In onze tijd neemt informatie een van de sleutelposities in op alle gebieden van het menselijk leven. Dit komt door de geleidelijke overgang van de samenleving van het industriële naar het postindustriële tijdperk. Als gevolg van het gebruik, het bezit en de overdracht van verschillende informatie kunnen informatierisico's ontstaan die de hele economie kunnen raken.
Welke industrieën groeien het snelst?
Groei in informatiestromen wordt elk jaar meer en meer merkbaar, aangezien de uitbreiding van technische innovatie de snelle overdracht van informatie met betrekking tot de aanpassing van nieuwe technologieën tot een dringende behoefte maakt. In onze tijd ontwikkelen industrieën zoals industrie, handel, onderwijs en financiën zich onmiddellijk. Tijdens de overdracht van gegevens ontstaan daarin informatierisico's.
Informatie wordt een van de meest waardevolle soorten producten, waarvan de totale kosten binnenkort de prijs van alle productieproducten zullen overschrijden. Dit zal gebeuren omdat voorOm de hulpbronnenbesparende creatie van alle materiële goederen en diensten te garanderen, is het noodzakelijk om een fundamenteel nieuwe manier te bieden voor het verzenden van informatie die de mogelijkheid van informatierisico's uitsluit.
Definitie
In onze tijd is er geen eenduidige definitie van informatierisico. Veel experts interpreteren deze term als een gebeurtenis die een directe impact heeft op verschillende informatie. Dit kan een schending van de vertrouwelijkheid, vervorming en zelfs verwijdering zijn. Voor velen is de risicozone beperkt tot computersystemen, die centraal staan.
Vaak wordt bij het bestuderen van dit onderwerp geen rekening gehouden met veel echt belangrijke aspecten. Deze omvatten de directe verwerking van informatie en informatierisicobeheer. De risico's die aan gegevens zijn verbonden, ontstaan immers in de regel in het stadium van het verkrijgen, omdat de kans op onjuiste perceptie en verwerking van informatie groot is. Vaak wordt onvoldoende aandacht besteed aan de risico's die fouten veroorzaken in gegevensverwerkingsalgoritmen, evenals storingen in programma's die worden gebruikt om het beheer te optimaliseren.
Velen beschouwen de risico's van de verwerking van informatie uitsluitend vanuit de economische kant. Voor hen is dit vooral een risico dat samenhangt met een onjuiste implementatie en gebruik van informatietechnologie. Dit betekent dat informatierisicobeheer processen omvat als het creëren, overdragen, opslaan en gebruiken van informatie, afhankelijk van het gebruik van verschillende media en communicatiemiddelen.
Analyse enclassificatie van IT-risico's
Wat zijn de risico's van het ontvangen, verwerken en verzenden van informatie? Op welke manier verschillen ze? Er zijn verschillende groepen van kwalitatieve en kwantitatieve beoordeling van informatierisico's volgens de volgende criteria:
- volgens interne en externe bronnen van voorkomen;
- opzettelijk en onopzettelijk;
- direct of indirect;
- per type informatieschending: betrouwbaarheid, relevantie, volledigheid, vertrouwelijkheid van gegevens, enz.;
- volgens de methode van impact zijn de risico's als volgt: overmacht en natuurrampen, fouten van specialisten, ongevallen, enz.
Informatierisicoanalyse is een proces van globale beoordeling van het beschermingsniveau van informatiesystemen met de bepaling van de kwantiteit (geldmiddelen) en kwaliteit (laag, gemiddeld, hoog risico) van verschillende risico's. Het analyseproces kan worden uitgevoerd met behulp van verschillende methoden en hulpmiddelen om manieren te creëren om informatie te beschermen. Op basis van de resultaten van een dergelijke analyse is het mogelijk om de hoogste risico's te bepalen die een onmiddellijke dreiging en een stimulans kunnen zijn voor het onmiddellijk nemen van aanvullende maatregelen die bijdragen aan de bescherming van informatiebronnen.
Methodologie voor het bepalen van IT-risico's
Momenteel is er geen algemeen aanvaarde methode die op betrouwbare wijze de specifieke risico's van informatietechnologie bepa alt. Dit is te wijten aan het feit dat er niet genoeg statistische gegevens zijn die meer specifieke informatie zouden geven over:gemeenschappelijke risico's. Een belangrijke rol wordt ook gespeeld door het feit dat het moeilijk is om de waarde van een bepaalde informatiebron grondig te bepalen, omdat een fabrikant of eigenaar van een onderneming de kosten van informatiemedia met absolute nauwkeurigheid kan noemen, maar hij zal het moeilijk vinden om spreek de kosten uit van de informatie die erop staat. Daarom is op dit moment de beste optie voor het bepalen van de kosten van IT-risico's een kwalitatieve beoordeling, waardoor verschillende risicofactoren nauwkeurig worden geïdentificeerd, evenals de gebieden van hun invloed en de gevolgen voor de hele onderneming.
