Inforiskid: kontseptsioon, analüüs, hindamine

Sisukord:

Inforiskid: kontseptsioon, analüüs, hindamine
Inforiskid: kontseptsioon, analüüs, hindamine
Anonim

Meie ajastul on teabel üks võtmepositsioone kõigis inimelu valdkondades. Selle põhjuseks on ühiskonna järkjärguline üleminek industriaalajastust postindustriaalsele ajastule. Erineva info kasutamise, omamise ja edastamise tulemusena võivad tekkida inforiskid, mis võivad mõjutada kogu majandussfääri.

Millised tööstusharud kasvavad kõige kiiremini?

Infovoogude kasv on iga aastaga üha märgatavam, kuna tehnilise innovatsiooni laienemine muudab uute tehnoloogiate kohandamisega seotud info kiire edastamise tungivaks vajaduseks. Meie ajal arenevad sellised tööstusharud nagu tööstus, kaubandus, haridus ja rahandus koheselt. Just andmete edastamise ajal tekivad neis inforiskid.

Inforiskid
Inforiskid

Info on muutumas üheks väärtuslikumaks tooteliigiks, mille kogumaksumus ületab peagi kõigi tootmistoodete hinna. See juhtub, sestTagamaks kõigi materiaalsete kaupade ja teenuste ressursisäästlikku loomist, on vaja pakkuda põhimõtteliselt uut infoedastusviisi, mis välistab inforiskide võimaluse.

Definitsioon

Meie ajal puudub teaberiski üheselt mõistetav definitsioon. Paljud eksperdid tõlgendavad seda terminit kui sündmust, millel on otsene mõju mitmele teabele. See võib olla konfidentsiaalsuse rikkumine, moonutamine ja isegi kustutamine. Paljude jaoks on riskitsoon piiratud arvutisüsteemidega, mis on põhirõhk.

Teabe kaitse
Teabe kaitse

Tihti ei arvestata seda teemat uurides paljusid tõeliselt olulisi aspekte. Nende hulka kuulub teabe otsene töötlemine ja teaberiskide juhtimine. Lõppude lõpuks tekivad andmetega seotud riskid reeglina hankimise etapis, kuna teabe ebaõige tajumise ja töötlemise tõenäosus on suur. Sageli ei pöörata piisav alt tähelepanu riskidele, mis põhjustavad andmetöötlusalgoritmide tõrkeid, samuti tõrkeid haldamise optimeerimiseks kasutatavates programmides.

Paljud arvestavad teabe töötlemisega seotud riskidega ainult majanduslikust küljest. Nende jaoks on see eelkõige risk, mis on seotud infotehnoloogia ebaõige rakendamise ja kasutamisega. See tähendab, et teaberiskide juhtimine hõlmab selliseid protsesse nagu teabe loomine, edastamine, säilitamine ja kasutamine, sõltuv alt erinevate meediumide ja sidevahendite kasutamisest.

Analüüs jaIT-riskide klassifikatsioon

Millised on teabe vastuvõtmise, töötlemise ja edastamisega seotud riskid? Mille poolest need erinevad? Teaberiskide kvalitatiivseks ja kvantitatiivseks hindamiseks on mitu rühma vastav alt järgmistele kriteeriumidele:

  • sisemiste ja väliste esinemisallikate järgi;
  • tahtlikult ja tahtmatult;
  • otseselt või kaudselt;
  • teabe rikkumise tüübi järgi: usaldusväärsus, asjakohasus, täielikkus, andmete konfidentsiaalsus jne;
  • vastav alt mõjumeetodile on riskid järgmised: vääramatu jõud ja loodusõnnetused, spetsialistide vead, õnnetused jne.
    • Andmekaitse
    Andmekaitse

Teaberiskianalüüs on infosüsteemide kaitsetaseme globaalse hindamise protsess koos erinevate riskide kvantiteedi (sularaharessursid) ja kvaliteedi (madal, keskmine, kõrge risk) määramisega. Analüüsiprotsessi saab läbi viia erinevate meetodite ja vahenditega teabe kaitsmise viiside loomiseks. Sellise analüüsi tulemuste põhjal on võimalik kindlaks teha suurimad riskid, mis võivad olla vahetuks ohuks ja stiimulid lisameetmete viivitamatuks kasutuselevõtuks, mis aitavad kaasa inforessursside kaitsele.

