I vår tid upptar information en av nyckelpositionerna inom alla sfärer av mänskligt liv. Detta beror på samhällets gradvisa övergång från den industriella eran till den postindustriella. Till följd av användning, innehav och överföring av olika information kan informationsrisker uppstå som kan påverka hela ekonomins sfär.
Vilka branscher växer snabbast?
Växt i informationsflöden blir mer och mer märkbart för varje år, eftersom expansionen av teknisk innovation gör den snabba överföringen av information relaterad till anpassningen av ny teknik till ett akut behov. I vår tid utvecklas branscher som industri, handel, utbildning och finans omedelbart. Det är under överföringen av data som informationsrisker uppstår i dem.
Information håller på att bli en av de mest värdefulla typerna av produkter, vars totala kostnad snart kommer att överstiga priset för alla produktionsprodukter. Detta kommer att hända eftersom förFör att säkerställa ett resursbesparande skapande av alla materiella varor och tjänster är det nödvändigt att tillhandahålla ett fundament alt nytt sätt att överföra information som utesluter möjligheten till informationsrisker.
Definition
I vår tid finns det ingen entydig definition av informationsrisk. Många experter tolkar denna term som en händelse som har en direkt inverkan på olika information. Detta kan vara ett brott mot konfidentialitet, förvrängning och till och med radering. För många är riskzonen begränsad till datorsystem, som är huvudfokus.
Ofta, när man studerar det här ämnet, beaktas inte många riktigt viktiga aspekter. Dessa inkluderar direkt behandling av information och informationsriskhantering. När allt kommer omkring uppstår riskerna förknippade med data som regel vid inhämtningsstadiet, eftersom det finns en hög sannolikhet för felaktig uppfattning och behandling av information. Ofta ägnas inte vederbörlig uppmärksamhet åt de risker som orsakar fel i databehandlingsalgoritmer, såväl som funktionsfel i program som används för att optimera hanteringen.
Många överväger riskerna som är förknippade med behandlingen av information, enbart från den ekonomiska sidan. För dem är detta i första hand en risk förknippad med felaktig implementering och användning av informationsteknologi. Detta innebär att informationsriskhantering omfattar processer som skapande, överföring, lagring och användning av information, med förbehåll för användning av olika medier och kommunikationsmedel.
Analys ochklassificering av IT-risker
Vilka är riskerna med att ta emot, bearbeta och överföra information? På vilket sätt skiljer de sig åt? Det finns flera grupper av kvalitativ och kvantitativ bedömning av informationsrisker enligt följande kriterier:
- enligt interna och externa källor till händelsen;
- avsiktligt och oavsiktligt;
- direkt eller indirekt;
- efter typ av informationsöverträdelse: tillförlitlighet, relevans, fullständighet, datakonfidentialitet, etc.;
- enligt metoden för påverkan är riskerna följande: force majeure och naturkatastrofer, specialistfel, olyckor etc.
Informationsriskanalys är en process för global bedömning av skyddsnivån för informationssystem med bestämning av kvantiteten (kontantresurser) och kvaliteten (låg, medelhög, hög risk) för olika risker. Analysprocessen kan genomföras med olika metoder och verktyg för att skapa sätt att skydda information. Baserat på resultaten av en sådan analys är det möjligt att fastställa de högsta riskerna som kan utgöra ett omedelbart hot och ett incitament för att omedelbart vidta ytterligare åtgärder som bidrar till skyddet av informationsresurser.
Metod för att fastställa IT-risker
För närvarande finns det ingen allmänt accepterad metod som på ett tillförlitligt sätt avgör de specifika riskerna med informationsteknologi. Detta beror på att det inte finns tillräckligt med statistisk data som skulle ge mer specifik information omvanliga risker. En viktig roll spelas också av det faktum att det är svårt att noggrant fastställa värdet av en viss informationsresurs, eftersom en tillverkare eller ägare av ett företag kan nämna kostnaden för informationsmedier med absolut noggrannhet, men han kommer att ha svårt att uttrycka kostnaden för information som finns på dem. Det är därför för närvarande det bästa alternativet för att bestämma kostnaden för IT-risker är en kvalitativ bedömning, tack vare vilken olika riskfaktorer identifieras korrekt, såväl som områdena för deras inflytande och konsekvenserna för hela företaget.
