В нашу эпоху информация занимает одну из ключевых позиций во всех сферах жизни человека. Это связано с постепенным переходом общества из индустриальной эпохи в постиндустриальную. Вследствие использования, владения и передачи различной информации могут возникнуть информационные риски, которые способны повлиять на всю сферу экономики.
В каких отраслях наиболее быстрый рост?
С каждым годом все больше и больше становится заметным рост информационных потоков, поскольку расширение технических инноваций делает насущной необходимостью быструю передачу информации, связанной с адаптацией новых технологий. Мгновенно в наше время развиваются такие отрасли, как промышленность, сфера торговли, образования и финансов. Именно при передаче данных в них возникают информационные риски.
Вам будет интересно:Формулы площади поверхности правильной четырехугольной пирамиды. Расчет полной площади пирамиды Хеопса
Вам будет интересно:Егерские полки – прообраз современного спецназа
Информация становится одним из ценнейших видов продукции, общая стоимость которой в ближайшее время будет превосходить цену всех продуктов производства. Это произойдет потому, что для того, чтобы обеспечить ресурсосберегающее создание всех материальных благ и услуг, нужно обеспечить принципиально новый способ передачи информации, исключающий возможность появления информационных рисков.
Определение
В наше время не существует однозначного определения информационного риска. Многие специалисты трактуют этот термин как событие, оказывающее прямое влияние на различную информацию. Это может быть нарушение конфиденциальности, искажение и даже удаление. Для многих зона риска ограничивается лишь компьютерными системами, на которые делается основной упор.
Зачастую при изучении этой темы не рассматриваются многие действительно важные аспекты. К их числу относится непосредственная обработка информации и управление информационными рисками. Ведь риски, связанные с данными, возникают, как правило, на этапе получения, так как велика вероятность неправильного восприятия и обработки сведений. Часто должное внимание не уделяется рискам, из-за которых появляются сбои в алгоритмах обработки данных, а также неполадки в программах, используемых для оптимизации управления.
Вам будет интересно:Прошедшее длительное время в английском языке: описание, особенности и примеры
Многие рассматривают риски, связанные с обработкой информации, исключительно с экономической стороны. Для них это в первую очередь риск, связанный с неправильным внедрением и использованием информационных технологий. Значит, управление информационными рисками охватывает такие процессы, как создание, передача, хранение и использование информации при условии применения всевозможных носителей и средств связи.
Анализ и классификация IT-рисков
Какие бывают риски, связанные с получением, обработкой и передачей информации? По каким признакам они различаются? Существует несколько групп качественной и количественной оценки информационных рисков по следующим критериям:
- по внутренним и внешним источникам возникновения;
- по намеренному и непреднамеренному характеру;
- по прямому или косвенному виду;
- по виду нарушения информации: достоверность, актуальность, полнота, конфиденциальность данных и др.;
- по способу воздействия риски бывают следующие: форс-мажорные и стихийные бедствия, ошибки специалистов, аварии и т.д.
Анализ информационных рисков — это процесс повсеместной оценки уровня защиты информационных систем с определением количества (денежные ресурсы) и качества (низкий, средний, высокий уровень риска) всевозможных рисков. Процесс анализа можно осуществить с помощью всевозможных методов и инструментов создания способов защиты информации. На основе результатов подобного анализа можно определить наиболее высокие риски, которые могут являться непосредственной угрозой и стимулом для немедленного принятия дополнительных мер, способствующих защите информационных ресурсов.
Методика определения IT-рисков
Вам будет интересно:Каяться - это... Понятие, значение слова, основы и правила
В настоящее время не существует общепринятого метода, достоверно определяющего конкретные риски информационных технологий. Это связано с тем, что нет должного количества статистических данных, которые позволили бы получить более конкретную информацию о распространенных рисках. Немаловажную роль играет также то, что трудно доскональным образом определить величину конкретного информационного ресурса, ведь производитель или владелец предприятия может с абсолютной точностью назвать стоимость информационных носителей, однако стоимость информации, находящейся на них, он затруднится озвучить. Именно поэтому на данный момент оптимальным вариантом определения стоимости IT-рисков является качественная оценка, благодаря которой точно идентифицируются различные факторы риска, а также определяются сферы их влияния и последствия возникновения для деятельности всего предприятия.
