Informacioni rizici: koncept, analiza, procjena

Sadržaj:

Informacioni rizici: koncept, analiza, procjena
Informacioni rizici: koncept, analiza, procjena
Anonim

U našoj eri, informacije zauzimaju jedno od ključnih pozicija u svim sferama ljudskog života. To je zbog postepenog prelaska društva iz industrijske u postindustrijsko doba. Kao rezultat upotrebe, posjedovanja i prijenosa različitih informacija, mogu nastati informacioni rizici koji mogu uticati na čitavu sferu privrede.

Koje industrije najbrže rastu?

Rast protoka informacija postaje sve primjetniji iz godine u godinu, jer ekspanzija tehničkih inovacija čini brzi prijenos informacija vezanih za prilagođavanje novih tehnologija hitnom potrebom. U našem vremenu, industrije kao što su industrija, trgovina, obrazovanje i finansije se trenutno razvijaju. Prilikom prijenosa podataka u njima nastaju informacijski rizici.

Informacijski rizici
Informacijski rizici

Informacija postaje jedna od najvrednijih vrsta proizvoda, čija će ukupna cijena uskoro premašiti cijenu svih proizvoda proizvodnje. Ovo će se dogoditi jer zaKako bi se osiguralo stvaranje svih materijalnih dobara i usluga koje štedi resurse, potrebno je obezbijediti fundamentalno novi način prenošenja informacija koji isključuje mogućnost informatičkih rizika.

Definicija

U našem vremenu ne postoji jednoznačna definicija informacionog rizika. Mnogi stručnjaci ovaj pojam tumače kao događaj koji ima direktan utjecaj na različite informacije. Ovo može biti kršenje povjerljivosti, izobličenje, pa čak i brisanje. Za mnoge, zona rizika je ograničena na kompjuterske sisteme, koji su glavni fokus.

Zaštita informacija
Zaštita informacija

Često, prilikom proučavanja ove teme, mnogi zaista važni aspekti nisu uzeti u obzir. To uključuje direktnu obradu informacija i upravljanje informacijskim rizikom. Uostalom, rizici povezani s podacima nastaju, po pravilu, u fazi dobijanja, jer postoji velika vjerovatnoća pogrešne percepcije i obrade informacija. Često se ne poklanja dužna pažnja rizicima koji uzrokuju kvarove u algoritmima obrade podataka, kao i kvarovima u programima koji se koriste za optimizaciju upravljanja.

Mnogi razmatraju rizike povezane sa obradom informacija, isključivo sa ekonomske strane. Za njih je to prije svega rizik vezan za nepravilnu primjenu i korištenje informacione tehnologije. To znači da upravljanje informacijskim rizikom pokriva procese kao što su kreiranje, prijenos, skladištenje i korištenje informacija, podložni korištenju različitih medija i sredstava komunikacije.

Analiza iklasifikacija IT rizika

Koji su rizici povezani sa primanjem, obradom i prenošenjem informacija? Po čemu se razlikuju? Postoji nekoliko grupa kvalitativne i kvantitativne procjene informatičkih rizika prema sljedećim kriterijima:

  • prema internim i eksternim izvorima nastanka;
  • namjerno i nenamjerno;
  • direktno ili indirektno;
  • po vrsti povrede informacija: pouzdanost, relevantnost, potpunost, povjerljivost podataka, itd.;
  • prema načinu udara, rizici su sljedeći: viša sila i prirodne katastrofe, greške stručnjaka, nesreće, itd.
    • Zaštita podataka
    Zaštita podataka

Analiza informacionog rizika je proces globalne procene stepena zaštite informacionih sistema uz određivanje količine (novčani resursi) i kvaliteta (nizak, srednji, visok rizik) različitih rizika. Proces analize može se provesti korištenjem različitih metoda i alata za kreiranje načina zaštite informacija. Na osnovu rezultata takve analize moguće je utvrditi najveće rizike koji mogu predstavljati neposrednu prijetnju i poticaj za hitno donošenje dodatnih mjera koje doprinose zaštiti informacionih resursa.

Metodologija za utvrđivanje IT rizika

Trenutno ne postoji opšteprihvaćena metoda koja pouzdano utvrđuje specifične rizike informacione tehnologije. To je zbog činjenice da nema dovoljno statističkih podataka koji bi dali konkretnije informacije o tomeuobičajeni rizici. Važnu ulogu igra i činjenica da je teško temeljno odrediti vrijednost određenog informacionog resursa, jer proizvođač ili vlasnik preduzeća može sa apsolutnom tačnošću imenovati trošak informativnog medija, ali će mu biti teško glasi cijenu informacija koje se nalaze na njima. Zato je u ovom trenutku najbolja opcija za određivanje troškova IT rizika kvalitativna procena, zahvaljujući kojoj se tačno identifikuju različiti faktori rizika, oblasti njihovog uticaja i posledice po celo preduzeće.

Metode sigurnosti informacija
Metode sigurnosti informacija

CRAMM metoda koja se koristi u Velikoj Britaniji je najmoćniji način za identifikaciju kvantitativnih rizika. Glavni ciljevi ove tehnike uključuju:

  • automatizirajte proces upravljanja rizikom;
  • optimizacija troškova upravljanja gotovinom;
  • produktivnost sigurnosnih sistema kompanije;
  • predanost kontinuitetu poslovanja.

Stručna metoda analize rizika

Stručnjaci uzimaju u obzir sljedeće faktore analize rizika sigurnosti informacija:

1. Trošak resursa. Ova vrijednost odražava vrijednost informacijskog resursa kao takvog. Postoji sistem procjene kvalitativnog rizika na skali gdje je 1 minimalna, 2 prosječna vrijednost, a 3 maksimalna. Ako uzmemo u obzir IT resurse bankarskog okruženja, tada će njegov automatizirani server imati vrijednost 3, a poseban informacioni terminal - 1.

Sistem sigurnosti informacija
Sistem sigurnosti informacija

2. Stepen ranjivosti resursa. Pokazuje veličinu prijetnje i vjerovatnoću oštećenja IT resursa. Ako govorimo o bankarskoj organizaciji, server automatizovanog bankarskog sistema biće što pristupačniji, pa su hakerski napadi najveća pretnja za njega. Postoji i skala ocjenjivanja od 1 do 3, gdje je 1 manji utjecaj, 2 je velika vjerovatnoća oporavka resursa, 3 je potreba za potpunom zamjenom resursa nakon što se opasnost neutralizira.

3. Procjena mogućnosti prijetnje. Utvrđuje vjerovatnoću određene prijetnje informacijskom izvoru u određenom vremenskom periodu (najčešće - godinu dana) i, kao i prethodni faktori, može se procijeniti na skali od 1 do 3 (niska, srednja, visoka).

Upravljanje rizicima sigurnosti informacija kako nastaju

Postoje sljedeće opcije za rješavanje problema sa novonastalim rizicima:

  • prihvatanje rizika i preuzimanja odgovornosti za svoje gubitke;
  • smanjenje rizika, odnosno minimiziranje gubitaka povezanih s njegovim nastankom;
  • transfer, odnosno nametanje troška naknade štete osiguravajućem društvu, ili pretvaranje kroz određene mehanizme u rizik sa najnižim stepenom opasnosti.

Tada se rizici informacione podrške raspoređuju po rangu kako bi se identifikovali primarni. Za upravljanje takvim rizicima potrebno ih je smanjiti, a ponekad i prenijeti na osiguravajuće društvo. Mogući prijenos i smanjenje rizika od visokih isrednji nivo pod istim uslovima, a rizici nižeg nivoa se često prihvataju i nisu uključeni u dalju analizu.

Zaštita podataka
Zaštita podataka

Vrijedi uzeti u obzir činjenicu da se rangiranje rizika u informacionim sistemima utvrđuje na osnovu izračunavanja i utvrđivanja njihove kvalitativne vrijednosti. Odnosno, ako je interval rangiranja rizika u rasponu od 1 do 18, onda je raspon niskih rizika od 1 do 7, srednjih rizika od 8 do 13, a visokih rizika od 14 do 18. Suština preduzeća. Upravljanje informacijskim rizikom je smanjenje prosječnih i visokih rizika na najnižu vrijednost, kako bi njihovo prihvatanje bilo što optimalnije i moguće.

