[ Pobierz całość w formacie PDF ]
.2 Koncepcja ryzykaZabezpieczenie komputerowe jest konsekwencją architektury systemówkomputerowych, określającej komponenty i ich powiązanie dla zapewnienia poufnościinformacji.W środowisku rozproszonego przetwarzania informacji w przeciwieństwiedo przetwarzania przy użyciu komputera mainframe funkcje zabezpieczenia i kontrolisą rozproszone na wielu platformach sprzętowych i nie pozostają pod kontrolą jednegoprocesora.Komponenty procesu przetwarzania wskazane na rysunku stanowią przedmiotingerencji napastników zewnętrznych.Aplikacja może znajdować się na PC, a dane naserwerze, aplikacja może też być rozdzielona między serwer i PC-ty.Elementy systemurozproszonego pozostają rozproszone na różnych platformach w sieci.Podejście dozabezpieczenia w jednej domenie może być całkowicie różne od podejścia w innejdomenie.Nie można wówczas mówić o integracji zabezpieczeń.Zbyt dużezabezpieczenia rodzą problemy jak i zbyt małe.Jeśli zabezpieczenie systemu stanowi43Systemy Zabezpieczenia Danych w Z
rodowisku Windows - mocne i słabe strony.obciążenie dla produktywności pracownika wysiłki będą zmierzać w kierunkuominięcia tych zabezpieczeń.Jednym z wyzwań jest zbilansowanie kosztów rozwiązańzabezpieczających i sterowania wobec ryzyka rozwiązań.Koszty zabezpieczeń sąproporcjonalne do wielkości chronionych zasobów i wielkości potencjalnych strat.Ryzyko jest postrzegane w kategoriach ważności systemu dla przedsiębiorstwa,ujawnienia informacji poufnych lub potencjalnej straty przez sfałszowanie.W literaturze przedmiotu ryzyko oznacza możliwość poniesienia szkody lub straty,niebezpieczeństwo lub czynnik element procesu wiążący się z możliwymniebezpieczeństwem [Kuraś, Zając, 1997].Ryzyko nie zawsze jest uświadamiane.Postrzega się je jako niepewność, nieokreśloność, słabe punkty, zagrożenia, czypotencjalne problemy.Ochrona informacji i zasobów informatycznych ma swoje słabepunkty, właściwie tam ujawniają się zagrożenia.Ryzyko jest potencjalnym problemem,jaki powstanie, gdy zagrożenie urzeczywistni się na skutek określonych przyczyn i zokreślonymi skutkami.Ryzyko jest tym większe, im informacje i zasoby są bardziejpotrzebne i potencjalnie korzystne.Ryzyko jest niskie, jeśli informacje mają małeznaczenie.Ryzyko zależy od opisu sytuacji, prawdopodobieństwa scenariusza zdarzeń, pomiarustraty.Wdrożenie polityki bezpieczeństwa w przedsiębiorstwie kosztuje.Przyzałożeniu, że wartość zasoby wynosi A, a koszt penetracji sieci i naruszenia zasobuwynosi P, współczynnik ryzyka wynosi A/P.W sieci bezpiecznej wartość P powinnabyć większa od wartości A, co oznacza, że koszt penetracji sieci i kradzieży lubuszkodzenia zasobu powinien być większy od wartości zasobu.Gdy koszt wdrożeniasystemu zabezpieczeń, który ma chronić zasób wynosi N, należy dążyć do tego, żebykoszt wdrożenia zabezpieczeń był wyraz
nie mniejszy niż wartość chronionego zasobu,zwłaszcza istotne są zasoby krytyczne dla funkcjonowania organizacji.W tym miejscunależy zwrócić uwagę na istnienie wzorców kulturowych, które pozwalają przewidywaćpoziom ryzyka, jaki przyjmie się za dopuszczalny.W rozwiniętej gospodarce niepodejmuje się dużego ryzyka, nawet przy skromnych wartościach zasobów iniewielkich oczekiwanych stratach.W naszych warunkach społeczeństwo stopniowoprzejmuje taki punkt widzenia, tymczasem wiele przedsiębiorstw nieświadomiepodejmuje wielkie ryzyko, co jest konsekwencją zaniechania jego analizy.44Systemy Zabezpieczenia Danych w Z
rodowisku Windows - mocne i słabe strony.Zarządzanie ryzykiem wymaga opracowania strategii i dokonania analizy SWOTPierwszy krok obejmuje analizę zewnętrznych sił, które wywierają wpływ na strategięzarządzania ryzykiem.Krok drugi stanowi analiza wewnętrznych mocnych i słabychstron organizacji oraz jej kultury pracy.Krok trzeci to opracowanie budżetu i alokacjazasobów dla zarządzania ryzykiem.Krok następny obejmuje rozpowszechnianieinformacji na temat strategii zarządzania ryzykiem, planów i kontroli redukcji ryzyka.Na krok planowania programu ryzyka składa się formułowanie, analiza i interpretacja.Obejmuje to ocenę sytuacji potencjalnego ryzyka, rozpoznanie obszarówpodwyższonego ryzyka, identyfikację dopuszczalnych innych rozwiązań dla redukcjiryzyka np.rekonfigurację systemów komputerowych, zmiany procesów pracy i strukturorganizacyjnych, harmonogramowanie zadań.Krok ostatni to działania operacyjnezarządzania ryzykiem, czyli wykrywanie, diagnoza i korekta.Ochrona informacji izasobów informatycznych jest o tyle trudna, że nie można oszacować wartości straty takjak nie można określić wartości informacji.Można się jedynie zastanawiać nadodpowiedziami na następujące pytania: Jak utrata informacji wpłynie na klientówprzedsiębiorstwa? Jakie to będzie miało znaczenie dla jakości produktów i usług? Jakbardzo zmieni się morale i wydajność pracowników? Jaka będzie reakcja środowiskaspołecznego i gospodarczego? Jak utrata danej informacji wpłynie na zmianę wartościinnych informacji?45Systemy Zabezpieczenia Danych w Z
rodowisku Windows - mocne i słabe strony.Ocena ryzyka jest wykonywana dla programów aplikacji, systemów informatycznych isieci, które ogólnie nazywa się tu przedmiotami oceny.Dla każdego z nich szacuje siępotencjalną stratę przy założeniu braku kontroli.Współczynnik ryzyka w istocie jestprawdopodobieństwem, że niepożądane zdarzenie wystąpi.Testy wrażliwości zasobówwskazują, że nie są one równie łatwe do zniszczenia, a prawdopodobieństwa zniszczeń iwielkości strat też są różne.Ogólnie ocena ryzyka :1.pozwala określić zasoby największych spodziewanych strat.2.informuje zarząd o ryzyku i potencjalnych stratach w środowisku przetwarzaniainformacji3.sygnalizuje administratorom systemów i projektantom zagadnienia wymagająceszczegółowej penetracji i doskonalenia systemuIstnieją jednakże ograniczenia stosowalności oceny ryzyka.Określenie potencjalnychstrat wymaga uwzględnienia strat pośrednich we wszystkich systemach i aplikacjach, doktórych intruz lub jego program wirusowy mieli dostęp.Testy wrażliwości służą określeniu słabych miejsc w systemach informatycznych.Wswej istocie mają imitować i stosować narzędzia, którymi posłużyłby się intruz dlabezprawnego wtargnięcia do systemu informatycznego [ Pobierz całość w formacie PDF ]