Analiza ryzyka

Z Wikipedii, wolnej encyklopedii
Przejdź do nawigacji Przejdź do wyszukiwania

Analiza ryzyka – określone działania skierowane na obniżenie negatywnego wpływu ryzyka na funkcjonowanie danego podmiotu i podejmowanie odpowiednich działań służących przeciwdziałaniu i ograniczaniu ryzyka (zdefiniowanego w ISO 31000 jako efekt niepewności celów). Pozwala na identyfikację, ocenę i monitorowanie poziomu ryzyka w sposób jakościowy i ilościowy, najczęściej przy wykorzystywaniu odchylenia standardowego i współczynnika zmienności.

ISO 31000 – standardy zarządzania ryzykiem ustalone przez Międzynarodową Organizację Normalizacyjną (ang. ISO – International Organization for Standardization). Celem ISO 31000:2009 jest dostarczenie zasad oraz ogólnych wytycznych dotyczących zarządzania ryzykiem. ISO 31000 dostarcza uniwersalny model dla specjalistów oraz firm wdrażających procesy zarządzania ryzykiem i ma na celu zastąpienie obecnych standardów, metodologii i modeli, które różnią się między sobą w zależności od branży, tematu i regionu.Test penetracyjny – proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń. Polega na analizie systemu pod kątem występowania potencjalnych błędów bezpieczeństwa spowodowanych niewłaściwą konfiguracją, lukami w oprogramowaniu lub sprzęcie, słabościami w technicznych lub proceduralnych środkach zabezpieczeń, a nawet niewystarczającą świadomością użytkowników. Analiza ta jest przeprowadzana z perspektywy potencjalnego włamywacza i może zawierać aktywne wykorzystywanie podatności (np. poprzez użycie exploitów). Podstawową cechą odróżniającą test penetracyjny od włamania jest zgoda atakowanej strony na tego rodzaju działania, ponadto osoba przeprowadzająca test (zwana Pentesterem) jest zobowiązana do przedstawienia raportu dokumentującego znalezione podatności (często wraz ze sposobami ich usunięcia i rekomendacjami podnoszącymi bezpieczeństwo testowanego systemu). Test penetracyjny ma potwierdzać brak podatności w systemie oraz skuteczność zabezpieczeń w implementacji produkcyjnej lub możliwie najbardziej zbliżonej do rzeczywistej.

Analiza ryzyka jest jednym z podstawowych elementów procesu zarządzania ryzykiem.

Wyróżnia się kilka rodzajów podejścia do analizy:

  1. podejście podstawowego poziomu – zastosowanie standardowych zabezpieczeń,
  2. podejście nieformalne – oparte na wiedzy i doświadczeniu ekspertów,
  3. szczegółowa analiza ryzyka – z wykorzystaniem technik analizy ryzyka,
  4. podejście mieszane.

Analiza ryzyka jest narzędziem wykorzystywanym m.in. do:

  • przygotowania polityki bezpieczeństwa i systemów zarządzania bezpieczeństwem,
  • zarządzania projektem,
  • zarządzania przedsiębiorstwem,
  • różnego rodzaju analiz biznesowych,
  • podejmowania decyzji inwestycyjnych,
  • podejmowania decyzji kredytowych.
  • Sposoby realizacji analizy ryzyka[ | edytuj kod]

    1. Krok pierwszy: Inwentaryzacja zasobów. W tym kroku należy sprawdzić, jakie posiadamy zasoby zarówno wewnętrzne, jak i zewnętrzne, określić ich krytyczność oraz aktualną ochronę.
    2. Krok drugi: Określenie zagrożeń potencjalnych naruszeń bezpieczeństwa. Tutaj należy zastanowić się, co może negatywnie wpłynąć na zasób. Rozważa się czynnik ludzki, naturalny, zmiany technologiczne oraz prawno-organizacyjne.
    3. Krok trzeci: Określenie podatności realnych luk / słabości. Jako że już mamy przyporządkowany szereg potencjalnych zagrożeń, musimy sprawdzić, czy one realnie mogą zagrozić bezpieczeństwu. Tutaj należy wykonać testy penetracyjne.
    4. Krok czwarty: Określenie ryzyka. Sprawdzamy wpływ wykorzystania konkretnych, zdefiniowanych wcześniej podatności na organizację.
    5. Krok piąty: podjęcie decyzji o ryzyku. Z ryzykiem, które wystąpi, możemy zareagować na 4 sposoby: zredukować, zaakceptować, przekazać albo uniknąć.
    Proces biznesowy lub metoda biznesowa – seria powiązanych ze sobą działań lub zadań, które rozwiązują określony problem lub prowadzą do osiągnięcia określonego efektu. Proces biznesowy często jest opisywany schematem blokowym.Kontrola autorytatywna – w terminologii bibliotekoznawczej określenie procedur zapewniających utrzymanie w sposób konsekwentny haseł (nazw, ujednoliconych tytułów, tytułów serii i haseł przedmiotowych) w katalogach bibliotecznych przez zastosowanie wykazu autorytatywnego zwanego kartoteką wzorcową.


    Podstrony: 1 [2] [3] [4]




    Warto wiedzieć że... beta

    Zarządzanie ryzykiem – według międzynarodowej normy ISO 31000:2009, oraz polskiej normy PN-ISO 31000:2012 skoordynowane działania dotyczące kierowania i nadzorowania organizacją w odniesieniu do ryzyka.
    Gemeinsame Normdatei (GND) – kartoteka wzorcowa, stanowiąca element centralnego katalogu Niemieckiej Biblioteki Narodowej (DNB), utrzymywanego wspólnie przez niemieckie i austriackie sieci biblioteczne.

    Reklama