Метод CRAMM, используемый в Великобритании, является наиболее действенным для определения количественных рисков. К основным целям этой методики можно отнести:
- автоматизацию процесса управления рисками;
- оптимизацию денежных расходов на управление;
- продуктивность систем безопасности компании;
- стремление к непрерывности бизнеса.
Экспертный метод анализа рисков
Эксперты принимают во внимание следующие факторы анализа рисков информационной безопасности:
1. Стоимость ресурса. Эта величина отражает ценность информационного ресурса как такового. Существует оценочная система качественного риска по шкале, где 1 — минимум, 2 — среднее значение и 3 — максимум. Если рассматривать IT-ресурсы банковской среды, то ее автоматизированный сервер будет иметь значение 3, а отдельный информационный терминал — 1.
2. Степень уязвимости ресурса. Он демонстрирует величину угрозы и вероятности повреждения IT-ресурса. Если говорить о банковской организации, сервер автоматизированной банковской системы будет максимально доступным, поэтому самой большой угрозой для него являются хакерские атаки. Здесь также действует оценочная шкала от 1 до 3, где 1 — это незначительное воздействие, 2 — большая вероятность восстановления ресурса, 3 — необходимость полной замены ресурса после нейтрализации опасности.
3. Оценка возможности возникновения угрозы. Она определяет вероятность реализации определенной угрозы для информационного ресурса за условный промежуток времени (чаще всего — за год) и так же, как предыдущие факторы, может оцениваться по шкале от 1 до 3 (низкая, средняя, высокая).
Управление рисками информационной безопасности в условиях их возникновения
Существуют следующие варианты решения проблем с появившимися рисками:
- принятие риска и ответственности за принесенные им потери;
- снижение риска, то есть минимизация связанных с его возникновением потерь;
- передача, то есть возложение затрат по возмещению ущерба на страховую компанию, или трансформация с помощью определенных механизмов в риск с наименьшим уровнем опасности.
Затем риски информационного обеспечения распределяются по рангу для того, чтобы выявить первостепенные. Для управления такими рисками требуется их снизить, а иногда — передать в страховую компанию. Возможна передача и снижение рисков высокого и среднего уровня на одинаковых условиях, а риски низшего уровня зачастую принимаются и не участвуют в дальнейшем анализе.
Стоит учесть тот факт, что ранжирование рисков в информационных системах определяется на основе расчета и определения их качественной величины. То есть, если интервал ранжирования рисков находится в пределах от 1 до 18, то диапазон низких рисков — от 1 до 7, средних — от 8 до 13, а высоких — от 14 до 18. Суть управления информационными рисками предприятия — это снижение величин средних и высоких рисков до самого низкого значения, чтобы их принятие было как можно более оптимальным и возможным.
Метод снижения рисков CORAS
Метод CORAS входит в программу Information Society Technologies. Его смысл заключается в приспособлении, конкретизации и сочетании эффективных методов проведения анализа на примерах информационных рисков.
Методология CORAS использует следующие процедуры анализа возможных рисков:
- мероприятия по подготовке поиска и систематизации информации о рассматриваемом объекте;
- предоставление клиентом объективных и верных данных по рассматриваемому объекту;
- полное описание предстоящего анализа с учетом всех этапов;
- анализ предоставленных документов на подлинность и правильность для более объективного анализа;
- проведение мероприятий по выявлению возможных рисков;
- оценка всех последствий возникающих информационных угроз;
- выделение рисков, которые могут быть приняты компанией, и рисков, которые необходимо как можно скорее уменьшить или перенаправить;
- мероприятия по устранению возможных угроз.