IT-riskide määramise metoodika

Praegu puudub üldtunnustatud meetod, mis määraks usaldusväärselt infotehnoloogia spetsiifilised riskid. See on tingitud asjaolust, et pole piisav alt statistilisi andmeid, mis annaksid täpsemat teavetühised riskid. Olulist rolli mängib ka asjaolu, et konkreetse inforessursi väärtust on keeruline põhjalikult määrata, kuna tootja või ettevõtte omanik oskab infokandjate maksumust absoluutse täpsusega nimetada, kuid tal on raske seda teha. avaldada neil oleva teabe maksumus. Seetõttu on IT-riskide maksumuse määramisel hetkel parim valik kvalitatiivne hindamine, tänu millele tehakse täpselt kindlaks erinevad riskitegurid ning nende mõjupiirkonnad ja tagajärjed kogu ettevõttele.

Infoturbe meetodid
Infoturbe meetodid

Ühendkuningriigis kasutatav CRAMM-meetod on kõige võimsam viis kvantitatiivsete riskide tuvastamiseks. Selle tehnika peamised eesmärgid on järgmised:

  • riskijuhtimisprotsessi automatiseerimine;
  • sularahahalduskulude optimeerimine;
  • ettevõtte turvasüsteemide tootlikkus;
  • pühendumus äritegevuse järjepidevusele.

Eksperdi riskianalüüsi meetod

Eksperdid võtavad arvesse järgmisi teabeturbe riskianalüüsi tegureid:

1. Ressursikulu. See väärtus peegeldab teaberessursi kui sellise väärtust. On olemas kvalitatiivse riski hindamissüsteem skaalal, kus 1 on miinimum, 2 keskmine väärtus ja 3 maksimum. Kui arvestada pangakeskkonna IT-ressursse, siis selle automatiseeritud serveri väärtus on 3 ja eraldi infoterminal - 1.

Infoturbe süsteem
Infoturbe süsteem

2. Ressursi haavatavuse aste. See näitab ohu suurust ja IT-ressursi kahjustamise tõenäosust. Kui rääkida pangandusorganisatsioonist, siis automatiseeritud pangasüsteemi server on võimalikult ligipääsetav, seega on häkkerite rünnakud sellele kõige suurem oht. Samuti on olemas hindamisskaala 1–3, kus 1 on väike mõju, 2 on ressursi taastamise suur tõenäosus, 3 on vajadus ressursi täielikuks asendamiseks pärast ohu neutraliseerimist.

3. Ohu võimalikkuse hindamine. See määrab teatud ohu tõenäosuse teaberessursile tingimuslikuks perioodiks (kõige sagedamini - aastaks) ja nagu eelmisi tegureid, saab seda hinnata skaalal 1 kuni 3 (madal, keskmine, kõrge)..

Teabeturberiskide haldamine nende ilmnemisel

Tekkivate riskidega seotud probleemide lahendamiseks on järgmised võimalused:

  • riski aktsepteerimine ja kahjude eest vastutuse võtmine;
  • riski vähendamine, st selle tekkimisega seotud kahjude minimeerimine;
  • ülekanne ehk kahju hüvitamise kulude määramine kindlustusseltsile või teatud mehhanismide kaudu muundumine madalaima ohutasemega riskiks.

Seejärel jaotatakse teabetoe riskid auastme järgi, et tuvastada esmased. Selliste riskide maandamiseks on vaja neid vähendada ja mõnikord ka kindlustusseltsile üle kanda. Riskide võimalik ülekandmine ja vähendamine kõrge jakeskmise tasemega samadel tingimustel ja madalama taseme riske aktsepteeritakse sageli ja neid ei lisata edasisesse analüüsi.

Andmekaitse
Andmekaitse

Arvestada tasub tõsiasjaga, et riskide pingerida infosüsteemides määratakse nende kvalitatiivse väärtuse arvutamise ja määramise alusel. See tähendab, et kui riskide järjestusvahemik on vahemikus 1 kuni 18, siis madalate riskide vahemik on 1 kuni 7, keskmise riski vahemik 8 kuni 13 ja kõrge riskiga 14 kuni 18. Ettevõtluse olemus inforiski juhtimine on keskmiste ja kõrgete riskide vähendamine madalaima väärtuseni, et nende aktsepteerimine oleks võimalikult optimaalne ja võimalik.

