İnformasiya riskləri: konsepsiya, təhlil, qiymətləndirmə

Mündəricat:

İnformasiya riskləri: konsepsiya, təhlil, qiymətləndirmə
İnformasiya riskləri: konsepsiya, təhlil, qiymətləndirmə
Anonim

Eramızda informasiya insan həyatının bütün sahələrində əsas yerlərdən birini tutur. Bu, cəmiyyətin sənaye dövründən postindustrial dövrə tədricən keçidi ilə bağlıdır. Müxtəlif məlumatların istifadəsi, saxlanması və ötürülməsi nəticəsində iqtisadiyyatın bütün sferasına təsir edə biləcək informasiya riskləri yarana bilər.

Hansı sənayelər daha sürətlə inkişaf edir?

İnformasiya axınlarının artması ildən-ilə daha çox nəzərə çarpır, çünki texniki innovasiyaların genişlənməsi yeni texnologiyaların uyğunlaşması ilə bağlı məlumatların sürətlə ötürülməsini təcili ehtiyaca çevirir. Dövrümüzdə sənaye, ticarət, təhsil, maliyyə kimi sənayelər sürətlə inkişaf edir. Məhz məlumatların ötürülməsi zamanı onlarda informasiya riskləri yaranır.

İnformasiya riskləri
İnformasiya riskləri

İnformasiya ən qiymətli məhsul növlərindən birinə çevrilir, onun ümumi dəyəri tezliklə bütün istehsal məhsullarının qiymətindən çox olacaq. Bu baş verəcək, çünkiBütün maddi sərvətlərin və xidmətlərin resursa qənaət edən yaradılmasını təmin etmək üçün informasiya risklərinin mümkünlüyünü istisna edən məlumatın ötürülməsinin prinsipcə yeni üsulunu təmin etmək lazımdır.

Tərif

Bizim dövrümüzdə informasiya riskinin birmənalı tərifi yoxdur. Bir çox ekspertlər bu termini müxtəlif məlumatlara birbaşa təsir edən hadisə kimi şərh edirlər. Bu, məxfiliyin pozulması, təhrif və hətta silinmə ola bilər. Çoxları üçün risk zonası əsas diqqət mərkəzində olan kompüter sistemləri ilə məhdudlaşır.

İnformasiyanın qorunması
İnformasiyanın qorunması

Çox vaxt bu mövzunu öyrənərkən bir çox həqiqətən vacib aspektlər nəzərə alınmır. Bunlara məlumatın birbaşa emalı və məlumat riskinin idarə edilməsi daxildir. Axı, məlumatlarla əlaqəli risklər, bir qayda olaraq, əldə etmə mərhələsində yaranır, çünki məlumatın yanlış qavranılması və işlənməsi ehtimalı yüksəkdir. Çox vaxt verilənlərin emalı alqoritmlərində nasazlıqlara, eləcə də idarəetməni optimallaşdırmaq üçün istifadə olunan proqramlarda nasazlıqlara səbəb olan risklərə lazımi diqqət yetirilmir.

Bir çoxları məlumatın emalı ilə bağlı riskləri yalnız iqtisadi baxımdan nəzərə alır. Onlar üçün bu, ilk növbədə, informasiya texnologiyalarının düzgün tətbiq edilməməsi və istifadəsi ilə bağlı riskdir. Bu o deməkdir ki, informasiya riskinin idarə edilməsi müxtəlif media və kommunikasiya vasitələrindən istifadə şərti ilə məlumatın yaradılması, ötürülməsi, saxlanması və istifadəsi kimi prosesləri əhatə edir.

Təhlil vəİT risklərinin təsnifatı

İnformasiyanın qəbulu, işlənməsi və ötürülməsi ilə bağlı risklər hansılardır? Onlar hansı cəhətdən fərqlənirlər? Aşağıdakı meyarlara uyğun olaraq informasiya risklərinin keyfiyyət və kəmiyyət qiymətləndirilməsinin bir neçə qrupu mövcuddur:

  • daxili və xarici baş verən mənbələrə görə;
  • qəsdən və bilmədən;
  • birbaşa və ya dolayısı ilə;
  • məlumat pozuntusu növünə görə: etibarlılıq, uyğunluq, tamlıq, məlumat məxfiliyi və s.;
  • təsir metoduna görə risklər aşağıdakılardır: fors-major və təbii fəlakətlər, mütəxəssislərin səhvləri, qəzalar və s.
  • Məlumatların qorunması
    Məlumatların qorunması

