I vår tid inntar informasjon en av nøkkelposisjonene i alle sfærer av menneskelivet. Dette skyldes samfunnets gradvise overgang fra den industrielle epoken til den postindustrielle. Som følge av bruk, besittelse og overføring av ulike opplysninger kan det oppstå informasjonsrisikoer som kan påvirke hele økonomien.
Hvilke bransjer vokser raskest?
Vekst i informasjonsflyt blir mer og mer merkbar for hvert år, ettersom utvidelsen av teknisk innovasjon gjør rask overføring av informasjon knyttet til tilpasning av nye teknologier til et presserende behov. I vår tid utvikler bransjer som industri, handel, utdanning og finans umiddelbart. Det er under overføring av data at informasjonsrisiko oppstår i dem.
Informasjon er i ferd med å bli en av de mest verdifulle typene produkter, hvis totale kostnad snart vil overstige prisen på alle produksjonsprodukter. Dette vil skje fordi forFor å sikre ressursbesparende opprettelse av alle materielle varer og tjenester, er det nødvendig å tilby en fundament alt ny måte å overføre informasjon på som utelukker muligheten for informasjonsrisiko.
Definition
I vår tid finnes det ingen entydig definisjon av informasjonsrisiko. Mange eksperter tolker dette begrepet som en hendelse som har direkte innvirkning på forskjellig informasjon. Dette kan være et brudd på konfidensialitet, forvrengning og til og med sletting. For mange er risikosonen begrenset til datasystemer, som er hovedfokuset.
Ofte, når man studerer dette emnet, blir mange virkelig viktige aspekter ikke vurdert. Disse inkluderer direkte behandling av informasjon og informasjonsrisikostyring. Tross alt oppstår risikoen forbundet med data som regel på innhentingsstadiet, siden det er stor sannsynlighet for feil oppfatning og behandling av informasjon. Ofte blir det ikke tatt hensyn til risikoene som forårsaker feil i databehandlingsalgoritmer, samt funksjonsfeil i programmer som brukes for å optimalisere administrasjonen.
Mange vurderer risikoen forbundet med behandling av informasjon, utelukkende fra den økonomiske siden. For dem er dette først og fremst en risiko knyttet til feil implementering og bruk av informasjonsteknologi. Dette betyr at informasjonsrisikostyring dekker slike prosesser som opprettelse, overføring, lagring og bruk av informasjon, med forbehold om bruk av ulike medier og kommunikasjonsmidler.
Analyse ogklassifisering av IT-risiko
Hva er risikoen forbundet med å motta, behandle og overføre informasjon? På hvilken måte er de forskjellige? Det finnes flere grupper av kvalitativ og kvantitativ vurdering av informasjonsrisiko i henhold til følgende kriterier:
- i henhold til interne og eksterne kilder til forekomst;
- med vilje og utilsiktet;
- direkte eller indirekte;
- etter type informasjonsbrudd: pålitelighet, relevans, fullstendighet, datakonfidensialitet osv.;
- i henhold til metoden for påvirkning er risikoene som følger: force majeure og naturkatastrofer, feil fra spesialister, ulykker osv.
Informasjonsrisikoanalyse er en prosess for global vurdering av beskyttelsesnivået til informasjonssystemer med bestemmelse av kvantitet (kontantressurser) og kvalitet (lav, middels, høy risiko) av ulike risikoer. Analyseprosessen kan gjennomføres ved hjelp av ulike metoder og verktøy for å skape måter å beskytte informasjon på. Basert på resultatene av en slik analyse er det mulig å fastslå de høyeste risikoene som kan være en umiddelbar trussel og et insentiv for umiddelbar vedtak av ytterligere tiltak som bidrar til beskyttelse av informasjonsressurser.
Metode for å bestemme IT-risiko
For øyeblikket er det ingen generelt akseptert metode som pålitelig bestemmer de spesifikke risikoene ved informasjonsteknologi. Dette skyldes at det ikke er nok statistiske data som ville gi mer spesifikk informasjon omvanlige risikoer. En viktig rolle spilles også av det faktum at det er vanskelig å bestemme verdien av en bestemt informasjonsressurs grundig, fordi en produsent eller eier av et foretak kan navngi kostnadene for informasjonsmedier med absolutt nøyaktighet, men han vil finne det vanskelig å gi uttrykk for kostnadene for informasjonen som ligger på dem. Det er derfor for øyeblikket det beste alternativet for å bestemme kostnadene for IT-risikoer er en kvalitativ vurdering, takket være hvilken ulike risikofaktorer er nøyaktig identifisert, så vel som områdene av deres innflytelse og konsekvensene for hele virksomheten.
