Ocena zabezpieczeń

To kolejny krok w procesie analizy ryzyka, w którym oceniamy adekwatność stosowanych mechanizmów kontrolnych do zidentyfikowanych i oszacowanych ryzyk po analizie atrybutów. Wyniki oceny powinny determinować dalsze dalsze kroki w postaci opracowania planu postępowania lub akceptacji aktualnych zabezpieczeń.

Poniżej przykłady wyników oceny i odpowiadających ich im zabezpieczeń.

Przykład pierwszy:
wysokie ryzyko wyłącznie w atrybucie poufności.

 

Ważną umiejętnością jest poprawna interpretacja wyników analizy atrybutów bezpieczeństwa, aby wskazać odpowiednie mechanizmy zabezpieczające lub zaplanować plan postępowania z ryzykiem.

W tym przykładzie analiza wskazuje wysokie ryzyko wyłącznie w atrybucie poufności, natomiast pozostałe atrybuty nie przekraczają poziomów zdefiniowanego progu ryzyka nieakceptowalnego.

 

Stan mechanizmów zabezpieczających odpowiedni do oceny atrybutów.

Ważną zasadą jest wskazywanie atrybutów, które zapewnią poufność.

Ryzyko: wyciek poufnych danych z niezaszyfrowanego laptopa

Poprawne zabezpieczenia: wprowadzenie szyfrowania całej zawartości dysku

Niepoprawne zabezpieczenia: szkolenia z bezpieczeństwa danych osobowych, 8 znakowe hasło zmieniane co 30 dni, kopie zapasowe informacji na laptopie, zapasowy laptop.

 

 

 

 

_____________________________________________________________________________________

 

 

 

_____________________________________________________________________________________

 

 

Przykład drugi:
wysokie ryzyko występuje w trzech atrybutach.

 

Analiza atrybutów zakończyła się w tym przypadku wysokim ryzykiem w obszarze:

  • strat finansowych,
  • dostępności,
  • poufności.

Stan mechanizmów zabezpieczających odpowiedni do oceny atrybutów.

W tym przypadku jesteśmy zmuszeni na wskazanie zabezpieczeń w trzech obszarach.

Informacje kontaktowe

IMNS Polska Sp. z o.o.
Wrocławski Park Technologiczny
ul. Klecińska 125, 54-413 Wrocław

Biuro konsultingowe w Warszawie
ul. Obrzeżna 3, 02-691 Warszawa

IMNS Consulting
tel: 71 797 77 20

O serwisie

Serwis IMNS Polska poświęcony rozwiązaniu AnRisk, będącemu częścią szerszej oferty konsultingowej zespołu IMNS Consulting.

Rozwiązania i usługi  w ofercie IMNS

Audyty bezpieczeństwa
Polityka bezpieczeństwa informacji
Zarządzanie ryzykiem
Zarządzanie ciągłością działania
Wdrażanie regulacji branżowych
Testy bezpieczeństwa