CAM00416 2

125

t,l Metodyka zarządzania ryzykiem opracowana w instytucie NIST

Innym ważnym zagadnieniom metodyki zarządzania ryzykiem NET jest akceptacja ryzyka szczątkowego. Wiadomo, że instytucja powinna ocenić zasięg redukcji ryzyka po zastosowaniu nowych lub udoskonalonych zabezpieczeń.

y-'~" Zredukowana r\' liczba incydentów V I    tłuk

Nowe lub udoskonalone zabezpieczenia

i szczątkowe

Zabezpieczenia

ukierunkowane

feli_JJ Ryzyi®

Rn. *.♦. Wpływ nowych i udoskonalonych zabezpieczeń na ryzyko szczątkowe

Zabezpieczenia oddziaływają na paty < za grożenie, podatność> i ich skutki na trzy sposoby (rys. 6.6):

...... likwidują podatności (luki, słabo śd systemu zabezpieczeń), przez

co zmniejszają liczbę tych par, gdyż zagrożenie bez istnienia podatności objawić się nie może;

wprowadzając zabezpieczenia ukierunkowane na konkretne zagrożenia, zmniejszają silę rażenia, zasięg lub motywację sprawcy; zmniejszają wielkość potencjalnych szkód, na przykład przez ograniczenie zasięgu podatności lub zmianę relacji między systemami teleinformatycznymi a funkcjonowaniem instytucji (zmniejszenie stopnia uzależnienia).

Wspomniano już, że ryzyko, które pozostaje w systemie po zastosowaniu zabezpieczeń, jest tak zwanym ryzykiem szczątkowym. Powinno być ono przedmiotem akceptacji, systemy zaś przedmiotem akredytacji²}. Celem akredytacji jest identyfikacja ryzyka, do którego me odnoszą się zastosowane zabezpieczenia.

Wiadomo, że jednorazowe skuteczne obniżenie ryzyka w dłuższym okresie czasu nie może zapewnić bezpieczeństwa w instytucji.

Zgodnie z przepisami amerykańskimi (OMB Circular A-130), dokonuje tego DAA