Grzegorz PieniążekHubert Szczepaniuk

� Ogólny model oceny i analizy ryzyka informacyjnego

� Metodyki zarządzania ryzykiem w kontekście bezpieczeństwa

� Wpływ asymetrii informacyjnej na wartość organizacji

� Istota ISWZ� Efektywność ISWZ

�

� Identyfikacja procesów i aktywów. Proces rozpoczyna się od przestudiowania kontekstu organizacji oraz od zidentyfikowania aktywów. W tym kroku organizacja oraz jej środowisko jest opisywane z uwzględnieniem aspektów bezpieczeństwa informacyjnego.

� Określenie celów bezpieczeństwa. Opisywane są potrzeby bezpieczeństwa organizacji. Bazując na zidentyfikowanych aktywach ustalane są cele które muszą być osiągnięte. Są one często opisywane w następujących definicjach: poufność, integralność i dostępność.

� Analiza i ocena ryzyka. Jest to główny krok procesu. Ryzyko jest identyfikowane, łączone z aktywami i zagrożeniami dla celów bezpieczeństwa. Następnie estymowany jest poziom ryzyka w ilościowych lub jakościowych miarach.

� Metody obniżania ryzyka. W tym kroku podejmowane są decyzje o sposobach obniżania ryzyka, które powinny być użyte. Minimalizacja ryzyka może dotyczyć: uniknięcia, ograniczenia, przekazywania lub akceptacji. Decyzja bazuje na kosztach i efektywności sposobu.

� Definiowanie wymagań bezpieczeństwa. Definiowane są wymagania dotyczące bezpieczeństwa w celu obniżenia poziomu ryzyka, na podstawie decyzji podjętych wcześniej. Jednakże mogą pojawić się wymagania bezpieczeństwa z innych źródeł. Badane jest, czy wcześniej podjęte decyzje dają satysfakcjonujący efekt, jeśli nie wracamy do kroku "Obniżanie ryzyka" lub nawet do kroku "Identyfikacja procesów i aktywów".

� Wdrażanie. W tym kroku dokonywana jest fizyczna integracja środków bezpieczeństwa z elementami istniejącymi w organizacji.

� Seria ISO/IEC 2700x� NIST 800-27 Rev A oraz 800-30� IT-Grundschutz� EBIOS� MEHARI� OCTAVE� CORAS� CRAMM� MAGERIT� Microsoft's Security Management Guide

� Informacyjne zasoby operacyjne tworzą jedną z istotniejszych grup zasobów w każdej organizacji.

� Asymetrii informacyjna umożliwia:◦ Świadome udostępnianie swoich zasobów innym

podmiotom na zasadzie zaufania lub współdziałania.◦ Dostosowywanie udostępnianych zasobów do

faktycznych potrzeb. ◦ Wydzielenie względnie autonomicznych grup

użytkowników zasobów informacyjnych oraz właściwe zarządzanie ich przepływem.

� System informatyczny zarządzania System informatyczny zarządzania System informatyczny zarządzania System informatyczny zarządzania jest to część systemu informacyjnego realizowana przez techniczne środki informatyki, którego celem jest wspomaganie procesów zarządzania w organizacji.

� ISWZ przetwarza dane ekonomiczne i techniczne, opisuje organizację gospodarczą, zdarzenia i procesy w niej zachodzące oraz jej otoczenie w informacje ułatwiające podejmowanie decyzji.

� Stosowanie systemów informatycznych zarządzania w przedsiębiorstwach powinno prowadzić do lepszej efektywności zarządzania.

� Głównym celem ISWZ „jest dostarczenie decydentom terminowych i dokładnych danych, pozwalających na podejmowanie i wprowadzanie w życie niezbędnych decyzji, optymalizujących współdziałanie ludzi, materiałów, maszyn i środków pieniężnych po to, aby w sposób najskuteczniejszy osiągnąć postawione przed organizacją cele”.

W.W. Bocchio: Systemy informacyjne zarządzania – metody i narzędzia. WNT, Warszawa

SYSTEMZARZĄDZANIA

SYSTEM INFORMACYJNY

SYSTEM WYTWARZANIA

dec

yzje

odpowiedzi

zaopatrzenie

Informowanie dla otoczenia

informacje z otoczenia

zapytania

wyroby, usługi

odpowiedzi zapytania

� Trudność precyzyjnej oceny miar efektywności funkcjonowania ISWZ o organizacji wynika przede wszystkim z trudności oszacowania jak część całkowitego efektu jest wynikiem stosowania ISWZ, a jaka część tych efektów jest związana z inną działalnością organizacji.

� W celu trafnej oceny ISWZ fundamentalne znaczenie ma dobór kryteriów oceny.

� Kryterium oceny ISWZ powinno obejmować cel, który ma zostać osiągnięty, wymagania stawiane dla systemu oraz jego przeznaczenie.

� W celu pełnej analizy ISWZ należy wykorzystać wiele metod oceny efektywności.

� Analiza efektywności ISWZ powinna być przeprowadzana na etapie projektowania, wdrażania i weryfikowania oraz przez cały okres życia wprowadzanych rozwiązań.

� Efektywne działanie ISWZ w organizacji może zostać podniesiona przez:◦ reorganizację procesów biznesowych (podejście procesowe

do projektowania aktywności biznesowej przedsiębiorstwa),◦ wprowadzenie zarządzania ryzykiem,◦ efektywne wdrożenie ISWZ (zapewnienie ciągłości działania

organizacji),◦ wprowadzenie zarządzania bezpieczeństwem systemu

informatycznego,◦ wprowadzenie badania efektywności ISWZ już na etapie

zamiaru podjęcia zmian w organizacji oraz przez cały okres eksploatacji inwestycji.

Grzegorz PieniążekHubert Szczepaniuk