CRAMM-metoden som brukes i Storbritannia er den mest effektive måten å identifisere kvantitative risikoer på. Hovedmålene med denne teknikken inkluderer:
- automatiser risikostyringsprosessen;
- optimalisering av kontanthåndteringskostnader;
- produktiviteten til bedriftens sikkerhetssystemer;
- forpliktelse til forretningskontinuitet.
Ekspertrisikoanalysemetode
Eksperter vurderer følgende risikoanalysefaktorer for informasjonssikkerhet:
1. Ressurskostnad. Denne verdien gjenspeiler verdien av informasjonsressursen som sådan. Det er et evalueringssystem for kvalitativ risiko på en skala der 1 er minimum, 2 er gjennomsnittsverdi og 3 er maksimum. Hvis vi tar i betraktning IT-ressursene til bankmiljøet, vil dens automatiserte server ha en verdi på 3, og en separat informasjonsterminal - 1.
2. Graden av sårbarhet til ressursen. Den viser størrelsen på trusselen og sannsynligheten for skade på en IT-ressurs. Hvis vi snakker om en bankorganisasjon, vil serveren til det automatiserte banksystemet være så tilgjengelig som mulig, så hackerangrep er den største trusselen mot den. Det er også en vurderingsskala fra 1 til 3, der 1 er en mindre påvirkning, 2 er en høy sannsynlighet for ressursgjenvinning, 3 er behovet for fullstendig utskifting av ressursen etter at faren er nøytralisert.
3. Vurdere muligheten for en trussel. Den bestemmer sannsynligheten for en viss trussel mot en informasjonsressurs i en betinget periode (oftest - i et år) og kan, som de foregående faktorene, vurderes på en skala fra 1 til 3 (lav, middels, høy).
Administrere informasjonssikkerhetsrisikoer når de oppstår
Det finnes følgende alternativer for å løse problemer med nye risikoer:
- aksepterer risiko og tar ansvar for tapene sine;
- redusere risikoen, det vil si å minimere tapene knyttet til dets forekomst;
- overføring, det vil si ileggelse av kostnaden for erstatning for skade til forsikringsselskapet, eller transformasjon gjennom visse mekanismer til en risiko med det laveste farenivået.
Deretter blir risikoene ved informasjonsstøtte fordelt etter rangering for å identifisere de primære. For å håndtere slike risikoer er det nødvendig å redusere dem, og noen ganger - å overføre dem til forsikringsselskapet. Mulig overføring og reduksjon av risiko for høy ogmiddels nivå på samme vilkår, og risiko på lavere nivå er ofte akseptert og ikke inkludert i videre analyser.
Det er verdt å vurdere det faktum at rangeringen av risikoer i informasjonssystemer bestemmes på grunnlag av beregning og fastsettelse av deres kvalitative verdi. Det vil si at hvis risikorangeringsintervallet er i området fra 1 til 18, er utvalget av lav risiko fra 1 til 7, middels risiko er fra 8 til 13, og høy risiko er fra 14 til 18. Essensen av bedriften informasjonsrisikostyring er å redusere gjennomsnittlig og høy risiko ned til laveste verdi, slik at deres aksept er så optimal og mulig som mulig.
CORAS risikoreduserende metode
CORAS-metoden er en del av programmet Information Society Technologies. Dens betydning ligger i tilpasning, konkretisering og kombinasjon av effektive metoder for å utføre analyser på eksempler på informasjonsrisiko.
CORAS-metodikken bruker følgende risikoanalyseprosedyrer:
- tiltak for å forberede søk og systematisering av informasjon om det aktuelle objektet;
- leveranse av klienten av objektive og korrekte data om det aktuelle objektet;
- fullstendig beskrivelse av den kommende analysen, tatt i betraktning alle stadier;
- analyse av innsendte dokumenter for autentisitet og korrekthet for en mer objektiv analyse;
- utføre aktiviteter for å identifisere mulige risikoer;
- vurdering av alle konsekvensene av nye informasjonstrusler;
- fremhever risikoene som selskapet kan ta og risikoene sommå reduseres eller omdirigeres så snart som mulig;
- tiltak for å eliminere mulige trusler.
Det er viktig å merke seg at de listede tiltakene ikke krever betydelig innsats og ressurser for gjennomføring og påfølgende implementering. CORAS-metodikken er ganske enkel å bruke og krever ikke mye trening for å begynne å bruke den. Den eneste ulempen med dette verktøysettet er mangelen på periodisitet i vurderingen.
OCTAVE-metode
OCTAVE risikovurderingsmetode innebærer en viss grad av involvering av informasjonseieren i analysen. Du må vite at den brukes til raskt å vurdere kritiske trusler, identifisere eiendeler og identifisere svakheter i informasjonssikkerhetssystemet. OCTAVE sørger for opprettelse av en kompetent analyse-, sikkerhetsgruppe, som inkluderer ansatte i selskapet som bruker systemet og ansatte i informasjonsavdelingen. OCTAVE består av tre trinn:
Først vurderes organisasjonen, det vil si at analysegruppen fastsetter kriteriene for å vurdere skaden, og deretter risikoen. De viktigste ressursene til organisasjonen identifiseres, den generelle tilstanden til prosessen med å opprettholde IT-sikkerheten i selskapet vurderes. Det siste trinnet er å identifisere sikkerhetskrav og definere en liste over risikoer
- Den andre fasen er en omfattende analyse av selskapets informasjonsinfrastruktur. Det legges vekt på rask og koordinert samhandling mellom ansatte og avdelinger med ansvar for detteinfrastruktur.
- På det tredje trinnet gjennomføres utviklingen av sikkerhetstaktikker, det lages en plan for å redusere mulig risiko og beskytte informasjonsressurser. Den mulige skaden og sannsynligheten for implementering av trusler vurderes også, samt kriteriene for deres evaluering.
Matrisemetode for risikoanalyse
Denne analysemetoden samler trusler, sårbarheter, eiendeler og informasjonssikkerhetskontroller og bestemmer deres betydning for organisasjonens respektive eiendeler. Eiendelene til en organisasjon er materielle og immaterielle objekter som er betydelige når det gjelder nytte. Det er viktig å vite at matrisemetoden består av tre deler: en trusselmatrise, en sårbarhetsmatrise og en kontrollmatrise. Resultatene av alle tre delene av denne metodikken brukes til risikoanalyse.
Det er verdt å vurdere forholdet mellom alle matriser under analysen. Så for eksempel er en sårbarhetsmatrise en kobling mellom eiendeler og eksisterende sårbarheter, en trusselmatrise er en samling av sårbarheter og trusler, og en kontrollmatrise kobler sammen konsepter som trusler og kontroller. Hver celle i matrisen gjenspeiler forholdet mellom kolonne- og radelementet. Systemer med høy, middels og lav karakter brukes.
For å lage en tabell må du lage lister over trusler, sårbarheter, kontroller og eiendeler. Data legges til om samspillet mellom innholdet i matrisekolonnen og innholdet i raden. Senere overføres sårbarhetsmatrisens data til trusselmatrisen, og deretter, etter samme prinsipp, overføres informasjon fra trusselmatrisen til kontrollmatrisen.
Konklusjon
Rollen til dataøkt betydelig med overgangen fra en rekke land til markedsøkonomi. Uten rettidig mottak av nødvendig informasjon, er normal drift av selskapet ganske enkelt umulig.
Sammen med utviklingen av informasjonsteknologi har det oppstått såk alte informasjonsrisikoer som utgjør en trussel mot virksomheten til virksomheter. Det er derfor de må identifiseres, analyseres og evalueres for ytterligere reduksjon, overføring eller deponering. Utformingen og implementeringen av en sikkerhetspolicy vil være ineffektiv hvis de eksisterende reglene ikke brukes riktig på grunn av inkompetanse eller manglende bevissthet hos ansatte. Det er viktig å utvikle et kompleks for samsvar med informasjonssikkerhet.
Risikostyring er et subjektivt, komplekst, men samtidig et viktig ledd i virksomhetens virksomhet. Den største vekten på sikkerheten til dataene deres bør legges av et selskap som arbeider med store mengder informasjon eller eier konfidensielle data.
Det finnes svært mange effektive metoder for å beregne og analysere informasjonsrelaterte risikoer som lar deg raskt informere selskapet og la det overholde reglene for konkurransekraft i markedet, samt opprettholde sikkerhet og forretningskontinuitet.