Ocena zabezpieczeń

To kolejny krok w procesie analizy ryzyka, w którym oceniamy adekwatność stosowanych mechanizmów kontrolnych do zidentyfikowanych i oszacowanych ryzyk po analizie atrybutów. Wyniki oceny powinny determinować dalsze dalsze kroki, w postaci opracowania planu postępowania lub akceptacji aktualnych zabezpieczeń. Poniżej przykłady wyników oceny i odpowiadających ich im zabezpieczeń.

1. wysokie ryzyko wyłącznie w atrybucie poufności
 


Ważną umiejętnością jest poprawna interpretacja wyników analizy atrybutów bezpieczeństwa, aby wskazać odpowiednie mechanizmy zabezpieczające lub zaplanować plan postępowania z ryzykiem.

W tym przykładzie analiza wskazuje wysokie ryzyko wyłącznie w atrybucie poufności, natomiast pozostałe atrybuty nie przekraczają poziomów zdefiniowanego progu ryzyka nieakceptowalnego.
 
 
 
 
2. wysokie ryzyko występuje w trzech atrybutach
 

Analiza atrybutów zakończyła się w tym przypadku wysokim ryzykiem w obszarze:

  • strat finansowych,
  • dostępności,
  • poufności.

Stan mechanizmów zabezpieczających odpowiedni do oceny atrybutów

Ważną zasadą jest wskazywanie atrybutów, które zapewnią poufność.

Ryzyko: wyciek poufnych danych z niezaszyfrowanego laptopa

Poprawne zabezpieczenia: wprowadzenie szyfrowania całej zawartości dysku

Niepoprawne zabezpieczenia: szkolenia z bezpieczeństwa danych osobowych, 8 znakowe hasło zmieniane co 30 dni, kopie zapasowe informacji na laptopie, zapasowy laptop.
 
 
 
 
 
 
Stan mechanizmów zabezpieczających odpowiedni do oceny atrybutów

W tym przypadku jesteśmy zmuszeni na wskazanie zabezpieczeń w trzech obszarach.

 IMNS Matrix Identyfikacja ryzyka Analiza DPIA Ocena zabezpieczeń Postępowanie z ryzykiem Przegląd ryzyk

IMNS

IMNS Polska Sp. z o.o.
Wrocławski Park Technologiczny
ul. Klecińska 125, 54-413 Wrocław
NIP: 8971678341

Biuro konsultingowe w Warszawie
ul. Obrzeżna 3, 02-691 Warszawa