Informācijas riski: koncepcija, analīze, novērtējums

Satura rādītājs:

Informācijas riski: koncepcija, analīze, novērtējums
Informācijas riski: koncepcija, analīze, novērtējums
Anonim

Mūsu laikmetā informācija ieņem vienu no galvenajām pozīcijām visās cilvēka dzīves jomās. Tas ir saistīts ar pakāpenisku sabiedrības pāreju no industriālā laikmeta uz postindustriālo laikmetu. Dažādas informācijas izmantošanas, glabāšanas un nodošanas rezultātā var rasties informācijas riski, kas var ietekmēt visu tautsaimniecības sfēru.

Kuras nozares aug visstraujāk?

Informācijas plūsmu pieaugums ar katru gadu kļūst arvien pamanāmāks, jo tehnisko inovāciju paplašināšanās padara par steidzamu nepieciešamību ar jaunu tehnoloģiju pielāgošanu saistītās informācijas ātru nodošanu. Mūsu laikā tādas nozares kā rūpniecība, tirdzniecība, izglītība un finanses attīstās acumirklī. Tieši datu pārsūtīšanas laikā tajos rodas informācijas riski.

Informācijas riski
Informācijas riski

Informācija kļūst par vienu no vērtīgākajiem preču veidiem, kura kopējās izmaksas drīzumā pārsniegs visu saražoto produktu cenu. Tas notiks, jo parLai nodrošinātu visu materiālo preču un pakalpojumu resursus taupošu radīšanu, nepieciešams nodrošināt principiāli jaunu informācijas pārraides veidu, kas izslēdz informācijas risku iespējamību.

Definīcija

Mūsu laikā nav viennozīmīgas informācijas riska definīcijas. Daudzi eksperti šo terminu interpretē kā notikumu, kas tieši ietekmē dažādu informāciju. Tas var būt konfidencialitātes pārkāpums, sagrozīšana un pat dzēšana. Daudziem riska zona ir ierobežota ar datorsistēmām, kurām ir galvenā uzmanība.

Informācijas aizsardzība
Informācijas aizsardzība

Bieži vien, pētot šo tēmu, netiek ņemti vērā daudzi patiešām svarīgi aspekti. Tie ietver tiešu informācijas apstrādi un informācijas riska pārvaldību. Galu galā ar datiem saistītie riski parasti rodas iegūšanas stadijā, jo pastāv liela nepareizas informācijas uztveres un apstrādes iespējamība. Bieži vien netiek pievērsta pienācīga uzmanība riskiem, kas izraisa kļūmes datu apstrādes algoritmos, kā arī darbības traucējumus programmās, kas tiek izmantotas pārvaldības optimizēšanai.

Daudzi ar informācijas apstrādi saistītos riskus apsver tikai no ekonomiskās puses. Viņiem tas galvenokārt ir risks, kas saistīts ar informācijas tehnoloģiju nepareizu ieviešanu un izmantošanu. Tas nozīmē, ka informācijas riska pārvaldība aptver tādus procesus kā informācijas izveide, pārsūtīšana, uzglabāšana un izmantošana, ievērojot dažādu mediju un saziņas līdzekļu izmantošanu.

Analīze unIT risku klasifikācija

Kādi riski ir saistīti ar informācijas saņemšanu, apstrādi un pārsūtīšanu? Ar ko tie atšķiras? Ir vairākas informācijas risku kvalitatīvā un kvantitatīvā novērtējuma grupas pēc šādiem kritērijiem:

  • atbilstoši iekšējiem un ārējiem rašanās avotiem;
  • tīši un netīši;
  • tieši vai netieši;
  • pēc informācijas pārkāpuma veida: uzticamība, atbilstība, pilnīgums, datu konfidencialitāte utt.;
  • pēc ietekmes metodes riski ir šādi: nepārvarama vara un dabas stihijas, speciālistu kļūdas, nelaimes gadījumi utt.
  • Datu aizsardzība
    Datu aizsardzība

Informācijas riska analīze ir informācijas sistēmu aizsardzības līmeņa globālas novērtēšanas process ar dažādu risku daudzuma (naudas resursi) un kvalitātes (zems, vidējs, augsts risks) noteikšanu. Analīzes procesu var veikt, izmantojot dažādas metodes un rīkus informācijas aizsardzības veidu radīšanai. Balstoties uz šādas analīzes rezultātiem, ir iespējams noteikt augstākos riskus, kas var būt tiešs drauds un stimuls tūlītējai papildu pasākumu veikšanai, kas veicina informācijas resursu aizsardzību.

IT risku noteikšanas metodika

Šobrīd nav vispārpieņemtas metodes, kas droši noteiktu specifiskos informācijas tehnoloģiju riskus. Tas ir saistīts ar to, ka nav pietiekami daudz statistikas datu, kas sniegtu konkrētāku informāciju parizplatīti riski. Būtisku lomu spēlē arī tas, ka ir grūti precīzi noteikt konkrēta informācijas resursa vērtību, jo ražotājs vai uzņēmuma īpašnieks var absolūtā precīzi nosaukt informācijas nesēja izmaksas, bet viņam būs grūti izrunāt tajos esošās informācijas izmaksas. Tieši tāpēc šobrīd labākais IT risku izmaksu noteikšanas variants ir kvalitatīvs novērtējums, pateicoties kuram tiek precīzi identificēti dažādi riska faktori, kā arī to ietekmes jomas un sekas visam uzņēmumam.

