5515044225

5515044225



nym i jego bezpieczeństwem. Wyniki takich ocen powinny zostać pisemnie udokumentowane.

Kluczowym procesem jest zarządzanie ryzykiem, które powinno być prowadzone podczas całego okresu eksploatacji systemu, gdyż tylko wówczas jest efektywne. Analiza ryzyka - jest głównym procesem zarządzania ryzykiem, identyfikuje ryzyko, które ma być kontrolowane lub akceptowane. Analiza ryzyka obejmuje ocenę wartości zasobów, zagrożeń, podatności i następstw w aspekcie naruszenia poufności, integralności, dostępności, rozliczalności, autentyczności i niezawodności. Pełny cykl analizy ryzyka może być stosowany:

-    dla nowych systemów,

-    dla eksploatowanych systemów - w dowolnym momencie życia systemu,

-    podczas okresowych przeglądów i kontroli wdrożenia zabezpieczeń,

-    podczas projektowania systemu,

-    przy planowaniu znaczących zmian w systemie.

Proces zarządzania ryzykiem sprowadza się do porównywania określonego ryzyka z zyskami i/lub kosztami zabezpieczeń oraz wypracowywania strategii ich wdrożenia oraz polityki bezpieczeństwa instytucji w zakresie systemów informatycznych zgodnej z polityką bezpieczeństwa instytucji i celami działania instytucji. Po analizie zysków i/lub kosztów oraz potencjalnych następstw spośród wielu możliwych do zastosowania zabezpieczeń wybierane jest właściwe, przy jednoczesnej akceptacji wielkości ryzyka szczątkowego. Należy ponadto mieć na uwadze, że zabezpieczenia mogą wprowadzać własne podatności. Trzeba więc skupić uwagę nie tylko na redukcji znanego ryzyka, lecz również nie wprowadzać nowego, związanego z zabezpieczeniem.

Stosowane są różne metody analizy ryzyka. Niezależnie od tego, jakiej użyjemy, decydująca jest równowaga między czasem a kosztem identyfikacji, kosztem zabezpieczeń a osiągniętym poziomem bezpieczeństwa. Analiza ryzyka jest pracochłonna, jednak w większości systemów wystarczy wprowadzenie tzw. ochrony podstawowej (baseline Controls, baseline protection), którą określa się jako minimalny zbiór zabezpieczeń ustalony dla systemu lub instytucji.

Skuteczność działań w dziedzinie bezpieczeństwa zależy od osiągnięcia i utrzymywania wysokiego poziomu fachowości i świadomości personelu, który jest powszechnie uważany za najsłabsze ogniwo. Osiąga się to przez program działań uświadamiających, szkoleniowych, motywujących i dyscyplinujących. Program musi dotykać wszystkich szczebli organizacji instytucji i musi być dostosowany do ich specyfiki.

Jak już wspomniano na wstępie, osiągnięcie bezpieczeństwa nie jest aktem jednorazowym -bezpieczeństwo musi być utrzymywane, a więc również monitorowane. Analizowany jest wpływ zmian na bezpieczeństwo, kontrolowana permanentnie rozliczalność, sprawdzane są-coraz częściej automatycznie - dzienniki działań (logi), używane są narzędzia do wykrywania i odstraszania intruzów, praktykowany jest kontrolowany audyt itp.

Nawet najlepsze zabezpieczenia nie likwidują do końca ryzyka szczątkowego. Należy być zawsze przygotowanym na wypadek niekorzystnych zdarzeń, mając przygotowane różne warianty planów awaryjnych, opisujące różne scenariusze zachowań, uwzględniające między innymi:

-    różne okresy trwania awarii,

-    częściową lub pełną utratę funkcjonalności,

-    brak dostępu do pomieszczeń lub budynków zajmowanych przez instytucję.

Politechnika Rzeszowska im. Ignacego Łukasiewicza Zakład Systemów Rozproszonych



Wyszukiwarka

Podobne podstrony:
Obudowa w tym układzie jest elementem odpowiedzialnym za jego bezpieczeństwo i powinna pracować zgod
Kolejne badania powinny zostać zogniskowane na analizę stanu bezpieczeństwa w odniesieniu do ilości
Zdjŕcie0557 Kiedy metoda powinna zostać poddana procesowi walidacji^ opracowywana jest nowa metoda a
img200 zawiązanie konfliktu, jego punkt szczytowy i rozwiązanie. Wreszcie powinno się dochodzić do i
img230 230 wymi*. Zgodnie z układem pracy, modulacji takich nie powinniśmy przedstawić. * tym przypa
Literatura Zasady bezpieczeństwa i wyposażenia pojazdu wpływające na jego bezpieczeństwo Rodzaje
Części opisowa i graficzna prognozy są wynikiem analiz i ocen potencjalnych skutków jakie mogłaby sp
świadczenia społeczne powinna zostać zneutralizowana wzrostem płac, w wyniku czego relacja między łą
SWScan00547 Dziedzina publiczna i dziedzina prywatna 81 równa się różnicy pomiędzy rzeczami, które p
page0309 NAZEWNICTWO MIEJSKIE tj. nazwy w postaci przymiotnika na -ska, -cka. Wynikiem takich przeks
skanuj0126 2 Ściany jednowarstwowe 125 Zadanie: Oo zaznaczonego miejsca powinna zostać dołączona ści
neonatologia9 44 Badanie i ocena stanu ogólnego noworodka nieznaczące odchylenia anatomiczne powinn

więcej podobnych podstron