I vores æra indtager information en af nøglepositionerne på alle områder af menneskelivet. Dette skyldes samfundets gradvise overgang fra den industrielle æra til den postindustrielle. Som følge af brug, besiddelse og overførsel af forskellige informationer kan der opstå informationsrisici, der kan påvirke hele økonomiens sfære.
Hvilke industrier vokser hurtigst?
Vækst i informationsstrømme bliver mere og mere mærkbar hvert år, da udvidelsen af teknisk innovation gør hurtig overførsel af information relateret til tilpasning af nye teknologier til et presserende behov. I vores tid udvikler brancher som industri, handel, uddannelse og finansiering sig øjeblikkeligt. Det er under overførslen af data, at der opstår informationsrisici i dem.
Information er ved at blive en af de mest værdifulde typer produkter, hvis samlede omkostninger snart vil overstige prisen på alle produktionsprodukter. Dette vil ske pgaFor at sikre ressourcebesparende skabelse af alle materielle varer og tjenester er det nødvendigt at tilbyde en fundament alt ny måde at overføre information på, der udelukker muligheden for informationsrisici.
Definition
I vores tid er der ingen entydig definition af informationsrisiko. Mange eksperter fortolker dette udtryk som en begivenhed, der har en direkte indvirkning på forskellige oplysninger. Dette kan være et brud på fortroligheden, forvrængning og endda sletning. For mange er risikozonen begrænset til computersystemer, som er hovedfokus.
Ofte, når man studerer dette emne, bliver mange virkelig vigtige aspekter ikke taget i betragtning. Disse omfatter direkte behandling af information og informationsrisikostyring. Når alt kommer til alt, opstår risiciene forbundet med data som regel på indhentningsstadiet, da der er stor sandsynlighed for forkert opfattelse og behandling af oplysninger. Ofte tages der ikke behørigt hensyn til de risici, der forårsager fejl i databehandlingsalgoritmer, såvel som funktionsfejl i programmer, der bruges til at optimere styringen.
Mange overvejer de risici, der er forbundet med behandlingen af oplysninger, udelukkende fra den økonomiske side. For dem er dette primært en risiko forbundet med forkert implementering og brug af informationsteknologi. Det betyder, at informationsrisikostyring dækker processer som oprettelse, overførsel, opbevaring og brug af information, med forbehold for brugen af forskellige medier og kommunikationsmidler.
Analyse ogklassificering af it-risici
Hvilke risici er forbundet med at modtage, behandle og overføre oplysninger? På hvilken måde adskiller de sig? Der er flere grupper af kvalitativ og kvantitativ vurdering af informationsrisici i henhold til følgende kriterier:
- ifølge interne og eksterne kilder til forekomst;
- med vilje og utilsigtet;
- direkte eller indirekte;
- efter type af informationsovertrædelse: pålidelighed, relevans, fuldstændighed, datafortrolighed osv.;
- ifølge påvirkningsmetoden er risici som følger: force majeure og naturkatastrofer, fejl fra specialister, ulykker osv.
Informationsrisikoanalyse er en proces med global vurdering af beskyttelsesniveauet for informationssystemer med bestemmelse af mængden (kontante ressourcer) og kvaliteten (lav, middel, høj risiko) af forskellige risici. Analyseprocessen kan udføres ved hjælp af forskellige metoder og værktøjer til at skabe måder at beskytte information på. Baseret på resultaterne af en sådan analyse er det muligt at bestemme de højeste risici, der kan være en umiddelbar trussel og et incitament til øjeblikkelig vedtagelse af yderligere foranst altninger, der bidrager til beskyttelsen af informationsressourcer.
Metode til at bestemme IT-risici
I øjeblikket er der ingen generelt accepteret metode, der pålideligt bestemmer de specifikke risici ved informationsteknologi. Dette skyldes, at der ikke er nok statistiske data, som ville give mere specifik information omalmindelige risici. En vigtig rolle spiller også af det faktum, at det er vanskeligt grundigt at bestemme værdien af en bestemt informationsressource, fordi en producent eller ejer af en virksomhed kan nævne omkostningerne ved informationsmedier med absolut nøjagtighed, men han vil finde det svært at tale om omkostningerne ved oplysninger, der findes på dem. Derfor er den bedste mulighed for at bestemme omkostningerne ved IT-risici i øjeblikket en kvalitativ vurdering, takket være hvilken forskellige risikofaktorer er nøjagtigt identificeret, såvel som områderne for deres indflydelse og konsekvenserne for hele virksomheden.
