Oparta na koncepcji rywalizacji metoda analizy ryzyka systemów informatycznych

Abstract

Publikacja prezentuje opracowana przez autora metodę oceny poziomu ryzyka informatycznego z perspektywy ludzkich zachowań. Stanowi ona alternatywę dla powszechnie stosowanych podejść do analizy ryzyka, polegających na identyfikacji podatności i zagrożeń oraz szacowaniu prawdopodobieństw ich wystąpienia. Metoda ta uwzględnia wpływ na ryzyko systemu informatycznego takich czynników, jak kwalifikacje administratorów i użytkowników tego systemu, wiedze i determinacje atakującego czy zastosowane przez niego techniki ataku. Kluczowym elementem metody analizy ryzyka, proponowanej w niniejszej pracy, jest formuła matematyczna pozwalająca na ilościowe określenie poziomu tego ryzyka. This article presents the method of IT risk assessment from human behaviour perspective, developed by the author. It is an alternative for the commonly used approaches to risk assessment, based on vulnerability and threat identification and the probability estimation of their occurrence. The authors method applies to risk calculation factors such as administrators or users skills, attackers knowledge and determination, or attack method used. The key element of the proposed risk analysis competitive method is a mathematical formula which allows for risk level quantification.