Információs kockázatok: koncepció, elemzés, értékelés

Tartalomjegyzék:

Információs kockázatok: koncepció, elemzés, értékelés
Információs kockázatok: koncepció, elemzés, értékelés
Anonim

Korszakunkban az információ az egyik kulcspozíciót foglalja el az emberi élet minden területén. Ennek oka a társadalom fokozatos átmenete az ipari korszakból a posztindusztriális korszakba. A különféle információk felhasználása, birtoklása és átadása következtében olyan információs kockázatok merülhetnek fel, amelyek a gazdaság egész szféráját érinthetik.

Mely iparágak nőnek a leggyorsabban?

Az információáramlás növekedése évről évre egyre szembetűnőbb, hiszen a technikai innováció bővülése sürgetővé teszi az új technológiák adaptálásához kapcsolódó gyors információátadást. Korunkban az olyan iparágak, mint az ipar, a kereskedelem, az oktatás és a pénzügy, azonnal fejlődnek. Az adatok továbbítása során merülnek fel bennük információs kockázatok.

Információs kockázatok
Információs kockázatok

Az információ az egyik legértékesebb terméktípussá válik, amelynek összköltsége hamarosan meghaladja az összes gyártási termék árát. Ez azért fog megtörténni, mertValamennyi anyagi javak és szolgáltatás erőforráskímélő létrehozása érdekében alapvetően új, az információs kockázatok lehetőségét kizáró információtovábbítási módot kell biztosítani.

Definíció

A mi korunkban az információs kockázatnak nincs egyértelmű meghatározása. Sok szakértő ezt a kifejezést olyan eseményként értelmezi, amely közvetlen hatással van különféle információkra. Ez a titoktartás megsértését, torzítást vagy akár törlést is okozhat. Sokak számára a kockázati zóna a számítógépes rendszerekre korlátozódik, amelyekre összpontosítanak.

Az információ védelme
Az információ védelme

A téma tanulmányozásakor gyakran sok igazán fontos szempontot nem veszünk figyelembe. Ide tartozik az információ közvetlen feldolgozása és az információs kockázatkezelés. Végül is az adatokkal kapcsolatos kockázatok általában a megszerzés szakaszában merülnek fel, mivel nagy a valószínűsége az információ helytelen észlelésének és feldolgozásának. Gyakran nem fordítanak kellő figyelmet azokra a kockázatokra, amelyek az adatfeldolgozási algoritmusok meghibásodását, valamint a kezelés optimalizálására használt programok meghibásodását okozzák.

Sokan kizárólag gazdasági oldalról mérlegelik az információfeldolgozással járó kockázatokat. Számukra ez elsősorban az információs technológia helytelen megvalósításával és használatával kapcsolatos kockázatot jelent. Ez azt jelenti, hogy az információs kockázatkezelés olyan folyamatokat foglal magában, mint az információk létrehozása, továbbítása, tárolása és felhasználása, különféle médiumok és kommunikációs eszközök használatától függően.

Elemzés ésIT kockázatok osztályozása

Milyen kockázatokkal jár az információ fogadása, feldolgozása és továbbítása? Miben különböznek egymástól? Az információs kockázatok minőségi és mennyiségi értékelésének több csoportja van a következő kritériumok szerint:

  • belső és külső előfordulási források szerint;
  • szándékosan és akaratlanul;
  • közvetlenül vagy közvetve;
  • az információ megsértése típusa szerint: megbízhatóság, relevancia, teljesség, adatok bizalmas kezelése stb.;
  • hatásmódszer szerint a kockázatok a következők: vis maior és természeti katasztrófák, szakemberek tévedése, balesetek stb.
  • Adat védelem
    Adat védelem

Az információs kockázatelemzés az információs rendszerek védettségi szintjének globális felmérésének folyamata a különféle kockázatok mennyiségének (készpénzforrások) és minőségének (alacsony, közepes, magas kockázat) meghatározásával. Az elemzési folyamat különféle módszerekkel és eszközökkel végezhető az információvédelem módozatainak kialakítására. Egy ilyen elemzés eredményei alapján meg lehet határozni azokat a legmagasabb kockázatokat, amelyek azonnali fenyegetést jelenthetnek, és olyan további intézkedések azonnali elfogadására ösztönöznek, amelyek hozzájárulnak az információforrások védelméhez.

Az informatikai kockázatok meghatározásának módszertana

Jelenleg nincs olyan általánosan elfogadott módszer, amely megbízhatóan meghatározná az informatika konkrét kockázatait. Ennek oka az a tény, hogy nem áll rendelkezésre elegendő statisztikai adat, amely pontosabb információt nyújtanagyakori kockázatok. Fontos szerepet játszik az is, hogy nehéz egy adott információforrás értékét alaposan meghatározni, mert a gyártó vagy a vállalkozás tulajdonosa abszolút pontossággal tudja megnevezni az információhordozók költségét, de nehezen tudja megmondani. hangoztatják a rajtuk található információk költségeit. Éppen ezért jelenleg az informatikai kockázatok költségének meghatározására a legjobb megoldás a minőségi felmérés, amelynek köszönhetően pontosan azonosíthatóak a különböző kockázati tényezők, valamint ezek hatásterületei és az egész vállalkozásra gyakorolt következményei.

