniejszającego prawdopodobieństwo wystąpienia zdarzeń niekorzystnych. Zabezpieczenia (Controls) obejmują środki techniczne i pozatechniczne. Dzielą się na dwie kategorie:
— prewencyjne - zapobiegają naruszeniom zasad polityki bezpieczeństwa (np. środki do kontroli dostępu, szyfrowania, uwierzytelniania);
— detekcyjne - ostrzegają przed próbami naruszeń polityki (np. dzienniki zdarzeń, środki wykrywania włamań, sumy kontrolne i funkcje skrótu).
Wyszukiwarka
Podobne podstrony:
CAM00400 2 109 4.2. Metodyka zarządzania ryzykiem opracowana w instytucie NIST Metodyka NIST obejmuj
CAM00406 2 115 Metodyka zarządzania ryzykiem opracowana w instytucie NIST TABELA 4.4. Umowne poziomy
CAM00410 2 119 $.2. Metodyka zarządzania ryzykiem opracowana w instytucie NIST Krok trzeci ma zastos
CAM00414 2 123 6,2. Metodyka zarządzania ryzykiem opracowana w instytucie NIST • Z
CAM00416 2 125 t,l Metodyka zarządzania ryzykiem opracowana w instytucie NIST Innym ważnym zagadnien
CAM00408 2 (J. Metodyka zarządzania ryzykiem opracowana w instytucie NiST117 ^Po lali ffpfeny rm. de
CAM00412 2 12141 Kanadyfca zarządzana ryzykiem opracowana w mtłyUłO* NłST r«HU 47.2itapKHna wodbig N
Pomiar i metody zarządzania ryzykiem przy realizacji zadań inwestycyjnych... 471 Tabela 3 Reakcja na
Pomiar i metody zarządzania ryzykiem przy realizacji zadań inwestycyjnych... 473 Ważnym elementem pr
475 Pomiar i metody zarządzania ryzykiem przy realizacji zadań inwestycyjnych... Szczepankiewicz E.I
Pomiar i metody zarządzania ryzykiem przy realizacji zadań inwestycyjnych... 463 żadnych konkretnych
Pomiar i metody zarządzania ryzykiem przy realizacji zadań inwestycyjnych... 465 Ważnym etapem zarzą
467 Pomiar i metody zarządzania ryzykiem przy realizacji zadań inwestycyjnych... Identyfikacja odnos
2012 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacjiBeracity Niniejszy
10 Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacjiPodsumowanie Proces zarządzania
Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji Spis
Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacjiWprowadzenie Proces zarządzania
Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacjiGłówne etapy procesu zarządzania
Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacjiIdentyfikacja zasobów informacyjny
więcej podobnych podstron