CORASe riskide maandamise meetod

CORAS-meetod on osa infoühiskonna tehnoloogiate programmist. Selle tähendus seisneb teaberiskide näidete analüüsi läbiviimiseks tõhusate meetodite kohandamises, konkretiseerimises ja kombineerimises.

CORASe metoodikas kasutatakse järgmisi riskianalüüsi protseduure:

  • meetmed kõnealuse objekti kohta teabe otsimise ja süstematiseerimise ettevalmistamiseks;
  • kliendi poolt objektiivsete ja õigete andmete esitamine kõnealuse objekti kohta;
  • eelseisva analüüsi täielik kirjeldus, võttes arvesse kõiki etappe;
  • esitatud dokumentide autentsuse ja õigsuse analüüs objektiivsemaks analüüsiks;
  • tegevuste läbiviimine võimalike riskide tuvastamiseks;
  • tekkivate infoohtude kõigi tagajärgede hindamine;
  • tuues esile riske, mida ettevõte võib võtta, ja riske, mida ettevõte võib võttatuleb võimalikult kiiresti vähendada või ümber suunata;
  • meetmed võimalike ohtude kõrvaldamiseks.

Oluline on märkida, et loetletud meetmed ei nõua rakendamiseks ja hilisemaks rakendamiseks märkimisväärseid jõupingutusi ja ressursse. CORASe metoodikat on üsna lihtne kasutada ja selle kasutamise alustamine ei nõua palju koolitust. Selle tööriistakomplekti ainsaks puuduseks on perioodilisuse puudumine hindamisel.

OCTAVE meetod

OCTAVE riskihindamise meetod eeldab teabeomaniku teatud kaasatust analüüsi. Peate teadma, et seda kasutatakse kriitiliste ohtude kiireks hindamiseks, varade tuvastamiseks ja infoturbesüsteemi nõrkuste tuvastamiseks. OCTAVE näeb ette pädeva analüüsi-, turvagrupi loomise, kuhu kuuluvad süsteemi kasutava ettevõtte töötajad ja infoosakonna töötajad. OCTAVE koosneb kolmest etapist:

Esm alt hinnatakse organisatsiooni ehk analüüsigrupp määrab kindlaks kahju ja seejärel riskide hindamise kriteeriumid. Selgitatakse välja organisatsiooni olulisemad ressursid, hinnatakse IT-turvalisuse säilitamise protsessi üldist seisu ettevõttes. Viimane samm on turvanõuete tuvastamine ja riskide loendi määratlemine

Kuidas tagada infoturve?
Kuidas tagada infoturve?
  • Teine etapp on ettevõtte infoinfrastruktuuri põhjalik analüüs. Rõhk on pandud kiirele ja koordineeritud suhtlusele töötajate ja selle eest vastutavate osakondade vahelinfrastruktuur.
  • Kolmandas etapis viiakse läbi turvataktika väljatöötamine, koostatakse plaan võimalike riskide vähendamiseks ja inforessursside kaitsmiseks. Samuti hinnatakse võimalikku kahju ja ohtude realiseerumise tõenäosust ning nende hindamise kriteeriume.

Riskianalüüsi maatriksmeetod

See analüüsimeetod koondab ohud, haavatavused, varad ja infoturbe kontrollelemendid ning määrab nende tähtsuse organisatsiooni vastavate varade jaoks. Organisatsiooni varadeks on materiaalsed ja immateriaalsed objektid, mis on kasulikkuse mõttes olulised. Oluline on teada, et maatriksmeetod koosneb kolmest osast: ohumaatriksist, haavatavuse maatriksist ja kontrollmaatriksist. Selle metoodika kõigi kolme osa tulemusi kasutatakse riskianalüüsiks.

Analüüsi käigus tasub arvestada kõigi maatriksite seostega. Näiteks haavatavuse maatriks on seos varade ja olemasolevate haavatavuste vahel, ohumaatriks on haavatavuste ja ohtude kogum ning juhtimismaatriks ühendab selliseid mõisteid nagu ohud ja juhtelemendid. Iga maatriksi lahter peegeldab veeru ja rea elemendi suhet. Kasutatakse kõrget, keskmist ja madalat hindamissüsteeme.

