Model ocene ogroženosti predstavlja predstavitev načrta organizacije v zvezi z identifikacijo morebitnih groženj in sredstvi, ki jih bo izvajal za zmanjšanje ali preprečevanje teh groženj. Takšni modeli lahko za prikaz potrebnih točk uporabljajo preglednice, grafikone, diagrame tokov, diagrame ali številne druge pomoči.
Namen
Namen modela ocene ogroženosti je omogočiti organizacijam, da prepoznajo morebitne grožnje, preden se pojavijo, in opisujejo načine, kako jih preprečiti ali obrniti njihove učinke. Ker organizacija postaja vse večja in kompleksna, se lahko različne vrste groženj, s katerimi se sooča, povečajo v številu in obsegu, zato je pomembno, da ima vzpostavljen model, ki ga organizacija lahko uporabi za organizacijo in analizo teh groženj ter nato proti njim uvede protiukrepe.. Poskus zmanjševanja groženj brez uporabe modela je lahko nejasen, neučinkovit in celo neučinkovit.
Uporabe
Modeli za ocenjevanje groženj so lahko koristni, ko gre za vprašanja odgovornosti, kot so varnostna tveganja, ki bi lahko povzročila, da stranke vložijo civilne tožbe proti trgovcu na drobno. Lahko se ukvarjajo tudi s stvarmi, kot je računalniška varnost, ki je lahko izjemno pomembna za podjetja, ki se ukvarjajo z velikimi zalogami informacij o računu stranke, še posebej, če shranjujejo informacije, kot so številke kreditnih kartic, naslovi in številke socialnega zavarovanja. Z seznanjanjem z morebitnimi grožnjami in s pripravo načinov, kako se z njimi spopasti, lahko organizacije zaščitijo sebe, svoj ugled, svoje stranke in družbo na splošno.
Temeljna vprašanja
Glede na "Pregled grožnje in ocene tveganja" Jamesa Bayna za inštitut SANS, ki je vir za usposabljanje na področju informacijske varnosti, mora vsak model ocene ogroženosti obravnavati številna ključna vprašanja. Najprej mora opredeliti, kaj je treba zaščititi, kot so fizična sredstva ali občutljive informacije. Drugič, opredeliti mora vse grožnje in ranljivosti, s katerimi se sooča organizacija. Tretjič, določiti je treba vse posledice, ki bi se zgodile, če bi se izgubilo katero koli od dragocenih sredstev. Četrtič, mora dati nekaj rešitev v zvezi s tem, kako lahko organizacija zmanjša izpostavljenost takšnim grožnjam.
Analiza groženj
Pri ocenjevanju nevarnosti morate analizirati naravo in resnost groženj, s katerimi se sooča vaša organizacija. Najpomembnejši vidik kategorizacije groženj je, da jih opredelimo kot človeške ali ne-človeške. Ljudska grožnja, na primer, bi bil heker, nezadovoljni delavec, nepravilno usposobljen delavec ali tat. Ne-človeška grožnja bi bila naravna nesreča ali okvara opreme. Model ocene ogroženosti vam mora pomagati pri navajanju vseh teh groženj in kvantificiranju njihove stopnje resnosti.
