Inligtingsrisiko's: konsep, ontleding, assessering

INHOUDSOPGAWE:

Inligtingsrisiko's: konsep, ontleding, assessering
Inligtingsrisiko's: konsep, ontleding, assessering
Anonim

In ons era beklee inligting een van die sleutelposisies in alle sfere van die menslike lewe. Dit is as gevolg van die geleidelike oorgang van die samelewing van die industriële era na die post-industriële een. As gevolg van die gebruik, besit en oordrag van verskeie inligting kan inligtingsrisiko's ontstaan wat die hele sfeer van die ekonomie kan raak.

Watter bedrywe groei die vinnigste?

Groei in inligtingsvloei word elke jaar meer en meer opvallend, aangesien die uitbreiding van tegniese innovasie die vinnige oordrag van inligting wat verband hou met die aanpassing van nuwe tegnologieë 'n dringende behoefte maak. In ons tyd ontwikkel nywerhede soos nywerheid, handel, onderwys en finansies oombliklik. Dit is tydens die oordrag van data dat inligtingsrisiko's daarin ontstaan.

Inligtingsrisiko's
Inligtingsrisiko's

Inligting is besig om een van die waardevolste soorte produkte te word, waarvan die totale koste binnekort die prys van alle produksieprodukte sal oorskry. Dit sal gebeur omdat virTen einde die hulpbronbesparende skepping van alle materiële goedere en dienste te verseker, is dit nodig om 'n fundamenteel nuwe manier te verskaf om inligting oor te dra wat die moontlikheid van inligtingsrisiko's uitsluit.

Definisie

In ons tyd is daar geen ondubbelsinnige definisie van inligtingsrisiko nie. Baie kenners interpreteer hierdie term as 'n gebeurtenis wat 'n direkte impak op verskeie inligting het. Dit kan 'n skending van vertroulikheid, verdraaiing en selfs skrapping wees. Vir baie is die risikosone beperk tot rekenaarstelsels, wat die hooffokus is.

Beskerming van inligting
Beskerming van inligting

Dikwels, wanneer hierdie onderwerp bestudeer word, word baie baie belangrike aspekte nie oorweeg nie. Dit sluit die direkte verwerking van inligting en inligtingsrisikobestuur in. Die risiko's verbonde aan data ontstaan immers as 'n reël in die stadium van verkryging, aangesien daar 'n hoë waarskynlikheid is van verkeerde persepsie en verwerking van inligting. Dikwels word daar nie behoorlik aandag gegee aan die risiko's wat mislukkings in dataverwerkingsalgoritmes veroorsaak, sowel as wanfunksies in programme wat gebruik word om bestuur te optimaliseer nie.

Baie oorweeg die risiko's verbonde aan die verwerking van inligting, slegs van die ekonomiese kant. Vir hulle is dit hoofsaaklik 'n risiko wat verband hou met die verkeerde implementering en gebruik van inligtingstegnologie. Dit beteken dat inligtingsrisikobestuur sulke prosesse soos die skepping, oordrag, berging en gebruik van inligting dek, onderhewig aan die gebruik van verskeie media en kommunikasiemiddele.

Ontleding enklassifikasie van IT-risiko's

Wat is die risiko's verbonde aan die ontvangs, verwerking en oordrag van inligting? Op watter manier verskil hulle? Daar is verskeie groepe kwalitatiewe en kwantitatiewe assessering van inligtingsrisiko's volgens die volgende kriteria:

  • volgens interne en eksterne bronne van voorkoms;
  • opsetlik en onbedoeld;
  • direk of indirek;
  • volgens tipe inligtingskending: betroubaarheid, relevansie, volledigheid, datavertroulikheid, ens.;
  • volgens die impakmetode is risiko's soos volg: force majeure en natuurrampe, foute van spesialiste, ongelukke, ens.
  • Data beskerming
    Data beskerming

Inligtingsrisiko-analise is 'n proses van globale assessering van die vlak van beskerming van inligtingstelsels met die bepaling van die hoeveelheid (kontanthulpbronne) en kwaliteit (lae, medium, hoë risiko) van verskeie risiko's. Die ontledingsproses kan uitgevoer word met behulp van verskeie metodes en gereedskap om maniere te skep om inligting te beskerm. Gebaseer op die resultate van so 'n ontleding, is dit moontlik om die hoogste risiko's te bepaal wat 'n onmiddellike bedreiging kan wees en 'n aansporing vir die onmiddellike aanvaarding van bykomende maatreëls wat bydra tot die beskerming van inligtingsbronne.

Metodologie vir die bepaling van IT-risiko's

Daar is tans geen algemeen aanvaarde metode wat die spesifieke risiko's van inligtingstegnologie betroubaar bepaal nie. Dit is te wyte aan die feit dat daar nie genoeg statistiese data is wat meer spesifieke inligting oor sal verskaf niealgemene risiko's. 'n Belangrike rol word ook gespeel deur die feit dat dit moeilik is om die waarde van 'n bepaalde inligtingshulpbron deeglik te bepaal, omdat 'n vervaardiger of eienaar van 'n onderneming die koste van inligtingsmedia met absolute akkuraatheid kan noem, maar hy sal dit moeilik vind om die koste van inligting wat daarop geleë is, uit te druk. Daarom is die beste opsie vir die bepaling van die koste van IT-risiko's tans 'n kwalitatiewe assessering, waardeur verskeie risikofaktore akkuraat geïdentifiseer word, sowel as die areas van hul invloed en die gevolge vir die hele onderneming.

Inligting sekuriteit metodes
Inligting sekuriteit metodes

Die CRAMM-metode wat in die VK gebruik word, is die kragtigste manier om kwantitatiewe risiko's te identifiseer. Die hoofdoelwitte van hierdie tegniek sluit in:

  • outomatiseer die risikobestuursproses;
  • optimering van kontantbestuurskoste;
  • produktiwiteit van maatskappysekuriteitstelsels;
  • verbintenis tot besigheidskontinuïteit.

Deskundige risiko-analisemetode

Kenners oorweeg die volgende inligtingsekuriteitrisiko-ontledingsfaktore:

1. Hulpbronkoste. Hierdie waarde weerspieël die waarde van die inligtingshulpbron as sodanig. Daar is 'n evalueringstelsel van kwalitatiewe risiko op 'n skaal waar 1 die minimum is, 2 die gemiddelde waarde en 3 die maksimum is. As ons die IT-hulpbronne van die bankomgewing in ag neem, sal sy outomatiese bediener 'n waarde van 3 hê, en 'n aparte inligtingterminaal - 1.

Inligting sekuriteit stelsel
Inligting sekuriteit stelsel

2. Die mate van kwesbaarheid van die hulpbron. Dit toon die omvang van die bedreiging en die waarskynlikheid van skade aan 'n IT-hulpbron. As ons van 'n bankorganisasie praat, sal die bediener van die geoutomatiseerde bankstelsel so toeganklik moontlik wees, so hacker-aanvalle is die grootste bedreiging daarvoor. Daar is ook 'n graderingskaal van 1 tot 3, waar 1 'n geringe impak is, 2 'n hoë waarskynlikheid van hulpbronherwinning is, 3 die behoefte is vir 'n volledige vervanging van die hulpbron nadat die gevaar geneutraliseer is.

3. Evaluering van die moontlikheid van 'n bedreiging. Dit bepaal die waarskynlikheid van 'n sekere bedreiging vir 'n inligtingsbron vir 'n voorwaardelike tydperk (meestal - vir 'n jaar) en kan, soos die vorige faktore, beoordeel word op 'n skaal van 1 tot 3 (laag, medium, hoog).

