Meie ajastul on teabel üks võtmepositsioone kõigis inimelu valdkondades. Selle põhjuseks on ühiskonna järkjärguline üleminek industriaalajastust postindustriaalsele ajastule. Erineva info kasutamise, omamise ja edastamise tulemusena võivad tekkida inforiskid, mis võivad mõjutada kogu majandussfääri.
Millised tööstusharud kasvavad kõige kiiremini?
Infovoogude kasv on iga aastaga üha märgatavam, kuna tehnilise innovatsiooni laienemine muudab uute tehnoloogiate kohandamisega seotud info kiire edastamise tungivaks vajaduseks. Meie ajal arenevad sellised tööstusharud nagu tööstus, kaubandus, haridus ja rahandus koheselt. Just andmete edastamise ajal tekivad neis inforiskid.
Info on muutumas üheks väärtuslikumaks tooteliigiks, mille kogumaksumus ületab peagi kõigi tootmistoodete hinna. See juhtub, sestTagamaks kõigi materiaalsete kaupade ja teenuste ressursisäästlikku loomist, on vaja pakkuda põhimõtteliselt uut infoedastusviisi, mis välistab inforiskide võimaluse.
Definitsioon
Meie ajal puudub teaberiski üheselt mõistetav definitsioon. Paljud eksperdid tõlgendavad seda terminit kui sündmust, millel on otsene mõju mitmele teabele. See võib olla konfidentsiaalsuse rikkumine, moonutamine ja isegi kustutamine. Paljude jaoks on riskitsoon piiratud arvutisüsteemidega, mis on põhirõhk.
Tihti ei arvestata seda teemat uurides paljusid tõeliselt olulisi aspekte. Nende hulka kuulub teabe otsene töötlemine ja teaberiskide juhtimine. Lõppude lõpuks tekivad andmetega seotud riskid reeglina hankimise etapis, kuna teabe ebaõige tajumise ja töötlemise tõenäosus on suur. Sageli ei pöörata piisav alt tähelepanu riskidele, mis põhjustavad andmetöötlusalgoritmide tõrkeid, samuti tõrkeid haldamise optimeerimiseks kasutatavates programmides.
Paljud arvestavad teabe töötlemisega seotud riskidega ainult majanduslikust küljest. Nende jaoks on see eelkõige risk, mis on seotud infotehnoloogia ebaõige rakendamise ja kasutamisega. See tähendab, et teaberiskide juhtimine hõlmab selliseid protsesse nagu teabe loomine, edastamine, säilitamine ja kasutamine, sõltuv alt erinevate meediumide ja sidevahendite kasutamisest.
Analüüs jaIT-riskide klassifikatsioon
Millised on teabe vastuvõtmise, töötlemise ja edastamisega seotud riskid? Mille poolest need erinevad? Teaberiskide kvalitatiivseks ja kvantitatiivseks hindamiseks on mitu rühma vastav alt järgmistele kriteeriumidele:
- sisemiste ja väliste esinemisallikate järgi;
- tahtlikult ja tahtmatult;
- otseselt või kaudselt;
- teabe rikkumise tüübi järgi: usaldusväärsus, asjakohasus, täielikkus, andmete konfidentsiaalsus jne;
- vastav alt mõjumeetodile on riskid järgmised: vääramatu jõud ja loodusõnnetused, spetsialistide vead, õnnetused jne.
Teaberiskianalüüs on infosüsteemide kaitsetaseme globaalse hindamise protsess koos erinevate riskide kvantiteedi (sularaharessursid) ja kvaliteedi (madal, keskmine, kõrge risk) määramisega. Analüüsiprotsessi saab läbi viia erinevate meetodite ja vahenditega teabe kaitsmise viiside loomiseks. Sellise analüüsi tulemuste põhjal on võimalik kindlaks teha suurimad riskid, mis võivad olla vahetuks ohuks ja stiimulid lisameetmete viivitamatuks kasutuselevõtuks, mis aitavad kaasa inforessursside kaitsele.
IT-riskide määramise metoodika
Praegu puudub üldtunnustatud meetod, mis määraks usaldusväärselt infotehnoloogia spetsiifilised riskid. See on tingitud asjaolust, et pole piisav alt statistilisi andmeid, mis annaksid täpsemat teavetühised riskid. Olulist rolli mängib ka asjaolu, et konkreetse inforessursi väärtust on keeruline põhjalikult määrata, kuna tootja või ettevõtte omanik oskab infokandjate maksumust absoluutse täpsusega nimetada, kuid tal on raske seda teha. avaldada neil oleva teabe maksumus. Seetõttu on IT-riskide maksumuse määramisel hetkel parim valik kvalitatiivne hindamine, tänu millele tehakse täpselt kindlaks erinevad riskitegurid ning nende mõjupiirkonnad ja tagajärjed kogu ettevõttele.
Ühendkuningriigis kasutatav CRAMM-meetod on kõige võimsam viis kvantitatiivsete riskide tuvastamiseks. Selle tehnika peamised eesmärgid on järgmised:
- riskijuhtimisprotsessi automatiseerimine;
- sularahahalduskulude optimeerimine;
- ettevõtte turvasüsteemide tootlikkus;
- pühendumus äritegevuse järjepidevusele.
Eksperdi riskianalüüsi meetod
Eksperdid võtavad arvesse järgmisi teabeturbe riskianalüüsi tegureid:
1. Ressursikulu. See väärtus peegeldab teaberessursi kui sellise väärtust. On olemas kvalitatiivse riski hindamissüsteem skaalal, kus 1 on miinimum, 2 keskmine väärtus ja 3 maksimum. Kui arvestada pangakeskkonna IT-ressursse, siis selle automatiseeritud serveri väärtus on 3 ja eraldi infoterminal - 1.
2. Ressursi haavatavuse aste. See näitab ohu suurust ja IT-ressursi kahjustamise tõenäosust. Kui rääkida pangandusorganisatsioonist, siis automatiseeritud pangasüsteemi server on võimalikult ligipääsetav, seega on häkkerite rünnakud sellele kõige suurem oht. Samuti on olemas hindamisskaala 1–3, kus 1 on väike mõju, 2 on ressursi taastamise suur tõenäosus, 3 on vajadus ressursi täielikuks asendamiseks pärast ohu neutraliseerimist.
3. Ohu võimalikkuse hindamine. See määrab teatud ohu tõenäosuse teaberessursile tingimuslikuks perioodiks (kõige sagedamini - aastaks) ja nagu eelmisi tegureid, saab seda hinnata skaalal 1 kuni 3 (madal, keskmine, kõrge)..
Teabeturberiskide haldamine nende ilmnemisel
Tekkivate riskidega seotud probleemide lahendamiseks on järgmised võimalused:
- riski aktsepteerimine ja kahjude eest vastutuse võtmine;
- riski vähendamine, st selle tekkimisega seotud kahjude minimeerimine;
- ülekanne ehk kahju hüvitamise kulude määramine kindlustusseltsile või teatud mehhanismide kaudu muundumine madalaima ohutasemega riskiks.
Seejärel jaotatakse teabetoe riskid auastme järgi, et tuvastada esmased. Selliste riskide maandamiseks on vaja neid vähendada ja mõnikord ka kindlustusseltsile üle kanda. Riskide võimalik ülekandmine ja vähendamine kõrge jakeskmise tasemega samadel tingimustel ja madalama taseme riske aktsepteeritakse sageli ja neid ei lisata edasisesse analüüsi.
Arvestada tasub tõsiasjaga, et riskide pingerida infosüsteemides määratakse nende kvalitatiivse väärtuse arvutamise ja määramise alusel. See tähendab, et kui riskide järjestusvahemik on vahemikus 1 kuni 18, siis madalate riskide vahemik on 1 kuni 7, keskmise riski vahemik 8 kuni 13 ja kõrge riskiga 14 kuni 18. Ettevõtluse olemus inforiski juhtimine on keskmiste ja kõrgete riskide vähendamine madalaima väärtuseni, et nende aktsepteerimine oleks võimalikult optimaalne ja võimalik.
CORASe riskide maandamise meetod
CORAS-meetod on osa infoühiskonna tehnoloogiate programmist. Selle tähendus seisneb teaberiskide näidete analüüsi läbiviimiseks tõhusate meetodite kohandamises, konkretiseerimises ja kombineerimises.
CORASe metoodikas kasutatakse järgmisi riskianalüüsi protseduure:
- meetmed kõnealuse objekti kohta teabe otsimise ja süstematiseerimise ettevalmistamiseks;
- kliendi poolt objektiivsete ja õigete andmete esitamine kõnealuse objekti kohta;
- eelseisva analüüsi täielik kirjeldus, võttes arvesse kõiki etappe;
- esitatud dokumentide autentsuse ja õigsuse analüüs objektiivsemaks analüüsiks;
- tegevuste läbiviimine võimalike riskide tuvastamiseks;
- tekkivate infoohtude kõigi tagajärgede hindamine;
- tuues esile riske, mida ettevõte võib võtta, ja riske, mida ettevõte võib võttatuleb võimalikult kiiresti vähendada või ümber suunata;
- meetmed võimalike ohtude kõrvaldamiseks.
Oluline on märkida, et loetletud meetmed ei nõua rakendamiseks ja hilisemaks rakendamiseks märkimisväärseid jõupingutusi ja ressursse. CORASe metoodikat on üsna lihtne kasutada ja selle kasutamise alustamine ei nõua palju koolitust. Selle tööriistakomplekti ainsaks puuduseks on perioodilisuse puudumine hindamisel.
OCTAVE meetod
OCTAVE riskihindamise meetod eeldab teabeomaniku teatud kaasatust analüüsi. Peate teadma, et seda kasutatakse kriitiliste ohtude kiireks hindamiseks, varade tuvastamiseks ja infoturbesüsteemi nõrkuste tuvastamiseks. OCTAVE näeb ette pädeva analüüsi-, turvagrupi loomise, kuhu kuuluvad süsteemi kasutava ettevõtte töötajad ja infoosakonna töötajad. OCTAVE koosneb kolmest etapist:
Esm alt hinnatakse organisatsiooni ehk analüüsigrupp määrab kindlaks kahju ja seejärel riskide hindamise kriteeriumid. Selgitatakse välja organisatsiooni olulisemad ressursid, hinnatakse IT-turvalisuse säilitamise protsessi üldist seisu ettevõttes. Viimane samm on turvanõuete tuvastamine ja riskide loendi määratlemine
- Teine etapp on ettevõtte infoinfrastruktuuri põhjalik analüüs. Rõhk on pandud kiirele ja koordineeritud suhtlusele töötajate ja selle eest vastutavate osakondade vahelinfrastruktuur.
- Kolmandas etapis viiakse läbi turvataktika väljatöötamine, koostatakse plaan võimalike riskide vähendamiseks ja inforessursside kaitsmiseks. Samuti hinnatakse võimalikku kahju ja ohtude realiseerumise tõenäosust ning nende hindamise kriteeriume.
Riskianalüüsi maatriksmeetod
See analüüsimeetod koondab ohud, haavatavused, varad ja infoturbe kontrollelemendid ning määrab nende tähtsuse organisatsiooni vastavate varade jaoks. Organisatsiooni varadeks on materiaalsed ja immateriaalsed objektid, mis on kasulikkuse mõttes olulised. Oluline on teada, et maatriksmeetod koosneb kolmest osast: ohumaatriksist, haavatavuse maatriksist ja kontrollmaatriksist. Selle metoodika kõigi kolme osa tulemusi kasutatakse riskianalüüsiks.
Analüüsi käigus tasub arvestada kõigi maatriksite seostega. Näiteks haavatavuse maatriks on seos varade ja olemasolevate haavatavuste vahel, ohumaatriks on haavatavuste ja ohtude kogum ning juhtimismaatriks ühendab selliseid mõisteid nagu ohud ja juhtelemendid. Iga maatriksi lahter peegeldab veeru ja rea elemendi suhet. Kasutatakse kõrget, keskmist ja madalat hindamissüsteeme.
Tabeli loomiseks peate looma ohtude, haavatavuste, juhtelementide ja varade loendid. Lisatakse andmed maatriksi veeru sisu interaktsiooni kohta rea sisuga. Hiljem kantakse haavatavuse maatriksi andmed üle ohumaatriksisse ja seejärel sama põhimõtte kohaselt edastatakse ohumaatriksi teave kontrollmaatriksisse.
Järeldus
Andmete rollsuurenes märkimisväärselt mitme riigi üleminekuga turumajandusele. Ilma õigeaegse vajaliku teabeta on ettevõtte normaalne toimimine lihts alt võimatu.
Koos infotehnoloogia arenguga on tekkinud nn inforiskid, mis ohustavad ettevõtete tegevust. Seetõttu tuleb need edasiseks vähendamiseks, üleandmiseks või kõrvaldamiseks tuvastada, analüüsida ja hinnata. Turvapoliitika kujundamine ja rakendamine on ebaefektiivne, kui olemasolevaid reegleid ei kasutata nõuetekohaselt töötajate oskamatuse või teadlikkuse puudumise tõttu. Infoturbe järgimiseks on oluline välja töötada kompleks.
Riskijuhtimine on subjektiivne, kompleksne, kuid samas oluline etapp ettevõtte tegevuses. Suurimat rõhku oma andmete turvalisusele peaks panema ettevõte, mis töötab suure hulga teabega või omab konfidentsiaalseid andmeid.
Teabega seotud riskide arvutamiseks ja analüüsimiseks on olemas väga palju tõhusaid meetodeid, mis võimaldavad ettevõtet kiiresti teavitada ja võimaldada tal järgida turul konkurentsireegleid ning säilitada turvalisus ja talitluspidevus.