Informācijas drošības metodes
Informācijas drošības metodes

Apvienotajā Karalistē izmantotā CRAMM metode ir visspēcīgākais veids, kā noteikt kvantitatīvos riskus. Šīs tehnikas galvenie mērķi ir:

  • automatizē riska pārvaldības procesu;
  • skaidras naudas pārvaldības izmaksu optimizācija;
  • uzņēmuma drošības sistēmu produktivitāte;
  • apņemšanās nodrošināt darbības nepārtrauktību.

Ekspertu riska analīzes metode

Eksperti ņem vērā šādus informācijas drošības riska analīzes faktorus:

1. Resursu izmaksas. Šī vērtība atspoguļo informācijas resursa vērtību kā tādu. Pastāv kvalitatīvā riska novērtēšanas sistēma skalā, kurā 1 ir minimālā vērtība, 2 ir vidējā vērtība un 3 ir maksimālā vērtība. Ja ņemam vērā banku vides IT resursus, tad tā automatizētajam serverim būs 3 vērtība, bet atsevišķam informācijas terminālam - 1.

Informācijas drošības sistēma
Informācijas drošības sistēma

2. Resursa ievainojamības pakāpe. Tas parāda apdraudējuma lielumu un IT resursa bojājuma iespējamību. Ja runājam par banku organizāciju, automatizētās banku sistēmas serveris būs maksimāli pieejams, tāpēc hakeru uzbrukumi tai ir lielākais drauds. Ir arī vērtēšanas skala no 1 līdz 3, kur 1 ir neliela ietekme, 2 ir liela resursu atjaunošanas iespējamība, 3 ir nepieciešamība pēc pilnīgas resursa nomaiņas pēc apdraudējuma neitralizācijas.

3. Novērtējot draudu iespējamību. Tas nosaka noteikta apdraudējuma iespējamību informācijas resursam uz nosacītu laiku (visbiežāk - uz gadu) un, tāpat kā iepriekšējie faktori, ir vērtējama skalā no 1 līdz 3 (zems, vidējs, augsts).

Informācijas drošības risku pārvaldība, kad tie rodas

Ir šādas iespējas, lai atrisinātu problēmas ar jauniem riskiem:

  • uzņemties risku un uzņemties atbildību par saviem zaudējumiem;
  • riska samazināšana, tas ir, ar tā rašanos saistīto zaudējumu samazināšana;
  • nodošana, tas ir, zaudējumu atlīdzības izmaksu uzlikšana apdrošināšanas sabiedrībai vai pārveidošana ar noteiktu mehānismu palīdzību riskā ar viszemāko bīstamības pakāpi.

Tad informācijas atbalsta riski tiek sadalīti pēc ranga, lai identificētu primāros. Lai pārvaldītu šādus riskus, ir nepieciešams tos samazināt, un dažreiz - nodot apdrošināšanas sabiedrībai. Iespējamā risku pārnešana un samazināšana augstu unvidēja līmeņa ar tādiem pašiem noteikumiem, un zemāka līmeņa riski bieži tiek pieņemti un netiek iekļauti turpmākajā analīzē.

Datu aizsardzība
Datu aizsardzība

Vērts ņemt vērā faktu, ka risku ranžējums informācijas sistēmās tiek noteikts, pamatojoties uz to kvalitatīvās vērtības aprēķinu un noteikšanu. Tas ir, ja riska ranžēšanas intervāls ir robežās no 1 līdz 18, tad zemo risku diapazons ir no 1 līdz 7, vidējiem riskiem ir no 8 līdz 13, bet lieliem riskiem ir no 14 līdz 18. Uzņēmuma būtība informācijas riska pārvaldība ir samazināt vidējos un lielos riskus līdz zemākajai vērtībai, lai to pieņemšana būtu pēc iespējas optimālāka un iespējama.

CORAS riska mazināšanas metode

CORAS metode ir daļa no Informācijas sabiedrības tehnoloģiju programmas. Tās nozīme ir efektīvu metožu pielāgošanā, konkretizācijā un kombinācijā informācijas risku piemēru analīzes veikšanai.

CORAS metodoloģijā tiek izmantotas šādas riska analīzes procedūras:

  • pasākumi, lai sagatavotu informācijas meklēšanu un sistematizēšanu par attiecīgo objektu;
  • klienta objektīvu un pareizu datu sniegšana par attiecīgo objektu;
  • pilns gaidāmās analīzes apraksts, ņemot vērā visus posmus;
  • iesniegto dokumentu autentiskuma un pareizības analīze objektīvākai analīzei;
  • veikt darbības, lai identificētu iespējamos riskus;
  • visu jaunu informācijas apdraudējumu seku novērtējums;
  • izceļot riskus, ko uzņēmums var uzņemties, un riskus, koir jāsamazina vai jānovirza pēc iespējas ātrāk;
  • pasākumi iespējamo apdraudējumu novēršanai.

