Determinarea riscului de securitate

Determinarea riscului trebuie să identifice, să cuantifice şi să stabilească prioritatea riscului prin prisma criteriilor de risc acceptabil şi a obiectivelor relevante pentru organizaţie. Acţiunile de management şi priorităţile adecvate pentru managementul riscurilor de securitate a informaţiei şi pentru implementarea măsurilor de securitate selecţionate pentru protecţia împotriva riscurilor trebuie orientate şi stabilite pe baza acestor rezultate. S-ar putea să fie necesar ca procesul de determinare a riscului şi de selecţie a măsurilor de securitate să fie reluat de câteva ori pentru a fi acoperite diverse zone ale organizaţiei sau sisteme de informaţii individuale.

Determinarea riscului trebuie să cuprindă abordarea sistematică a estimării mărimii riscurilor (analiza de risc) şi procesul de comparare a riscurilor estimate faţă de criteriile de risc, pentru stabilirea semnificaţiei riscurilor (evaluarea riscului).

Determinările de risc trebuie efectuate periodic pentru a se răspunde schimbărilor înregistrate de cerinţele de securitate şi de situaţiile de risc, spre exemplu în privinţa resurselor, ameninţărilor, vulnerabilităţilor, impacturilor, evaluării riscului, precum şi în cazul unor schimbări semnificative. Aceste determinări de risc trebuie realizate într-o manieră metodică capabilă să producă rezultate comparabile şi reproductibile.

Determinarea riscului privind securitatea informaţiei trebuie să vizeze un domeniu precis pentru a fi eficientă şi trebuie să cuprindă legături cu determinările de risc din alte domenii, dacă este cazul.

Domeniul unei determinări de risc poate cuprinde fie întreaga organizaţie, părţi din acea organizaţie, un sistem individual de informaţii, componente specifice de sistem sau servicii unde acest lucru este realizabil, realist şi util. în ISO/IEC TR 13335-3 (Guidelines for the Management of IT Security; Techniques for the Management of IT Security) sunt analizate exemple de metodologii de determinare a riscului.

Leave a Reply

Your email address will not be published. Required fields are marked *