Sa ating panahon, ang impormasyon ay sumasakop sa isa sa mga pangunahing posisyon sa lahat ng larangan ng buhay ng tao. Ito ay dahil sa unti-unting paglipat ng lipunan mula sa panahon ng industriya tungo sa post-industrial. Bilang resulta ng paggamit, pagkakaroon at paglilipat ng iba't ibang impormasyon, maaaring lumitaw ang mga panganib sa impormasyon na maaaring makaapekto sa buong saklaw ng ekonomiya.
Aling mga industriya ang pinakamabilis na umuunlad?
Ang paglaki ng mga daloy ng impormasyon ay nagiging higit at higit na kapansin-pansin bawat taon, dahil ang pagpapalawak ng teknikal na pagbabago ay ginagawa ang mabilis na paglipat ng impormasyon na may kaugnayan sa pag-angkop ng mga bagong teknolohiya na isang agarang pangangailangan. Sa ating panahon, ang mga industriya tulad ng industriya, kalakalan, edukasyon at pananalapi ay agad na umuunlad. Sa panahon ng paglilipat ng data, ang mga panganib ng impormasyon ay lumitaw sa kanila.
Ang impormasyon ay nagiging isa sa pinakamahalagang uri ng mga produkto, ang kabuuang halaga nito ay lalampas sa presyo ng lahat ng produkto ng produksyon. Mangyayari ito dahil para saUpang matiyak ang paglikha ng lahat ng materyal na produkto at serbisyo na nagtitipid sa mapagkukunan, kinakailangan na magbigay ng panimulang bagong paraan ng pagpapadala ng impormasyon na hindi kasama ang posibilidad ng mga panganib sa impormasyon.
Definition
Sa ating panahon ay walang malinaw na kahulugan ng panganib sa impormasyon. Binibigyang-kahulugan ng maraming eksperto ang terminong ito bilang isang kaganapan na may direktang epekto sa iba't ibang impormasyon. Ito ay maaaring isang paglabag sa pagiging kumpidensyal, pagbaluktot, at kahit na pagtanggal. Para sa marami, ang risk zone ay limitado sa mga computer system, na siyang pangunahing pokus.
Kadalasan, kapag pinag-aaralan ang paksang ito, maraming talagang mahahalagang aspeto ang hindi isinasaalang-alang. Kabilang dito ang direktang pagproseso ng impormasyon at pamamahala sa peligro ng impormasyon. Pagkatapos ng lahat, ang mga panganib na nauugnay sa data ay lumitaw, bilang isang panuntunan, sa yugto ng pagkuha, dahil may mataas na posibilidad ng hindi tamang pang-unawa at pagproseso ng impormasyon. Kadalasan, hindi binibigyang pansin ang mga panganib na nagdudulot ng mga pagkabigo sa mga algorithm sa pagpoproseso ng data, pati na rin ang mga malfunction sa mga program na ginagamit upang i-optimize ang pamamahala.
Isinasaalang-alang ng marami ang mga panganib na nauugnay sa pagproseso ng impormasyon, mula lamang sa pang-ekonomiyang bahagi. Para sa kanila, ito ay pangunahing panganib na nauugnay sa maling pagpapatupad at paggamit ng teknolohiya ng impormasyon. Nangangahulugan ito na ang pamamahala sa peligro ng impormasyon ay sumasaklaw sa mga proseso tulad ng paglikha, paglilipat, pag-iimbak at paggamit ng impormasyon, napapailalim sa paggamit ng iba't ibang media at paraan ng komunikasyon.
Pagsusuri atpag-uuri ng mga panganib sa IT
Ano ang mga panganib na nauugnay sa pagtanggap, pagproseso at pagpapadala ng impormasyon? Sa anong paraan sila nagkakaiba? Mayroong ilang mga grupo ng qualitative at quantitative na pagtatasa ng mga panganib sa impormasyon ayon sa sumusunod na pamantayan:
- ayon sa panloob at panlabas na pinagmumulan ng paglitaw;
- sinasadya at hindi sinasadya;
- direkta o hindi direkta;
- ayon sa uri ng paglabag sa impormasyon: pagiging maaasahan, kaugnayan, pagkakumpleto, pagiging kumpidensyal ng data, atbp.;
- ayon sa paraan ng epekto, ang mga panganib ay ang mga sumusunod: force majeure at natural na sakuna, pagkakamali ng mga espesyalista, aksidente, atbp.
Ang pagsusuri sa panganib ng impormasyon ay isang proseso ng pandaigdigang pagtatasa ng antas ng proteksyon ng mga sistema ng impormasyon na may pagtukoy sa dami (mga mapagkukunan ng pera) at kalidad (mababa, katamtaman, mataas na panganib) ng iba't ibang mga panganib. Ang proseso ng pagsusuri ay maaaring isagawa gamit ang iba't ibang pamamaraan at tool para sa paglikha ng mga paraan upang maprotektahan ang impormasyon. Batay sa mga resulta ng naturang pagsusuri, posibleng matukoy ang pinakamataas na panganib na maaaring isang agarang banta at isang insentibo para sa agarang pagpapatibay ng mga karagdagang hakbang na nakakatulong sa proteksyon ng mga mapagkukunan ng impormasyon.
Methodology para sa pagtukoy ng mga panganib sa IT
Sa kasalukuyan, walang pangkalahatang tinatanggap na paraan na mapagkakatiwalaang tumutukoy sa mga partikular na panganib ng teknolohiya ng impormasyon. Ito ay dahil sa ang katunayan na walang sapat na istatistikal na data na magbibigay ng mas tiyak na impormasyon tungkol sakaraniwang mga panganib. Ang isang mahalagang papel ay ginampanan din ng katotohanan na mahirap na lubusang matukoy ang halaga ng isang partikular na mapagkukunan ng impormasyon, dahil maaaring pangalanan ng isang tagagawa o may-ari ng isang negosyo ang halaga ng media ng impormasyon nang may ganap na katumpakan, ngunit mahihirapan siyang boses ang halaga ng impormasyon na matatagpuan sa kanila. Kaya naman, sa ngayon, ang pinakamahusay na opsyon para sa pagtukoy sa halaga ng mga panganib sa IT ay isang pagtatasa ng husay, salamat sa kung saan ang iba't ibang mga kadahilanan ng panganib ay tumpak na natukoy, pati na rin ang mga lugar ng kanilang impluwensya at ang mga kahihinatnan para sa buong negosyo.
Ang paraan ng CRMM na ginamit sa UK ay ang pinakamabisang paraan upang matukoy ang dami ng mga panganib. Kabilang sa mga pangunahing layunin ng diskarteng ito ang:
- i-automate ang proseso ng pamamahala sa peligro;
- pag-optimize ng mga gastos sa pamamahala ng cash;
- produktibidad ng mga sistema ng seguridad ng kumpanya;
- pangako sa pagpapatuloy ng negosyo.
Paraan ng pagsusuri ng dalubhasang panganib
Isinasaalang-alang ng mga eksperto ang sumusunod na mga kadahilanan sa pagsusuri sa panganib sa seguridad ng impormasyon:
1. Gastos ng mapagkukunan. Ang halagang ito ay sumasalamin sa halaga ng mapagkukunan ng impormasyon tulad nito. Mayroong sistema ng pagsusuri ng qualitative risk sa isang sukat kung saan 1 ang pinakamababa, 2 ang average na halaga at 3 ang pinakamataas. Kung isasaalang-alang namin ang mga mapagkukunang IT ng kapaligiran sa pagbabangko, ang automated na server nito ay magkakaroon ng halaga na 3, at isang hiwalay na terminal ng impormasyon - 1.
2. Ang antas ng kahinaan ng mapagkukunan. Ipinapakita nito ang laki ng banta at ang posibilidad ng pinsala sa isang mapagkukunan ng IT. Kung pag-uusapan natin ang tungkol sa isang organisasyon ng pagbabangko, ang server ng automated banking system ay magiging madaling ma-access hangga't maaari, kaya ang mga pag-atake ng hacker ang pinakamalaking banta dito. Mayroon ding rating scale mula 1 hanggang 3, kung saan ang 1 ay isang maliit na epekto, ang 2 ay isang mataas na posibilidad ng pagbawi ng mapagkukunan, 3 ay ang pangangailangan para sa kumpletong pagpapalit ng mapagkukunan pagkatapos na ma-neutralize ang panganib.
3. Pagtatasa ng posibilidad ng isang banta. Tinutukoy nito ang posibilidad ng isang tiyak na banta sa isang mapagkukunan ng impormasyon para sa isang kondisyonal na tagal ng panahon (kadalasan - para sa isang taon) at, tulad ng mga nakaraang kadahilanan, ay maaaring masuri sa isang sukat mula 1 hanggang 3 (mababa, katamtaman, mataas).
Pamamahala sa mga panganib sa seguridad ng impormasyon habang nangyayari ang mga ito
May mga sumusunod na opsyon para sa paglutas ng mga problema sa mga umuusbong na panganib:
- pagtanggap ng panganib at pananagutan para sa kanilang mga pagkalugi;
- pagbabawas ng panganib, iyon ay, pagliit ng mga pagkalugi na nauugnay sa paglitaw nito;
- transfer, ibig sabihin, ang pagpataw ng halaga ng kabayaran para sa pinsala sa kompanya ng seguro, o ang pagbabago sa pamamagitan ng ilang mga mekanismo sa isang panganib na may pinakamababang antas ng panganib.
Pagkatapos, ang mga panganib ng suporta sa impormasyon ay ipinamamahagi ayon sa ranggo upang matukoy ang mga pangunahin. Upang pamahalaan ang mga naturang panganib, kinakailangan upang bawasan ang mga ito, at kung minsan - upang ilipat ang mga ito sa kumpanya ng seguro. Posibleng paglipat at pagbabawas ng mga panganib ng mataas atkatamtamang antas sa parehong mga termino, at ang mga panganib sa mas mababang antas ay kadalasang tinatanggap at hindi kasama sa karagdagang pagsusuri.
Nararapat na isaalang-alang ang katotohanan na ang pagraranggo ng mga panganib sa mga sistema ng impormasyon ay tinutukoy batay sa pagkalkula at pagpapasiya ng kanilang husay na halaga. Iyon ay, kung ang pagitan ng pagraranggo ng panganib ay nasa saklaw mula 1 hanggang 18, kung gayon ang hanay ng mga mababang panganib ay mula 1 hanggang 7, ang mga katamtamang panganib ay mula 8 hanggang 13, at ang mataas na panganib ay mula 14 hanggang 18. Ang kakanyahan ng negosyo Ang pamamahala sa panganib ng impormasyon ay upang bawasan ang karaniwan at mataas na mga panganib hanggang sa pinakamababang halaga, upang ang kanilang pagtanggap ay pinakamainam at posible hangga't maaari.
paraan ng pagpapagaan ng panganib ng CORAS
Ang pamamaraan ng CORAS ay bahagi ng programang Information Society Technologies. Ang kahulugan nito ay nakasalalay sa adaptasyon, concretization at kumbinasyon ng mga epektibong pamamaraan para sa pagsasagawa ng pagsusuri sa mga halimbawa ng mga panganib sa impormasyon.
CORAS methodology ay gumagamit ng mga sumusunod na pamamaraan ng pagsusuri sa panganib:
- mga hakbang upang ihanda ang paghahanap at systematization ng impormasyon tungkol sa bagay na pinag-uusapan;
- probisyon ng kliyente ng layunin at tamang data sa bagay na pinag-uusapan;
- buong paglalarawan ng paparating na pagsusuri, na isinasaalang-alang ang lahat ng mga yugto;
- pagsusuri ng mga isinumiteng dokumento para sa pagiging tunay at kawastuhan para sa mas layunin na pagsusuri;
- pagsasagawa ng mga aktibidad upang matukoy ang mga posibleng panganib;
- pagsusuri ng lahat ng kahihinatnan ng mga umuusbong na pagbabanta sa impormasyon;
- highlighting the risks that the company can take and the risks thatkailangang bawasan o i-redirect sa lalong madaling panahon;
- mga hakbang upang maalis ang mga posibleng banta.
Mahalagang tandaan na ang mga nakalistang hakbang ay hindi nangangailangan ng makabuluhang pagsisikap at mapagkukunan para sa pagpapatupad at kasunod na pagpapatupad. Ang pamamaraan ng CORAS ay medyo simple gamitin at hindi nangangailangan ng maraming pagsasanay upang simulan ang paggamit nito. Ang tanging disbentaha ng toolkit na ito ay ang kawalan ng periodicity sa pagtatasa.
OCTAVE method
Ang paraan ng pagtatasa ng panganib ng OCTAVE ay nagpapahiwatig ng isang tiyak na antas ng paglahok ng may-ari ng impormasyon sa pagsusuri. Kailangan mong malaman na ito ay ginagamit upang mabilis na masuri ang mga kritikal na banta, kilalanin ang mga asset at tukuyin ang mga kahinaan sa sistema ng seguridad ng impormasyon. Nagbibigay ang OCTAVE para sa paglikha ng isang karampatang pagsusuri, grupo ng seguridad, na kinabibilangan ng mga empleyado ng kumpanya na gumagamit ng system at mga empleyado ng departamento ng impormasyon. Ang OCTAVE ay binubuo ng tatlong yugto:
Una, tinatasa ang organisasyon, ibig sabihin, tinutukoy ng pangkat ng pagsusuri ang pamantayan para sa pagtatasa ng pinsala, at kasunod ang mga panganib. Ang pinakamahalagang mapagkukunan ng organisasyon ay nakilala, ang pangkalahatang estado ng proseso ng pagpapanatili ng seguridad ng IT sa kumpanya ay tinasa. Ang huling hakbang ay ang tukuyin ang mga kinakailangan sa seguridad at tukuyin ang isang listahan ng mga panganib
- Ang ikalawang yugto ay isang komprehensibong pagsusuri ng imprastraktura ng impormasyon ng kumpanya. Binibigyang-diin ang mabilis at magkakaugnay na pakikipag-ugnayan sa pagitan ng mga empleyado at mga departamentong responsable para ditoimprastraktura.
- Sa ikatlong yugto, ang pagbuo ng mga taktika sa seguridad ay isinasagawa, ang isang plano ay nilikha upang bawasan ang mga posibleng panganib at protektahan ang mga mapagkukunan ng impormasyon. Ang posibleng pinsala at ang posibilidad ng pagpapatupad ng mga pagbabanta ay tinatasa din, pati na rin ang pamantayan para sa kanilang pagsusuri.
Paraan ng matrix ng pagsusuri sa panganib
Pinagsasama-sama ng pamamaraang ito ng pagsusuri ang mga banta, kahinaan, asset, at kontrol sa seguridad ng impormasyon at tinutukoy ang kahalagahan ng mga ito sa kani-kanilang asset ng organisasyon. Ang mga ari-arian ng isang organisasyon ay nasasalat at hindi nasasalat na mga bagay na mahalaga sa mga tuntunin ng utility. Mahalagang malaman na ang paraan ng matrix ay binubuo ng tatlong bahagi: isang threat matrix, isang vulnerability matrix, at isang control matrix. Ang mga resulta ng lahat ng tatlong bahagi ng pamamaraang ito ay ginagamit para sa pagsusuri ng panganib.
Nararapat na isaalang-alang ang kaugnayan ng lahat ng matrice sa panahon ng pagsusuri. Kaya, halimbawa, ang isang vulnerability matrix ay isang link sa pagitan ng mga asset at umiiral na mga kahinaan, ang isang threat matrix ay isang koleksyon ng mga kahinaan at pagbabanta, at isang control matrix ay nag-uugnay sa mga konsepto tulad ng mga pagbabanta at mga kontrol. Ang bawat cell ng matrix ay sumasalamin sa ratio ng elemento ng column at row. Mataas, katamtaman, at mababang grading system ang ginagamit.
Upang gumawa ng talahanayan, kailangan mong gumawa ng mga listahan ng mga banta, kahinaan, kontrol, at asset. Ang data ay idinagdag tungkol sa pakikipag-ugnayan ng mga nilalaman ng column ng matrix sa mga nilalaman ng row. Mamaya, ang data ng vulnerability matrix ay ililipat sa threat matrix, at pagkatapos, ayon sa parehong prinsipyo, ang impormasyon mula sa threat matrix ay ililipat sa control matrix.
Konklusyon
Ang tungkulin ng datatumaas nang malaki sa paglipat ng isang bilang ng mga bansa sa isang ekonomiya ng merkado. Kung wala ang napapanahong pagtanggap ng kinakailangang impormasyon, ang normal na paggana ng kumpanya ay imposible lamang.
Kasabay ng pag-unlad ng teknolohiya ng impormasyon, lumitaw ang tinatawag na mga panganib sa impormasyon na nagdudulot ng banta sa mga aktibidad ng mga kumpanya. Iyon ang dahilan kung bakit kailangang kilalanin, suriin at suriin ang mga ito para sa karagdagang pagbabawas, paglipat o pagtatapon. Ang pagbuo at pagpapatupad ng isang patakaran sa seguridad ay hindi magiging epektibo kung ang mga umiiral na mga patakaran ay hindi magagamit nang maayos dahil sa kawalan ng kakayahan o kawalan ng kamalayan ng mga empleyado. Mahalagang bumuo ng complex para sa pagsunod sa seguridad ng impormasyon.
Ang pamamahala sa peligro ay isang subjective, kumplikado, ngunit sa parehong oras ay isang mahalagang yugto sa mga aktibidad ng kumpanya. Ang pinakadakilang diin sa seguridad ng kanilang data ay dapat gawin ng isang kumpanyang gumagana sa malaking halaga ng impormasyon o nagmamay-ari ng kumpidensyal na data.
May napakaraming epektibong pamamaraan para sa pagkalkula at pagsusuri ng mga panganib na nauugnay sa impormasyon na nagbibigay-daan sa iyong mabilis na ipaalam sa kumpanya at payagan itong sumunod sa mga tuntunin ng pagiging mapagkumpitensya sa merkado, pati na rin mapanatili ang seguridad at pagpapatuloy ng negosyo.