Bestuur inligtingsekuriteitsrisiko's soos dit voorkom

Daar is die volgende opsies om probleme met opkomende risiko's op te los:

  • aanvaar risiko en neem verantwoordelikheid vir hul verliese;
  • vermindering van die risiko, dit wil sê, die vermindering van die verliese wat verband hou met die voorkoms daarvan;
  • oordrag, dit wil sê die oplegging van die koste van vergoeding vir skade aan die versekeringsmaatskappy, of die transformasie deur sekere meganismes in 'n risiko met die laagste vlak van gevaar.

Dan word die risiko's van inligtingondersteuning volgens rangorde versprei om die primêre te identifiseer. Om sulke risiko's te bestuur, is dit nodig om dit te verminder, en soms - om dit na die versekeringsmaatskappy oor te dra. Moontlike oordrag en vermindering van risiko's van hoë enmediumvlak op dieselfde terme, en laervlakrisiko's word dikwels aanvaar en nie by verdere ontleding ingesluit nie.

Data beskerming
Data beskerming

Dit is die moeite werd om die feit in ag te neem dat die rangorde van risiko's in inligtingstelsels bepaal word op grond van die berekening en bepaling van hul kwalitatiewe waarde. Dit wil sê, as die risikorangorde-interval in die reeks van 1 tot 18 is, dan is die reeks lae risiko's van 1 tot 7, medium risiko's is van 8 tot 13, en hoë risiko's is van 14 tot 18. Die essensie van onderneming inligtingsrisikobestuur is om die gemiddelde en hoë risiko's tot die laagste waarde te verminder, sodat die aanvaarding daarvan so optimaal en moontlik as moontlik is.

CORAS-risikobeperkingsmetode

Die CORAS-metode is deel van die inligtingsgemeenskaptegnologie-program. Die betekenis daarvan lê in die aanpassing, konkretisering en kombinasie van effektiewe metodes vir die uitvoer van analise op voorbeelde van inligtingsrisiko's.

CORAS-metodologie gebruik die volgende risiko-ontledingsprosedures:

  • maatreëls om die soektog en sistematisering van inligting oor die betrokke voorwerp voor te berei;
  • voorsiening deur die kliënt van objektiewe en korrekte data oor die betrokke voorwerp;
  • volledige beskrywing van die komende ontleding, met inagneming van alle stadiums;
  • analise van voorgelegde dokumente vir egtheid en korrektheid vir 'n meer objektiewe ontleding;
  • aktiwiteite uitvoer om moontlike risiko's te identifiseer;
  • assessering van al die gevolge van opkomende inligtingsbedreigings;
  • lig die risiko's wat die maatskappy kan neem en die risiko's watmoet so gou moontlik verminder of herlei word;
  • maatreëls om moontlike bedreigings uit te skakel.

Dit is belangrik om daarop te let dat die gelyste maatreëls nie beduidende pogings en hulpbronne vir implementering en daaropvolgende implementering vereis nie. Die CORAS-metodologie is redelik eenvoudig om te gebruik en vereis nie veel opleiding om dit te begin gebruik nie. Die enigste nadeel van hierdie gereedskapstel is die gebrek aan periodisiteit in die assessering.

OCTAVE-metode

Die OCTAVE-risikobepalingsmetode impliseer 'n sekere mate van betrokkenheid van die inligtingeienaar by die ontleding. Jy moet weet dat dit gebruik word om vinnig kritieke bedreigings te assesseer, bates te identifiseer en swakhede in die inligtingsekuriteitstelsel te identifiseer. OCTAVE maak voorsiening vir die skepping van 'n bevoegde analise-, sekuriteitsgroep, wat werknemers van die maatskappy wat die stelsel gebruik en werknemers van die inligtingsafdeling insluit. OCTAVE bestaan uit drie fases:

Eers word die organisasie geassesseer, dit wil sê die ontledingsgroep bepaal die kriteria vir die beoordeling van die skade, en vervolgens die risiko's. Die belangrikste hulpbronne van die organisasie word geïdentifiseer, die algemene toestand van die proses om IT-sekuriteit in die maatskappy te handhaaf word beoordeel. Die laaste stap is om sekuriteitsvereistes te identifiseer en 'n lys risiko's te definieer