CRAMM-metoden, der bruges i Storbritannien, er den mest effektive måde at identificere kvantitative risici på. Hovedmålene med denne teknik omfatter:
- automatiser risikostyringsprocessen;
- optimering af omkostninger til kontantstyring;
- produktivitet af virksomhedens sikkerhedssystemer;
- forpligtelse til forretningskontinuitet.
Ekspertrisikoanalysemetode
Eksperter overvejer følgende faktorer til risikoanalyse for informationssikkerhed:
1. Ressourceomkostninger. Denne værdi afspejler værdien af informationsressourcen som sådan. Der er et evalueringssystem for kvalitativ risiko på en skala, hvor 1 er minimum, 2 er gennemsnitsværdi og 3 er maksimum. Hvis vi betragter bankmiljøets IT-ressourcer, vil dens automatiserede server have en værdi på 3 og en separat informationsterminal - 1.
2. Graden af ressourcens sårbarhed. Den viser størrelsen af truslen og sandsynligheden for skade på en it-ressource. Hvis vi taler om en bankorganisation, vil serveren til det automatiserede banksystem være så tilgængelig som muligt, så hackerangreb er den største trussel mod den. Der er også en vurderingsskala fra 1 til 3, hvor 1 er en mindre påvirkning, 2 er en høj sandsynlighed for ressourcegenvinding, 3 er behovet for en fuldstændig udskiftning af ressourcen, efter at faren er neutraliseret.
3. Vurdere muligheden for en trussel. Det bestemmer sandsynligheden for en vis trussel mod en informationsressource i en betinget periode (oftest - i et år) og kan ligesom de foregående faktorer vurderes på en skala fra 1 til 3 (lav, medium, høj).
Håndtering af informationssikkerhedsrisici, efterhånden som de opstår
Der er følgende muligheder for at løse problemer med nye risici:
- accepterer risiko og tager ansvar for deres tab;
- reducere risikoen, det vil sige at minimere de tab, der er forbundet med dets forekomst;
- overførsel, det vil sige pålæggelse af omkostninger til erstatning for skader til forsikringsselskabet, eller transformation gennem visse mekanismer til en risiko med det laveste fareniveau.
Derefter fordeles risiciene ved informationsstøtte efter rangorden for at identificere de primære. For at håndtere sådanne risici er det nødvendigt at reducere dem, og nogle gange - at overføre dem til forsikringsselskabet. Mulig overførsel og reduktion af risici for høje ogmellemniveau på de samme vilkår, og risici på lavere niveau accepteres ofte og indgår ikke i yderligere analyser.
Det er værd at overveje, at rangeringen af risici i informationssystemer bestemmes på grundlag af beregningen og bestemmelsen af deres kvalitative værdi. Det vil sige, at hvis risikorangeringsintervallet er i intervallet fra 1 til 18, så er intervallet af lave risici fra 1 til 7, mellemstore risici er fra 8 til 13, og høje risici er fra 14 til 18. Essensen af virksomhed informationsrisikostyring er at reducere de gennemsnitlige og høje risici ned til den laveste værdi, så deres accept er så optimal og mulig som muligt.
CORAS risikobegrænsende metode
CORAS-metoden er en del af programmet Information Society Technologies. Dens betydning ligger i tilpasningen, konkretiseringen og kombinationen af effektive metoder til at udføre analyser på eksempler på informationsrisici.
CORAS-metoden bruger følgende risikoanalyseprocedurer:
- foranst altninger til forberedelse af søgning og systematisering af information om det pågældende objekt;
- leverance fra klienten af objektive og korrekte data om det pågældende objekt;
- fuld beskrivelse af den kommende analyse, under hensyntagen til alle stadier;
- analyse af indsendte dokumenter for ægthed og korrekthed for en mere objektiv analyse;
- udførelse af aktiviteter for at identificere mulige risici;
- vurdering af alle konsekvenser af nye informationstrusler;
- fremhæver de risici, som virksomheden kan tage, og de risici, somskal reduceres eller omdirigeres så hurtigt som muligt;
- foranst altninger til at eliminere mulige trusler.
