Informatierisico's: concept, analyse, beoordeling

Inhoudsopgave:

Informatierisico's: concept, analyse, beoordeling
Informatierisico's: concept, analyse, beoordeling
Anonim

In onze tijd neemt informatie een van de sleutelposities in op alle gebieden van het menselijk leven. Dit komt door de geleidelijke overgang van de samenleving van het industriële naar het postindustriële tijdperk. Als gevolg van het gebruik, het bezit en de overdracht van verschillende informatie kunnen informatierisico's ontstaan die de hele economie kunnen raken.

Welke industrieën groeien het snelst?

Groei in informatiestromen wordt elk jaar meer en meer merkbaar, aangezien de uitbreiding van technische innovatie de snelle overdracht van informatie met betrekking tot de aanpassing van nieuwe technologieën tot een dringende behoefte maakt. In onze tijd ontwikkelen industrieën zoals industrie, handel, onderwijs en financiën zich onmiddellijk. Tijdens de overdracht van gegevens ontstaan daarin informatierisico's.

Informatierisico's
Informatierisico's

Informatie wordt een van de meest waardevolle soorten producten, waarvan de totale kosten binnenkort de prijs van alle productieproducten zullen overschrijden. Dit zal gebeuren omdat voorOm de hulpbronnenbesparende creatie van alle materiële goederen en diensten te garanderen, is het noodzakelijk om een fundamenteel nieuwe manier te bieden voor het verzenden van informatie die de mogelijkheid van informatierisico's uitsluit.

Definitie

In onze tijd is er geen eenduidige definitie van informatierisico. Veel experts interpreteren deze term als een gebeurtenis die een directe impact heeft op verschillende informatie. Dit kan een schending van de vertrouwelijkheid, vervorming en zelfs verwijdering zijn. Voor velen is de risicozone beperkt tot computersystemen, die centraal staan.

Bescherming van informatie
Bescherming van informatie

Vaak wordt bij het bestuderen van dit onderwerp geen rekening gehouden met veel echt belangrijke aspecten. Deze omvatten de directe verwerking van informatie en informatierisicobeheer. De risico's die aan gegevens zijn verbonden, ontstaan immers in de regel in het stadium van het verkrijgen, omdat de kans op onjuiste perceptie en verwerking van informatie groot is. Vaak wordt onvoldoende aandacht besteed aan de risico's die fouten veroorzaken in gegevensverwerkingsalgoritmen, evenals storingen in programma's die worden gebruikt om het beheer te optimaliseren.

Velen beschouwen de risico's van de verwerking van informatie uitsluitend vanuit de economische kant. Voor hen is dit vooral een risico dat samenhangt met een onjuiste implementatie en gebruik van informatietechnologie. Dit betekent dat informatierisicobeheer processen omvat als het creëren, overdragen, opslaan en gebruiken van informatie, afhankelijk van het gebruik van verschillende media en communicatiemiddelen.

Analyse enclassificatie van IT-risico's

Wat zijn de risico's van het ontvangen, verwerken en verzenden van informatie? Op welke manier verschillen ze? Er zijn verschillende groepen van kwalitatieve en kwantitatieve beoordeling van informatierisico's volgens de volgende criteria:

  • volgens interne en externe bronnen van voorkomen;
  • opzettelijk en onopzettelijk;
  • direct of indirect;
  • per type informatieschending: betrouwbaarheid, relevantie, volledigheid, vertrouwelijkheid van gegevens, enz.;
  • volgens de methode van impact zijn de risico's als volgt: overmacht en natuurrampen, fouten van specialisten, ongevallen, enz.
    • Gegevensbescherming
    Gegevensbescherming

Informatierisicoanalyse is een proces van globale beoordeling van het beschermingsniveau van informatiesystemen met de bepaling van de kwantiteit (geldmiddelen) en kwaliteit (laag, gemiddeld, hoog risico) van verschillende risico's. Het analyseproces kan worden uitgevoerd met behulp van verschillende methoden en hulpmiddelen om manieren te creëren om informatie te beschermen. Op basis van de resultaten van een dergelijke analyse is het mogelijk om de hoogste risico's te bepalen die een onmiddellijke dreiging en een stimulans kunnen zijn voor het onmiddellijk nemen van aanvullende maatregelen die bijdragen aan de bescherming van informatiebronnen.