Hoe om inligtingsekuriteit te verseker?
Hoe om inligtingsekuriteit te verseker?
  • Die tweede fase is 'n omvattende ontleding van die maatskappy se inligting-infrastruktuur. Klem word gelê op vinnige en gekoördineerde interaksie tussen werknemers en departemente wat hiervoor verantwoordelik isinfrastruktuur.
  • In die derde stadium word die ontwikkeling van sekuriteitstaktieke uitgevoer, 'n plan word geskep om moontlike risiko's te verminder en inligtingsbronne te beskerm. Die moontlike skade en die waarskynlikheid van die implementering van bedreigings word ook beoordeel, sowel as die kriteria vir die evaluering daarvan.

Matriksmetode van risiko-analise

Hierdie ontledingsmetode bring bedreigings, kwesbaarhede, bates en inligtingsekuriteitskontroles bymekaar en bepaal die belangrikheid daarvan vir die organisasie se onderskeie bates. Die bates van 'n organisasie is tasbare en ontasbare voorwerpe wat betekenisvol is in terme van nut. Dit is belangrik om te weet dat die matriksmetode uit drie dele bestaan: 'n bedreigingsmatriks, 'n kwesbaarheidsmatriks en 'n beheermatriks. Die resultate van al drie dele van hierdie metodologie word vir risiko-analise gebruik.

Dit is die moeite werd om die verwantskap van alle matrikse tydens die ontleding te oorweeg. So, byvoorbeeld, 'n kwesbaarheidsmatriks is 'n skakel tussen bates en bestaande kwesbaarhede, 'n bedreigingsmatriks is 'n versameling kwesbaarhede en bedreigings, en 'n beheermatriks verbind konsepte soos bedreigings en kontroles. Elke sel van die matriks weerspieël die verhouding van die kolom- en ry-element. Hoë-, medium- en laegraderingstelsels word gebruik.

Om 'n tabel te skep, moet jy lyste van bedreigings, kwesbaarhede, kontroles en bates skep. Data word bygevoeg oor die interaksie van die inhoud van die matrikskolom met die inhoud van die ry. Later word die kwesbaarheidsmatriksdata na die bedreigingsmatriks oorgedra, en dan, volgens dieselfde beginsel, word inligting van die bedreigingsmatriks na die beheermatriks oorgedra.

Gevolgtrekking

Die rol van dataaansienlik toegeneem met die oorgang van 'n aantal lande na 'n markekonomie. Sonder die tydige ontvangs van die nodige inligting is die normale funksionering van die maatskappy eenvoudig onmoontlik.

Saam met die ontwikkeling van inligtingstegnologie het sogenaamde inligtingsrisiko's ontstaan wat 'n bedreiging vir die aktiwiteite van maatskappye inhou. Dit is hoekom hulle geïdentifiseer, ontleed en geëvalueer moet word vir verdere vermindering, oordrag of wegdoening. Die vorming en implementering van 'n sekuriteitsbeleid sal ondoeltreffend wees as die bestaande reëls nie behoorlik gebruik word nie as gevolg van die onbevoegdheid of gebrek aan bewustheid van werknemers. Dit is belangrik om 'n kompleks te ontwikkel vir voldoening aan inligtingsekuriteit.

Risikobestuur is 'n subjektiewe, komplekse, maar terselfdertyd 'n belangrike stadium in die maatskappy se aktiwiteite. Die grootste klem op die sekuriteit van hul data moet gemaak word deur 'n maatskappy wat met groot hoeveelhede inligting werk of vertroulike data besit.

Daar is 'n groot aantal effektiewe metodes vir die berekening en ontleding van inligtingverwante risiko's wat jou in staat stel om die maatskappy vinnig in te lig en dit toe te laat om aan die reëls van mededingendheid in die mark te voldoen, asook om sekuriteit en besigheidskontinuïteit te handhaaf.

Aanbeveel: