21-12-2018 02:25

Информационные риски: понятие, анализ, оценка

В нашу эпоху информация занимает одну из ключевых позиций во всех сферах жизни человека. Это связано с постепенным переходом общества из индустриальной эпохи в постиндустриальную. Вследствие использования, владения и передачи различной информации могут возникнуть информационные риски, которые способны повлиять на всю сферу экономики.

В каких отраслях наиболее быстрый рост?

С каждым годом все больше и больше становится заметным рост информационных потоков, поскольку расширение технических инноваций делает насущной необходимостью быструю передачу информации, связанной с адаптацией новых технологий. Мгновенно в наше время развиваются такие отрасли, как промышленность, сфера торговли, образования и финансов. Именно при передаче данных в них возникают информационные риски.

Формулы площади поверхности правильной четырехугольной пирамиды. Расчет полной площади пирамиды ХеопсаВам будет интересно:Формулы площади поверхности правильной четырехугольной пирамиды. Расчет полной площади пирамиды Хеопса

Информационные риски

Егерские полки – прообраз современного спецназаВам будет интересно:Егерские полки – прообраз современного спецназа

Информация становится одним из ценнейших видов продукции, общая стоимость которой в ближайшее время будет превосходить цену всех продуктов производства. Это произойдет потому, что для того, чтобы обеспечить ресурсосберегающее создание всех материальных благ и услуг, нужно обеспечить принципиально новый способ передачи информации, исключающий возможность появления информационных рисков.

Определение

В наше время не существует однозначного определения информационного риска. Многие специалисты трактуют этот термин как событие, оказывающее прямое влияние на различную информацию. Это может быть нарушение конфиденциальности, искажение и даже удаление. Для многих зона риска ограничивается лишь компьютерными системами, на которые делается основной упор.

Защита информации

Зачастую при изучении этой темы не рассматриваются многие действительно важные аспекты. К их числу относится непосредственная обработка информации и управление информационными рисками. Ведь риски, связанные с данными, возникают, как правило, на этапе получения, так как велика вероятность неправильного восприятия и обработки сведений. Часто должное внимание не уделяется рискам, из-за которых появляются сбои в алгоритмах обработки данных, а также неполадки в программах, используемых для оптимизации управления.

Прошедшее длительное время в английском языке: описание, особенности и примерыВам будет интересно:Прошедшее длительное время в английском языке: описание, особенности и примеры

Многие рассматривают риски, связанные с обработкой информации, исключительно с экономической стороны. Для них это в первую очередь риск, связанный с неправильным внедрением и использованием информационных технологий. Значит, управление информационными рисками охватывает такие процессы, как создание, передача, хранение и использование информации при условии применения всевозможных носителей и средств связи.

Анализ и классификация IT-рисков

Какие бывают риски, связанные с получением, обработкой и передачей информации? По каким признакам они различаются? Существует несколько групп качественной и количественной оценки информационных рисков по следующим критериям:

  • по внутренним и внешним источникам возникновения;
  • по намеренному и непреднамеренному характеру;
  • по прямому или косвенному виду;
  • по виду нарушения информации: достоверность, актуальность, полнота, конфиденциальность данных и др.;
  • по способу воздействия риски бывают следующие: форс-мажорные и стихийные бедствия, ошибки специалистов, аварии и т.д. Защита данных

Анализ информационных рисков — это процесс повсеместной оценки уровня защиты информационных систем с определением количества (денежные ресурсы) и качества (низкий, средний, высокий уровень риска) всевозможных рисков. Процесс анализа можно осуществить с помощью всевозможных методов и инструментов создания способов защиты информации. На основе результатов подобного анализа можно определить наиболее высокие риски, которые могут являться непосредственной угрозой и стимулом для немедленного принятия дополнительных мер, способствующих защите информационных ресурсов.

Методика определения IT-рисков

В настоящее время не существует общепринятого метода, достоверно определяющего конкретные риски информационных технологий. Это связано с тем, что нет должного количества статистических данных, которые позволили бы получить более конкретную информацию о распространенных рисках. Немаловажную роль играет также то, что трудно доскональным образом определить величину конкретного информационного ресурса, ведь производитель или владелец предприятия может с абсолютной точностью назвать стоимость информационных носителей, однако стоимость информации, находящейся на них, он затруднится озвучить. Именно поэтому на данный момент оптимальным вариантом определения стоимости IT-рисков является качественная оценка, благодаря которой точно идентифицируются различные факторы риска, а также определяются сферы их влияния и последствия возникновения для деятельности всего предприятия.

Каяться - это... Понятие, значение слова, основы и правилаВам будет интересно:Каяться - это... Понятие, значение слова, основы и правила

Методы защиты информации

Метод CRAMM, используемый в Великобритании, является наиболее действенным для определения количественных рисков. К основным целям этой методики можно отнести:

  • автоматизацию процесса управления рисками;
  • оптимизацию денежных расходов на управление;
  • продуктивность систем безопасности компании;
  • стремление к непрерывности бизнеса.

Экспертный метод анализа рисков

Эксперты принимают во внимание следующие факторы анализа рисков информационной безопасности:

1. Стоимость ресурса. Эта величина отражает ценность информационного ресурса как такового. Существует оценочная система качественного риска по шкале, где 1 — минимум, 2 — среднее значение и 3 — максимум. Если рассматривать IT-ресурсы банковской среды, то ее автоматизированный сервер будет иметь значение 3, а отдельный информационный терминал — 1.

Система информационной безопасности

2. Степень уязвимости ресурса. Он демонстрирует величину угрозы и вероятности повреждения IT-ресурса. Если говорить о банковской организации, сервер автоматизированной банковской системы будет максимально доступным, поэтому самой большой угрозой для него являются хакерские атаки. Здесь также действует оценочная шкала от 1 до 3, где 1 — это незначительное воздействие, 2 — большая вероятность восстановления ресурса, 3 — необходимость полной замены ресурса после нейтрализации опасности.

3. Оценка возможности возникновения угрозы. Она определяет вероятность реализации определенной угрозы для информационного ресурса за условный промежуток времени (чаще всего — за год) и так же, как предыдущие факторы, может оцениваться по шкале от 1 до 3 (низкая, средняя, высокая).

Управление рисками информационной безопасности в условиях их возникновения

Существуют следующие варианты решения проблем с появившимися рисками:

  • принятие риска и ответственности за принесенные им потери;
  • снижение риска, то есть минимизация связанных с его возникновением потерь;
  • передача, то есть возложение затрат по возмещению ущерба на страховую компанию, или трансформация с помощью определенных механизмов в риск с наименьшим уровнем опасности.

Затем риски информационного обеспечения распределяются по рангу для того, чтобы выявить первостепенные. Для управления такими рисками требуется их снизить, а иногда — передать в страховую компанию. Возможна передача и снижение рисков высокого и среднего уровня на одинаковых условиях, а риски низшего уровня зачастую принимаются и не участвуют в дальнейшем анализе.

Защита данных

Стоит учесть тот факт, что ранжирование рисков в информационных системах определяется на основе расчета и определения их качественной величины. То есть, если интервал ранжирования рисков находится в пределах от 1 до 18, то диапазон низких рисков — от 1 до 7, средних — от 8 до 13, а высоких — от 14 до 18. Суть управления информационными рисками предприятия — это снижение величин средних и высоких рисков до самого низкого значения, чтобы их принятие было как можно более оптимальным и возможным.

Метод снижения рисков CORAS

Метод CORAS входит в программу Information Society Technologies. Его смысл заключается в приспособлении, конкретизации и сочетании эффективных методов проведения анализа на примерах информационных рисков.

Методология CORAS использует следующие процедуры анализа возможных рисков:

  • мероприятия по подготовке поиска и систематизации информации о рассматриваемом объекте;
  • предоставление клиентом объективных и верных данных по рассматриваемому объекту;
  • полное описание предстоящего анализа с учетом всех этапов;
  • анализ предоставленных документов на подлинность и правильность для более объективного анализа;
  • проведение мероприятий по выявлению возможных рисков;
  • оценка всех последствий возникающих информационных угроз;
  • выделение рисков, которые могут быть приняты компанией, и рисков, которые необходимо как можно скорее уменьшить или перенаправить;
  • мероприятия по устранению возможных угроз.

Александра Коллонтай: биография, личная жизнь и деятельностьВам будет интересно:Александра Коллонтай: биография, личная жизнь и деятельность

Важно отметить, что перечисленные меры не требуют значительных усилий и ресурсов для внедрения и последующего осуществления. Методика CORAS достаточно проста в применении и не требует долгого обучения для начала ее использования. Единственным недостатком данного инструментария является отсутствие периодичности в проведении оценки.

Метод OCTAVE

Метод оценки рисков OCTAVE подразумевает определенную степень вовлеченности владельца информации в анализ. Необходимо знать, что с помощью его происходит быстрая оценка критических угроз, определение активов и выявление слабых мест в системе защиты информации. OCTAVE предусматривает создание компетентной группы анализа, безопасности, которая включает использующих систему работников компании и сотрудников информационного отдела. OCTAVE состоит из трех этапов:

  • Сначала происходит оценка организации, то есть группа анализа определяет критерии оценки ущерба, а впоследствии — и рисков. Выявляются важнейшие ресурсы организации, оценивается общее состояние процесса поддержания IT-безопасности в компании. Последний шаг заключается в идентификации требований безопасности и определении перечня рисков.

Как обеспечить информационную безопасность?

  • Вторая стадия заключается в комплексном анализе информационной инфраструктуры компании. Упор делается на быстрое и слаженное взаимодействие между сотрудниками и отделами, отвечающими за данную инфраструктуру.
  • На третьей стадии проводится разработка тактики обеспечения безопасности, создается план по сокращению возможных рисков и защите информационных ресурсов. Также оценивается возможный урон и вероятность реализации угроз, а также устанавливаются критерии их оценки.

Матричный метод анализа рисков

Этот метод анализа объединяет угрозы, уязвимости, активы и средства управления информационной безопасностью, а также определяет их важность для соответствующих активов организации. Активы организации — это значимые с точки зрения пользы материальные и нематериальные объекты. Важно знать, что метод матрицы состоит из трех частей: матрицы угроз, матрицы уязвимости и матрицы контроля. Для анализа рисков используются результаты всех трех частей этой методики.

Стоит учесть взаимосвязь всех матриц в ходе анализа. Так, например, матрица уязвимости является связью активов и существующих уязвимостей, матрица угроз — это совокупность уязвимостей и угроз, а матрица контроля связывает такие понятия, как угрозы и средства управления. Каждая ячейка матрицы отражает соотношение столбца и элемента строки. Используется высокая, средняя, а также низкая система оценок.

Для создания таблицы нужно сформировать списки угроз, уязвимостей, средств управления и активов. Добавляются данные о взаимодействии содержимого столбца матрицы с содержанием строки. Позже данные матрицы уязвимостей переходят в матрицу угроз, а затем по этому же принципу в матрицу контроля переносится информация из матрицы угроз.

Вывод

Роль данных значительно возросла с переходом ряда стран в систему рыночной экономики. Без своевременного получения нужной информации нормальное функционирование фирмы попросту невозможно.

Вместе с развитием информационных технологий возникли так называемые информационные риски, представляющие собой угрозу для деятельности компаний. Именно поэтому их необходимо выявлять, анализировать и оценивать для дальнейшего сокращения, передачи или утилизации. Формирование и реализация политики безопасности будет неэффективной, если существующие правила не используются должным образом из-за некомпетентности или недостаточной осведомленности сотрудников. Важно разработать комплекс по соблюдению информационной безопасности.

Регулировка рисков является субъективным, сложным, но в то же время важным этапом в деятельности компании. Наибольший упор на безопасность своих данных должна сделать фирма, работающая с большими объемами информации, либо владеющая конфиденциальными данными.

Существует великое множество эффективных методик расчета и анализа рисков, связанных с информацией, позволяющих оперативно информировать фирму и позволять ей соблюдать правила конкурентоспособности на рынке, а также сохранять безопасность и непрерывность деятельности.



Источник