WYKORZYSTANIE ANALIZY RYZYKA ORAZ SCENARIUSZY PRZEBIEGU INCYDENTÓW W SYSTEMIE ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI GROMADZONEJ, PRZETWARZANEJ I PRZESYŁANEJ W SYSTEMACH TELEINFORMATYCZNYCH INSTYTUCJI

Artur SZLESZYŃSKI, Marek WITKOWSKI
2013 Journal of Science of the Gen Tadeusz Kosciuszko Military Academy of Land Forces  
Artykuł wpłynął do redakcji 29.05.2013 r., Zweryfikowaną i poprawioną wersję po recenzjach i korekcie otrzymano w listopadzie 2013 r. W pracy przedstawiono wykorzystanie analizy ryzyka oraz scenariuszy przebiegu incydentów w systemie teleinformatycznym do oceny wpływu incydentów na bezpieczeństwo gromadzonej i przetwarzanej w systemie informacji. Dokonano przeglądu literatury przedmiotu, a następnie zaprezentowano związki pomiędzy analizą ryzyka a scenariuszami. Scenariusz w sposób opisowy ma
more » ... sposób opisowy ma pokazać, jakie mogą być skutki incydentów dla bezpieczeństwa systemu teleinformatycznego oraz dla znajdującej się w nim informacji. Przedstawiono wyniki badań dotyczące znajomości zagadnień związanych z analizą ryzyka. Wykonanie analizy ryzyka jest wymaganiem ustawowym. Słowa kluczowe: bezpieczeństwo informacji, analiza ryzyka, scenariusze przebiegu incydentów systemy teleinformatyczne WSTĘP We współczesnej organizacji 1 zasoby informacyjne są tak samo ważne, jak posiadane zasoby finansowe, ludzkie czy materialne. Wkład informacji w koszcie wytwarzania produktu lub usługi rośnie od 5% w XIX wieku do 60% w XXI wieku [9] . Nie chronienie zasobu tak cennego i mającego znaczny wpływ na koszt wyrobu lub usługi jest nieracjonalne. Gdyby zapytać kadrę zarządzającą przedsiębiorstwem o motywację do ochrony zasobów informacyjnych, większość pytanych wskazałaby ustawę o ochronie danych osobowych jako podstawowy czynnik wymuszający podjęcie przedstawionych działań. Nie wiadomo, czy groźba sankcji, jaką może być pozbawienie wolności 1 Przez pojęcie organizacji rozumie się przedsiębiorstwo komercyjne, instytucje rządowe i samorządowe oraz organizacje pożytku publicznego. Artur SZLESZYŃSKI, Marek WITKOWSKI 154 lub kara finansowa, jest większym czynnikiem motywującym do ochrony zasobów informacyjnych [14] . Abstrahując od kwestii motywacji do ochrony zasobów informacyjnych, należy odnieść się do kwestii związanych z systemem ochrony informacji wewnątrz organizacji. Przyjęte w tytule artykułu ograniczenie do zasobów, które są gromadzone i przetwarzane w systemach teleinformatycznych wynika z rozpowszechnienia środków elektronicznej obróbki informacji wykorzystywanych w organizacjach. Środki te umożliwiają obróbkę dużych zbiorów danych 2 oraz wygodną, dla odbiorcy, prezentację wyników obróbki. Wygoda odbiorcy, oprócz walorów estetycznych wynikających z graficznej formy prezentacji wyników przetwarzania, posiada również wymiar utylitarny. Oznacza on, że użytkownik przetworzonych informacji właściwie ocenia sytuację oraz podejmuje adekwatne decyzje. Dąży się zatem do zmniejszenia wartości entropii informacji do zera, co jednocześnie ogranicza niepewność decyzyjną. Należy ją rozumieć jako ryzyko związane z możliwością wystąpienia niewłaściwie podjętej decyzji oraz jej konsekwencjami. Oba warunki można wyrazić przy pomocy wzorów (1) i (2).
doi:10.5604/17318157.1115179 fatcat:3qaeipvs35hp5l4w7kntt77hmm