Вам будет интересно:Александра Коллонтай: биография, личная жизнь и деятельность
Важно отметить, что перечисленные меры не требуют значительных усилий и ресурсов для внедрения и последующего осуществления. Методика CORAS достаточно проста в применении и не требует долгого обучения для начала ее использования. Единственным недостатком данного инструментария является отсутствие периодичности в проведении оценки.
Метод OCTAVE
Метод оценки рисков OCTAVE подразумевает определенную степень вовлеченности владельца информации в анализ. Необходимо знать, что с помощью его происходит быстрая оценка критических угроз, определение активов и выявление слабых мест в системе защиты информации. OCTAVE предусматривает создание компетентной группы анализа, безопасности, которая включает использующих систему работников компании и сотрудников информационного отдела. OCTAVE состоит из трех этапов:
- Сначала происходит оценка организации, то есть группа анализа определяет критерии оценки ущерба, а впоследствии — и рисков. Выявляются важнейшие ресурсы организации, оценивается общее состояние процесса поддержания IT-безопасности в компании. Последний шаг заключается в идентификации требований безопасности и определении перечня рисков.
- Вторая стадия заключается в комплексном анализе информационной инфраструктуры компании. Упор делается на быстрое и слаженное взаимодействие между сотрудниками и отделами, отвечающими за данную инфраструктуру.
- На третьей стадии проводится разработка тактики обеспечения безопасности, создается план по сокращению возможных рисков и защите информационных ресурсов. Также оценивается возможный урон и вероятность реализации угроз, а также устанавливаются критерии их оценки.
Матричный метод анализа рисков
Этот метод анализа объединяет угрозы, уязвимости, активы и средства управления информационной безопасностью, а также определяет их важность для соответствующих активов организации. Активы организации — это значимые с точки зрения пользы материальные и нематериальные объекты. Важно знать, что метод матрицы состоит из трех частей: матрицы угроз, матрицы уязвимости и матрицы контроля. Для анализа рисков используются результаты всех трех частей этой методики.
Стоит учесть взаимосвязь всех матриц в ходе анализа. Так, например, матрица уязвимости является связью активов и существующих уязвимостей, матрица угроз — это совокупность уязвимостей и угроз, а матрица контроля связывает такие понятия, как угрозы и средства управления. Каждая ячейка матрицы отражает соотношение столбца и элемента строки. Используется высокая, средняя, а также низкая система оценок.
Для создания таблицы нужно сформировать списки угроз, уязвимостей, средств управления и активов. Добавляются данные о взаимодействии содержимого столбца матрицы с содержанием строки. Позже данные матрицы уязвимостей переходят в матрицу угроз, а затем по этому же принципу в матрицу контроля переносится информация из матрицы угроз.
Вывод
Роль данных значительно возросла с переходом ряда стран в систему рыночной экономики. Без своевременного получения нужной информации нормальное функционирование фирмы попросту невозможно.
Вместе с развитием информационных технологий возникли так называемые информационные риски, представляющие собой угрозу для деятельности компаний. Именно поэтому их необходимо выявлять, анализировать и оценивать для дальнейшего сокращения, передачи или утилизации. Формирование и реализация политики безопасности будет неэффективной, если существующие правила не используются должным образом из-за некомпетентности или недостаточной осведомленности сотрудников. Важно разработать комплекс по соблюдению информационной безопасности.
Регулировка рисков является субъективным, сложным, но в то же время важным этапом в деятельности компании. Наибольший упор на безопасность своих данных должна сделать фирма, работающая с большими объемами информации, либо владеющая конфиденциальными данными.
Существует великое множество эффективных методик расчета и анализа рисков, связанных с информацией, позволяющих оперативно информировать фирму и позволять ей соблюдать правила конкурентоспособности на рынке, а также сохранять безопасность и непрерывность деятельности.