De CRAMM-methode die in het VK wordt gebruikt, is de krachtigste manier om kwantitatieve risico's te identificeren. De belangrijkste doelen van deze techniek zijn:
- automatiseer het risicobeheerproces;
- optimalisatie van cash management kosten;
- productiviteit van bedrijfsbeveiligingssystemen;
- toewijding aan bedrijfscontinuïteit.
Deskundige risicoanalysemethode
Experts houden rekening met de volgende risicoanalysefactoren voor informatiebeveiliging:
1. Resource kosten. Deze waarde weerspiegelt de waarde van de informatiebron als zodanig. Er is een evaluatiesysteem van kwalitatief risico op een schaal waarbij 1 het minimum is, 2 de gemiddelde waarde en 3 het maximum. Als we kijken naar de IT-bronnen van de bankomgeving, dan heeft de geautomatiseerde server een waarde van 3 en een aparte informatieterminal - 1.
2. De mate van kwetsbaarheid van de bron. Het toont de omvang van de dreiging en de kans op schade aan een IT-resource. Als we het hebben over een bankorganisatie, zal de server van het geautomatiseerde banksysteem zo toegankelijk mogelijk zijn, dus hackeraanvallen vormen de grootste bedreiging daarvoor. Er is ook een beoordelingsschaal van 1 tot 3, waarbij 1 een kleine impact is, 2 een grote kans op herstel van hulpbronnen is, 3 de noodzaak van een volledige vervanging van de hulpbron nadat het gevaar is geneutraliseerd.
3. Het inschatten van de mogelijkheid van een dreiging. Het bepa alt de waarschijnlijkheid van een bepaalde bedreiging voor een informatiebron voor een voorwaardelijke periode (meestal - een jaar) en kan, net als de vorige factoren, worden beoordeeld op een schaal van 1 tot 3 (laag, gemiddeld, hoog).
Beheer van informatiebeveiligingsrisico's wanneer ze zich voordoen
Er zijn de volgende opties om problemen met opkomende risico's op te lossen:
- risico accepteren en verantwoordelijkheid nemen voor hun verliezen;
- het risico verminderen, dat wil zeggen, het minimaliseren van de verliezen die verband houden met het optreden ervan;
- overdracht, dat wil zeggen het opleggen van de kosten van vergoeding van schade aan de verzekeringsmaatschappij, of de transformatie via bepaalde mechanismen in een risico met het laagste gevaar.
Vervolgens worden de risico's van informatieondersteuning per rang verdeeld om de belangrijkste te identificeren. Om dergelijke risico's te beheersen, is het noodzakelijk ze te verminderen, en soms - ze over te dragen aan de verzekeringsmaatschappij. Mogelijke overdracht en vermindering van risico's van hoge enmiddelgroot onder dezelfde voorwaarden, en risico's op een lager niveau worden vaak geaccepteerd en niet meegenomen in verdere analyse.
Het is de moeite waard om te overwegen dat de rangschikking van risico's in informatiesystemen wordt bepaald op basis van de berekening en bepaling van hun kwalitatieve waarde. Dat wil zeggen, als het risicoclassificatie-interval tussen 1 en 18 ligt, dan is het bereik van lage risico's van 1 tot 7, gemiddelde risico's van 8 tot 13 en hoge risico's van 14 tot 18. De essentie van ondernemen informatierisicobeheer is het terugbrengen van de gemiddelde en hoge risico's tot de laagste waarde, zodat de acceptatie ervan zo optimaal en mogelijk is.
CORAS risicobeperkingsmethode
De CORAS-methode maakt deel uit van het programma Information Society Technologies. De betekenis ervan ligt in de aanpassing, concretisering en combinatie van effectieve methoden voor het uitvoeren van analyses op voorbeelden van informatierisico's.
CORAS-methodologie gebruikt de volgende risicoanalyseprocedures:
- maatregelen om het zoeken en systematiseren van informatie over het object in kwestie voor te bereiden;
- verstrekking door de opdrachtgever van objectieve en correcte gegevens over het betreffende object;
- volledige beschrijving van de komende analyse, rekening houdend met alle stadia;
- analyse van ingediende documenten op authenticiteit en correctheid voor een objectievere analyse;
- activiteiten uitvoeren om mogelijke risico's te identificeren;
- beoordeling van alle gevolgen van nieuwe informatiebedreigingen;
- belichten van de risico's die het bedrijf kan nemen en de risico's diemoet zo snel mogelijk worden verminderd of omgeleid;
- maatregelen om mogelijke bedreigingen te elimineren.
Het is belangrijk op te merken dat de genoemde maatregelen geen aanzienlijke inspanningen en middelen vergen voor implementatie en daaropvolgende implementatie. De CORAS-methodologie is vrij eenvoudig te gebruiken en vereist niet veel training om ermee aan de slag te gaan. Het enige nadeel van deze toolkit is het gebrek aan periodiciteit in de beoordeling.
