CAM00414 2

123

6,2. Metodyka zarządzania ryzykiem opracowana w instytucie NIST

•    Zabezpieczenia prewencyjne (prevenłive) - zapobiegają przed wystąpieniem naruszeń, zwłaszcza pojawiających się po raz pierwszy.

•    Zabezpieczenia detekcyjne (detectwe) - wykrywają przypadki naruszeń.

•    Zabezpieczenia odtwarzające (reccroery) - ułatwiają powrót do stanu sprzed incydentu.

Zbiór zabezpieczeń technicznych, ich współdziałanie wzajemne oraz oddziaływanie na użytkowników, procesy przetwarzania i inne zasoby pokazano na rys. 6.4.

W metodyce zarządzania ryzykiem NIST szczególny nacisk położono na ekonomiczną analizę procesu zarządzania ryzykiem. Redukcja ryzyka ma tylko wówczas sens, gdy jest opłacalna, stąd wymaga ona rozpatrzenia w aspekcie kosztów i korzyści. Z wszystkich możliwych wariantów zabezpieczeń są wybierane tylko warianty opłacalne - poprawiające pozycję instytucji i lepiej wspierające realizację jej misji. Na przykład na obniżenie ryzyka o 200 USD nie można wydać 1000 USD.

Analiza ta może mieć charakter jakościowy lub ilościowy. Jej czte-rofazowy przebieg przedstawiono na rys. 6.5.

Szczegóły tej analizy można zilustrować za pomocą następującego przykładu.

Przykład 3

Analiza kosztów i korzyści związanych z redukcją ryzyka w metodyce opracowanej przez NIST

Rozważmy pewien system X, który przetwarza i przechowuje informacje krytyczne dla realizacji misji instytucji oraz informacje wrażliwe z punktu widzenia pracowników. Przedmiotem analizy opłacalności jest uaktywnienie mechanizmu rozliczalności, rozumianego jako rejestrację zdarzeń. W kontekście do postawionego problemu należy rozważyć zagadnienia postawione w schemacie (rys. 6.5).

1.    Określenie wpływu zastosowania nowych lub udoskonalonych zabezpieczeń:

Zastosowanie mechanizmu rejestracji pozwala administratorowi systemu gromadzić informacje dotyczące aktywności użytkowników kosztem zwiększenia obciążenia systemu i w rezultacie obniżenia ogólnej wydajności. Uaktywnienie mechanizmów rejestracji wymaga także dodatkowych zabiegów i kosztów.

2.    Określenie wpływu niezastosowania nowych lub udoskonalonych zabezpieczeń:

Działania użytkowników, w tym powodowane przez nich naruszenia, nie będą rejestrowane. Uniemożliwi to administratorom reagowanie na takie przypadki, jak również gromadzenie materiału dowodowego dotyczącego naruszeń, co przekłada się na obniżenie I zdolności instytuqi do ochrony swoich aktywów służących wypeł-■' niani u jej misji.