CRAMM-metoden som används i Storbritannien är det mest kraftfulla sättet att identifiera kvantitativa risker. Huvudmålen med denna teknik inkluderar:
- automatisera riskhanteringsprocessen;
- optimering av kontanthanteringskostnader;
- företagets säkerhetssystems produktivitet;
- åtagande till affärskontinuitet.
Expert riskanalysmetod
Experter överväger följande riskanalysfaktorer för informationssäkerhet:
1. Resurskostnad. Detta värde återspeglar värdet av informationsresursen som sådan. Det finns ett utvärderingssystem för kvalitativ risk på en skala där 1 är minimum, 2 är medelvärde och 3 är maximum. Om vi tar hänsyn till bankmiljöns IT-resurser kommer dess automatiserade server att ha värdet 3 och en separat informationsterminal - 1.
2. Graden av sårbarhet hos resursen. Den visar hur stor hotet är och sannolikheten för skada på en IT-resurs. Om vi talar om en bankorganisation kommer servern för det automatiserade banksystemet att vara så tillgänglig som möjligt, så hackerattacker är det största hotet mot den. Det finns också en betygsskala från 1 till 3, där 1 är en mindre påverkan, 2 är en hög sannolikhet för resursåtervinning, 3 är behovet av ett fullständigt utbyte av resursen efter att faran har neutraliserats.
3. Att bedöma möjligheten till ett hot. Det bestämmer sannolikheten för ett visst hot mot en informationsresurs under en villkorad tidsperiod (oftast - under ett år) och kan, liksom de tidigare faktorerna, bedömas på en skala från 1 till 3 (låg, medel, hög).
Hantera informationssäkerhetsrisker när de uppstår
Det finns följande alternativ för att lösa problem med nya risker:
- accepterar risker och tar ansvar för sina förluster;
- minska risken, det vill säga att minimera förlusterna i samband med dess inträffande;
- överföring, det vill säga påförandet av kostnaden för ersättning för skada till försäkringsbolaget, eller omvandlingen genom vissa mekanismer till en risk med den lägsta risknivån.
Då fördelas riskerna med informationsstöd efter rangordning för att identifiera de primära. För att hantera sådana risker är det nödvändigt att minska dem, och ibland - att överföra dem till försäkringsbolaget. Möjlig överföring och minskning av risker för höga ochmedelnivå på samma villkor, och risker på lägre nivå accepteras ofta och ingår inte i ytterligare analys.
Det är värt att överväga det faktum att rangordningen av risker i informationssystem bestäms utifrån beräkningen och bestämningen av deras kvalitativa värde. Det vill säga, om riskrankningsintervallet är i intervallet från 1 till 18, är intervallet för låga risker från 1 till 7, medelhöga risker är från 8 till 13 och höga risker är från 14 till 18. Kärnan i företaget informationsriskhantering är att reducera de genomsnittliga och höga riskerna till lägsta värde, så att deras acceptans blir så optimal och möjlig som möjligt.
CORAS riskreducerande metod
CORAS-metoden är en del av programmet Information Society Technologies. Dess innebörd ligger i anpassning, konkretisering och kombination av effektiva metoder för att genomföra analys av exempel på informationsrisker.
CORAS-metoden använder följande riskanalysprocedurer:
- åtgärder för att förbereda sökning och systematisering av information om objektet i fråga;
- tillhandahållande av klienten av objektiva och korrekta uppgifter om objektet i fråga;
- fullständig beskrivning av den kommande analysen, med hänsyn till alla stadier;
- analys av inlämnade dokument för äkthet och riktighet för en mer objektiv analys;
- utför aktiviteter för att identifiera möjliga risker;
- bedömning av alla konsekvenser av nya informationshot;
- belysa de risker som företaget kan ta och de risker sommåste minskas eller omdirigeras så snart som möjligt;
- åtgärder för att eliminera möjliga hot.