OCTAVE-methode
De OCTAVE-methode voor risicobeoordeling impliceert een zekere mate van betrokkenheid van de informatie-eigenaar bij de analyse. U moet weten dat het wordt gebruikt om snel kritieke bedreigingen te beoordelen, activa te identificeren en zwakke punten in het informatiebeveiligingssysteem te identificeren. OCTAVE zorgt voor de oprichting van een competente analyse-, beveiligingsgroep, met inbegrip van werknemers van het bedrijf dat het systeem gebruikt en werknemers van de informatieafdeling. OCTAVE bestaat uit drie fasen:
Eerst wordt de organisatie beoordeeld, dat wil zeggen dat de analysegroep de criteria bepa alt voor de beoordeling van de schade en vervolgens de risico's. De belangrijkste middelen van de organisatie worden geïdentificeerd, de algemene toestand van het proces van handhaving van de IT-beveiliging in het bedrijf wordt beoordeeld. De laatste stap is het identificeren van beveiligingsvereisten en het definiëren van een lijst met risico's
- De tweede fase is een uitgebreide analyse van de informatie-infrastructuur van het bedrijf. De nadruk ligt op snelle en gecoördineerde interactie tussen medewerkers en afdelingen die hiervoor verantwoordelijk zijninfrastructuur.
- In de derde fase wordt de ontwikkeling van beveiligingstactieken uitgevoerd, wordt een plan gemaakt om mogelijke risico's te verminderen en informatiebronnen te beschermen. De mogelijke schade en de waarschijnlijkheid van de implementatie van bedreigingen worden ook beoordeeld, evenals de criteria voor hun evaluatie.
Matrixmethode voor risicoanalyse
Deze analysemethode brengt bedreigingen, kwetsbaarheden, activa en informatiebeveiligingscontroles samen en bepa alt hun belang voor de respectieve activa van de organisatie. De activa van een organisatie zijn materiële en immateriële objecten die significant zijn in termen van nut. Belangrijk om te weten is dat de matrixmethode uit drie delen bestaat: een dreigingsmatrix, een kwetsbaarheidsmatrix en een controlematrix. De resultaten van alle drie de delen van deze methodologie worden gebruikt voor risicoanalyse.
Het is de moeite waard om tijdens de analyse rekening te houden met de relatie van alle matrices. Zo is een kwetsbaarheidsmatrix bijvoorbeeld een koppeling tussen assets en bestaande kwetsbaarheden, is een bedreigingsmatrix een verzameling van kwetsbaarheden en bedreigingen, en een controlematrix koppelt concepten als bedreigingen en beheersmaatregelen. Elke cel van de matrix geeft de verhouding van het kolom- en rij-element weer. Er worden hoge, gemiddelde en lage beoordelingssystemen gebruikt.
Om een tabel te maken, moet u lijsten met bedreigingen, kwetsbaarheden, besturingselementen en activa maken. Er worden gegevens toegevoegd over de interactie van de inhoud van de matrixkolom met de inhoud van de rij. Later worden de kwetsbaarheidsmatrixgegevens overgebracht naar de bedreigingsmatrix en vervolgens, volgens hetzelfde principe, wordt informatie uit de bedreigingsmatrix overgebracht naar de controlematrix.
Conclusie
De rol van dataaanzienlijk toegenomen met de overgang van een aantal landen naar een markteconomie. Zonder de tijdige ontvangst van de nodige informatie is de normale werking van het bedrijf gewoonweg onmogelijk.
Samen met de ontwikkeling van informatietechnologie zijn er zogenaamde informatierisico's ontstaan die een bedreiging vormen voor de activiteiten van bedrijven. Daarom moeten ze worden geïdentificeerd, geanalyseerd en geëvalueerd voor verdere reductie, overdracht of verwijdering. Het vormen en uitvoeren van een beveiligingsbeleid zal niet effectief zijn als de bestaande regels niet goed worden gebruikt vanwege incompetentie of onwetendheid van medewerkers. Het is belangrijk om een complex te ontwikkelen voor compliance met informatiebeveiliging.
Risicobeheer is een subjectieve, complexe, maar tegelijkertijd een belangrijke fase in de activiteiten van het bedrijf. De grootste nadruk op de beveiliging van hun gegevens moet worden gelegd door een bedrijf dat met grote hoeveelheden informatie werkt of vertrouwelijke gegevens bezit.
Er zijn veel effectieve methoden voor het berekenen en analyseren van informatiegerelateerde risico's waarmee u het bedrijf snel kunt informeren en het kunt laten voldoen aan de concurrentieregels in de markt, en tegelijkertijd de veiligheid en bedrijfscontinuïteit kunt handhaven.