Analiza ryzyka – metody szacowania ryzyka - cz. 2
Dodano: 17-02-2014 w kategorii: Zasady przetwarzania danych osobowych, Obowiązki ADO i ABI. Dodane przez: Piotr Kawczyński.

W poprzednim poście omówione zostały podstawowe informacje i założenia związane z analizą ryzyka. Czas zatem na przedstawienie charakterystyki wybranych metod szacowania ryzyka.

Metoda jakościowa

Jakościowe szacowanie ryzyka jest indywidualną oceną opartą na dobrych praktykach i doświadczeniu.

W metodyce tej korzysta się ze zdefiniowanych już wcześniej zakresów wartości oraz z miar opisowych takich jak np.: niskie, średnie, wysokie wraz z opracowaniem rankingu zagrożeń. Metoda jakościowa wykorzystuje subiektywne miary i oceny takie jak wartości opisowe poziomów, zakresy wartości miar liczbowych oraz przyporządkowania miar podatnościom, zagrożeniom, skutkom itp. Metoda ta cechuje się są dobrą elastycznością i dostępnością na modyfikacje. W zależności od dostępnych środków przewidzianych w budżecie, zakres szacowania ryzyka może się zmieniać w czasie.

W analizie jakościowej ryzyko i potencjalne skutki jego wystąpienia są prezentowane w opisowy sposób. Do uzyskania konkretnych wartości stosuje się metody ankietowe na podstawie odpowiednio przygotowanych kwestionariuszy. Korzyści z zastosowania metody to m.in.:
• brak konieczności wyceny informacji (jej dostępności, poufności, integralności);
• brak konieczności ilościowego określenia skutków i częstotliwości wystąpienia zagrożeń;
• brak konieczności szacowania kosztów rekomendowanych sposobów postępowania z ryzykiem i wyliczania potencjalny zysków/strat,
• wskazanie ogólnych obszarów ryzyka, na które konieczne jest zwrócenie uwagi,
• możliwość rozpatrywania i uwzględnienia przy szacowaniu takich aspektów, jak np. wizerunek firmy, kultura organizacyjna itp.
• możliwość zastosowania przy braku konkretnych informacji i danych ilościowych lub zasobów, które mogłyby być potrzebne przy meto-dach ilościowych.

Metoda ilościowa
W podejściu ilościowym przy szacowaniu ryzyka najważniejsze jest określenie dwóch podstawowych parametrów: wartości skutku i prawdopodobieństwa wystąpienia danego ryzyka. W ocenie ryzyka używa się metod przystosowanych do szacowania małych prawdopodobieństw – drzew zdarzeń i błędów. Zdarzenia rozkłada się na mniejsze części, które po wnikliwej analizie łączy się ponownie w celu zrozumienia całego zdarzenia oraz występujących zdarzeń składowych. Skutki mogą być określone przez ocenę wyników zdarzeń.

Konsekwencje mogą być wyrażone w różnych kategoriach (pieniężnie, technicznie, operacyjnie, zasoby ludzkie). Korzyści z użycia metod ilościowych:
• szacowanie i wyniki są obiektywne i przez to mogą być porównywalne,
• wartość informacji (dostępność, integralność, poufność) wyrażana jest w pieniądzu,
• wyniki szacowania ryzyka są określane w języku zarządu, mają swój wymiar finansowy i procentowy.

 
Metody mieszane
Zarówno metody ilościowe, jak i metody jakościowe mają swoje słabe strony: są zbyt ogólne, mogą niedokładnie identyfikować różne potrzeby w zakresie bezpieczeństwa informacji, nie dostarczają informacji na temat analizy kosztowej w zakresie wprowadzenia nowych zabezpieczeń. Z tego powodu większość organizacji wykorzystuje kombinację tych dwóch podejść.
Stosowane są analizy jakościowe oparte na metodach scenariuszowych do identyfikowania wszystkich obszarów ryzyka i skutków, przy równoczesnym użyciu ilościowej analizy do określenia kosztów skutków wystąpienia ryzyka.

W ostatnim wystąpieniu zostaną omówione zasady postępowania z ryzykiem i jego administrowaniem.

Zobacz również:

Analiza ryzyka - kilka uwag wstępnych - cz.1

Każde ryzyko ma swojego właściciela – analiza ryzyka cz. 3

dane osobowe , dane wrażliwe , zbiór danych