Mūsų eroje informacija užima vieną iš pagrindinių pozicijų visose žmogaus gyvenimo srityse. Taip yra dėl laipsniško visuomenės perėjimo iš industrinės eros į postindustrinę. Dėl įvairios informacijos naudojimo, turėjimo ir perdavimo gali kilti informacijos rizika, kuri gali turėti įtakos visai ūkio sferai.
Kurios pramonės šakos auga greičiausiai?
Informacijos srautų augimas kasmet tampa vis labiau pastebimas, nes plečiantis techninėms naujovėms skubiai reikia perduoti informaciją, susijusią su naujų technologijų pritaikymu. Mūsų laikais tokios pramonės šakos kaip pramonė, prekyba, švietimas ir finansai vystosi akimirksniu. Būtent perduodant duomenis juose kyla informacijos rizikos.
Informacija tampa viena vertingiausių produktų rūšių, kurios bendra savikaina greitai viršys visų gaminamų produktų kainą. Taip atsitiks, nes užSiekiant užtikrinti išteklius tausojantį visų materialinių gėrybių ir paslaugų kūrimą, būtina numatyti iš esmės naują informacijos perdavimo būdą, pašalinantį informacijos rizikos galimybę.
Apibrėžimas
Mūsų laikais nėra vienareikšmio informacijos rizikos apibrėžimo. Daugelis ekspertų šį terminą interpretuoja kaip įvykį, turintį tiesioginės įtakos įvairiai informacijai. Tai gali būti konfidencialumo pažeidimas, iškraipymas ir net ištrynimas. Daugeliui rizikos zona apsiriboja kompiuterinėmis sistemomis, kurioms skiriamas pagrindinis dėmesys.
Dažnai studijuojant šią temą neatsižvelgiama į daugelį tikrai svarbių aspektų. Tai apima tiesioginį informacijos apdorojimą ir informacijos rizikos valdymą. Galų gale, rizika, susijusi su duomenimis, paprastai kyla gavimo etape, nes yra didelė neteisingo informacijos suvokimo ir apdorojimo tikimybė. Dažnai nekreipiamas deramas dėmesys į riziką, sukeliančią duomenų apdorojimo algoritmų gedimus, taip pat valdymo optimizavimui naudojamų programų gedimus.
Daugelis mano, kad rizika, susijusi su informacijos apdorojimu, kyla tik iš ekonominės pusės. Jiems tai pirmiausia yra rizika, susijusi su neteisingu informacinių technologijų diegimu ir naudojimu. Tai reiškia, kad informacijos rizikos valdymas apima tokius procesus kaip informacijos kūrimas, perdavimas, saugojimas ir naudojimas, naudojant įvairias laikmenas ir ryšio priemones.
Analizė irIT rizikos klasifikacija
Kokia rizika yra susijusi su informacijos gavimu, apdorojimu ir perdavimu? Kuo jie skiriasi? Yra kelios kokybinio ir kiekybinio informacijos rizikos vertinimo grupės pagal šiuos kriterijus:
- pagal vidinius ir išorinius įvykio š altinius;
- tyčia ir netyčia;
- tiesiogiai arba netiesiogiai;
- pagal informacijos pažeidimo tipą: patikimumas, aktualumas, išsamumas, duomenų konfidencialumas ir kt.;
- pagal poveikio metodą rizika yra tokia: force majeure ir stichinės nelaimės, specialistų klaidos, avarijos ir pan.
Informacinės rizikos analizė – tai globalaus informacinių sistemų apsaugos lygio vertinimo procesas, nustatant įvairių rizikų kiekį (piniginių išteklių) ir kokybę (maža, vidutinė, didelė rizika). Analizės procesas gali būti atliekamas naudojant įvairius metodus ir priemones informacijos apsaugos būdų kūrimui. Remiantis tokios analizės rezultatais, galima nustatyti didžiausią riziką, kuri gali kelti tiesioginę grėsmę ir paskatinti nedelsiant imtis papildomų priemonių, kurios prisideda prie informacijos išteklių apsaugos.
IT rizikos nustatymo metodika
Šiuo metu nėra visuotinai priimto metodo, kuris patikimai nustatytų specifinę informacinių technologijų riziką. Taip yra dėl to, kad nėra pakankamai statistinių duomenų, kurie suteiktų konkretesnės informacijos apiebendra rizika. Svarbų vaidmenį atlieka ir tai, kad sunku nuodugniai nustatyti konkretaus informacijos š altinio vertę, nes gamintojas ar įmonės savininkas gali absoliučiai tiksliai įvardyti informacijos laikmenos kainą, tačiau jam bus sunku išsakyti jose esančios informacijos kainą. Būtent todėl šiuo metu geriausias IT rizikos sąnaudų nustatymo variantas yra kokybinis įvertinimas, kurio dėka tiksliai nustatomi įvairūs rizikos veiksniai bei jų įtakos sritys ir pasekmės visai įmonei.