Információbiztonsági módszerek
Információbiztonsági módszerek

Az Egyesült Királyságban használt CRAMM módszer a leghatékonyabb módja a mennyiségi kockázatok azonosításának. Ennek a technikának a fő céljai a következők:

  • automatizálja a kockázatkezelési folyamatot;
  • pénzkezelési költségek optimalizálása;
  • vállalati biztonsági rendszerek termelékenysége;
  • elkötelezettségvállalás az üzletmenet folytonossága mellett.

Szakértői kockázatelemzési módszer

A szakértők a következő információbiztonsági kockázatelemzési tényezőket veszik figyelembe:

1. Erőforrás költség. Ez az érték az információs erőforrás értékét tükrözi. A minőségi kockázat értékelési rendszere létezik egy skálán, ahol 1 a minimum, 2 az átlagérték és 3 a maximum. Ha figyelembe vesszük a banki környezet informatikai erőforrásait, akkor annak automatizált szervere 3-as lesz, egy külön információs terminál pedig 1.

Információbiztonsági rendszer
Információbiztonsági rendszer

2. Az erőforrás sebezhetőségének mértéke. Megmutatja a fenyegetés nagyságát és az IT-erőforrás károsodásának valószínűségét. Ha banki szervezetről beszélünk, akkor az automatizált bankrendszer szervere a lehető legjobban elérhető lesz, ezért a hackertámadások jelentik a legnagyobb veszélyt rá. Létezik egy 1-től 3-ig terjedő besorolási skála is, ahol az 1 a csekély hatás, a 2 az erőforrás-visszanyerés nagy valószínűsége, a 3 pedig az erőforrás teljes cseréjének szükségessége, miután a veszélyt semlegesítették.

3. A fenyegetés lehetőségének felmérése. Meghatározza egy feltételes időtartamra (leggyakrabban egy évre) egy információs erőforrás fenyegetésének valószínűségét, és az előző tényezőkhöz hasonlóan 1-től 3-ig terjedő skálán értékelhető (alacsony, közepes, magas)..

Az információbiztonsági kockázatok fellépésükkori kezelése

A következő lehetőségek állnak rendelkezésre a felmerülő kockázatokkal járó problémák megoldására:

  • kockázatvállalás és felelősségvállalás a veszteségeikért;
  • kockázat csökkentése, azaz az előfordulásával járó veszteségek minimalizálása;
  • transzfer, vagyis a kártérítési költség kiszabása a biztosítóra, vagy bizonyos mechanizmusokon keresztül a legalacsonyabb kockázatú kockázattá alakítás.

Ezután az információs támogatás kockázatai rang szerint vannak elosztva az elsődleges kockázatok azonosítása érdekében. Az ilyen kockázatok kezeléséhez csökkenteni kell őket, és néha át kell adni őket a biztosító társaságnak. A kockázatok lehetséges áthárítása és csökkentése a magas ésKözepes szintű, azonos feltételekkel, és az alacsonyabb szintű kockázatokat gyakran elfogadják, és nem veszik figyelembe a további elemzésben.

Adat védelem
Adat védelem

Érdemes figyelembe venni, hogy az információs rendszerekben a kockázatok rangsorolása a számítás és a minőségi érték meghatározása alapján történik. Vagyis ha a kockázati rangsorolási intervallum 1-től 18-ig terjed, akkor az alacsony kockázatok tartománya 1-től 7-ig, a közepes kockázatok 8-13-ig, a magas kockázatok 14-18-ig terjednek. A vállalkozás lényege Az információs kockázatkezelés célja, hogy az átlagos és magas kockázatokat a legalacsonyabb értékre csökkentsük, hogy azok elfogadása a lehető legoptimálisabb és lehető legoptimálisabb legyen.

CORAS kockázatcsökkentési módszer

A CORAS módszer az Információs Társadalmi Technológiák program része. Jelentése az információs kockázatok példáinak elemzéséhez szükséges hatékony módszerek adaptálásában, konkretizálásában és kombinációjában rejlik.

CORAS módszertana a következő kockázatelemzési eljárásokat használja:

  • intézkedések a kérdéses tárgyra vonatkozó információk keresésének és rendszerezésének előkészítésére;
  • az ügyfél objektív és helyes adatszolgáltatása a kérdéses tárgyról;
  • a közelgő elemzés teljes leírása, minden szakasz figyelembevételével;
  • a benyújtott dokumentumok hitelességének és helyességének elemzése az objektívebb elemzés érdekében;
  • tevékenységek elvégzése a lehetséges kockázatok azonosítása érdekében;
  • az újonnan megjelenő információs fenyegetések összes következményének felmérése;
  • kiemelve azokat a kockázatokat, amelyeket a vállalat vállalhat, és azokat a kockázatokat, amelyeket a vállalat vállalhata lehető leghamarabb csökkenteni kell vagy át kell irányítani;
  • intézkedések a lehetséges fenyegetések kiküszöbölésére.

Fontos megjegyezni, hogy a felsorolt intézkedések végrehajtása és későbbi végrehajtása nem igényel jelentős erőfeszítéseket és erőforrásokat. A CORAS módszertan használata meglehetősen egyszerű, és használatának megkezdése nem igényel sok képzést. Ennek az eszköztárnak az egyetlen hátránya, hogy az értékelés során hiányzik a rendszeresség.

OCTAVE módszer

Az OCTAVE kockázatértékelési módszer magában foglalja az információ tulajdonosának bizonyos fokú bevonását az elemzésbe. Tudnia kell, hogy a kritikus fenyegetések gyors felmérésére, az eszközök azonosítására és az információbiztonsági rendszer gyenge pontjainak azonosítására szolgál. Az OCTAVE gondoskodik egy hozzáértő elemző, biztonsági csoport létrehozásáról, amely magában foglalja a rendszert használó cég munkatársait és az információs osztály munkatársait. Az OCTAVE három szakaszból áll:

Először a szervezet felmérése történik, vagyis az elemző csoport meghatározza a károk, majd a kockázatok felmérésének kritériumait. Azonosítják a szervezet legfontosabb erőforrásait, felmérik a vállalat informatikai biztonságának fenntartási folyamatának általános állapotát. Az utolsó lépés a biztonsági követelmények azonosítása és a kockázatok listájának meghatározása

Hogyan biztosítható az információbiztonság?
Hogyan biztosítható az információbiztonság?
  • A második szakasz a vállalat információs infrastruktúrájának átfogó elemzése. A hangsúly az alkalmazottak és az ezért felelős osztályok közötti gyors és összehangolt interakción vaninfrastruktúra.
  • A harmadik szakaszban a biztonsági taktika kidolgozása történik, tervet készítenek az esetleges kockázatok csökkentésére és az információs források védelmére. Felmérik a lehetséges károkat és a fenyegetések megvalósulásának valószínűségét, valamint értékelésük szempontjait is.

Matrix kockázatelemzési módszer

Ez az elemzési módszer egyesíti a fenyegetéseket, sebezhetőségeket, eszközöket és információbiztonsági ellenőrzéseket, és meghatározza ezek fontosságát a szervezet megfelelő eszközei számára. A szervezet eszközei tárgyi és immateriális tárgyak, amelyek hasznosság szempontjából jelentősek. Fontos tudni, hogy a mátrix módszer három részből áll: egy fenyegetési mátrixból, egy sebezhetőségi mátrixból és egy kontrollmátrixból. A módszertan mindhárom részének eredményeit a kockázatelemzéshez használjuk.

Az elemzés során érdemes figyelembe venni az összes mátrix kapcsolatát. Így például a sebezhetőségi mátrix egy kapcsolat az eszközök és a meglévő sebezhetőségek között, a fenyegetési mátrix a sebezhetőségek és fenyegetések gyűjteménye, a vezérlőmátrix pedig olyan fogalmakat kapcsol össze, mint a fenyegetések és az ellenőrzések. A mátrix minden cellája az oszlop és a sor elem arányát tükrözi. Magas, közepes és alacsony osztályozási rendszereket használnak.

Táblázat létrehozásához listákat kell létrehoznia a fenyegetésekről, sebezhetőségekről, vezérlőkről és eszközökről. Adatok kerülnek hozzáadásra a mátrixoszlop tartalmának a sor tartalmával való kölcsönhatásáról. Később a sebezhetőségi mátrix adatai átkerülnek a fenyegetési mátrixba, majd ugyanezen elv szerint a fenyegetési mátrix információi átkerülnek a vezérlőmátrixba.

Következtetés

Az adatok szerepejelentősen megnövekedett számos ország piacgazdaságra való átállásával. A szükséges információk időben történő kézhezvétele nélkül a vállalat normális működése egyszerűen lehetetlen.

Az információs technológia fejlődésével együtt megjelentek az úgynevezett információs kockázatok, amelyek veszélyt jelentenek a cégek tevékenységére. Ezért kell azonosítani, elemezni és értékelni a további csökkentés, átadás vagy ártalmatlanítás céljából. A biztonsági politika kialakítása és megvalósítása eredménytelen lesz, ha a meglévő szabályokat nem megfelelően alkalmazzák a dolgozók hozzá nem értése vagy tájékozatlansága miatt. Fontos egy olyan komplexum kidolgozása, amely megfelel az információbiztonságnak.

A kockázatkezelés szubjektív, összetett, de egyben fontos állomása a vállalat tevékenységének. Adataik biztonságára a legnagyobb hangsúlyt annak a cégnek kell helyeznie, amely nagy mennyiségű információval dolgozik, vagy bizalmas adatokkal rendelkezik.

Nagyon sok hatékony módszer létezik az információval kapcsolatos kockázatok kiszámítására és elemzésére, amelyek lehetővé teszik a vállalat gyors tájékoztatását és lehetővé teszik a piaci versenyképesség szabályainak való megfelelést, valamint a biztonság és az üzletmenet folytonosságának fenntartását..

Ajánlott: