U našoj eri, informacije zauzimaju jedno od ključnih pozicija u svim sferama ljudskog života. To je zbog postepenog prelaska društva iz industrijske u postindustrijsko doba. Kao rezultat upotrebe, posjedovanja i prijenosa različitih informacija, mogu nastati informacioni rizici koji mogu uticati na čitavu sferu privrede.
Koje industrije najbrže rastu?
Rast protoka informacija postaje sve primjetniji iz godine u godinu, jer ekspanzija tehničkih inovacija čini brzi prijenos informacija vezanih za prilagođavanje novih tehnologija hitnom potrebom. U našem vremenu, industrije kao što su industrija, trgovina, obrazovanje i finansije se trenutno razvijaju. Prilikom prijenosa podataka u njima nastaju informacijski rizici.
Informacija postaje jedna od najvrednijih vrsta proizvoda, čija će ukupna cijena uskoro premašiti cijenu svih proizvoda proizvodnje. Ovo će se dogoditi jer zaKako bi se osiguralo stvaranje svih materijalnih dobara i usluga koje štedi resurse, potrebno je obezbijediti fundamentalno novi način prenošenja informacija koji isključuje mogućnost informatičkih rizika.
Definicija
U našem vremenu ne postoji jednoznačna definicija informacionog rizika. Mnogi stručnjaci ovaj pojam tumače kao događaj koji ima direktan utjecaj na različite informacije. Ovo može biti kršenje povjerljivosti, izobličenje, pa čak i brisanje. Za mnoge, zona rizika je ograničena na kompjuterske sisteme, koji su glavni fokus.
Često, prilikom proučavanja ove teme, mnogi zaista važni aspekti nisu uzeti u obzir. To uključuje direktnu obradu informacija i upravljanje informacijskim rizikom. Uostalom, rizici povezani s podacima nastaju, po pravilu, u fazi dobijanja, jer postoji velika vjerovatnoća pogrešne percepcije i obrade informacija. Često se ne poklanja dužna pažnja rizicima koji uzrokuju kvarove u algoritmima obrade podataka, kao i kvarovima u programima koji se koriste za optimizaciju upravljanja.
Mnogi razmatraju rizike povezane sa obradom informacija, isključivo sa ekonomske strane. Za njih je to prije svega rizik vezan za nepravilnu primjenu i korištenje informacione tehnologije. To znači da upravljanje informacijskim rizikom pokriva procese kao što su kreiranje, prijenos, skladištenje i korištenje informacija, podložni korištenju različitih medija i sredstava komunikacije.
Analiza iklasifikacija IT rizika
Koji su rizici povezani sa primanjem, obradom i prenošenjem informacija? Po čemu se razlikuju? Postoji nekoliko grupa kvalitativne i kvantitativne procjene informatičkih rizika prema sljedećim kriterijima:
- prema internim i eksternim izvorima nastanka;
- namjerno i nenamjerno;
- direktno ili indirektno;
- po vrsti povrede informacija: pouzdanost, relevantnost, potpunost, povjerljivost podataka, itd.;
- prema načinu udara, rizici su sljedeći: viša sila i prirodne katastrofe, greške stručnjaka, nesreće, itd.
Analiza informacionog rizika je proces globalne procene stepena zaštite informacionih sistema uz određivanje količine (novčani resursi) i kvaliteta (nizak, srednji, visok rizik) različitih rizika. Proces analize može se provesti korištenjem različitih metoda i alata za kreiranje načina zaštite informacija. Na osnovu rezultata takve analize moguće je utvrditi najveće rizike koji mogu predstavljati neposrednu prijetnju i poticaj za hitno donošenje dodatnih mjera koje doprinose zaštiti informacionih resursa.
Metodologija za utvrđivanje IT rizika
Trenutno ne postoji opšteprihvaćena metoda koja pouzdano utvrđuje specifične rizike informacione tehnologije. To je zbog činjenice da nema dovoljno statističkih podataka koji bi dali konkretnije informacije o tomeuobičajeni rizici. Važnu ulogu igra i činjenica da je teško temeljno odrediti vrijednost određenog informacionog resursa, jer proizvođač ili vlasnik preduzeća može sa apsolutnom tačnošću imenovati trošak informativnog medija, ali će mu biti teško glasi cijenu informacija koje se nalaze na njima. Zato je u ovom trenutku najbolja opcija za određivanje troškova IT rizika kvalitativna procena, zahvaljujući kojoj se tačno identifikuju različiti faktori rizika, oblasti njihovog uticaja i posledice po celo preduzeće.
CRAMM metoda koja se koristi u Velikoj Britaniji je najmoćniji način za identifikaciju kvantitativnih rizika. Glavni ciljevi ove tehnike uključuju:
- automatizirajte proces upravljanja rizikom;
- optimizacija troškova upravljanja gotovinom;
- produktivnost sigurnosnih sistema kompanije;
- predanost kontinuitetu poslovanja.
Stručna metoda analize rizika
Stručnjaci uzimaju u obzir sljedeće faktore analize rizika sigurnosti informacija:
1. Trošak resursa. Ova vrijednost odražava vrijednost informacijskog resursa kao takvog. Postoji sistem procjene kvalitativnog rizika na skali gdje je 1 minimalna, 2 prosječna vrijednost, a 3 maksimalna. Ako uzmemo u obzir IT resurse bankarskog okruženja, tada će njegov automatizirani server imati vrijednost 3, a poseban informacioni terminal - 1.
2. Stepen ranjivosti resursa. Pokazuje veličinu prijetnje i vjerovatnoću oštećenja IT resursa. Ako govorimo o bankarskoj organizaciji, server automatizovanog bankarskog sistema biće što pristupačniji, pa su hakerski napadi najveća pretnja za njega. Postoji i skala ocjenjivanja od 1 do 3, gdje je 1 manji utjecaj, 2 je velika vjerovatnoća oporavka resursa, 3 je potreba za potpunom zamjenom resursa nakon što se opasnost neutralizira.
3. Procjena mogućnosti prijetnje. Utvrđuje vjerovatnoću određene prijetnje informacijskom izvoru u određenom vremenskom periodu (najčešće - godinu dana) i, kao i prethodni faktori, može se procijeniti na skali od 1 do 3 (niska, srednja, visoka).
Upravljanje rizicima sigurnosti informacija kako nastaju
Postoje sljedeće opcije za rješavanje problema sa novonastalim rizicima:
- prihvatanje rizika i preuzimanja odgovornosti za svoje gubitke;
- smanjenje rizika, odnosno minimiziranje gubitaka povezanih s njegovim nastankom;
- transfer, odnosno nametanje troška naknade štete osiguravajućem društvu, ili pretvaranje kroz određene mehanizme u rizik sa najnižim stepenom opasnosti.
Tada se rizici informacione podrške raspoređuju po rangu kako bi se identifikovali primarni. Za upravljanje takvim rizicima potrebno ih je smanjiti, a ponekad i prenijeti na osiguravajuće društvo. Mogući prijenos i smanjenje rizika od visokih isrednji nivo pod istim uslovima, a rizici nižeg nivoa se često prihvataju i nisu uključeni u dalju analizu.
Vrijedi uzeti u obzir činjenicu da se rangiranje rizika u informacionim sistemima utvrđuje na osnovu izračunavanja i utvrđivanja njihove kvalitativne vrijednosti. Odnosno, ako je interval rangiranja rizika u rasponu od 1 do 18, onda je raspon niskih rizika od 1 do 7, srednjih rizika od 8 do 13, a visokih rizika od 14 do 18. Suština preduzeća. Upravljanje informacijskim rizikom je smanjenje prosječnih i visokih rizika na najnižu vrijednost, kako bi njihovo prihvatanje bilo što optimalnije i moguće.
CORAS metoda ublažavanja rizika
CORAS metoda je dio programa Tehnologije informacionog društva. Njegov smisao leži u prilagođavanju, konkretizaciji i kombinaciji efikasnih metoda za provođenje analize na primjerima informatičkih rizika.
CORAS metodologija koristi sljedeće procedure analize rizika:
- mjere za pripremu pretraživanja i sistematizacije informacija o predmetnom objektu;
- pružanje od strane klijenta objektivnih i tačnih podataka o predmetnom objektu;
- pun opis predstojeće analize, uzimajući u obzir sve faze;
- analiza dostavljenih dokumenata na autentičnost i tačnost radi objektivnije analize;
- provođenje aktivnosti za identifikaciju mogućih rizika;
- procjena svih posljedica novih informacijskih prijetnji;
- isticanje rizika koje kompanija može preuzeti i rizika kojepotrebno je smanjiti ili preusmjeriti što je prije moguće;
- mjere za otklanjanje mogućih prijetnji.
Važno je napomenuti da navedene mjere ne zahtijevaju značajne napore i resurse za implementaciju i naknadnu implementaciju. CORAS metodologija je prilično jednostavna za korištenje i ne zahtijeva mnogo obuke da biste je počeli koristiti. Jedini nedostatak ovog kompleta alata je nedostatak periodičnosti u ocjenjivanju.
OCTAVE metoda
OCTAVE metoda procjene rizika podrazumijeva određeni stepen uključenosti vlasnika informacija u analizu. Morate znati da se koristi za brzu procjenu kritičnih prijetnji, identifikaciju imovine i identifikovanje slabosti u sistemu sigurnosti informacija. OCTAVE predviđa kreiranje kompetentne analitičke, sigurnosne grupe, koja uključuje zaposlenike kompanije koja koristi sistem i zaposlenike informatičkog odjela. OCTAVE se sastoji od tri faze:
Prvo se procenjuje organizacija, odnosno grupa za analizu utvrđuje kriterijume za procenu štete, a potom i rizika. Identifikuju se najvažniji resursi organizacije, procenjuje se opšte stanje procesa održavanja IT bezbednosti u kompaniji. Zadnji korak je identificiranje sigurnosnih zahtjeva i definiranje liste rizika
- Druga faza je sveobuhvatna analiza informacione infrastrukture kompanije. Naglasak je stavljen na brzu i koordiniranu interakciju između zaposlenika i odjela koji su za to zaduženiinfrastruktura.
- U trećoj fazi vrši se razvoj taktike sigurnosti, kreira se plan za smanjenje mogućih rizika i zaštitu informacionih resursa. Procjenjuje se i moguća šteta i vjerovatnoća realizacije prijetnji, kao i kriterijumi za njihovu procjenu.
Matrična metoda analize rizika
Ova metoda analize objedinjuje prijetnje, ranjivosti, imovinu i kontrole sigurnosti informacija i utvrđuje njihovu važnost za odgovarajuću imovinu organizacije. Sredstva organizacije su materijalni i nematerijalni objekti koji su značajni u smislu korisnosti. Važno je znati da se matrična metoda sastoji od tri dijela: matrice prijetnji, matrice ranjivosti i matrice kontrole. Rezultati sva tri dijela ove metodologije se koriste za analizu rizika.
Vrijedi razmotriti odnos svih matrica tokom analize. Tako, na primjer, matrica ranjivosti je veza između imovine i postojećih ranjivosti, matrica prijetnji je zbirka ranjivosti i prijetnji, a matrica kontrole povezuje koncepte kao što su prijetnje i kontrole. Svaka ćelija matrice odražava omjer stupca i elementa reda. Koriste se sistemi visokog, srednjeg i niskog ocjenjivanja.
Da biste kreirali tabelu, potrebno je da kreirate liste pretnji, ranjivosti, kontrola i imovine. Dodaju se podaci o interakciji sadržaja kolone matrice sa sadržajem reda. Kasnije se podaci matrice ranjivosti prenose u matricu prijetnji, a zatim se, po istom principu, informacije iz matrice prijetnji prenose u kontrolnu matricu.
Zaključak
Uloga podatakaznačajno porasla sa tranzicijom jednog broja zemalja na tržišnu ekonomiju. Bez blagovremenog prijema potrebnih informacija, normalno funkcionisanje kompanije je jednostavno nemoguće.
Uporedo sa razvojem informacionih tehnologija pojavili su se i tzv. informacioni rizici koji predstavljaju pretnju po poslovanje kompanija. Zato ih je potrebno identifikovati, analizirati i evaluirati za dalje smanjenje, transfer ili odlaganje. Formiranje i implementacija sigurnosne politike biće neefikasna ako se postojeća pravila ne koriste na odgovarajući način zbog nestručnosti ili nesvjesnosti zaposlenih. Važno je razviti kompleks za usklađenost sa sigurnošću informacija.
Upravljanje rizikom je subjektivna, složena, ali ujedno i važna faza u aktivnostima kompanije. Najveći naglasak na sigurnost svojih podataka treba da stavi kompanija koja radi s velikim količinama informacija ili posjeduje povjerljive podatke.
Postoji veliki broj efikasnih metoda za izračunavanje i analizu rizika vezanih za informacije koje vam omogućavaju da brzo informišete kompaniju i omogućite joj da se pridržava pravila konkurentnosti na tržištu, kao i održavanje sigurnosti i kontinuiteta poslovanja.