Jaką przyjąć podstawę do obliczenia prawdopodobieństwa?
ODPOWIEDŹ
W oparciu o normę ISO 27005, prawdopodobieństwo powinno być oceniane na podstawie analizy dostępnych danych, takich jak historyczne incydenty, podatności systemów, poziom zagrożenia oraz skuteczność wdrożonych środków bezpieczeństwa.
ENISA natomiast podkreśla, że prawdopodobieństwo zagrożenia nie powinno być traktowane jako wartość stała, lecz jako zmienne, które zależą od wielu czynników, takich jak podatności, skuteczność zabezpieczeń i kontekst operacyjny organizacji. W ocenie prawdopodobieństwa ENISA zaleca stosowanie zarówno metod jakościowych (np. ocena na podstawie doświadczeń z przeszłości), jak i ilościowych, gdzie możliwe jest przypisanie konkretnych wartości numerycznych na podstawie analiz statystycznych, modeli zagrożeń oraz trendów w cyberbezpieczeństwie.
W swoich wytycznych ENISA wskazuje również na znaczenie monitorowania zmieniającego się krajobrazu zagrożeń, ponieważ to pozwala na dynamiczną ocenę prawdopodobieństwa, które zmienia się w czasie.