JK naudojamas CRAMM metodas yra galingiausias būdas nustatyti kiekybinę riziką. Pagrindiniai šios technikos tikslai:
- automatizuoti rizikos valdymo procesą;
- grynųjų pinigų valdymo išlaidų optimizavimas;
- įmonės apsaugos sistemų produktyvumas;
- įsipareigojimas verslo tęstinumui.
Ekspertinis rizikos analizės metodas
Ekspertai atsižvelgia į šiuos informacijos saugumo rizikos analizės veiksnius:
1. Išteklių kaina. Ši vertė atspindi informacijos š altinio, kaip tokio, vertę. Yra kokybinės rizikos vertinimo sistema skalėje, kurioje 1 yra mažiausia, 2 yra vidutinė vertė ir 3 yra didžiausia. Jei atsižvelgsime į bankinės aplinkos IT išteklius, tai jo automatinio serverio reikšmė bus 3, o atskiro informacinio terminalo - 1.
2. Ištekliaus pažeidžiamumo laipsnis. Tai parodo grėsmės dydį ir IT išteklių sugadinimo tikimybę. Jei kalbėtume apie bankinę organizaciją, automatizuotos bankinės sistemos serveris bus kuo labiau pasiekiamas, todėl programišių atakos jai kelia didžiausią grėsmę. Taip pat yra vertinimo skalė nuo 1 iki 3, kur 1 reiškia nedidelį poveikį, 2 reiškia didelę išteklių atkūrimo tikimybę, 3 reiškia poreikį visiškai pakeisti išteklius, kai pavojus bus neutralizuotas.
3. Grėsmės galimybės įvertinimas. Ji nustato tam tikros grėsmės informacijos ištekliui tikimybę sąlyginiam laikotarpiui (dažniausiai – metams) ir, kaip ir ankstesni veiksniai, gali būti vertinama skalėje nuo 1 iki 3 (žema, vidutinė, didelė)..
Informacijos saugumo rizikos valdymas, kai jos kyla
Yra šios problemos, susijusios su kylančia rizika, sprendimo parinktys:
- prisiima rizika ir prisiima atsakomybę už savo nuostolius;
- sumažinti riziką, tai yra sumažinti nuostolius, susijusius su jos atsiradimu;
- perdavimas, tai yra žalos atlyginimo išlaidų draudimo bendrovei priskaičiavimas arba pavertimas tam tikrais mechanizmais į mažiausio pavojaus lygio riziką.
Tada informacinio palaikymo rizikos paskirstomos pagal rangą, siekiant nustatyti pagrindines. Norint valdyti tokias rizikas, būtina jas sumažinti, o kartais – perduoti draudimo bendrovei. Galimas rizikos perkėlimas ir sumažinimas didelės irvidutinio lygio tomis pačiomis sąlygomis, o žemesnio lygio rizika dažnai priimama ir neįtraukiama į tolesnę analizę.
Verta atsižvelgti į tai, kad rizikų reitingavimas informacinėse sistemose nustatomas remiantis jų kokybinės vertės apskaičiavimu ir nustatymu. Tai yra, jei rizikos reitingavimo intervalas yra intervale nuo 1 iki 18, tai mažos rizikos diapazonas yra nuo 1 iki 7, vidutinės rizikos - nuo 8 iki 13, o didelės rizikos - nuo 14 iki 18. Įmonės esmė informacijos rizikos valdymas yra sumažinti vidutinę ir didelę riziką iki mažiausios vertės, kad jų priėmimas būtų kuo optimalesnis ir įmanomas.
CORAS rizikos mažinimo metodas
CORAS metodas yra Informacinės visuomenės technologijų programos dalis. Jo prasmė slypi veiksmingų metodų pritaikyme, konkretizavime ir derinant informacijos rizikos pavyzdžių analizę.
CORAS metodikoje naudojamos šios rizikos analizės procedūros:
- priemonės, skirtos informacijos apie aptariamą objektą paieškai ir sisteminimui paruošti;
- kliento pateikia objektyvius ir teisingus duomenis apie nagrinėjamą objektą;
- pilnas būsimos analizės aprašymas, atsižvelgiant į visus etapus;
- pateiktų dokumentų autentiškumo ir teisingumo analizė objektyvesnei analizei;
- vykdyti veiklą, siekiant nustatyti galimą riziką;
- visų kylančių informacinių grėsmių pasekmių įvertinimas;
- pabrėžiant riziką, kurią įmonė gali prisiimti, ir riziką, kurią ji gali prisiimtireikia kuo greičiau sumažinti arba peradresuoti;
- priemonės galimoms grėsmėms pašalinti.
Svarbu pažymėti, kad išvardytos priemonės nereikalauja didelių pastangų ir resursų įgyvendinimui ir tolesniam įgyvendinimui. CORAS metodika yra gana paprasta naudoti ir nereikalauja daug mokymų norint pradėti ją naudoti. Vienintelis šio priemonių rinkinio trūkumas yra vertinimo periodiškumo stoka.
OCTAVE metodas
OCTAVE rizikos vertinimo metodas reiškia tam tikrą informacijos savininko įtraukimą į analizę. Turite žinoti, kad jis naudojamas norint greitai įvertinti kritines grėsmes, nustatyti turtą ir nustatyti informacijos saugos sistemos trūkumus. OCTAVE numato kompetentingos analizės, saugos grupės sukūrimą, į kurią įeina sistema besinaudojantys įmonės darbuotojai ir informacijos skyriaus darbuotojai. OCTAVE susideda iš trijų etapų:
Pirmiausia įvertinama organizacija, tai yra, analizės grupė nustato žalos, o vėliau ir rizikos vertinimo kriterijus. Identifikuojami svarbiausi organizacijos ištekliai, įvertinama bendra IT saugumo palaikymo proceso būklė įmonėje. Paskutinis žingsnis – nustatyti saugumo reikalavimus ir apibrėžti rizikos sąrašą
- Antras etapas – išsami įmonės informacinės infrastruktūros analizė. Akcentuojama greita ir koordinuota darbuotojų ir už tai atsakingų padalinių sąveikainfrastruktūra.
- Trečiame etape vykdomas saugumo taktikos kūrimas, sudaromas galimų rizikų mažinimo ir informacinių išteklių apsaugos planas. Taip pat vertinama galima žala ir grėsmių įgyvendinimo tikimybė, jų vertinimo kriterijai.
Matricos rizikos analizės metodas
Šis analizės metodas sujungia grėsmes, pažeidžiamumą, turtą ir informacijos saugumo kontrolę bei nustato jų svarbą atitinkamam organizacijos turtui. Organizacijos turtas – tai materialūs ir nematerialūs objektai, reikšmingi naudingumo požiūriu. Svarbu žinoti, kad matricos metodas susideda iš trijų dalių: grėsmių matricos, pažeidžiamumo matricos ir valdymo matricos. Visų trijų šios metodikos dalių rezultatai naudojami rizikos analizei.
Atliekant analizę verta atsižvelgti į visų matricų ryšį. Taigi, pavyzdžiui, pažeidžiamumo matrica yra ryšys tarp turto ir esamų pažeidžiamumų, grėsmių matrica yra pažeidžiamumų ir grėsmių rinkinys, o valdymo matrica susieja tokias sąvokas kaip grėsmės ir valdikliai. Kiekvienas matricos langelis atspindi stulpelio ir eilutės elemento santykį. Naudojamos aukšto, vidutinio ir žemo įvertinimo sistemos.
Norėdami sukurti lentelę, turite sudaryti grėsmių, pažeidžiamumų, valdiklių ir išteklių sąrašus. Pridedami duomenys apie matricos stulpelio turinio sąveiką su eilutės turiniu. Vėliau pažeidžiamumo matricos duomenys perkeliami į grėsmės matricą, o tada pagal tą patį principą informacija iš grėsmės matricos perkeliama į valdymo matricą.
Išvada
Duomenų vaidmuogerokai išaugo daugeliui šalių pereinant prie rinkos ekonomikos. Laiku negavus reikiamos informacijos normalus įmonės funkcionavimas yra tiesiog neįmanomas.
Kartu su informacinių technologijų plėtra iškilo vadinamosios informacinės rizikos, kurios kelia grėsmę įmonių veiklai. Štai kodėl juos reikia identifikuoti, išanalizuoti ir įvertinti, kad būtų galima toliau mažinti, perduoti ar šalinti. Saugumo politikos formavimas ir įgyvendinimas bus neefektyvus, jei esamos taisyklės bus netinkamai naudojamos dėl darbuotojų nekompetencijos ar sąmoningumo stokos. Svarbu sukurti informacijos saugumo laikymosi kompleksą.
Rizikos valdymas yra subjektyvus, kompleksinis, bet kartu ir svarbus įmonės veiklos etapas. Didžiausią dėmesį savo duomenų saugumui turėtų skirti įmonė, kuri dirba su dideliu informacijos kiekiu arba turi konfidencialių duomenų.
Yra labai daug veiksmingų su informacija susijusių rizikų skaičiavimo ir analizės metodų, leidžiančių greitai informuoti įmonę ir laikytis konkurencingumo rinkoje taisyklių, taip pat išlaikyti saugumą ir veiklos tęstinumą..