Det är viktigt att notera att de listade åtgärderna inte kräver betydande insatser och resurser för implementering och efterföljande implementering. CORAS-metoden är ganska enkel att använda och kräver inte mycket träning för att börja använda den. Den enda nackdelen med denna verktygslåda är bristen på periodicitet i bedömningen.
OCTAVE-metod
OCTAVE riskbedömningsmetoden förutsätter en viss grad av involvering av informationsägaren i analysen. Du måste veta att den används för att snabbt bedöma kritiska hot, identifiera tillgångar och identifiera svagheter i informationssäkerhetssystemet. OCTAVE tillhandahåller skapandet av en kompetent analys-, säkerhetsgrupp, som inkluderar anställda i företaget som använder systemet och anställda på informationsavdelningen. OCTAVE består av tre steg:
Först bedöms organisationen, det vill säga analysgruppen bestämmer kriterierna för att bedöma skadan, och därefter riskerna. Organisationens viktigaste resurser identifieras, det allmänna tillståndet i processen för att upprätthålla IT-säkerheten i företaget bedöms. Det sista steget är att identifiera säkerhetskrav och definiera en lista över risker
- Det andra steget är en omfattande analys av företagets informationsinfrastruktur. Tonvikten läggs på ett snabbt och samordnat samspel mellan medarbetare och avdelningar som ansvarar för dettainfrastruktur.
- I det tredje steget genomförs utvecklingen av säkerhetstaktik, en plan skapas för att minska möjliga risker och skydda informationsresurser. Den möjliga skadan och sannolikheten för genomförande av hot bedöms också, liksom kriterierna för deras utvärdering.
Matrismetod för riskanalys
Denna analysmetod sammanför hot, sårbarheter, tillgångar och informationssäkerhetskontroller och bestämmer deras betydelse för organisationens respektive tillgångar. En organisations tillgångar är materiella och immateriella objekt som är betydande när det gäller användbarhet. Det är viktigt att veta att matrismetoden består av tre delar: en hotmatris, en sårbarhetsmatris och en kontrollmatris. Resultaten av alla tre delarna av denna metod används för riskanalys.
Det är värt att överväga förhållandet mellan alla matriser under analysen. Så till exempel är en sårbarhetsmatris en länk mellan tillgångar och befintliga sårbarheter, en hotmatris är en samling av sårbarheter och hot, och en kontrollmatris länkar begrepp som hot och kontroller. Varje cell i matrisen återspeglar förhållandet mellan kolumnen och radelementet. Hög-, medel- och låggraderingssystem används.
För att skapa en tabell måste du skapa listor över hot, sårbarheter, kontroller och tillgångar. Data läggs till om interaktionen av innehållet i matriskolumnen med innehållet i raden. Senare överförs sårbarhetsmatrisdatan till hotmatrisen och sedan, enligt samma princip, överförs information från hotmatrisen till kontrollmatrisen.
Slutsats
Datans rollökade avsevärt i och med att ett antal länder övergick till marknadsekonomi. Utan snabb mottagning av nödvändig information är företagets normala funktion helt enkelt omöjlig.
Tillsammans med utvecklingen av informationsteknologi har det uppstått så kallade informationsrisker som utgör ett hot mot företagens verksamhet. Det är därför de behöver identifieras, analyseras och utvärderas för ytterligare minskning, överföring eller bortskaffande. Utformningen och genomförandet av en säkerhetspolicy kommer att vara ineffektiv om de befintliga reglerna inte används korrekt på grund av inkompetens eller bristande medvetenhet hos anställda. Det är viktigt att utveckla ett komplex för efterlevnad av informationssäkerhet.
Riskhantering är ett subjektivt, komplext men samtidigt ett viktigt steg i företagets verksamhet. Den största tonvikten på säkerheten för deras data bör läggas av ett företag som arbetar med stora mängder information eller äger konfidentiell data.
Det finns väldigt många effektiva metoder för att beräkna och analysera informationsrelaterade risker som gör att du snabbt kan informera företaget och låta det följa reglerna för konkurrenskraft på marknaden, samt upprätthålla säkerhet och affärskontinuitet.