Модель оцінки загрози є представленням плану організації щодо виявлення можливих загроз і засобів, які він буде здійснювати для мінімізації або протидії цим загрозам. Такі моделі можуть використовувати електронні таблиці, графіки, схеми, діаграми або ряд інших засобів, щоб проілюструвати свої необхідні точки.
Призначення
Метою моделі оцінки загрози є надання організаціям можливості ідентифікувати можливі загрози до їх виникнення та намітити шляхи запобігання або скасування їх наслідків. Оскільки організація стає все більш великою і складною, різні типи загроз, з якими вона стикається, можуть зростати в кількості та масштабах, і важливо мати усталену модель, яку організація може використовувати для організації та аналізу цих загроз, а потім впроваджувати протидії проти них. Спроба мінімізувати загрози без використання моделі може призвести до заплутаності, неефективності і навіть протидії ефективності.
Використання
Моделі оцінки загроз можуть бути корисними, коли йдеться про питання відповідальності, наприклад, про ризики для безпеки, які можуть змусити клієнтів подати позови проти роздрібного продавця. Вони також можуть мати справу з такими речами, як безпека комп'ютера, яка може бути надзвичайно важливою для компаній, які займаються великими запасами інформації про клієнтський рахунок, особливо коли вони зберігають інформацію, наприклад, номери кредитних карт, адреси та номери соціального страхування. Звертаючи увагу на можливі загрози та виходячи з ними, організації можуть захистити себе, свою репутацію, своїх клієнтів і суспільство в цілому.
Основні питання
За словами Джеймса Бейна «Огляд загрози та оцінки ризиків» для Інституту SANS, джерелом навчання з інформаційної безпеки, будь-яка модель оцінки загрози повинна мати справу з низкою ключових питань. По-перше, він повинен визначити, що необхідно захищати, наприклад, фізичні активи або конфіденційну інформацію. По-друге, він повинен визначити всі загрози та вразливості, з якими стикається організація. По-третє, вона повинна викласти повне значення того, що станеться, якщо будь-яке з цінних активів буде втрачено. По-четверте, він повинен дати певні рішення щодо того, як організація може мінімізувати її вплив на такі загрози.
Аналіз загроз
При проведенні оцінки загрози необхідно проаналізувати характер і серйозність загроз, з якими стикається ваша організація. Найбільш важливим аспектом категоризації загроз є їх ідентифікація як людини, так і не людини. Людська загроза, наприклад, була б хакером, незадоволеним працівником, неналежним чином підготовленим працівником або злодієм. Негромадянська загроза була б природною катастрофою або збоєм обладнання. Модель оцінки загрози повинна допомогти вам у перерахуванні всіх цих загроз і кількісному визначенні їх ступеня тяжкості.