Kwantyfikatywne i kwalifikatywne metody analizy ryzyka na potrzeby bezpieczeństwa systemów informatycznych w organizacji

• Autorzy: Artur Rot

Warianty tytułu

Qualitative and Quantitative Information Systems Security Risk Analysis Methods in an Organization

• Języki publikacji: PL

Abstrakty

Zarządzanie ryzykiem informatycznym odgrywa obecnie bardzo istotną rolę we wszystkich niemal obszarach funkcjonowania współczesnych organizacji. Wymaga ono rzetelnego i cyklicznego przeprowadzania kluczowego dla niego zadania, czyli analizy ryzyka. Celem niniejszego artykułu jest przedstawienie problematyki jednego z najistotniejszych etapów procesu zarządzania ryzykiem, jakim jest analiza ryzyka, zaprezentowanie zarówno ilościowego, jak i jakościowego podejścia do tego zagadnienia. Jako przykład metody kwantyfikatywnej w artykule zaprezentowano analizę ryzyka według metody Courtneya. Omówionym w artykule przykładem podejścia kwalifikatywnego jest analiza ryzyka na potrzeby bezpieczeństwa systemów informatycznych w organizacji według metodyki opracowanej przez NIST (National Institute of Standards and Technology). (abstrakt oryginalny)

EN

Risk management plays a very important role in almost all areas of contemporary organizations. It requires to carry out risk analysis in a reliable and recurring way. The purpose of this article is to present one of the most important steps in the process of risk management that is risk analysis. The article also presents both quantitative and qualitative approaches to this issue. As an example of quantitative method, the paper presents risk analysis according to the Courtney method. The method developed by NIST (National Institute of Standards and Technology) is presented as an example of qualitative approach to information systems security risk analysis. (original abstract)

Słowa kluczowe

PL

Bezpieczeństwo systemów teleinformatycznych; Zarządzanie ryzykiem; Analiza ryzyka

EN

Teleinformation systems security; Risk management; Risk analysis

• Czasopismo: Prace Naukowe Uniwersytetu Ekonomicznego we Wrocławiu. Informatyka Ekonomiczna
• Rocznik: 2011
• Tom: 20
• Numer: nr 187
• Strony: 189--203

Twórcy

autor

Artur Rot

• Uniwersytet Ekonomiczny we Wrocławiu

Bibliografia

• Białas A., Bezpieczeństwo informacji i usług w nowoczesnej instytucji i firmie, Wydawnictwa Naukowo-Techniczne, Warszawa 2006.
• ENISA: Risk Management: Implementation principles and Inventories for Risk Management/Risk Assessment methods and tools, 2006, www.enisa.europa.eu/rmra/files/D1_Inventory_of_Methods_Risk_Management_Final.pdf.
• GIODO – Generalny Inspektor Ochrony Danych Osobowych, ABC przetwarzania danych osobowych w sektorze bankowym, Warszawa 2009, www.giodo.gov.pl/plik/id_p/1430/j/pl/.
• ISACA – Standard 050.050.030 – IS Auditing Guideline – Use of Risk Assessment in Audit Planning, ISACA 2000.
• ISO/IEC TR 13335-1 Information Technology − Security Techniques − Guidelines for the management of IT Security − Part 1: Concepts and models of IT Security.
• ISO/IEC TR 13335-3 Information technology – Guidelines for the management of IT Security − Part 3: Techniques for the management of IT Security.
• Lewandowski D., Ryzyko operacyjne w bankach − zarządzanie i audyt w świetle wymagań Bazylejskiego Komitetu ds. Nadzoru Bankowego, „Bank i Kredyt”, kwiecień 2004.
• Liderman K., Analiza ryzyka dla potrzeb bezpieczeństwa teleinformatycznego, Biuletyn Instytutu Automatyki I Robotyki WAT 2001, nr 16.
• Liderman K., Analiza ryzyka i ochrona informacji w systemach komputerowych, Wydawnictwo Naukowe PWN, Warszawa 2008.
• Liderman K., Zarządzanie ryzykiem jako element zapewnienia odpowiedniego poziomu bezpieczeństwa teleinformatycznego, Biuletyn Instytutu Automatyki i Robotyki WAT 2006, nr 23.
• Łuczak J., Metody szacowania ryzyka – kluczowy element systemu zarządzania bezpieczeństwem informacji ISO/IEC 27001, Zeszyty Naukowe Akademii Morskiej w Szczecinie nr 19(91), Szczecin 2009, http://www.wsm.szczecin.pl/userfiles/File/wydawnictwo/ZN_19/ZN_AM_19_91_Luczak.pdf.
• Ozier W., Risk Analysis and Assessment, CRC Press LLC, 2004.
• Pańkowska M., Wielowariantowość analizy ryzyka dla zabezpieczania systemów informatycznych zarządzania, [w:] B. Kubiak, A. Korowicki (red.), Zastosowanie informatyki w rachunkowości i finansach, Polskie Towarzystwo Ekonomiczne, Gdańsk 2002.
• PN-I-02000 – Technika informatyczna – Zabezpieczenia w SI – Terminologia, Polski Komitet Normalizacyjny, 1998.
• PN-ISO/IEC 17799:2007: Technika informatyczna – Praktyczne zasady zarządzania bezpieczeństwem informacji, Polski Komitet Normalizacyjny 2007.
• PN-ISO/IEC 27001:2007: Technika informatyczna – Techniki bezpieczeństwa – Systemy zarządzania bezpieczeństwem informacji – Wymagania, Polski Komitet Normalizacyjny 2007.
• Ryba M., Analiza i zarządzanie ryzykiem systemów informatycznych, Ernst&Young 2005 http://www.mimuw.edu.pl/~sroka/archiwalne/2005ey/materialy/.
• Ryba M., Wielowymiarowa metodyka analizy i zarządzania ryzykiem systemów informatycznych– MIR-2M, Rozprawa doktorska, Akademia Górniczo-Hutnicza im. Stanisława Staszica w Krakowie, Kraków 2006.
• Stokłosa J., Bilski T., Pankowski T., Bezpieczeństwo danych w systemach informatycznych, Wydawnictwo Naukowe PWN, Warszawa 2001.
• Stoneburner G., Goguen A., Feringa A., Risk Management Guide for Information Technology Systems Recommendations of the National Institute of Standards and Technology, National Institute of Standards and Technology (NIST), Computer Security Division, Information Technology Laboratory, 2002.
• Szczepankiewicz E.I., Szczepankiewicz P., Analiza ryzyka w środowisku informatycznym do celów zarządzania ryzykiem operacyjnym. Część 2 – Etap oszacowania ryzyka, „Monitor Rachunkowości i Finansów” 2006, nr 7.
• U.S. Department of Commerce, National Bureau of Standards, Federal Information Processing Standards Publication 65: Guideline For Automatic Data Processing Risk Analysis, 1 sierpnia 1979.