IT Baseline Protection Catalogs: differenze tra le versioni
Contenuto cancellato Contenuto aggiunto
Nessun oggetto della modifica |
Nessun oggetto della modifica |
||
Riga 8:
La metodologia di individuazione delle misure di sicurezza mancanti e quindi di valutazione concreta del rischio residuo procede nel modo seguente. Innanzitutto si effettua una inventariazione delle risorse che compongono il sistema oggetto della protezione (ad esempio: dati, applicazioni, dispositivi informatici, siti di collocazione dei dispositivi). Le risorse vengono classificate e raggruppate in modo da rendere più semplice la scelta dei moduli contenuti nel catalogo del manuale BSI da applicare ai singoli gruppi di risorse. Ogni modulo consiste in un insieme di minacce (rischi potenziali) e di contromisure applicabili ad una particolare categoria di risorse informatiche (ad esempio: server, sistemi operativi, stanze server) a cui il modulo è dedicato. La valutazione/misurazione del rischio rischio residuo consiste nel confronto tra le misure suggerite da ogni singolo modulo contenuto nel catalogo del manuale con le misure già applicate. Le misure mancanti rappresentano il rischio residuo per quel particolare gruppo di risorse. La pianificazione dei tempi di adeguamento del sistema alle misure non ancora attuate e dei costi e beneifici delle diverse alternative proposte rappresenta la fase di gestione del rischio.
Il metodo descritto nel IT Baseline Protection Manual rappresenta l'applicazione pratica dello standard denominato '''BSI-Standard 100-2:IT-Grundschutz Methodology'''. Va quindi considerato a pieno titolo uno [[standard di sicurezza informatica]]
== Voci correlate ==
| |||