Model oceny zagrożenia jest reprezentacjĘ … planu organizacji dotyczĘ … cego identyfikacji potencjalnych zagrożeń i ś rodków, które zastosuje w celu minimalizacji lub przeciwdziałania tym zagrożeniom. Takie modele mogą wykorzystywać arkusze kalkulacyjne, wykresy, schematy blokowe, diagramy lub wiele innych pomocników do zilustrowania ich potrzebnych punktów.
Cel, powód
Celem modelu oceny zagrożeń jest umożliwienie organizacjom identyfikacji potencjalnych zagrożeń przed ich wystąpieniem oraz nakreślenie sposobów zapobiegania im lub odwracania ich skutków. W miarę, jak organizacja staje się coraz większa i bardziej złożona, różne typy zagrożeń, które napotykają, mogą rosnąć w wielu rozmiarach i wielkości. Ważne jest, aby mieć ustalony model, który organizacja może wykorzystać do organizacji i analizy tych zagrożeń, a następnie wdrożyć środki zaradcze przeciwko nim.. Próba zminimalizowania zagrożeń bez użycia modelu może być myląca, nieskuteczna, a nawet przeciwskuteczna.
Używa
Modele oceny zagrożeń mogą być przydatne w kwestiach dotyczących odpowiedzialności, takich jak zagrożenia dla bezpieczeństwa, które mogą powodować, że klienci będą składać pozwy cywilne przeciwko sprzedawcy detalicznemu. Mogą również zajmować się takimi kwestiami, jak bezpieczeństwo komputera, co może być niezwykle ważne dla firm, które zajmują się ogromnymi zasobami informacji o koncie klienta, zwłaszcza gdy przechowują informacje takie jak numery kart kredytowych, adresy i numery ubezpieczenia społecznego. Zapamiętując możliwe zagrożenia i wymyślając sposoby radzenia sobie z nimi, organizacje mogą chronić siebie, swoją reputację, swoich klientów i społeczeństwo w ogóle.
Podstawowe problemy
Według Jamesa Bayne'a "Przegląd zagrożeń i oceny ryzyka" dla Instytutu SANS, źródła szkoleń z zakresu bezpieczeństwa informacji, każdy model oceny zagrożeń musi zajmować się szeregiem kluczowych kwestii. Po pierwsze, musi określić, które elementy muszą być chronione, takie jak zasoby fizyczne lub poufne informacje. Po drugie, musi zidentyfikować wszystkie zagrożenia i słabości, z którymi zmaga się organizacja. Po trzecie, musi on zawierać pełne konsekwencje tego, co by się stało, gdyby utracono którykolwiek z cennych aktywów. Po czwarte, musi dać pewne rozwiązania dotyczące tego, w jaki sposób organizacja może zminimalizować narażenie na takie zagrożenia.
Analizowanie zagrożeń
Przeprowadzając ocenę zagrożenia, musisz przeanalizować naturę i stopień zagrożenia, przed którymi stoi Twoja organizacja. Najważniejszym aspektem kategoryzacji zagrożeń jest identyfikacja ich jako ludzkich lub nie-ludzkich. Na przykład ludzkim zagrożeniem byłby haker, niezadowolony pracownik, niewłaściwie wyszkolony pracownik lub złodziej. Zagrożeniem pozaludzkim byłaby klęska żywiołowa lub awaria sprzętu. Model oceny zagrożeń musi pomóc ci w zestawieniu wszystkich tych zagrożeń i oszacowaniu stopnia ich dotkliwości.