Tabeli loomiseks peate looma ohtude, haavatavuste, juhtelementide ja varade loendid. Lisatakse andmed maatriksi veeru sisu interaktsiooni kohta rea sisuga. Hiljem kantakse haavatavuse maatriksi andmed üle ohumaatriksisse ja seejärel sama põhimõtte kohaselt edastatakse ohumaatriksi teave kontrollmaatriksisse.

Järeldus

Andmete rollsuurenes märkimisväärselt mitme riigi üleminekuga turumajandusele. Ilma õigeaegse vajaliku teabeta on ettevõtte normaalne toimimine lihts alt võimatu.

Koos infotehnoloogia arenguga on tekkinud nn inforiskid, mis ohustavad ettevõtete tegevust. Seetõttu tuleb need edasiseks vähendamiseks, üleandmiseks või kõrvaldamiseks tuvastada, analüüsida ja hinnata. Turvapoliitika kujundamine ja rakendamine on ebaefektiivne, kui olemasolevaid reegleid ei kasutata nõuetekohaselt töötajate oskamatuse või teadlikkuse puudumise tõttu. Infoturbe järgimiseks on oluline välja töötada kompleks.

Riskijuhtimine on subjektiivne, kompleksne, kuid samas oluline etapp ettevõtte tegevuses. Suurimat rõhku oma andmete turvalisusele peaks panema ettevõte, mis töötab suure hulga teabega või omab konfidentsiaalseid andmeid.

Teabega seotud riskide arvutamiseks ja analüüsimiseks on olemas väga palju tõhusaid meetodeid, mis võimaldavad ettevõtet kiiresti teavitada ja võimaldada tal järgida turul konkurentsireegleid ning säilitada turvalisus ja talitluspidevus.

Soovitan:

Majanduse risk – mis see on? Riskide mõiste, liigid ja hindamine majanduses

Majanduse risk – mis see on? Riskide mõiste, liigid ja hindamine majanduses

See artikkel tõstab esile riskide mõiste kaasaegsetes majandussüsteemides. Esitatakse peamised olemasolevad riskiliigid ja nende klassifikatsioon. Täpsem alt käsitletakse riskihindamise küsimusi ja võimalikke populaarseid meetodeid selles valdkonnas

Riski tuvastamine: põhimõisted, hindamine ja määramismeetodid

Riski tuvastamine: põhimõisted, hindamine ja määramismeetodid

Riskijuhtimisest on saanud kaasaegsete äriarendusstrateegiate asendamatu komponent. Ühtegi äriplaani ei aktsepteerita ilma peatükita, milles kirjeldatakse üksikasjalikult võimalikke riske ja nende juhtimist. Kuid kõigepe alt peate tuvastama riskid. Ebakindluse juhtimise edukus üldiselt sõltub sellest, kuidas seda tehakse

Strateegilised riskid: liigid, analüüs ja hindamine

Strateegilised riskid: liigid, analüüs ja hindamine

Valed juhtimisotsused, aga ka õigete otsuste ebaõige elluviimine ja ebapiisav reageerimine pidevatele muutustele ärikeskkonnas tekitavad olukordi, kus strateegilised riskid suurenevad, kui finantsvood ja kapital on ohus

Andmete analüüs ja hindamine. Andmete hindamise meetodid

Andmete analüüs ja hindamine. Andmete hindamise meetodid

Nagu teate, nimetatakse XXI sajandit infotehnoloogia sajandiks. Tõepoolest, tänapäeva inimene kasutab teabe hankimiseks ja töötlemiseks erinevaid meetodeid. Analüütika võtab teabe kasutamise protsessis erilise koha

Andmekaeve on Kontseptsioon, algoritmi analüüs, eesmärk ja rakendus

Andmekaeve on Kontseptsioon, algoritmi analüüs, eesmärk ja rakendus

Infotehnoloogia areng toob praktilisi tulemusi. Kuid sellised ülesanded nagu teabe leidmine, analüüsimine ja kasutamine pole veel tõhusat kvaliteetset tööriista saanud. On olemas analüütika ja kvantitatiivsed tööriistad, need tõesti töötavad. Kuid kvalitatiivset revolutsiooni teabe kasutamisel pole veel toimunud

Üles artiklid

Enim kuu

Ekspertide nõustamine