Upload
lamcong
View
214
Download
0
Embed Size (px)
Citation preview
Grzegorz PieniążekHubert Szczepaniuk
� Ogólny model oceny i analizy ryzyka informacyjnego
� Metodyki zarządzania ryzykiem w kontekście bezpieczeństwa
� Wpływ asymetrii informacyjnej na wartość organizacji
� Istota ISWZ� Efektywność ISWZ
�
� Identyfikacja procesów i aktywów. Proces rozpoczyna się od przestudiowania kontekstu organizacji oraz od zidentyfikowania aktywów. W tym kroku organizacja oraz jej środowisko jest opisywane z uwzględnieniem aspektów bezpieczeństwa informacyjnego.
� Określenie celów bezpieczeństwa. Opisywane są potrzeby bezpieczeństwa organizacji. Bazując na zidentyfikowanych aktywach ustalane są cele które muszą być osiągnięte. Są one często opisywane w następujących definicjach: poufność, integralność i dostępność.
� Analiza i ocena ryzyka. Jest to główny krok procesu. Ryzyko jest identyfikowane, łączone z aktywami i zagrożeniami dla celów bezpieczeństwa. Następnie estymowany jest poziom ryzyka w ilościowych lub jakościowych miarach.
� Metody obniżania ryzyka. W tym kroku podejmowane są decyzje o sposobach obniżania ryzyka, które powinny być użyte. Minimalizacja ryzyka może dotyczyć: uniknięcia, ograniczenia, przekazywania lub akceptacji. Decyzja bazuje na kosztach i efektywności sposobu.
� Definiowanie wymagań bezpieczeństwa. Definiowane są wymagania dotyczące bezpieczeństwa w celu obniżenia poziomu ryzyka, na podstawie decyzji podjętych wcześniej. Jednakże mogą pojawić się wymagania bezpieczeństwa z innych źródeł. Badane jest, czy wcześniej podjęte decyzje dają satysfakcjonujący efekt, jeśli nie wracamy do kroku "Obniżanie ryzyka" lub nawet do kroku "Identyfikacja procesów i aktywów".
� Wdrażanie. W tym kroku dokonywana jest fizyczna integracja środków bezpieczeństwa z elementami istniejącymi w organizacji.
� Seria ISO/IEC 2700x� NIST 800-27 Rev A oraz 800-30� IT-Grundschutz� EBIOS� MEHARI� OCTAVE� CORAS� CRAMM� MAGERIT� Microsoft's Security Management Guide
� Informacyjne zasoby operacyjne tworzą jedną z istotniejszych grup zasobów w każdej organizacji.
� Asymetrii informacyjna umożliwia:◦ Świadome udostępnianie swoich zasobów innym
podmiotom na zasadzie zaufania lub współdziałania.◦ Dostosowywanie udostępnianych zasobów do
faktycznych potrzeb. ◦ Wydzielenie względnie autonomicznych grup
użytkowników zasobów informacyjnych oraz właściwe zarządzanie ich przepływem.
� System informatyczny zarządzania System informatyczny zarządzania System informatyczny zarządzania System informatyczny zarządzania jest to część systemu informacyjnego realizowana przez techniczne środki informatyki, którego celem jest wspomaganie procesów zarządzania w organizacji.
� ISWZ przetwarza dane ekonomiczne i techniczne, opisuje organizację gospodarczą, zdarzenia i procesy w niej zachodzące oraz jej otoczenie w informacje ułatwiające podejmowanie decyzji.
� Stosowanie systemów informatycznych zarządzania w przedsiębiorstwach powinno prowadzić do lepszej efektywności zarządzania.
� Głównym celem ISWZ „jest dostarczenie decydentom terminowych i dokładnych danych, pozwalających na podejmowanie i wprowadzanie w życie niezbędnych decyzji, optymalizujących współdziałanie ludzi, materiałów, maszyn i środków pieniężnych po to, aby w sposób najskuteczniejszy osiągnąć postawione przed organizacją cele”.
W.W. Bocchio: Systemy informacyjne zarządzania – metody i narzędzia. WNT, Warszawa
SYSTEMZARZĄDZANIA
SYSTEM INFORMACYJNY
SYSTEM WYTWARZANIA
dec
yzje
odpowiedzi
zaopatrzenie
Informowanie dla otoczenia
informacje z otoczenia
zapytania
wyroby, usługi
odpowiedzi zapytania
� Trudność precyzyjnej oceny miar efektywności funkcjonowania ISWZ o organizacji wynika przede wszystkim z trudności oszacowania jak część całkowitego efektu jest wynikiem stosowania ISWZ, a jaka część tych efektów jest związana z inną działalnością organizacji.
� W celu trafnej oceny ISWZ fundamentalne znaczenie ma dobór kryteriów oceny.
� Kryterium oceny ISWZ powinno obejmować cel, który ma zostać osiągnięty, wymagania stawiane dla systemu oraz jego przeznaczenie.
� W celu pełnej analizy ISWZ należy wykorzystać wiele metod oceny efektywności.
� Analiza efektywności ISWZ powinna być przeprowadzana na etapie projektowania, wdrażania i weryfikowania oraz przez cały okres życia wprowadzanych rozwiązań.
� Efektywne działanie ISWZ w organizacji może zostać podniesiona przez:◦ reorganizację procesów biznesowych (podejście procesowe
do projektowania aktywności biznesowej przedsiębiorstwa),◦ wprowadzenie zarządzania ryzykiem,◦ efektywne wdrożenie ISWZ (zapewnienie ciągłości działania
organizacji),◦ wprowadzenie zarządzania bezpieczeństwem systemu
informatycznego,◦ wprowadzenie badania efektywności ISWZ już na etapie
zamiaru podjęcia zmian w organizacji oraz przez cały okres eksploatacji inwestycji.
Grzegorz PieniążekHubert Szczepaniuk