İnformasiya riskinin təhlili müxtəlif risklərin kəmiyyəti (pul resursları) və keyfiyyətinin (aşağı, orta, yüksək risk) müəyyən edilməsi ilə informasiya sistemlərinin mühafizə səviyyəsinin qlobal qiymətləndirilməsi prosesidir. Təhlil prosesi məlumatın qorunması yollarını yaratmaq üçün müxtəlif üsul və vasitələrdən istifadə etməklə həyata keçirilə bilər. Belə təhlilin nəticələrinə əsasən, informasiya ehtiyatlarının qorunmasına töhfə verən əlavə tədbirlərin dərhal qəbul edilməsi üçün dərhal təhlükə və stimul ola biləcək ən yüksək riskləri müəyyən etmək mümkündür.

İT risklərinin müəyyən edilməsi üçün metodologiya

Hazırda informasiya texnologiyalarının spesifik risklərini etibarlı şəkildə müəyyən edən ümumi qəbul edilmiş metod yoxdur. Bu, haqqında daha konkret məlumat verəcək kifayət qədər statistik məlumatın olmaması ilə bağlıdırümumi risklər. Müəyyən bir məlumat resursunun dəyərini hərtərəfli müəyyənləşdirməyin çətin olması da mühüm rol oynayır, çünki istehsalçı və ya müəssisənin sahibi informasiya daşıyıcılarının dəyərini mütləq dəqiqliklə adlandıra bilər, lakin o, müəyyən bir məlumat resursunun dəyərini dəqiqliklə adlandıra bilər. onların üzərində yerləşən məlumatların qiymətini səsləndirmək. Məhz buna görə də hazırda İT risklərinin dəyərini müəyyən etmək üçün ən yaxşı variant keyfiyyət qiymətləndirməsidir ki, bunun sayəsində müxtəlif risk faktorları, eləcə də onların təsir sahələri və bütün müəssisə üçün nəticələri dəqiq müəyyən edilir.

İnformasiya təhlükəsizliyi üsulları
İnformasiya təhlükəsizliyi üsulları

Böyük Britaniyada istifadə edilən CRAMM metodu kəmiyyət risklərini müəyyən etmək üçün ən güclü üsuldur. Bu texnikanın əsas məqsədləri bunlardır:

  • risklərin idarə edilməsi prosesini avtomatlaşdırın;
  • pul vəsaitlərinin idarə olunması xərclərinin optimallaşdırılması;
  • şirkət təhlükəsizlik sistemlərinin məhsuldarlığı;
  • biznesin davamlılığına sadiqlik.

Ekspert risk analizi metodu

Mütəxəssislər aşağıdakı informasiya təhlükəsizliyi risk təhlili amillərini nəzərə alır:

1. Resurs dəyəri. Bu dəyər informasiya resursunun dəyərini əks etdirir. 1-in minimum, 2-nin orta dəyər və 3-ün maksimum olduğu şkala üzrə keyfiyyət riskinin qiymətləndirmə sistemi mövcuddur. Əgər bank mühitinin İT resurslarını nəzərə alsaq, onda onun avtomatlaşdırılmış serverinin qiyməti 3, ayrıca məlumat terminalı isə 1 olacaq.

İnformasiya təhlükəsizliyi sistemi
İnformasiya təhlükəsizliyi sistemi

2. Resursun həssaslıq dərəcəsi. Bu, təhlükənin miqyasını və İT resursuna ziyan vurma ehtimalını göstərir. Əgər bank təşkilatından danışsaq, avtomatlaşdırılmış bank sisteminin serveri mümkün qədər əlçatan olacaq, ona görə də haker hücumları onun üçün ən böyük təhlükədir. Həmçinin 1-dən 3-ə qədər reytinq şkalası var, burada 1 kiçik təsir, 2 resursun bərpası ehtimalı yüksəkdir, 3 təhlükə zərərsizləşdirildikdən sonra resursun tam dəyişdirilməsinə ehtiyacdır.

3. Təhlükə ehtimalının qiymətləndirilməsi. O, informasiya resursu üçün müəyyən bir təhlükə ehtimalını şərti bir müddət ərzində (ən çox - bir il ərzində) müəyyən edir və əvvəlki amillər kimi, 1-dən 3-ə qədər (aşağı, orta, yüksək) miqyasda qiymətləndirilə bilər..

İnformasiya təhlükəsizliyi risklərinin baş verdikdə idarə edilməsi

Yaranan risklərlə bağlı problemlərin həlli üçün aşağıdakı variantlar var:

  • riski qəbul etmək və itkilərinə görə məsuliyyət daşımaq;
  • riskin azaldılması, yəni onun baş verməsi ilə bağlı itkilərin minimuma endirilməsi;
  • köçürmə, yəni sığorta şirkətinə dəyən zərərin əvəzinin ödənilməsi xərclərinin tətbiqi və ya müəyyən mexanizmlər vasitəsilə ən aşağı təhlükə səviyyəsinə malik riskə çevrilməsi.

Sonra, əsas olanları müəyyən etmək üçün informasiya dəstəyinin riskləri dərəcələrə görə bölüşdürülür. Bu cür riskləri idarə etmək üçün onları az altmaq, bəzən isə sığorta şirkətinə ötürmək lazımdır. Mümkün transfer və yüksək risklərin azaldılması vəeyni şərtlərlə orta səviyyəli və aşağı səviyyəli risklər çox vaxt qəbul edilir və sonrakı təhlilə daxil edilmir.

Məlumatların qorunması
Məlumatların qorunması

Nəzərə almağa dəyər ki, informasiya sistemlərində risklərin sıralanması onların keyfiyyət dəyərinin hesablanması və müəyyən edilməsi əsasında müəyyən edilir. Yəni risklərin sıralanması intervalı 1-dən 18-ə qədər intervaldadırsa, o zaman aşağı risklər diapazonu 1-dən 7-yə qədər, orta risklər 8-dən 13-ə qədər, yüksək risklər isə 14-dən 18-ə qədərdir. Müəssisənin mahiyyəti. məlumat riskinin idarə edilməsi orta və yüksək riskləri ən aşağı qiymətə endirməkdən ibarətdir ki, onların qəbulu mümkün qədər optimal və mümkün olsun.

CORAS riskin azaldılması metodu

CORAS metodu İnformasiya Cəmiyyəti Texnologiyaları proqramının bir hissəsidir. Onun mənası uyğunlaşma, konkretləşdirmə və informasiya riskləri nümunələri üzrə təhlil aparmaq üçün effektiv metodların birləşməsindədir.

CORAS metodologiyası aşağıdakı risk analizi prosedurlarından istifadə edir:

  • sözügedən obyekt haqqında məlumatın axtarışını və sistemləşdirilməsini hazırlamaq üçün tədbirlər;
  • müştəri tərəfindən sözügedən obyekt haqqında obyektiv və düzgün məlumatların təqdim edilməsi;
  • bütün mərhələlər nəzərə alınmaqla qarşıdan gələn təhlilin tam təsviri;
  • daha obyektiv təhlil üçün təqdim edilmiş sənədlərin həqiqiliyi və düzgünlüyünün təhlili;
  • mümkün riskləri müəyyən etmək üçün fəaliyyətlərin həyata keçirilməsi;
  • ortaya çıxan informasiya təhdidlərinin bütün nəticələrinin qiymətləndirilməsi;
  • şirkətin götürə biləcəyi riskləri və riskləri vurğulamaqmümkün qədər tez azaldılmalı və ya yönləndirilməlidir;
  • mümkün təhlükələri aradan qaldırmaq üçün tədbirlər.

Qeyd etmək vacibdir ki, sadalanan tədbirlərin həyata keçirilməsi və sonrakı icrası üçün əhəmiyyətli səylər və resurslar tələb olunmur. CORAS metodologiyasının istifadəsi olduqca sadədir və ondan istifadə etməyə başlamaq üçün çox təlim tələb etmir. Bu alət dəstinin yeganə çatışmazlığı qiymətləndirmədə dövriliyin olmamasıdır.

OCTAVE metodu

OCTAVE riskinin qiymətləndirilməsi metodu məlumat sahibinin təhlildə müəyyən dərəcədə iştirakını nəzərdə tutur. Bilməlisiniz ki, o, kritik təhdidləri tez qiymətləndirmək, aktivləri müəyyən etmək və informasiya təhlükəsizliyi sistemindəki zəif cəhətləri müəyyən etmək üçün istifadə olunur. OCTAVE, sistemdən istifadə edən şirkətin işçiləri və informasiya şöbəsinin əməkdaşlarının daxil olduğu səlahiyyətli təhlil, təhlükəsizlik qrupunun yaradılmasını təmin edir. OCTAVE üç mərhələdən ibarətdir:

İlk olaraq təşkilat qiymətləndirilir, yəni təhlil qrupu zərərin qiymətləndirilməsi meyarlarını, sonra isə riskləri müəyyən edir. Təşkilatın ən vacib resursları müəyyən edilir, şirkətdə İT təhlükəsizliyinin təmin edilməsi prosesinin ümumi vəziyyəti qiymətləndirilir. Son addım təhlükəsizlik tələblərini müəyyən etmək və risklərin siyahısını müəyyən etməkdir

İnformasiya təhlükəsizliyini necə təmin etmək olar?
İnformasiya təhlükəsizliyini necə təmin etmək olar?
  • İkinci mərhələ şirkətin informasiya infrastrukturunun hərtərəfli təhlilidir. İşçilər və buna cavabdeh olan şöbələr arasında sürətli və əlaqələndirilmiş qarşılıqlı əlaqəyə diqqət yetirilirinfrastruktur.
  • Üçüncü mərhələdə təhlükəsizlik taktikasının hazırlanması həyata keçirilir, mümkün risklərin azaldılması və informasiya ehtiyatlarının qorunması planı yaradılır. Mümkün zərər və təhdidlərin həyata keçirilməsi ehtimalı, eləcə də onların qiymətləndirilməsi meyarları qiymətləndirilir.

Risk təhlilinin matris üsulu

Bu təhlil metodu təhdidləri, zəiflikləri, aktivləri və informasiya təhlükəsizliyinə nəzarəti birləşdirir və onların təşkilatın müvafiq aktivləri üçün əhəmiyyətini müəyyən edir. Təşkilatın aktivləri faydalılıq baxımından əhəmiyyətli olan maddi və qeyri-maddi obyektlərdir. Matris metodunun üç hissədən ibarət olduğunu bilmək vacibdir: təhlükə matrisi, zəiflik matrisi və nəzarət matrisi. Bu metodologiyanın hər üç hissəsinin nəticələri risk təhlili üçün istifadə olunur.

Təhlil zamanı bütün matrislərin əlaqəsini nəzərə almağa dəyər. Beləliklə, məsələn, zəiflik matrisi aktivlər və mövcud zəifliklər arasında əlaqədir, təhlükə matrisi zəifliklər və təhdidlərin toplusudur və nəzarət matrisi təhdidlər və nəzarətlər kimi anlayışları əlaqələndirir. Matrisin hər bir xanası sütun və sətir elementinin nisbətini əks etdirir. Yüksək, orta və aşağı qiymətləndirmə sistemləri istifadə olunur.

Cədvəl yaratmaq üçün siz təhdidlər, zəifliklər, nəzarətlər və aktivlərin siyahılarını yaratmalısınız. Matris sütununun məzmununun sətir məzmunu ilə qarşılıqlı əlaqəsi haqqında məlumatlar əlavə olunur. Daha sonra zəiflik matrisası məlumatları təhdid matrisinə ötürülür və sonra eyni prinsipə uyğun olaraq təhlükə matrisindən məlumat nəzarət matrisinə ötürülür.

Nəticə

Verilənlərin rolubir sıra ölkələrin bazar iqtisadiyyatına keçidi ilə əhəmiyyətli dərəcədə artmışdır. Lazımi məlumatların vaxtında alınması olmadan şirkətin normal fəaliyyəti sadəcə mümkün deyil.

İnformasiya texnologiyalarının inkişafı ilə birlikdə şirkətlərin fəaliyyətinə təhlükə yaradan sözdə informasiya riskləri yaranıb. Məhz buna görə də onların daha da azaldılması, köçürülməsi və ya xaric edilməsi üçün müəyyən edilməli, təhlil edilməli və qiymətləndirilməlidir. İşçilərin səriştəsizliyi və ya məlumatsızlığı səbəbindən mövcud qaydalardan düzgün istifadə edilmədikdə təhlükəsizlik siyasətinin formalaşdırılması və həyata keçirilməsi səmərəsiz olacaqdır. İnformasiya təhlükəsizliyinə uyğunluq üçün kompleks hazırlamaq vacibdir.

Risklərin idarə edilməsi subyektiv, mürəkkəb, lakin eyni zamanda şirkətin fəaliyyətində mühüm mərhələdir. Onların məlumatlarının təhlükəsizliyinə ən çox diqqət böyük miqdarda məlumatla işləyən və ya məxfi məlumatlara sahib olan şirkət tərəfindən verilməlidir.

İnformasiya ilə bağlı risklərin hesablanması və təhlili üçün çoxlu effektiv üsullar mövcuddur ki, bu da şirkətə operativ məlumat verməyə və bazarda rəqabətqabiliyyətlilik qaydalarına əməl etməyə imkan verir, həmçinin təhlükəsizliyi və biznesin davamlılığını qoruyur..

Tövsiyə: