Κίνδυνοι πληροφοριών: έννοια, ανάλυση, αξιολόγηση

Πίνακας περιεχομένων:

Κίνδυνοι πληροφοριών: έννοια, ανάλυση, αξιολόγηση
Κίνδυνοι πληροφοριών: έννοια, ανάλυση, αξιολόγηση
Anonim

Στην εποχή μας, η πληροφόρηση κατέχει μια από τις βασικές θέσεις σε όλους τους τομείς της ανθρώπινης ζωής. Αυτό οφείλεται στη σταδιακή μετάβαση της κοινωνίας από τη βιομηχανική εποχή στη μεταβιομηχανική. Ως αποτέλεσμα της χρήσης, κατοχής και μεταφοράς διαφόρων πληροφοριών, ενδέχεται να προκύψουν κίνδυνοι πληροφοριών που μπορούν να επηρεάσουν ολόκληρη τη σφαίρα της οικονομίας.

Ποιοι κλάδοι αναπτύσσονται πιο γρήγορα;

Η αύξηση των ροών πληροφοριών γίνεται ολοένα και πιο αισθητή κάθε χρόνο, καθώς η επέκταση της τεχνικής καινοτομίας καθιστά την ταχεία μεταφορά πληροφοριών που σχετίζονται με την προσαρμογή των νέων τεχνολογιών επιτακτική ανάγκη. Στην εποχή μας, κλάδοι όπως η βιομηχανία, το εμπόριο, η εκπαίδευση και τα οικονομικά αναπτύσσονται άμεσα. Κατά τη μεταφορά των δεδομένων προκύπτουν κίνδυνοι πληροφοριών σε αυτά.

Κίνδυνοι πληροφόρησης
Κίνδυνοι πληροφόρησης

Η πληροφόρηση γίνεται ένας από τους πολυτιμότερους τύπους προϊόντων, το συνολικό κόστος των οποίων σύντομα θα ξεπεράσει την τιμή όλων των προϊόντων παραγωγής. Αυτό θα συμβεί γιατί γιαΠροκειμένου να διασφαλιστεί η δημιουργία εξοικονόμησης πόρων όλων των υλικών αγαθών και υπηρεσιών, είναι απαραίτητο να παρέχουμε έναν ουσιαστικά νέο τρόπο μετάδοσης πληροφοριών που αποκλείει την πιθανότητα κινδύνου πληροφοριών.

Ορισμός

Στην εποχή μας δεν υπάρχει σαφής ορισμός του κινδύνου πληροφοριών. Πολλοί ειδικοί ερμηνεύουν αυτόν τον όρο ως ένα γεγονός που έχει άμεσο αντίκτυπο σε διάφορες πληροφορίες. Αυτό μπορεί να είναι παραβίαση της εμπιστευτικότητας, παραμόρφωση, ακόμη και διαγραφή. Για πολλούς, η ζώνη κινδύνου περιορίζεται στα συστήματα υπολογιστών, τα οποία αποτελούν το κύριο επίκεντρο.

Προστασία πληροφοριών
Προστασία πληροφοριών

Συχνά, κατά τη μελέτη αυτού του θέματος, πολλές πραγματικά σημαντικές πτυχές δεν λαμβάνονται υπόψη. Αυτές περιλαμβάνουν την άμεση επεξεργασία πληροφοριών και τη διαχείριση κινδύνου πληροφοριών. Εξάλλου, οι κίνδυνοι που σχετίζονται με τα δεδομένα προκύπτουν, κατά κανόνα, στο στάδιο της απόκτησης, καθώς υπάρχει μεγάλη πιθανότητα εσφαλμένης αντίληψης και επεξεργασίας των πληροφοριών. Συχνά, δεν δίνεται η δέουσα προσοχή στους κινδύνους που προκαλούν αστοχίες στους αλγόριθμους επεξεργασίας δεδομένων, καθώς και σε δυσλειτουργίες σε προγράμματα που χρησιμοποιούνται για τη βελτιστοποίηση της διαχείρισης.

Πολλοί εξετάζουν τους κινδύνους που συνδέονται με την επεξεργασία πληροφοριών, αποκλειστικά από οικονομικής πλευράς. Για αυτούς, αυτός είναι πρωτίστως ένας κίνδυνος που σχετίζεται με την εσφαλμένη εφαρμογή και χρήση της τεχνολογίας των πληροφοριών. Αυτό σημαίνει ότι η διαχείριση κινδύνου πληροφοριών καλύπτει διαδικασίες όπως η δημιουργία, μεταφορά, αποθήκευση και χρήση πληροφοριών, με την επιφύλαξη της χρήσης διαφόρων μέσων και μέσων επικοινωνίας.

Ανάλυση καιταξινόμηση κινδύνων πληροφορικής

Ποιοι είναι οι κίνδυνοι που συνδέονται με τη λήψη, την επεξεργασία και τη μετάδοση πληροφοριών; Σε ποιον τρόπο διαφέρουν; Υπάρχουν διάφορες ομάδες ποιοτικής και ποσοτικής αξιολόγησης των κινδύνων πληροφοριών σύμφωνα με τα ακόλουθα κριτήρια:

  • σύμφωνα με εσωτερικές και εξωτερικές πηγές εμφάνισης;
  • σκόπιμα και ακούσια;
  • άμεσα ή έμμεσα;
  • ανά τύπο παραβίασης πληροφοριών: αξιοπιστία, συνάφεια, πληρότητα, εμπιστευτικότητα δεδομένων κ.λπ.;
  • σύμφωνα με τη μέθοδο επιπτώσεων, οι κίνδυνοι είναι οι εξής: ανωτέρα βία και φυσικές καταστροφές, λάθη ειδικών, ατυχήματα κ.λπ.
  • Προστασία δεδομένων
    Προστασία δεδομένων

Η ανάλυση κινδύνου πληροφοριών είναι μια διαδικασία συνολικής αξιολόγησης του επιπέδου προστασίας των πληροφοριακών συστημάτων με τον προσδιορισμό της ποσότητας (ταμειακά διαθέσιμα) και της ποιότητας (χαμηλού, μεσαίου, υψηλού κινδύνου) των διαφόρων κινδύνων. Η διαδικασία ανάλυσης μπορεί να πραγματοποιηθεί χρησιμοποιώντας διάφορες μεθόδους και εργαλεία για τη δημιουργία τρόπων προστασίας των πληροφοριών. Με βάση τα αποτελέσματα μιας τέτοιας ανάλυσης, είναι δυνατός ο προσδιορισμός των υψηλότερων κινδύνων που μπορεί να αποτελέσουν άμεση απειλή και κίνητρο για την άμεση υιοθέτηση πρόσθετων μέτρων που συμβάλλουν στην προστασία των πόρων πληροφοριών.

Μεθοδολογία για τον προσδιορισμό κινδύνων πληροφορικής

Επί του παρόντος, δεν υπάρχει γενικά αποδεκτή μέθοδος που να προσδιορίζει με αξιοπιστία τους συγκεκριμένους κινδύνους της τεχνολογίας της πληροφορίας. Αυτό οφείλεται στο γεγονός ότι δεν υπάρχουν αρκετά στατιστικά στοιχεία που να παρέχουν πιο συγκεκριμένες πληροφορίες σχετικάκοινούς κινδύνους. Σημαντικό ρόλο παίζει επίσης το γεγονός ότι είναι δύσκολο να προσδιοριστεί διεξοδικά η αξία ενός συγκεκριμένου πόρου πληροφοριών, επειδή ένας κατασκευαστής ή ιδιοκτήτης μιας επιχείρησης μπορεί να ονομάσει το κόστος των μέσων ενημέρωσης με απόλυτη ακρίβεια, αλλά θα δυσκολευτεί να εκφράζουν το κόστος των πληροφοριών που βρίσκονται σε αυτά. Γι' αυτό, αυτή τη στιγμή, η καλύτερη επιλογή για τον προσδιορισμό του κόστους των κινδύνων πληροφορικής είναι η ποιοτική αξιολόγηση, χάρη στην οποία προσδιορίζονται με ακρίβεια διάφοροι παράγοντες κινδύνου, καθώς και οι τομείς επιρροής τους και οι συνέπειες για ολόκληρη την επιχείρηση.

Μέθοδοι ασφάλειας πληροφοριών
Μέθοδοι ασφάλειας πληροφοριών

Η μέθοδος CRAMM που χρησιμοποιείται στο Ηνωμένο Βασίλειο είναι ο πιο ισχυρός τρόπος εντοπισμού ποσοτικών κινδύνων. Οι κύριοι στόχοι αυτής της τεχνικής περιλαμβάνουν:

  • αυτοματοποίηση της διαδικασίας διαχείρισης κινδύνου;
  • βελτιστοποίηση του κόστους διαχείρισης μετρητών;
  • παραγωγικότητα των συστημάτων ασφαλείας της εταιρείας;
  • δέσμευση για επιχειρηματική συνέχεια.

Μέθοδος ανάλυσης κινδύνου από ειδικούς

Οι ειδικοί λαμβάνουν υπόψη τους ακόλουθους παράγοντες ανάλυσης κινδύνου ασφάλειας πληροφοριών:

1. Κόστος πόρων. Αυτή η τιμή αντικατοπτρίζει την αξία του πόρου πληροφοριών καθαυτή. Υπάρχει ένα σύστημα αξιολόγησης του ποιοτικού κινδύνου σε μια κλίμακα όπου 1 είναι η ελάχιστη, 2 είναι η μέση τιμή και 3 είναι η μέγιστη. Εάν λάβουμε υπόψη τους πόρους πληροφορικής του τραπεζικού περιβάλλοντος, τότε ο αυτοματοποιημένος διακομιστής του θα έχει τιμή 3 και ένα ξεχωριστό τερματικό πληροφοριών - 1.

Σύστημα ασφάλειας πληροφοριών
Σύστημα ασφάλειας πληροφοριών

2. Ο βαθμός τρωτότητας του πόρου. Δείχνει το μέγεθος της απειλής και την πιθανότητα βλάβης σε έναν πόρο πληροφορικής. Αν μιλάμε για έναν τραπεζικό οργανισμό, ο διακομιστής του αυτοματοποιημένου τραπεζικού συστήματος θα είναι όσο το δυνατόν πιο προσβάσιμος, επομένως οι επιθέσεις χάκερ αποτελούν τη μεγαλύτερη απειλή για αυτόν. Υπάρχει επίσης μια κλίμακα αξιολόγησης από το 1 έως το 3, όπου το 1 είναι μια μικρή επίπτωση, το 2 είναι μια υψηλή πιθανότητα ανάκτησης πόρων, το 3 είναι η ανάγκη για πλήρη αντικατάσταση του πόρου μετά την εξουδετέρωση του κινδύνου.

3. Αξιολόγηση της πιθανότητας απειλής. Καθορίζει την πιθανότητα μιας συγκεκριμένης απειλής για έναν πόρο πληροφοριών για μια υπό όρους χρονική περίοδο (τις περισσότερες φορές - για ένα έτος) και, όπως και οι προηγούμενοι παράγοντες, μπορεί να αξιολογηθεί σε κλίμακα από το 1 έως το 3 (χαμηλό, μεσαίο, υψηλό).

Διαχείριση κινδύνων ασφάλειας πληροφοριών καθώς εμφανίζονται

Υπάρχουν οι ακόλουθες επιλογές για την επίλυση προβλημάτων με αναδυόμενους κινδύνους:

  • αποδέχονται τον κίνδυνο και αναλαμβάνουν την ευθύνη για τις απώλειές τους,
  • μείωση του κινδύνου, δηλαδή ελαχιστοποίηση των απωλειών που σχετίζονται με την εμφάνισή του;
  • μεταβίβαση, δηλαδή η επιβολή του κόστους αποζημίωσης για ζημιά στην ασφαλιστική εταιρεία ή η μετατροπή μέσω ορισμένων μηχανισμών σε κίνδυνο με το χαμηλότερο επίπεδο κινδύνου.

Στη συνέχεια, οι κίνδυνοι της πληροφοριακής υποστήριξης κατανέμονται κατά σειρά, προκειμένου να εντοπιστούν οι κύριοι. Για να διαχειριστείτε τέτοιους κινδύνους, είναι απαραίτητο να τους μειώσετε και μερικές φορές - να τους μεταφέρετε στην ασφαλιστική εταιρεία. Πιθανή μεταφορά και μείωση κινδύνων υψηλών καιμεσαίου επιπέδου με τους ίδιους όρους και οι κίνδυνοι χαμηλότερου επιπέδου γίνονται συχνά αποδεκτοί και δεν περιλαμβάνονται σε περαιτέρω ανάλυση.

Προστασία δεδομένων
Προστασία δεδομένων

Αξίζει να ληφθεί υπόψη το γεγονός ότι η κατάταξη των κινδύνων στα πληροφοριακά συστήματα καθορίζεται με βάση τον υπολογισμό και τον προσδιορισμό της ποιοτικής τους αξίας. Δηλαδή, εάν το διάστημα κατάταξης κινδύνου είναι στην περιοχή από 1 έως 18, τότε το εύρος των χαμηλών κινδύνων είναι από 1 έως 7, οι μεσαίοι κίνδυνοι είναι από 8 έως 13 και οι υψηλοί κίνδυνοι είναι από 14 έως 18. Η ουσία της επιχείρησης διαχείριση κινδύνων πληροφοριών είναι η μείωση του μέσου και του υψηλού κινδύνου στη χαμηλότερη τιμή, έτσι ώστε η αποδοχή τους να είναι όσο το δυνατόν βέλτιστη και δυνατή.

Μέθοδος μετριασμού κινδύνου CORAS

Η μέθοδος CORAS αποτελεί μέρος του προγράμματος Τεχνολογίες της Κοινωνίας της Πληροφορίας. Το νόημά του έγκειται στην προσαρμογή, τη συγκεκριμενοποίηση και τον συνδυασμό αποτελεσματικών μεθόδων για τη διεξαγωγή ανάλυσης σε παραδείγματα κινδύνων πληροφοριών.

Η μεθοδολογία CORAS χρησιμοποιεί τις ακόλουθες διαδικασίες ανάλυσης κινδύνου:

  • μέτρα για την προετοιμασία της αναζήτησης και της συστηματοποίησης πληροφοριών σχετικά με το εν λόγω αντικείμενο;
  • παροχή από τον πελάτη αντικειμενικών και σωστών δεδομένων για το εν λόγω αντικείμενο;
  • πλήρη περιγραφή της επερχόμενης ανάλυσης, λαμβάνοντας υπόψη όλα τα στάδια;
  • ανάλυση των υποβληθέντων εγγράφων για αυθεντικότητα και ορθότητα για πιο αντικειμενική ανάλυση,
  • διεξαγωγή δραστηριοτήτων για τον εντοπισμό πιθανών κινδύνων,
  • αξιολόγηση όλων των συνεπειών των αναδυόμενων απειλών πληροφοριών;
  • τονίζοντας τους κινδύνους που μπορεί να αναλάβει η εταιρεία και τους κινδύνους που μπορεί να αναλάβειπρέπει να μειωθεί ή να ανακατευθυνθεί το συντομότερο δυνατό·
  • μέτρα για την εξάλειψη πιθανών απειλών.

Είναι σημαντικό να σημειωθεί ότι τα μέτρα που αναφέρονται δεν απαιτούν σημαντικές προσπάθειες και πόρους για την εφαρμογή και την επακόλουθη εφαρμογή. Η μεθοδολογία CORAS είναι αρκετά απλή στη χρήση και δεν απαιτεί πολλή εκπαίδευση για να αρχίσετε να τη χρησιμοποιείτε. Το μόνο μειονέκτημα αυτής της εργαλειοθήκης είναι η έλλειψη περιοδικότητας στην αξιολόγηση.

Μέθοδος OCTAVE

Η μέθοδος αξιολόγησης κινδύνου OCTAVE συνεπάγεται έναν ορισμένο βαθμό συμμετοχής του κατόχου των πληροφοριών στην ανάλυση. Πρέπει να γνωρίζετε ότι χρησιμοποιείται για τη γρήγορη αξιολόγηση κρίσιμων απειλών, τον εντοπισμό περιουσιακών στοιχείων και τον εντοπισμό αδυναμιών στο σύστημα ασφάλειας πληροφοριών. Η OCTAVE προβλέπει τη δημιουργία μιας αρμόδιας ομάδας ανάλυσης, ασφάλειας, η οποία περιλαμβάνει υπαλλήλους της εταιρείας που χρησιμοποιούν το σύστημα και υπαλλήλους του τμήματος πληροφοριών. Το OCTAVE αποτελείται από τρία στάδια:

Πρώτον, αξιολογείται ο οργανισμός, δηλαδή η ομάδα ανάλυσης καθορίζει τα κριτήρια για την εκτίμηση της ζημίας και στη συνέχεια τους κινδύνους. Εντοπίζονται οι σημαντικότεροι πόροι του οργανισμού, αξιολογείται η γενική κατάσταση της διαδικασίας διατήρησης της ασφάλειας πληροφορικής στην εταιρεία. Το τελευταίο βήμα είναι να προσδιορίσετε τις απαιτήσεις ασφαλείας και να ορίσετε μια λίστα κινδύνων

Πώς να διασφαλίσετε την ασφάλεια των πληροφοριών
Πώς να διασφαλίσετε την ασφάλεια των πληροφοριών
  • Το δεύτερο στάδιο είναι μια ολοκληρωμένη ανάλυση της πληροφοριακής υποδομής της εταιρείας. Δίνεται έμφαση στη γρήγορη και συντονισμένη αλληλεπίδραση μεταξύ των υπαλλήλων και των τμημάτων που είναι αρμόδια για αυτόυποδομή.
  • Στο τρίτο στάδιο, πραγματοποιείται η ανάπτυξη τακτικών ασφαλείας, δημιουργείται ένα σχέδιο για τη μείωση πιθανών κινδύνων και την προστασία των πόρων πληροφοριών. Επίσης αξιολογούνται οι πιθανές ζημιές και η πιθανότητα υλοποίησης των απειλών, καθώς και τα κριτήρια αξιολόγησής τους.

Μέθοδος μήτρας ανάλυσης κινδύνου

Αυτή η μέθοδος ανάλυσης συγκεντρώνει απειλές, τρωτά σημεία, στοιχεία ενεργητικού και ελέγχους ασφάλειας πληροφοριών και προσδιορίζει τη σημασία τους για τα αντίστοιχα περιουσιακά στοιχεία του οργανισμού. Τα περιουσιακά στοιχεία ενός οργανισμού είναι υλικά και άυλα αντικείμενα που είναι σημαντικά από άποψη χρησιμότητας. Είναι σημαντικό να γνωρίζουμε ότι η μέθοδος μήτρας αποτελείται από τρία μέρη: έναν πίνακα απειλών, έναν πίνακα ευπάθειας και έναν πίνακα ελέγχου. Τα αποτελέσματα και των τριών μερών αυτής της μεθοδολογίας χρησιμοποιούνται για ανάλυση κινδύνου.

Αξίζει να ληφθεί υπόψη η σχέση όλων των πινάκων κατά την ανάλυση. Έτσι, για παράδειγμα, ένας πίνακας ευπάθειας είναι ένας σύνδεσμος μεταξύ περιουσιακών στοιχείων και υφιστάμενων τρωτών σημείων, ένας πίνακας απειλών είναι μια συλλογή από τρωτά σημεία και απειλές και ένας πίνακας ελέγχου συνδέει έννοιες όπως απειλές και έλεγχοι. Κάθε κελί του πίνακα αντικατοπτρίζει την αναλογία του στοιχείου στήλης και γραμμής. Χρησιμοποιούνται συστήματα υψηλής, μεσαίας και χαμηλής βαθμολόγησης.

Για να δημιουργήσετε έναν πίνακα, πρέπει να δημιουργήσετε λίστες με απειλές, τρωτά σημεία, στοιχεία ελέγχου και στοιχεία. Προστίθενται δεδομένα σχετικά με την αλληλεπίδραση των περιεχομένων της στήλης μήτρας με τα περιεχόμενα της γραμμής. Αργότερα, τα δεδομένα του πίνακα ευπάθειας μεταφέρονται στον πίνακα απειλών και, στη συνέχεια, σύμφωνα με την ίδια αρχή, οι πληροφορίες από τον πίνακα απειλών μεταφέρονται στον πίνακα ελέγχου.

Συμπέρασμα

Ο ρόλος των δεδομένωναυξήθηκε σημαντικά με τη μετάβαση ορισμένων χωρών σε οικονομία της αγοράς. Χωρίς την έγκαιρη λήψη των απαραίτητων πληροφοριών, η ομαλή λειτουργία της εταιρείας είναι απλά αδύνατη.

Μαζί με την ανάπτυξη της πληροφορικής, έχουν προκύψει οι λεγόμενοι κίνδυνοι πληροφοριών που αποτελούν απειλή για τις δραστηριότητες των εταιρειών. Γι' αυτό χρειάζεται να εντοπιστούν, να αναλυθούν και να αξιολογηθούν για περαιτέρω μείωση, μεταφορά ή διάθεση. Η διαμόρφωση και εφαρμογή πολιτικής ασφαλείας θα είναι αναποτελεσματική εάν οι υφιστάμενοι κανόνες δεν χρησιμοποιηθούν σωστά λόγω ανικανότητας ή έλλειψης ενημέρωσης των εργαζομένων. Είναι σημαντικό να αναπτυχθεί ένα συγκρότημα για τη συμμόρφωση με την ασφάλεια πληροφοριών.

Η διαχείριση κινδύνου είναι ένα υποκειμενικό, σύνθετο, αλλά ταυτόχρονα σημαντικό στάδιο στις δραστηριότητες της εταιρείας. Η μεγαλύτερη έμφαση στην ασφάλεια των δεδομένων τους θα πρέπει να δίνεται από μια εταιρεία που εργάζεται με μεγάλο όγκο πληροφοριών ή κατέχει εμπιστευτικά δεδομένα.

Υπάρχουν πάρα πολλές αποτελεσματικές μέθοδοι για τον υπολογισμό και την ανάλυση των κινδύνων που σχετίζονται με πληροφορίες που σας επιτρέπουν να ενημερώνετε γρήγορα την εταιρεία και να της επιτρέπουν να συμμορφώνεται με τους κανόνες ανταγωνιστικότητας στην αγορά, καθώς και να διατηρεί την ασφάλεια και την επιχειρηματική συνέχεια.

Συνιστάται: