Treść książki
Przejdź do opcji czytnikaPrzejdź do nawigacjiPrzejdź do informacjiPrzejdź do stopki
28
Analizaryzykaiochronainformacjiwsystemachkomputerowych
ñ
spisieinwentaryzacyjnymzasobówteleinformatycznych(wtymprzypisaniaza-
sobówwłaścicielom);
ñ
opisieprocesówbiznesowych;
ñ
wspisieproces_biznesowy−wspierający_proces_przetwarzania_informacji
3.
Dodatkowomogąbyćprzydatneaktualnewynikiprzeprowadzonychwfirmie
oceniaudytówstanubezpieczeństwateleinformatycznego.
Przykład2.1
Narysunku2.2widać,żewprzedsięwzięciachzwiązanychzidentyfikacjąprocesów,
podatnościizagrożeńnależysięliczyćzwystąpieniemefektuskali–liczbaidentyfi-
kowanychelementówzaczynagwałtownierosnąć.Wystarczyprosteoszacowanie:
zidentyfikowaliśmynp.10kluczowychprocesów,zkażdymprocesemsązwiązanenp.
trzyzasoby,każdyzasóbma…itd.Rysunek2.3dobrzeilustrujetenprzypadek–zjedną
podatnościąjestzwiązanych20różnychzagrożeń!Oczywiście,sątozagrożeniajednej
klasy(programyzłośliwe),którychprawdopodobieństworealizacjimożnazminimali-
zować(przynajmniejteoretycznie),instalującjedenśrodekochronny–dobreoprogra-
mowanieantywirusowe.Aleniezawszewpraktycejesttotakieoczywisteiproste.
Rysunek2030Liczbaróżnychrodzajówzłośliwychprogramówwykorzystującychlukę
MS05-39wciągujednegodnia(sierpień2005,napodstawiedanychzamieszczonych
nahttp://kaspersky.pl)
++++
3
Jeżelizleceniodawcaniemawymienionychdokumentów,toanalizaryzykarozpoczyna
sięodichopracowania.Zwyklezespółanalizyryzykamaniezbędnekwalifikacjedowy-
konaniatejpracy,alewykonanienp.rzetelnejinwentaryzacjizasobówteleinformatycz-
nych(zwłaszczagdywgręwchodziefektskali)jestprzedsięwzięciempraco-orazczaso-
chłonnymikosztownym.