IT Baseline Protection Catalogs: differenze tra le versioni

La metodologia di individuazione delle misure di sicurezza mancanti e quindi di valutazione concreta del rischio residuo procede nel modo seguente. Innanzitutto si effettua una [[Inventario|inventariazione]] delle risorse che compongono il sistema oggetto della protezione (ad esempio: dati, applicazioni, dispositivi informatici, siti di collocazione dei dispositivi). Le risorse vengono classificate e raggruppate in modo da rendere più semplice la scelta dei moduli contenuti nel catalogo del manuale BSI da applicare ai singoli gruppi di risorse. Ogni modulo consiste in un insieme di minacce (rischicause potenziali di rischio) e di contromisure applicabili ad una particolare categoria di risorse informatiche (ad esempio: [[server]], [[sistema operativo|sistemi operativi]], stanze server) a cui il modulo è dedicato. La valutazione/misurazione del rischio rischio residuo consiste nel confronto tra le misure suggerite da ogni singolo modulo contenuto nel catalogo del manuale con le misure già applicate. Le misure mancanti rappresentano il rischio residuo per quel particolare gruppo di risorse. La pianificazione dei tempi di adeguamento del sistema alle misure non ancora attuate e dei costi e benefici delle diverse alternative proposte rappresenta la fase di gestione del rischio.