Methodologie voor het bepalen van IT-risico's

Momenteel is er geen algemeen aanvaarde methode die op betrouwbare wijze de specifieke risico's van informatietechnologie bepa alt. Dit is te wijten aan het feit dat er niet genoeg statistische gegevens zijn die meer specifieke informatie zouden geven over:gemeenschappelijke risico's. Een belangrijke rol wordt ook gespeeld door het feit dat het moeilijk is om de waarde van een bepaalde informatiebron grondig te bepalen, omdat een fabrikant of eigenaar van een onderneming de kosten van informatiemedia met absolute nauwkeurigheid kan noemen, maar hij zal het moeilijk vinden om spreek de kosten uit van de informatie die erop staat. Daarom is op dit moment de beste optie voor het bepalen van de kosten van IT-risico's een kwalitatieve beoordeling, waardoor verschillende risicofactoren nauwkeurig worden geïdentificeerd, evenals de gebieden van hun invloed en de gevolgen voor de hele onderneming.

Methoden voor informatiebeveiliging
Methoden voor informatiebeveiliging

De CRAMM-methode die in het VK wordt gebruikt, is de krachtigste manier om kwantitatieve risico's te identificeren. De belangrijkste doelen van deze techniek zijn:

  • automatiseer het risicobeheerproces;
  • optimalisatie van cash management kosten;
  • productiviteit van bedrijfsbeveiligingssystemen;
  • toewijding aan bedrijfscontinuïteit.

Deskundige risicoanalysemethode

Experts houden rekening met de volgende risicoanalysefactoren voor informatiebeveiliging:

1. Resource kosten. Deze waarde weerspiegelt de waarde van de informatiebron als zodanig. Er is een evaluatiesysteem van kwalitatief risico op een schaal waarbij 1 het minimum is, 2 de gemiddelde waarde en 3 het maximum. Als we kijken naar de IT-bronnen van de bankomgeving, dan heeft de geautomatiseerde server een waarde van 3 en een aparte informatieterminal - 1.

Informatiebeveiligingssysteem
Informatiebeveiligingssysteem

2. De mate van kwetsbaarheid van de bron. Het toont de omvang van de dreiging en de kans op schade aan een IT-resource. Als we het hebben over een bankorganisatie, zal de server van het geautomatiseerde banksysteem zo toegankelijk mogelijk zijn, dus hackeraanvallen vormen de grootste bedreiging daarvoor. Er is ook een beoordelingsschaal van 1 tot 3, waarbij 1 een kleine impact is, 2 een grote kans op herstel van hulpbronnen is, 3 de noodzaak van een volledige vervanging van de hulpbron nadat het gevaar is geneutraliseerd.

3. Het inschatten van de mogelijkheid van een dreiging. Het bepa alt de waarschijnlijkheid van een bepaalde bedreiging voor een informatiebron voor een voorwaardelijke periode (meestal - een jaar) en kan, net als de vorige factoren, worden beoordeeld op een schaal van 1 tot 3 (laag, gemiddeld, hoog).

Beheer van informatiebeveiligingsrisico's wanneer ze zich voordoen

Er zijn de volgende opties om problemen met opkomende risico's op te lossen:

  • risico accepteren en verantwoordelijkheid nemen voor hun verliezen;
  • het risico verminderen, dat wil zeggen, het minimaliseren van de verliezen die verband houden met het optreden ervan;
  • overdracht, dat wil zeggen het opleggen van de kosten van vergoeding van schade aan de verzekeringsmaatschappij, of de transformatie via bepaalde mechanismen in een risico met het laagste gevaar.

Vervolgens worden de risico's van informatieondersteuning per rang verdeeld om de belangrijkste te identificeren. Om dergelijke risico's te beheersen, is het noodzakelijk ze te verminderen, en soms - ze over te dragen aan de verzekeringsmaatschappij. Mogelijke overdracht en vermindering van risico's van hoge enmiddelgroot onder dezelfde voorwaarden, en risico's op een lager niveau worden vaak geaccepteerd en niet meegenomen in verdere analyse.

Gegevensbescherming
Gegevensbescherming

Het is de moeite waard om te overwegen dat de rangschikking van risico's in informatiesystemen wordt bepaald op basis van de berekening en bepaling van hun kwalitatieve waarde. Dat wil zeggen, als het risicoclassificatie-interval tussen 1 en 18 ligt, dan is het bereik van lage risico's van 1 tot 7, gemiddelde risico's van 8 tot 13 en hoge risico's van 14 tot 18. De essentie van ondernemen informatierisicobeheer is het terugbrengen van de gemiddelde en hoge risico's tot de laagste waarde, zodat de acceptatie ervan zo optimaal en mogelijk is.

