Sažetak:
U današnje se vrijeme za sigurnost
informacijskih sustava često nude rješenja koja su
polovična i vezana uz samo neke dijelove sustava. Zbog toga je
procjena sigurnosti takvih sustava nesigurna i nepouzdana.
Često se za sustav kaže da ima dobru ili lošu
sigurnost no to nije dobra mjera za procjenu sigurnosti, odnosno
rizika od napada na sustav. Sigurnost cijelog sustava je uvijek
proporcionalna sigurnosti njegove najslabije točke. Kako bi
bilo moguće kvalitetno odrediti sigurnosni rizik sustava i
ostvariti pouzdano upravljanje sigurnošću u organizaciji
koristi se sigurnosna metrika. Kako je uklanjanje svih rizika
kojima se izložen informacijski sustav gotovo nemoguće,
organizacije trebaju poduzeti sve zaštitne mjere kako bi
smanjile rizik. Na koji način i u kojoj mjeri smanjiti rizik
ovisi o Upravi organizacije i donosi se na temelju sigurnosne
metrike. U dokumentu su opisani razlozi primjene sigurnosne
metrike, tipovi i metode sigurnosnih metrika, kao i procjena rizika
i primjer provođenja sigurnosne metrike.
