Pada era kita, maklumat menduduki salah satu kedudukan penting dalam semua bidang kehidupan manusia. Ini disebabkan oleh peralihan masyarakat secara beransur-ansur daripada era industri kepada era pasca industri. Hasil daripada penggunaan, pemilikan dan pemindahan pelbagai maklumat, risiko maklumat mungkin timbul yang boleh menjejaskan seluruh bidang ekonomi.
Industri manakah yang paling pesat berkembang?
Pertumbuhan dalam aliran maklumat menjadi semakin ketara setiap tahun, kerana pengembangan inovasi teknikal menjadikan pemindahan maklumat yang pantas berkaitan dengan penyesuaian teknologi baharu sebagai keperluan mendesak. Pada zaman kita, industri seperti industri, perdagangan, pendidikan dan kewangan berkembang serta-merta. Semasa pemindahan data, risiko maklumat timbul di dalamnya.
Maklumat menjadi salah satu jenis produk yang paling berharga, yang jumlah kosnya tidak lama lagi akan melebihi harga semua produk pengeluaran. Ini akan berlaku kerana untukUntuk memastikan penciptaan penjimatan sumber bagi semua barangan dan perkhidmatan material, adalah perlu untuk menyediakan cara asas baharu untuk menghantar maklumat yang mengecualikan kemungkinan risiko maklumat.
Definisi
Pada zaman kita tidak ada definisi yang jelas tentang risiko maklumat. Ramai pakar menafsirkan istilah ini sebagai peristiwa yang memberi kesan langsung kepada pelbagai maklumat. Ini mungkin pelanggaran kerahsiaan, herotan, dan juga pemadaman. Bagi kebanyakan orang, zon risiko terhad kepada sistem komputer, yang merupakan tumpuan utama.
Selalunya, apabila mempelajari topik ini, banyak aspek yang sangat penting tidak diambil kira. Ini termasuk pemprosesan langsung maklumat dan pengurusan risiko maklumat. Lagipun, risiko yang berkaitan dengan data timbul, sebagai peraturan, pada peringkat mendapatkan, kerana terdapat kebarangkalian tinggi persepsi yang salah dan pemprosesan maklumat. Selalunya, perhatian sewajarnya tidak diberikan kepada risiko yang menyebabkan kegagalan dalam algoritma pemprosesan data, serta kerosakan dalam program yang digunakan untuk mengoptimumkan pengurusan.
Ramai yang menganggap risiko yang berkaitan dengan pemprosesan maklumat, semata-mata dari segi ekonomi. Bagi mereka, ini terutamanya risiko yang berkaitan dengan pelaksanaan dan penggunaan teknologi maklumat yang salah. Ini bermakna pengurusan risiko maklumat meliputi proses seperti penciptaan, pemindahan, penyimpanan dan penggunaan maklumat, tertakluk kepada penggunaan pelbagai media dan cara komunikasi.
Analisis danklasifikasi risiko IT
Apakah risiko yang berkaitan dengan menerima, memproses dan menghantar maklumat? Dalam cara apa mereka berbeza? Terdapat beberapa kumpulan penilaian kualitatif dan kuantitatif risiko maklumat mengikut kriteria berikut:
- mengikut sumber kejadian dalaman dan luaran;
- sengaja dan tidak sengaja;
- secara langsung atau tidak langsung;
- mengikut jenis pelanggaran maklumat: kebolehpercayaan, perkaitan, kesempurnaan, kerahsiaan data, dsb.;
- mengikut kaedah impak, risiko adalah seperti berikut: force majeure dan bencana alam, kesilapan pakar, kemalangan, dsb.
Analisis risiko maklumat ialah proses penilaian global tahap perlindungan sistem maklumat dengan penentuan kuantiti (sumber tunai) dan kualiti (rendah, sederhana, tinggi) pelbagai risiko. Proses analisis boleh dijalankan menggunakan pelbagai kaedah dan alat untuk mencipta cara untuk melindungi maklumat. Berdasarkan keputusan analisis sedemikian, adalah mungkin untuk menentukan risiko tertinggi yang mungkin menjadi ancaman segera dan insentif untuk penggunaan segera langkah tambahan yang menyumbang kepada perlindungan sumber maklumat.
Metodologi untuk menentukan risiko IT
Pada masa ini, tiada kaedah yang diterima umum yang menentukan risiko khusus teknologi maklumat dengan pasti. Ini disebabkan oleh fakta bahawa tidak ada data statistik yang mencukupi yang akan memberikan maklumat yang lebih khusus tentangrisiko biasa. Peranan penting juga dimainkan oleh hakikat bahawa sukar untuk menentukan secara menyeluruh nilai sumber maklumat tertentu, kerana pengeluar atau pemilik perusahaan boleh menamakan kos media maklumat dengan ketepatan mutlak, tetapi dia akan mendapati sukar untuk suarakan kos maklumat yang terdapat pada mereka. Itulah sebabnya, pada masa ini, pilihan terbaik untuk menentukan kos risiko IT ialah penilaian kualitatif, berkat pelbagai faktor risiko dikenal pasti dengan tepat, serta kawasan pengaruhnya dan akibat untuk keseluruhan perusahaan.
Kaedah CRAM yang digunakan di UK ialah cara paling berkuasa untuk mengenal pasti risiko kuantitatif. Matlamat utama teknik ini termasuk:
- automatikkan proses pengurusan risiko;
- pengoptimuman kos pengurusan tunai;
- produktiviti sistem keselamatan syarikat;
- komitmen terhadap kesinambungan perniagaan.
Kaedah analisis risiko pakar
Pakar mempertimbangkan faktor analisis risiko keselamatan maklumat berikut:
1. Kos sumber. Nilai ini mencerminkan nilai sumber maklumat seperti itu. Terdapat sistem penilaian risiko kualitatif pada skala di mana 1 adalah minimum, 2 adalah nilai purata dan 3 adalah maksimum. Jika kami mempertimbangkan sumber IT persekitaran perbankan, maka pelayan automatiknya akan mempunyai nilai 3, dan terminal maklumat berasingan - 1.
2. Tahap kelemahan sumber. Ia menunjukkan magnitud ancaman dan kebarangkalian kerosakan pada sumber IT. Jika kita bercakap tentang organisasi perbankan, pelayan sistem perbankan automatik akan dapat diakses sebaik mungkin, jadi serangan penggodam adalah ancaman terbesar kepadanya. Terdapat juga skala penarafan dari 1 hingga 3, di mana 1 ialah kesan kecil, 2 ialah kebarangkalian tinggi untuk pemulihan sumber, 3 ialah keperluan untuk penggantian lengkap sumber selepas bahaya dinetralkan.
3. Menilai kemungkinan ancaman. Ia menentukan kemungkinan ancaman tertentu kepada sumber maklumat untuk tempoh masa bersyarat (paling kerap - selama setahun) dan, seperti faktor sebelumnya, boleh dinilai pada skala dari 1 hingga 3 (rendah, sederhana, tinggi).
Menguruskan risiko keselamatan maklumat apabila ia berlaku
Terdapat pilihan berikut untuk menyelesaikan masalah dengan risiko yang muncul:
- menerima risiko dan bertanggungjawab atas kerugian mereka;
- mengurangkan risiko, iaitu meminimumkan kerugian yang berkaitan dengan kejadiannya;
- pemindahan, iaitu, pengenaan kos pampasan untuk kerosakan kepada syarikat insurans, atau transformasi melalui mekanisme tertentu kepada risiko dengan tahap bahaya paling rendah.
Kemudian, risiko sokongan maklumat diagihkan mengikut pangkat untuk mengenal pasti yang utama. Untuk menguruskan risiko sedemikian, adalah perlu untuk mengurangkannya, dan kadang-kadang - untuk memindahkannya kepada syarikat insurans. Kemungkinan pemindahan dan pengurangan risiko tinggi danperingkat sederhana pada syarat yang sama dan risiko peringkat rendah selalunya diterima dan tidak termasuk dalam analisis lanjut.
Adalah wajar mempertimbangkan hakikat bahawa kedudukan risiko dalam sistem maklumat ditentukan berdasarkan pengiraan dan penentuan nilai kualitatifnya. Iaitu, jika selang kedudukan risiko berada dalam julat dari 1 hingga 18, maka julat risiko rendah adalah dari 1 hingga 7, risiko sederhana adalah dari 8 hingga 13, dan risiko tinggi adalah dari 14 hingga 18. Intipati perusahaan pengurusan risiko maklumat adalah untuk mengurangkan purata dan risiko tinggi ke nilai terendah, supaya penerimaannya adalah seoptimum dan mungkin.
kaedah pengurangan risiko CORAS
Kaedah CORAS adalah sebahagian daripada program Teknologi Masyarakat Maklumat. Maknanya terletak pada penyesuaian, penumpuan dan gabungan kaedah yang berkesan untuk menjalankan analisis terhadap contoh risiko maklumat.
Metodologi CORAS menggunakan prosedur analisis risiko berikut:
- langkah untuk menyediakan carian dan sistematisasi maklumat tentang objek yang dimaksudkan;
- peruntukan oleh pelanggan data objektif dan betul pada objek yang dipersoalkan;
- huraian penuh analisis akan datang, dengan mengambil kira semua peringkat;
- analisis dokumen yang diserahkan untuk kesahihan dan ketepatan untuk analisis yang lebih objektif;
- menjalankan aktiviti untuk mengenal pasti kemungkinan risiko;
- penilaian semua akibat ancaman maklumat yang muncul;
- menyerlahkan risiko yang boleh diambil oleh syarikat dan risiko yangperlu dikurangkan atau diubah hala secepat mungkin;
- langkah untuk menghapuskan kemungkinan ancaman.
Adalah penting untuk ambil perhatian bahawa langkah-langkah yang disenaraikan tidak memerlukan usaha dan sumber yang ketara untuk pelaksanaan dan pelaksanaan seterusnya. Metodologi CORAS agak mudah digunakan dan tidak memerlukan banyak latihan untuk mula menggunakannya. Satu-satunya kelemahan kit alat ini ialah kekurangan ketepatan dalam penilaian.
kaedah OCTAVE
Kaedah penilaian risiko OCTAVE membayangkan tahap tertentu penglibatan pemilik maklumat dalam analisis. Anda perlu tahu bahawa ia digunakan untuk menilai ancaman kritikal dengan cepat, mengenal pasti aset dan mengenal pasti kelemahan dalam sistem keselamatan maklumat. OCTAVE menyediakan untuk penciptaan analisis yang cekap, kumpulan keselamatan, yang merangkumi pekerja syarikat yang menggunakan sistem dan pekerja jabatan maklumat. OCTAVE terdiri daripada tiga peringkat:
Pertama, organisasi dinilai, iaitu kumpulan analisis menentukan kriteria untuk menilai kerosakan, dan seterusnya risiko. Sumber yang paling penting dalam organisasi dikenal pasti, keadaan umum proses mengekalkan keselamatan IT dalam syarikat dinilai. Langkah terakhir ialah mengenal pasti keperluan keselamatan dan menentukan senarai risiko
- Peringkat kedua ialah analisis komprehensif infrastruktur maklumat syarikat. Penekanan diberikan kepada interaksi yang cepat dan selaras antara pekerja dan jabatan yang bertanggungjawab untuk iniinfrastruktur.
- Pada peringkat ketiga, pembangunan taktik keselamatan dijalankan, rancangan dibuat untuk mengurangkan kemungkinan risiko dan melindungi sumber maklumat. Kemungkinan kerosakan dan kebarangkalian pelaksanaan ancaman juga dinilai, serta kriteria untuk penilaiannya.
Kaedah matriks analisis risiko
Kaedah analisis ini menghimpunkan ancaman, kelemahan, aset dan kawalan keselamatan maklumat serta menentukan kepentingannya kepada aset organisasi masing-masing. Aset sesebuah organisasi ialah objek ketara dan tidak ketara yang penting dari segi utiliti. Adalah penting untuk mengetahui bahawa kaedah matriks terdiri daripada tiga bahagian: matriks ancaman, matriks kerentanan, dan matriks kawalan. Keputusan ketiga-tiga bahagian metodologi ini digunakan untuk analisis risiko.
Adalah wajar mempertimbangkan hubungan semua matriks semasa analisis. Jadi, sebagai contoh, matriks kelemahan ialah pautan antara aset dan kelemahan sedia ada, matriks ancaman ialah himpunan kelemahan dan ancaman, dan matriks kawalan menghubungkan konsep seperti ancaman dan kawalan. Setiap sel matriks mencerminkan nisbah elemen lajur dan baris. Sistem penggredan tinggi, sederhana dan rendah digunakan.
Untuk membuat jadual, anda perlu membuat senarai ancaman, kelemahan, kawalan dan aset. Data ditambah tentang interaksi kandungan lajur matriks dengan kandungan baris. Kemudian, data matriks kerentanan dipindahkan ke matriks ancaman, dan kemudian, mengikut prinsip yang sama, maklumat daripada matriks ancaman dipindahkan ke matriks kawalan.
Kesimpulan
Peranan datameningkat dengan ketara dengan peralihan beberapa negara kepada ekonomi pasaran. Tanpa penerimaan maklumat yang diperlukan tepat pada masanya, fungsi normal syarikat adalah mustahil.
Bersama-sama dengan perkembangan teknologi maklumat, apa yang dipanggil risiko maklumat telah timbul yang menimbulkan ancaman kepada aktiviti syarikat. Itulah sebabnya mereka perlu dikenal pasti, dianalisis dan dinilai untuk pengurangan, pemindahan atau pelupusan selanjutnya. Pembentukan dan pelaksanaan dasar keselamatan akan menjadi tidak berkesan sekiranya peraturan sedia ada tidak digunakan dengan baik kerana ketidakcekapan atau kurang kesedaran pekerja. Adalah penting untuk membangunkan kompleks untuk pematuhan keselamatan maklumat.
Pengurusan risiko adalah subjektif, kompleks, tetapi pada masa yang sama merupakan peringkat penting dalam aktiviti syarikat. Penekanan terbesar terhadap keselamatan data mereka harus dibuat oleh syarikat yang bekerja dengan sejumlah besar maklumat atau memiliki data sulit.
Terdapat banyak kaedah berkesan untuk mengira dan menganalisis risiko berkaitan maklumat yang membolehkan anda memaklumkan syarikat dengan cepat dan membenarkannya mematuhi peraturan daya saing dalam pasaran, serta mengekalkan keselamatan dan kesinambungan perniagaan.