Det er vigtigt at bemærke, at de anførte foranst altninger ikke kræver væsentlig indsats og ressourcer til implementering og efterfølgende implementering. CORAS-metoden er ret enkel at bruge og kræver ikke meget træning for at begynde at bruge den. Den eneste ulempe ved dette værktøjssæt er manglen på periodicitet i vurderingen.
OCTAVE-metode
OCTAVE risikovurderingsmetoden indebærer en vis grad af involvering af informationsejeren i analysen. Du skal vide, at den bruges til hurtigt at vurdere kritiske trusler, identificere aktiver og identificere svagheder i informationssikkerhedssystemet. OCTAVE sørger for oprettelse af en kompetent analyse-, sikkerhedsgruppe, som omfatter medarbejdere i virksomheden, der bruger systemet, og medarbejdere i informationsafdelingen. OCTAVE består af tre trin:
Først vurderes organisationen, det vil sige, at analysegruppen fastlægger kriterierne for vurdering af skaden og efterfølgende risici. Organisationens vigtigste ressourcer identificeres, den generelle tilstand af processen med at opretholde it-sikkerheden i virksomheden vurderes. Det sidste trin er at identificere sikkerhedskrav og definere en liste over risici
- Anden fase er en omfattende analyse af virksomhedens informationsinfrastruktur. Der lægges vægt på et hurtigt og koordineret samspil mellem medarbejdere og afdelinger med ansvar herforinfrastruktur.
- På den tredje fase udføres udviklingen af sikkerhedstaktik, en plan oprettes for at reducere mulige risici og beskytte informationsressourcer. Den mulige skade og sandsynligheden for implementering af trusler vurderes også, samt kriterierne for deres evaluering.
Matrixmetode til risikoanalyse
Denne analysemetode samler trusler, sårbarheder, aktiver og informationssikkerhedskontroller og bestemmer deres betydning for organisationens respektive aktiver. En organisations aktiver er materielle og immaterielle genstande, der er væsentlige med hensyn til nytte. Det er vigtigt at vide, at matrixmetoden består af tre dele: en trusselmatrix, en sårbarhedsmatrix og en kontrolmatrix. Resultaterne af alle tre dele af denne metode bruges til risikoanalyse.
Det er værd at overveje forholdet mellem alle matricer under analysen. Så for eksempel er en sårbarhedsmatrix et link mellem aktiver og eksisterende sårbarheder, en trusselmatrix er en samling af sårbarheder og trusler, og en kontrolmatrix forbinder begreber som trusler og kontroller. Hver celle i matrixen afspejler forholdet mellem kolonne- og rækkeelementet. Der bruges høje, mellemstore og lave karaktersystemer.
For at oprette en tabel skal du oprette lister over trusler, sårbarheder, kontroller og aktiver. Der tilføjes data om samspillet mellem indholdet af matrixkolonnen og indholdet af rækken. Senere overføres sårbarhedsmatricens data til trusselsmatricen, og derefter overføres information fra trusselsmatricen efter samme princip til kontrolmatricen.
Konklusion
Dataens rollesteg markant med overgangen fra en række lande til markedsøkonomi. Uden rettidig modtagelse af de nødvendige oplysninger er virksomhedens normale funktion simpelthen umulig.
Sammen med udviklingen af informationsteknologi er der opstået såkaldte informationsrisici, der udgør en trussel mod virksomhedernes aktiviteter. Derfor skal de identificeres, analyseres og evalueres med henblik på yderligere reduktion, overførsel eller bortskaffelse. Udformningen og implementeringen af en sikkerhedspolitik vil være ineffektiv, hvis de eksisterende regler ikke bruges korrekt på grund af medarbejdernes inkompetence eller manglende bevidsthed. Det er vigtigt at udvikle et kompleks til overholdelse af informationssikkerhed.
Risikostyring er en subjektiv, kompleks, men samtidig en vigtig fase i virksomhedens aktiviteter. Den største vægt på sikkerheden af deres data bør lægges af en virksomhed, der arbejder med store mængder information eller ejer fortrolige data.
Der er rigtig mange effektive metoder til at beregne og analysere informationsrelaterede risici, der giver dig mulighed for hurtigt at informere virksomheden og lade den overholde reglerne for konkurrenceevne på markedet, samt opretholde sikkerhed og forretningskontinuitet.