To tylko jedna z 12 stron tej notatki. Zaloguj się aby zobaczyć ten dokument.
Zobacz
całą notatkę
Analiza ryzyka Dla stopni ochrony s.i. określonych jako wysoki i bardzo wysoki , dla poprawnego określenia wymaganych przedsięwzięć ochrony potrzebna jest analiza ryzyka (ang. Risk analysis). W dalszej części analizowane będzie tzw. „bezpieczeństwo do wewnątrz”. „Słownik języka polskiego” (PWN 1983) określa ryzyko jako:
możliwość, prawdopodobieństwo, że coś się nie uda, przedsięwzięcie którego wynik jest nieznany, niepewny problematyczny. Czterotomowa „Encyklopedia Powszechna PWN” (PWN 1987) określa ryzyko jako pojęcie z dziedziny prawa: W prawie cywilnym niebezpieczeństwo powstania szkody obciążające osobę bezpośrednio poszkodowaną, chyba że umowa lub przepis prawny zobowiązuje inną osobę do wyrównania szkody...: szczególnie na zasadzie ryzyka opiera się odpowiedzialność za szkody wyrządzone w związku a użyciem sił przyrody... W prawie karnym działanie w granicach dopuszczalnego ryzyka może stanowić ustawową lub poza ustawową okoliczność wyłączającą odpowiedzialność karną sprawcy. Według normy IEC61508 wiążącej pojęcie ryzyka z pojęciem hazardu (ang. hazard ; definiowany jest jako sytuacja mogącą spowodować śmierć lub obrażenia ludzi):
Ryzyko jest marą stopnia zagrożenia, wyrażającą zarówno stopień szkodliwości hazardu, jak i prawdopodobieństwo jego wystąpie nia. Według PN - Technika informatyczna ryzyko to:
Prawdopodobieństwo, że określone zagrożenie wykorzysta określoną podatność systemu przetwarzania danych. Słowo ryzyko posiada zatem wiele znaczeń. Dla potrzeb bezpieczeństwa informacji w s.i. można zaadaptować definicję podaną w normie IEC61508:
Pod pojęciem ryzyka należy rozumieć miarę stopnia zagrożenia dla tajności, integralności i dostępności informacji wyrażoną jako iloczyn prawdopodobieństwa wystąpienia sytuacji stwarzającej takie zagrożenie i stopnia szkodliwości jej skutków.
Analiza ryzyka jest natomiast procesem składającym się z następujących etapów:
szacowania ryzyka: identyfikacji zagrożeń;
określenie elementów systemu informatycznego podatnych na zagrożenia;
określeniu prawdopodobieństwa wystąpienia skutków zagrożeń (np. kradzieży pieniędzy z konta bankowego) w przypadku zajścia takich zagrożeń (np. złamania hasła); oceny akceptowalności ryzyka:
określeniu stopnia szkodliwości skutków zagrożenia (polega zwykle na oszacowaniu kosztów poniesionych w przypadku realizacji zagrożenia w rozpatrywanym systemie komputerowym w odniesieniu do ustalonego okresu czasu, np. roku);
oszacowaniu kosztów zabezpieczeń (jw.);
wykonaniu analizy strat (liczonych w określonej walucie) i zysków.
Występujące jako część analizy ryzyka
(…)
… procesem o charakterze „politycznym”, który może być wspomagany metodami formalnymi.
Ocena ryzyka dotyczy zwykle zdarzeń, dla których częstości występowania nie są określone ani bezpośrednio wyznaczalne na odpowiednim poziomie ufności (tzw. „zdarzenia rzadkie”). Z tego powodu przy ocenie ryzyka używa się metod modelowania przystosowanych do szacowania małych prawdopodobieństw - drzew zdarzeń i drzew…
… pewnego okresu czasu np. roku;
na podstawie metody delfickiej.
W większości przypadków w analizie ryzyka mamy do czynienia z oceną prawdopodobieństwa zdarzeń rzadkich (jak często zdarza się pożar lub trzęsienie ziemi zagrażające ośrodkowi komputerowemu?). W przypadku braku danych empirycznych, korzystamy (jak wynika z przytoczonej wcześniej listy) z ocen ekspertów. Praktyka wskazuje, że oceny ekspertów…
… odniesienia (zdarzenia rzadkie o znanych prawdopodobieństwach);
każdemu zdarzeniu przypisuje się wartość liczbową.
Inną, wymienioną wcześniej metodą określania prawdopodobieństw zdarzeń rzadkich, jest metoda delficka. W metodzie tej zbiera się szacunkowe prawdopodobieństwa wystąpienia interesujących nas zdarzeń od ekspertów, powiela zebrane dane i taki zbiór rozprowadza się wśród tych samych ekspertów…
… do analizy jakościowej jak i ilościowej. Jakościowo (tj. bez oszacowania prawdopodobieństw) pomagają one zorientować się w całym zakresie ryzyka i zrozumieć sytuację, której ryzyko dotyczy. Ilościowo drzewa zdarzeń i drzewa błędów pomagają w wyznaczeniu prawdopodobieństw pewnych ciągów zdarzeń lub zdarzeń pojedynczych. W analizie ilościowej drzewa błędów czyni się zwykle dwa założenia:
Zdarzenia funktora…
... zobacz całą notatkę
Komentarze użytkowników (0)