CORAS metoda ublažavanja rizika

CORAS metoda je dio programa Tehnologije informacionog društva. Njegov smisao leži u prilagođavanju, konkretizaciji i kombinaciji efikasnih metoda za provođenje analize na primjerima informatičkih rizika.

CORAS metodologija koristi sljedeće procedure analize rizika:

  • mjere za pripremu pretraživanja i sistematizacije informacija o predmetnom objektu;
  • pružanje od strane klijenta objektivnih i tačnih podataka o predmetnom objektu;
  • pun opis predstojeće analize, uzimajući u obzir sve faze;
  • analiza dostavljenih dokumenata na autentičnost i tačnost radi objektivnije analize;
  • provođenje aktivnosti za identifikaciju mogućih rizika;
  • procjena svih posljedica novih informacijskih prijetnji;
  • isticanje rizika koje kompanija može preuzeti i rizika kojepotrebno je smanjiti ili preusmjeriti što je prije moguće;
  • mjere za otklanjanje mogućih prijetnji.

Važno je napomenuti da navedene mjere ne zahtijevaju značajne napore i resurse za implementaciju i naknadnu implementaciju. CORAS metodologija je prilično jednostavna za korištenje i ne zahtijeva mnogo obuke da biste je počeli koristiti. Jedini nedostatak ovog kompleta alata je nedostatak periodičnosti u ocjenjivanju.

OCTAVE metoda

OCTAVE metoda procjene rizika podrazumijeva određeni stepen uključenosti vlasnika informacija u analizu. Morate znati da se koristi za brzu procjenu kritičnih prijetnji, identifikaciju imovine i identifikovanje slabosti u sistemu sigurnosti informacija. OCTAVE predviđa kreiranje kompetentne analitičke, sigurnosne grupe, koja uključuje zaposlenike kompanije koja koristi sistem i zaposlenike informatičkog odjela. OCTAVE se sastoji od tri faze:

Prvo se procenjuje organizacija, odnosno grupa za analizu utvrđuje kriterijume za procenu štete, a potom i rizika. Identifikuju se najvažniji resursi organizacije, procenjuje se opšte stanje procesa održavanja IT bezbednosti u kompaniji. Zadnji korak je identificiranje sigurnosnih zahtjeva i definiranje liste rizika

Kako osigurati sigurnost informacija?
Kako osigurati sigurnost informacija?
  • Druga faza je sveobuhvatna analiza informacione infrastrukture kompanije. Naglasak je stavljen na brzu i koordiniranu interakciju između zaposlenika i odjela koji su za to zaduženiinfrastruktura.
  • U trećoj fazi vrši se razvoj taktike sigurnosti, kreira se plan za smanjenje mogućih rizika i zaštitu informacionih resursa. Procjenjuje se i moguća šteta i vjerovatnoća realizacije prijetnji, kao i kriterijumi za njihovu procjenu.

Matrična metoda analize rizika

Ova metoda analize objedinjuje prijetnje, ranjivosti, imovinu i kontrole sigurnosti informacija i utvrđuje njihovu važnost za odgovarajuću imovinu organizacije. Sredstva organizacije su materijalni i nematerijalni objekti koji su značajni u smislu korisnosti. Važno je znati da se matrična metoda sastoji od tri dijela: matrice prijetnji, matrice ranjivosti i matrice kontrole. Rezultati sva tri dijela ove metodologije se koriste za analizu rizika.

Vrijedi razmotriti odnos svih matrica tokom analize. Tako, na primjer, matrica ranjivosti je veza između imovine i postojećih ranjivosti, matrica prijetnji je zbirka ranjivosti i prijetnji, a matrica kontrole povezuje koncepte kao što su prijetnje i kontrole. Svaka ćelija matrice odražava omjer stupca i elementa reda. Koriste se sistemi visokog, srednjeg i niskog ocjenjivanja.

Da biste kreirali tabelu, potrebno je da kreirate liste pretnji, ranjivosti, kontrola i imovine. Dodaju se podaci o interakciji sadržaja kolone matrice sa sadržajem reda. Kasnije se podaci matrice ranjivosti prenose u matricu prijetnji, a zatim se, po istom principu, informacije iz matrice prijetnji prenose u kontrolnu matricu.

Zaključak

Uloga podatakaznačajno porasla sa tranzicijom jednog broja zemalja na tržišnu ekonomiju. Bez blagovremenog prijema potrebnih informacija, normalno funkcionisanje kompanije je jednostavno nemoguće.

Uporedo sa razvojem informacionih tehnologija pojavili su se i tzv. informacioni rizici koji predstavljaju pretnju po poslovanje kompanija. Zato ih je potrebno identifikovati, analizirati i evaluirati za dalje smanjenje, transfer ili odlaganje. Formiranje i implementacija sigurnosne politike biće neefikasna ako se postojeća pravila ne koriste na odgovarajući način zbog nestručnosti ili nesvjesnosti zaposlenih. Važno je razviti kompleks za usklađenost sa sigurnošću informacija.

Upravljanje rizikom je subjektivna, složena, ali ujedno i važna faza u aktivnostima kompanije. Najveći naglasak na sigurnost svojih podataka treba da stavi kompanija koja radi s velikim količinama informacija ili posjeduje povjerljive podatke.

Postoji veliki broj efikasnih metoda za izračunavanje i analizu rizika vezanih za informacije koje vam omogućavaju da brzo informišete kompaniju i omogućite joj da se pridržava pravila konkurentnosti na tržištu, kao i održavanje sigurnosti i kontinuiteta poslovanja.

Preporučuje se:

Tehnogeni rizici: vrste, analize, posljedice

Tehnogeni rizici: vrste, analize, posljedice

Posljednjih decenija iz televizijskih programa, vijesti i štampe sve više saznajemo o sve češćim katastrofama: saobraćajnim nesrećama, željezničkim nesrećama, požarima i kvarovima aviona (helikoptera), kao i brodova. Ne znači li to da život u svijetu postaje sve teži, a napredak zamjenjuje nazadovanje? Kako napredujemo s napretkom, suočavamo li se sa sve većim rizikom? Može li se to prevazići i kako se nositi s tim?

Strateški rizici: vrste, analiza i procjena

Strateški rizici: vrste, analiza i procjena

Nepravilne upravljačke odluke, kao i neodgovarajuća implementacija ispravnih odluka i neadekvatan odgovor na stalne promjene u poslovnom okruženju, stvaraju situacije u kojima se povećavaju strateški rizici, kada su finansijski tokovi i kapital ugroženi

Politički rizici - šta je to? Pojam, vrste, primjeri

Politički rizici - šta je to? Pojam, vrste, primjeri

Trenutno se izraz "politički rizik" nalazi u svim medijima, ako je publikacija posvećena problemima komercijalne djelatnosti. Sada svaki investitor koji plasira kapital ima iskustvo na tržištima, vještine u interakciji sa drugim kompanijama, a upoznat je i sa presedanima koji su se desili drugim investitorima. Na primjer, nakon dobro poznatog suđenja s kompanijom Yukos, poduzetnici smatraju da je politički rizik više puta povećan

Rizici finansijskih ulaganja

Rizici finansijskih ulaganja

Ulaganje je uvijek rizično. On je, nažalost, njen neotuđivi pratilac. Ali ako svog neprijatelja poznajete iz viđenja, tada možete poduzeti određene radnje koje imaju za cilj minimiziranje moguće štete. I onda se postavlja pitanje - šta su rizici ulaganja?

Proizvodni rizici - šta je to? Definicija, klasifikacija i analiza rizika proizvodnje

Proizvodni rizici - šta je to? Definicija, klasifikacija i analiza rizika proizvodnje

Svaki posao posluje pod rizikom. Na proizvodnju utiču i unutrašnji i eksterni faktori koji mogu negativno uticati na performanse kompanije. Zadatak menadžera je da identifikuju opasne situacije i smanje vjerovatnoću njihovog nastanka. Proizvodni rizici su različite nepredviđene ili predviđene nepovoljne okolnosti. O čemu se radi, kako se odvija analiza i upravljanje, raspravljat ćemo u članku

Top članci

Popularna za mjesec

Savjet strucnjaka