CAM00411 2

6, Wybrane metody I komputerowo narzędzia wspomagające

—    do redukcji należy podejść od strony kosztów i uzyskiwanych ko. rzyści, czyli należy ograniczać ryzyko do akceptowalnego po. ziomu, minimalizując każdorazowo koszt takiego przedsięwzięcia-

-    podczas tych działań należy także minimalizować negatywny wpływ na inne zadania składające się na misję instytucji.

Na podstawie poziomów ryzyka zidentyfikowanych w toku analizy w pierwszym kroku są ustalane priorytety działań zabezpieczających, poczynając od najwyższego nienkeeptowalnego tyzyka.

W drugim kroku są oceniane opcje zalecanych zabezpieczeń pod względem możliwości ich zastosowania (wykonalności, zgodności, akceptacji użytkowników i tym podobne) oraz efektywności (skuteczności w ograniczaniu ryzyka), w kontekście możliwości instytucji. Wybierane są najwłaściwsze warianty rozwiązań do zaimplementowania.

Trzeci krok jest związany z oceną opłacalności rozwiązań, stanowiącą podstawę do decyzji podejmowanych przez zarząd.

Czwarty krok obejmuje ostateczny wybór zabezpieczeń minimalizujących ryzyko realizacji misji przez instytucję. Decyzję o podłożu ekonomicznym podejmuje zarząd instytucji na podstawie wyników poprzednich analiz. Dla danego ryzyka jest wybierany spójny zbiór zabezpieczeń o różnym charakterze.

Implementacja, a potem eksploatacja zabezpieczeń, wymagają zaangażowania się personelu, stąd w następnym kroku (piątym), są ustalane zasady odpowiedzialności personelu - wewnętrznego, a czasem również i ekspertów z zewnątrz.

Szósty krok oznacza skompletowanie planu zabezpieczeń jako podsumowania dotychczasowych działań.

W siódmym, ostatnim kroku, następuje implementacja zabezpieczeń i akceptacja ryzyka szczątkowego.

Metodyka NIST wprowadza własną klasyfikację zabezpieczeń, która jest podsumowana w tab. 6.7. Wyróżnione są zabezpieczenia trzech rodzajów:

•    Zabezpieczenia techniczne (tcchnical security control) - obejmują środki sprzętowe i programowe, przeciwstawiające się konkretnym zagrożeniom.

•    Zabezpieczenia administracyjne (mandgemetit security control) - w połączeniu z zabezpieczeniami technicznymi i operacyjnymi służą zarządzaniu i redukcji ryzyka strat oraz ochronie misji instytucji.

•    Zabezpieczenia operacyjne (operational security control) - obejmują zbiór punktów kontroli i zasad praktycznych zapewniających, że procedury bezpieczeństwa zarządzające całością zasobów instytucji zostały prawidłowo wdrożone i służą realizacji jej celów.

W każdym z trzech rodzajów występują zabezpieczenia o różnym charakterze:

•    Zabezpieczenia wspierające (supporting) - są podstawą do funkcjonowania innych zabezpieczeń, wspierając ich działanie.