CAM00408 2

(J. Metodyka zarządzania ryzykiem opracowana w instytucie NiST

117

^Po

lali

ffpfeny

rm.

^decy*« do eb-

kroku

takich

zawod-

się

adzóte

anie ^

iłj^y®* wy-

—    ryzyko;

—    zalecane zabezpieczenia.

Raport ten stanowi podstawy decyzji podejmowanych przez zarząd instytucji, zmierzających do rzeczywistego obniżenia ryzyka.

6.2.2. Ograniczanie ryzyka

Ograniczanie ryzyka sprowadza się do następujących działań: uszeregowania rekomendowanych zabezpieczeń według priorytetów oraz wdrożenia tych zabezpieczeń i przeprowadzenia oceny Ich skuteczności. Istotnym jest również utrzymywanie tej skuteczności w sytuacji zmian zachodzących podczas eksploatacji systemów.

W procesie ograniczania ryzyka dozwolone są następujące strato gie i ich kombinacje (porównaj podrozdz. 5.1):

•    Tolerowanie występowania ryzyka (risk assumption) - akceptacja potencjalnego ryzyka i dalsza eksploatacja systemu albo implementacja pewnych zabezpieczeń obniżających ryzyko do akceptowalnego poziomu.

•    Unikanie ryzyka (risJt aiwdancr) - poprzez eliminowanie potencjalnych przyczyn lub skutków po zidentyfikowaniu ryzyka, na przykład: unikanie korzystania z pewnych funkcji systemu, jeśli brak jest stosownych zabezpieczeń, wyłączanie systemu, odłączanie od sieci i tym podobne.

•    Redukcja ryzyka (risk limitation) - ograniczenie wielkości ryzyka przez zastosowanie zabezpieczeń (wspierających, prewencyjnych, detekcyjnych), minimalizujących następstwa wynikające z wykorzystania podatności przez zagrożenia.

•    Planowanie ryzyka (risk plarwing) - zarządzanie ryzykiem na podstawie opracowanego planu, w którym uporządkowano przypadki ryzyka według wielkości, stosownie do nich zaimplementowano zabezpieczenia oraz podjęto działania utrzymujące ich stałą skuteczność.

•    Eliminowanie podatności (resenrch and acknowledgment) - w celu minimalizacji szkód są wykrywane podatności i dla każdej z nich dobierane zabezpieczenia.

•    Transferowanie ryzyka (risk transference) - zapewnienie rekompensaty od ubezpieczyciela w sytuacji wystąpienia zdarzeń prowadzących do następstw.

W ramach metodyki NIST opracowano strategię ograniczania ryzyka, przedstawioną na rys. 6.2. Jej podstawą jest analiza natury zjawisk prowadzących do następstw i proponowanie odpowiednich środków zaradczych w początkowej fazie rozwoju incydentu. Strategia zakłada działanie według następujących zasad:

1. Jeśli wykryto podatność (lukę), to należy zastosować środki ograniczające możliwość (prawdopodobieństwo) wykorzystania tej podatności przez czynnik sprawczy zagrożenia.