| |
Kritéria hodnotenia
bezpečnosti |
|
|
Copyright © Marek Lednický, 2006. All Rights Reserved
|
|
|
|
Analýza rizík
Na minimalizovanie bezpečnostných rizík je potrebné uskutočniť také úkony, ktoré majú za úlohu
odhaliť slabiny a prednosti skúmaného systému, keďže vychádzame z predpokladu, že žiadny systém nie je dokonale bezpečný. Proces skúmajúci takéto vlastnosti daného objektu sa nazýva analýza rizík.
Analýza rizík je proces, prostredníctvom ktorého sa identifikujú bezpečnostné riziká, ktoré je potrebné kontrolovať, alebo akceptovať. V kontexte bezpečnosti IT analýza rizík systémov zahŕňa analýzu hodnôt aktív, hrozieb a zraniteľnosti a určenie potenciálnych rizík. Riziká sú určené z hľadiska možného dopadu spôsobeného narušením dôvernosti, integrity, dostupnosti, individuálnej zodpovednosti autenticity alebo spoľahlivosti.
Výsledkom analýzy rizík je poznatok o pravdepodobných rizikách týkajúcich sa aktív spoločnosti. Analýza rizík je východiskom pre manažment rizík a môže byť vykonaná bez zbytočných časových
investícií a investícií do zdrojov, uskutočnením počiatočnej krátkej analýzy všetkých systémov.
Takáto analýza určí, ktoré systémy môžu byť adekvátne chránené pomocou vzorovej sústavy
prijatých praktických postupov a základných kontrol a pre ktoré systémy bude potrebné
vykonať podrobnú analýzu.
Riziková analýza zahŕňa štyri základné kroky: vymedzenie hodnôt, určenie rizík, zváženie bezpečnostných opatrení a zhodnotenie prínosu vyplývajúcich z implementácie bezpečnostných opatrení. Riziková analýza objasňuje slabé miesta v zabezpečení systému a ukazuje, kde sa sústredenie na bezpečnosť prinesie maximálny efekt. Týmito oblasťami sa zaoberá manažment rizík, ktorý v sebe zahŕňa tieto štyri rôzne činnosti:
- určenie celkovej analýzy a manažmentu rizík,
- výber bezpečnostných opatrení pre jednotlivé systémy,
- formulovanie bezpečnostných politík systémov,
- vytvorenie bezpečnostných projektov systémov a plánov bezpečnosti IT, pre implementovanie bezpečnostných opatrení.
|
|
|