CORAS risicobeperkingsmethode

De CORAS-methode maakt deel uit van het programma Information Society Technologies. De betekenis ervan ligt in de aanpassing, concretisering en combinatie van effectieve methoden voor het uitvoeren van analyses op voorbeelden van informatierisico's.

CORAS-methodologie gebruikt de volgende risicoanalyseprocedures:

  • maatregelen om het zoeken en systematiseren van informatie over het object in kwestie voor te bereiden;
  • verstrekking door de opdrachtgever van objectieve en correcte gegevens over het betreffende object;
  • volledige beschrijving van de komende analyse, rekening houdend met alle stadia;
  • analyse van ingediende documenten op authenticiteit en correctheid voor een objectievere analyse;
  • activiteiten uitvoeren om mogelijke risico's te identificeren;
  • beoordeling van alle gevolgen van nieuwe informatiebedreigingen;
  • belichten van de risico's die het bedrijf kan nemen en de risico's diemoet zo snel mogelijk worden verminderd of omgeleid;
  • maatregelen om mogelijke bedreigingen te elimineren.

Het is belangrijk op te merken dat de genoemde maatregelen geen aanzienlijke inspanningen en middelen vergen voor implementatie en daaropvolgende implementatie. De CORAS-methodologie is vrij eenvoudig te gebruiken en vereist niet veel training om ermee aan de slag te gaan. Het enige nadeel van deze toolkit is het gebrek aan periodiciteit in de beoordeling.

OCTAVE-methode

De OCTAVE-methode voor risicobeoordeling impliceert een zekere mate van betrokkenheid van de informatie-eigenaar bij de analyse. U moet weten dat het wordt gebruikt om snel kritieke bedreigingen te beoordelen, activa te identificeren en zwakke punten in het informatiebeveiligingssysteem te identificeren. OCTAVE zorgt voor de oprichting van een competente analyse-, beveiligingsgroep, met inbegrip van werknemers van het bedrijf dat het systeem gebruikt en werknemers van de informatieafdeling. OCTAVE bestaat uit drie fasen:

Eerst wordt de organisatie beoordeeld, dat wil zeggen dat de analysegroep de criteria bepa alt voor de beoordeling van de schade en vervolgens de risico's. De belangrijkste middelen van de organisatie worden geïdentificeerd, de algemene toestand van het proces van handhaving van de IT-beveiliging in het bedrijf wordt beoordeeld. De laatste stap is het identificeren van beveiligingsvereisten en het definiëren van een lijst met risico's

Hoe zorg je voor informatiebeveiliging?
Hoe zorg je voor informatiebeveiliging?
  • De tweede fase is een uitgebreide analyse van de informatie-infrastructuur van het bedrijf. De nadruk ligt op snelle en gecoördineerde interactie tussen medewerkers en afdelingen die hiervoor verantwoordelijk zijninfrastructuur.
  • In de derde fase wordt de ontwikkeling van beveiligingstactieken uitgevoerd, wordt een plan gemaakt om mogelijke risico's te verminderen en informatiebronnen te beschermen. De mogelijke schade en de waarschijnlijkheid van de implementatie van bedreigingen worden ook beoordeeld, evenals de criteria voor hun evaluatie.

Matrixmethode voor risicoanalyse

Deze analysemethode brengt bedreigingen, kwetsbaarheden, activa en informatiebeveiligingscontroles samen en bepa alt hun belang voor de respectieve activa van de organisatie. De activa van een organisatie zijn materiële en immateriële objecten die significant zijn in termen van nut. Belangrijk om te weten is dat de matrixmethode uit drie delen bestaat: een dreigingsmatrix, een kwetsbaarheidsmatrix en een controlematrix. De resultaten van alle drie de delen van deze methodologie worden gebruikt voor risicoanalyse.

Het is de moeite waard om tijdens de analyse rekening te houden met de relatie van alle matrices. Zo is een kwetsbaarheidsmatrix bijvoorbeeld een koppeling tussen assets en bestaande kwetsbaarheden, is een bedreigingsmatrix een verzameling van kwetsbaarheden en bedreigingen, en een controlematrix koppelt concepten als bedreigingen en beheersmaatregelen. Elke cel van de matrix geeft de verhouding van het kolom- en rij-element weer. Er worden hoge, gemiddelde en lage beoordelingssystemen gebruikt.

Om een tabel te maken, moet u lijsten met bedreigingen, kwetsbaarheden, besturingselementen en activa maken. Er worden gegevens toegevoegd over de interactie van de inhoud van de matrixkolom met de inhoud van de rij. Later worden de kwetsbaarheidsmatrixgegevens overgebracht naar de bedreigingsmatrix en vervolgens, volgens hetzelfde principe, wordt informatie uit de bedreigingsmatrix overgebracht naar de controlematrix.

Conclusie

De rol van dataaanzienlijk toegenomen met de overgang van een aantal landen naar een markteconomie. Zonder de tijdige ontvangst van de nodige informatie is de normale werking van het bedrijf gewoonweg onmogelijk.

Samen met de ontwikkeling van informatietechnologie zijn er zogenaamde informatierisico's ontstaan die een bedreiging vormen voor de activiteiten van bedrijven. Daarom moeten ze worden geïdentificeerd, geanalyseerd en geëvalueerd voor verdere reductie, overdracht of verwijdering. Het vormen en uitvoeren van een beveiligingsbeleid zal niet effectief zijn als de bestaande regels niet goed worden gebruikt vanwege incompetentie of onwetendheid van medewerkers. Het is belangrijk om een complex te ontwikkelen voor compliance met informatiebeveiliging.

Risicobeheer is een subjectieve, complexe, maar tegelijkertijd een belangrijke fase in de activiteiten van het bedrijf. De grootste nadruk op de beveiliging van hun gegevens moet worden gelegd door een bedrijf dat met grote hoeveelheden informatie werkt of vertrouwelijke gegevens bezit.

Er zijn veel effectieve methoden voor het berekenen en analyseren van informatiegerelateerde risico's waarmee u het bedrijf snel kunt informeren en het kunt laten voldoen aan de concurrentieregels in de markt, en tegelijkertijd de veiligheid en bedrijfscontinuïteit kunt handhaven.

Aanbevolen:

Risico in de economie - wat is het? Het concept, de soorten en de beoordeling van risico's in de economie

Risico in de economie - wat is het? Het concept, de soorten en de beoordeling van risico's in de economie

Dit artikel belicht het concept van risico's in moderne economische systemen. De belangrijkste bestaande soorten risico's en hun classificatie worden gepresenteerd. De kwesties van risicobeoordeling en mogelijke populaire methoden op dit gebied worden uitgebreid behandeld

Strategische risico's: typen, analyse en beoordeling

Strategische risico's: typen, analyse en beoordeling

Onjuiste managementbeslissingen, evenals ongepaste implementatie van de juiste beslissingen en onvoldoende reactie op constante veranderingen binnen de zakelijke omgeving, creëren situaties waarin strategische risico's toenemen, wanneer financiële stromen en kapitaal gevaar lopen

Economische universiteiten in Moskou: beoordeling en beoordeling. Economische Staatsuniversiteiten van Moskou

Economische universiteiten in Moskou: beoordeling en beoordeling. Economische Staatsuniversiteiten van Moskou

Dit artikel geeft een overzicht van de 3 beste economische universiteiten in Moskou, evenals een gedetailleerde beschrijving van de kenmerken van elk van hen

Lyric gedicht analyse plan voor de rangen 7-11. Analyse van een lyrisch gedicht van Pushkin

Lyric gedicht analyse plan voor de rangen 7-11. Analyse van een lyrisch gedicht van Pushkin

Wat moet een analyseplan voor lyrische gedichten bevatten? Hoe het genre van een lyrisch gedicht te onderscheiden van andere poëtische genres? Waar begin je een essay met een analyse van een gedicht en hoe maak je het af?

Morfologische analyse van het werkwoord: een voorbeeld van analyse

Morfologische analyse van het werkwoord: een voorbeeld van analyse

Vanaf de middelbare school leren kinderen morfologische ontleding van het werkwoord uit te voeren. Voor de eerste keer zal de leerkracht een voorbeeld aan de kinderen laten zien, en later zullen ze het gemakkelijk zelf uitvoeren. Om deze taak correct uit te voeren, moet je weten welke kenmerken het werkwoord heeft, de tekens die het heeft, zijn rol in verschillende soorten zinnen

Top artikelen

Populair voor de maand

Deskundig advies