Svarīgi atzīmēt, ka uzskaitītie pasākumi neprasa ievērojamas pūles un resursus to īstenošanai un turpmākai īstenošanai. CORAS metodika ir diezgan vienkārši lietojama, un, lai sāktu to lietot, nav nepieciešama liela apmācība. Vienīgais šīs rīku komplekta trūkums ir novērtēšanas periodiskuma trūkums.

OCTAVE metode

OCTAVE riska novērtēšanas metode paredz zināmu informācijas īpašnieka iesaistīšanos analīzē. Jums jāzina, ka to izmanto, lai ātri novērtētu kritiskos draudus, identificētu aktīvus un identificētu informācijas drošības sistēmas vājās vietas. OCTAVE paredz kompetentas analīzes, drošības grupas izveidi, kurā ietilpst sistēmu izmantojošā uzņēmuma darbinieki un informācijas nodaļas darbinieki. OCTAVE sastāv no trim posmiem:

Vispirms tiek novērtēta organizācija, tas ir, analīzes grupa nosaka kaitējuma un pēc tam risku novērtēšanas kritērijus. Tiek apzināti svarīgākie organizācijas resursi, novērtēts IT drošības uzturēšanas procesa kopējais stāvoklis uzņēmumā. Pēdējais solis ir noteikt drošības prasības un definēt risku sarakstu

Kā nodrošināt informācijas drošību?
Kā nodrošināt informācijas drošību?
  • Otrais posms ir visaptveroša uzņēmuma informācijas infrastruktūras analīze. Uzsvars tiek likts uz ātru un koordinētu darbinieku un par to atbildīgo struktūrvienību mijiedarbībuinfrastruktūra.
  • Trešajā posmā tiek veikta drošības taktikas izstrāde, tiek izveidots plāns iespējamo risku samazināšanai un informācijas resursu aizsardzībai. Tāpat tiek izvērtēts iespējamais kaitējums un draudu īstenošanas iespējamība, kā arī to izvērtēšanas kritēriji.

Riska analīzes matricas metode

Šī analīzes metode apvieno draudus, ievainojamības, līdzekļus un informācijas drošības kontroles un nosaka to nozīmi organizācijas attiecīgajos īpašumos. Organizācijas aktīvi ir materiāli un nemateriāli objekti, kas ir nozīmīgi lietderības ziņā. Ir svarīgi zināt, ka matricas metode sastāv no trim daļām: draudu matricas, ievainojamības matricas un kontroles matricas. Riska analīzei tiek izmantoti visu trīs šīs metodoloģijas daļu rezultāti.

Analīzes laikā ir vērts apsvērt visu matricu attiecības. Tā, piemēram, ievainojamības matrica ir saikne starp aktīviem un esošajām ievainojamībām, draudu matrica ir ievainojamību un draudu kopums, un kontroles matrica saista tādus jēdzienus kā draudi un vadīklas. Katra matricas šūna atspoguļo kolonnas un rindas elementa attiecību. Tiek izmantotas augstas, vidējas un zemas vērtēšanas sistēmas.

Lai izveidotu tabulu, ir jāizveido draudu, ievainojamību, vadīklu un līdzekļu saraksti. Tiek pievienoti dati par matricas kolonnas satura mijiedarbību ar rindas saturu. Vēlāk ievainojamības matricas dati tiek pārsūtīti uz draudu matricu, un pēc tam saskaņā ar to pašu principu informācija no draudu matricas tiek pārsūtīta uz kontroles matricu.

Secinājums

Datu lomaievērojami palielinājās, vairākām valstīm pārejot uz tirgus ekonomiku. Bez savlaicīgas nepieciešamās informācijas saņemšanas uzņēmuma normāla darbība ir vienkārši neiespējama.

Līdz ar informācijas tehnoloģiju attīstību ir radušies tā sauktie informācijas riski, kas rada draudus uzņēmumu darbībai. Tāpēc tie ir jāidentificē, jāanalizē un jānovērtē turpmākai samazināšanai, pārvietošanai vai iznīcināšanai. Drošības politikas veidošana un īstenošana būs neefektīva, ja esošie noteikumi netiks pareizi izmantoti darbinieku nekompetences vai neinformētības dēļ. Ir svarīgi izstrādāt kompleksu informācijas drošības ievērošanai.

Risku vadība ir subjektīvs, sarežģīts, bet tajā pašā laikā svarīgs posms uzņēmuma darbībā. Vislielākais uzsvars uz savu datu drošību būtu jāliek uzņēmumam, kas strādā ar lielu informācijas apjomu vai kuram pieder konfidenciāli dati.

Ir ļoti daudz efektīvu metožu ar informāciju saistīto risku aprēķināšanai un analīzei, kas ļauj ātri informēt uzņēmumu un nodrošināt atbilstību konkurētspējas noteikumiem tirgū, kā arī uzturēt drošību un darbības nepārtrauktību.

Ieteicams: