PL EN


Preferencje help
Widoczny [Schowaj] Abstrakt
Liczba wyników
2013 | nr 4 (30) | 240--252
Tytuł artykułu

Efektywność ekonomiczna w analizie ryzyka na potrzeby bezpieczeństwa systemów informatycznych

Autorzy
Warianty tytułu
Economic Efficiency in Information Systems Security Risk Analysis
Języki publikacji
PL
Abstrakty
Zarządzanie ryzykiem to proces ograniczania ryzyka poprzez stosowanie odpowiednich środków bezpieczeństwa. Efektywne zarządzanie ryzykiem w organizacji wymaga systemowego podejścia do analizy ryzyka. Na podstawie jej wyników dobiera się zabezpieczenia, które powinny być efektywne kosztowo i uwzględniać wymagania wynikające z przepisów prawa, wymagania biznesowe i wynikające z przeprowadzonej analizy ryzyka zasobów mających wartość dla funkcjonowania organizacji. Efektywność ekonomiczną w tym przypadku można określić jako dążenie do minimalizacji całkowitych kosztów związanych z zarządzaniem ryzykiem. Artykuł przedstawia wybrane modele, metody i wskaźniki mogące znaleźć zastosowanie w ocenie efektywności inwestycji w obszarze bezpieczeństwa systemów informatycznych.(abstrakt oryginalny)
EN
IS/IT Risk management is the process of risk reduction through the appropriate security measures. Effective risk management in an organization requires a composite approach to risk analysis. Based on the risk analysis results, the author selected the safeguards which should be cost-effective and take into account law requirements, business needs and requirements resulting from the risk analysis. Economic efficiency, in this case, can be described as an attempt to minimize the total cost of the information system security risks management. The paper presents selected models, methods and indicators that can be used in achieving the effectiveness of investment in information systems security.(original abstract)
Rocznik
Numer
Strony
240--252
Opis fizyczny
Twórcy
autor
  • Uniwersytet Ekonomiczny we Wrocławiu
Bibliografia
  • Biała Księga, tytuł oryginału: Livre Blanc sur la sécurité des systèmesd'information des établissements de credit, kierownik publikacji, J-LButsch, Sekretariat Generalny Komisji Bankowej (Secrètariatgènèral de la Commissionbancaire), 1995, za: F. Wołowski, Zarządzanie ryzykiem związanym z systemami informacyjnymi, "Problemy Jakości", październik 2004, s. 28.
  • Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwa Naukowo- Techniczne, Warszawa 2006.
  • Cremonini M., Martini P., Evaluating Information Security Investments from Attackers Perspective: The Return-On-Attack (ROA), Proceedings of Fourth Workshop on the Economics of Information Security, University of Cambridge, 2005, http://infosecon.net/workshop/pdf/23.pdf [dostęp: 27.03.2012].
  • Davis A., Return on security investment - proving it's worth it, "Network Security" 2006, no. 11.
  • Dudycz H., Dyczkowski M., Efektywność przedsięwzięć informatycznych. Podstawy metodyczne pomiaru i przykłady zastosowań, Wydawnictwo Akademii Ekonomicznej we Wrocławiu, Wroclaw 2007, s. 91.
  • Dynes S., Brechbühl H., Johnson M.E., Information Security in the Extended Enterprise: Some Initial Results From A Field Study of an Industrial Firm, Glassmeyer/McNamee Center for Digital Strategies Tuck School of Business at Dartmout, 13.04.2005, http://www.tuck.dartmouth.edu/digital/ assets/images/InfoSecurity%20(1).pdf [dostęp: 29.03.2012].
  • Flasiński M., Zarządzanie projektami informatycznymi, Wydawnictwo Naukowe PWN, Warszawa 2007, s. 146.
  • Gordon L.A., Loeb M.P., Return on information security investments: Myths vs. realities, "Strategic Finance" 2002, 84(5), s. 26-3.
  • Huang C.D., Optimal Investment in Information Security: A Business Value Approach, Proceedings of Pacific-Asia Conference on Information Systems, 2008, http://www.pacis-net.org/file/2010/S11- 01.pdf [dostęp: 04.02.2012].
  • Huang C.D., Hu Q., Behara R.S., Economics of information security investment in the case of simultaneous attacks, "International Journal of Production Economics" 2008, 114 (2), s. 793-80.
  • ISACA - Standard 050.050.030 - IS Auditing Guideline - Use of Risk Assessment in Audit Planning, ISACA, 2000
  • ISO/IEC TR 13335-1 Information Technology - Security Techniques - Guidelines for the management of IT Security - Part 1: Concepts and models of IT Security.
  • IT Grundschutzhandbuch (IT Baseline Protection Manual), Bundesamt für Sicherheit in der Informationstechnik, Bonn, DIN-Berlin, 2000-2003.
  • Kabay M.E., Information Security on a Budget: Where to Invest First, Lecture delivered via Vermont Interactive Television to the Network World Deutschland Security Conference - 9 April 2003, http://www.mekabay.com/infosecmgmt/security_budget.pdf [dostęp: 23.03.2012].
  • Liderman K., Analiza ryzyka dla potrzeb bezpieczeństwa teleinformatycznego, "Biuletyn Instytutu Automatyki i Robotyki WAT" 2001, nr 16.
  • Liderman K., Analiza ryzyka i ochrona informacji w systemach komputerowych, Wydawnictwo Naukowe PWN SA, Warszawa 2008.
  • Mizzi A., Return on Information Security Investment. Are You Spending Enough? Are You Spending Too Much?, www.infosecwriters.com/text.../pdf/ROISI.pdf [dostęp: 8.12.2011].
  • Partida A., Andina D., IT Security Management: IT Securiteers - Setting up an IT Security Function, Springer, 2010, s. 18.
  • Scott C., Applying the Pareto Principle to Information Security Management, SANS Institute, 18.03.2010, http://www.sans.edu/research/leadership-laboratory/article/mgt421-scott-pareto [dostęp: 26.03.2012].
  • Sonnenreich W., Return on Security Investment (ROSI): A Practical Quantitative Model, A Summary Of Research And Development Conducted at SageSecure, 2002.
  • Szczepankiewicz P., Analiza ryzyka w środowisku informatycznym do celów zarządzania ryzykiem operacyjnym. Część 1. Wybór podejścia do analizy, "Monitor Rachunkowości i Finansów" 2006, nr 6.
  • Wawrzyniak D., Zarządzanie ryzykiem informatycznym - wybrane aspekty ekonomiczne, [w:] Wybrane problemy budowy aplikacji dla gospodarki elektronicznej, red. M. Niedźwiedziński, K. Lange-Sadzińska, Wydawnictwo Marian Niedźwiedziński - CONSULTING, Łódź 2009, s. 107.
  • Wawrzyniak D., Gospodarowicz A., Ryzyko informatyczne jako ważny element ryzyka operacyjnego w banku - wybrane zagadnienia finansowania zarządzania ryzykiem informatycznym, [w:] Komputerowe systemy zarządzania, red. W. Chmielarz, J. Turyna, Wydawnictwo Naukowe Wydziału Zarządzania Uniwersytetu Warszawskiego, Warszawa 2009.
  • Wei H., Frinke D., Carter O., Ritter C., Cost-Benefit Analysis for Network Intrusion Detection Systems, Proceedings of the 28-th Annual Computer Security Conference, Cupertino 2001.
Typ dokumentu
Bibliografia
Identyfikatory
Identyfikator YADDA
bwmeta1.element.ekon-element-000171279719

Zgłoszenie zostało wysłane

Zgłoszenie zostało wysłane

Musisz być zalogowany aby pisać komentarze.
JavaScript jest wyłączony w Twojej przeglądarce internetowej. Włącz go, a następnie odśwież stronę, aby móc w pełni z niej korzystać.