U našem vremenu, informacija zauzima jedno od ključnih mjesta u svim sferama ljudskog života. To je zbog postupnog prijelaza društva iz industrijskog doba u postindustrijsko. Kao rezultat korištenja, posjedovanja i prijenosa različitih informacija mogu nastati informacijski rizici koji mogu utjecati na cjelokupnu sferu gospodarstva.
Koje industrije najbrže rastu?
Rast protoka informacija postaje sve primjetniji svake godine, budući da ekspanzija tehničkih inovacija čini brzi prijenos informacija vezanih uz prilagodbu novih tehnologija hitnom potrebom. U naše vrijeme, industrije kao što su industrija, trgovina, obrazovanje i financije trenutno se razvijaju. Tijekom prijenosa podataka u njima nastaju informacijski rizici.
Informacija postaje jedna od najvrjednijih vrsta proizvoda, čiji će ukupni trošak uskoro premašiti cijenu svih proizvoda proizvodnje. To će se dogoditi jer zaKako bi se osiguralo stvaranje svih materijalnih dobara i usluga koje štedi resurse, potrebno je osigurati temeljno novi način prijenosa informacija koji isključuje mogućnost informacijskih rizika.
Definicija
U naše vrijeme ne postoji jednoznačna definicija informacijskog rizika. Mnogi stručnjaci tumače ovaj pojam kao događaj koji ima izravan utjecaj na različite informacije. To može biti kršenje povjerljivosti, izobličenje, pa čak i brisanje. Za mnoge je zona rizika ograničena na računalne sustave, koji su glavni fokus.
Često se prilikom proučavanja ove teme mnogi stvarno važni aspekti ne uzimaju u obzir. To uključuje izravnu obradu informacija i upravljanje informacijskim rizikom. Uostalom, rizici povezani s podacima nastaju, u pravilu, u fazi dobivanja, jer postoji velika vjerojatnost netočne percepcije i obrade informacija. Često se ne pridaje dužna pažnja rizicima koji uzrokuju kvarove u algoritmima obrade podataka, kao i kvarovima u programima koji se koriste za optimizaciju upravljanja.
Mnogi razmatraju rizike povezane s obradom informacija, isključivo s ekonomske strane. Za njih je to prije svega rizik povezan s pogrešnom implementacijom i korištenjem informacijske tehnologije. To znači da upravljanje informacijskim rizikom pokriva procese kao što su stvaranje, prijenos, pohrana i korištenje informacija, uz korištenje različitih medija i sredstava komunikacije.
Analiza iklasifikacija IT rizika
Koji su rizici povezani s primanjem, obradom i prijenosom informacija? Po čemu se razlikuju? Postoji nekoliko skupina kvalitativne i kvantitativne procjene informacijskih rizika prema sljedećim kriterijima:
- prema internim i vanjskim izvorima nastanka;
- namjerno i nenamjerno;
- izravno ili neizravno;
- po vrsti povrede informacija: pouzdanost, relevantnost, potpunost, povjerljivost podataka, itd.;
- prema načinu utjecaja, rizici su sljedeći: viša sila i prirodne katastrofe, pogreške stručnjaka, nesreće, itd.
Analiza informacijskog rizika je proces globalne procjene razine zaštite informacijskih sustava uz određivanje količine (novčani resursi) i kvalitete (niski, srednji, visoki rizik) različitih rizika. Proces analize može se provesti korištenjem različitih metoda i alata za stvaranje načina zaštite informacija. Na temelju rezultata takve analize moguće je utvrditi najveće rizike koji mogu predstavljati neposrednu prijetnju i poticaj za trenutno donošenje dodatnih mjera koje pridonose zaštiti informacijskih resursa.
Metodologija za određivanje IT rizika
Trenutno ne postoji općeprihvaćena metoda koja pouzdano određuje specifične rizike informacijske tehnologije. To je zbog činjenice da nema dovoljno statističkih podataka koji bi dali konkretnije informacije ouobičajeni rizici. Važnu ulogu ima i činjenica da je teško temeljito odrediti vrijednost pojedinog informacijskog resursa, jer proizvođač ili vlasnik poduzeća može s apsolutnom točnošću imenovati trošak informacijskog medija, ali će mu biti teško glas trošak informacija koje se nalaze na njima. Zato je u ovom trenutku najbolja opcija za određivanje troška IT rizika kvalitativna procjena, zahvaljujući kojoj se točno identificiraju različiti čimbenici rizika, područja njihova utjecaja i posljedice za cijelo poduzeće.
CRAMM metoda koja se koristi u Ujedinjenom Kraljevstvu najsnažniji je način identificiranja kvantitativnih rizika. Glavni ciljevi ove tehnike uključuju:
- automatizirajte proces upravljanja rizicima;
- optimizacija troškova upravljanja gotovinom;
- produktivnost sigurnosnih sustava tvrtke;
- predanost kontinuitetu poslovanja.
Stručna metoda analize rizika
Stručnjaci razmatraju sljedeće čimbenike analize rizika informacijske sigurnosti:
1. Trošak resursa. Ova vrijednost odražava vrijednost informacijskog resursa kao takvog. Postoji sustav procjene kvalitativnog rizika na skali gdje je 1 minimalna, 2 prosječna vrijednost, a 3 maksimalna. Ako uzmemo u obzir IT resurse bankarskog okruženja, tada će njegov automatizirani poslužitelj imati vrijednost 3, a zasebni informacijski terminal - 1.
2. Stupanj ranjivosti resursa. Pokazuje veličinu prijetnje i vjerojatnost oštećenja IT resursa. Ako govorimo o bankarskoj organizaciji, server automatiziranog bankovnog sustava bit će što pristupačniji, pa su mu hakerski napadi najveća prijetnja. Postoji i ljestvica ocjenjivanja od 1 do 3, gdje je 1 manji utjecaj, 2 je velika vjerojatnost oporavka resursa, 3 je potreba za potpunom zamjenom resursa nakon što se opasnost neutralizira.
3. Procjena mogućnosti prijetnje. Određuje vjerojatnost određene prijetnje informacijskom izvoru za uvjetno vremensko razdoblje (najčešće - godinu dana) i, kao i prethodni čimbenici, može se procijeniti na skali od 1 do 3 (niska, srednja, visoka).
Upravljanje rizicima informacijske sigurnosti kako nastaju
Postoje sljedeće opcije za rješavanje problema s novim rizicima:
- prihvaćanje rizika i preuzimanje odgovornosti za svoje gubitke;
- smanjenje rizika, odnosno minimiziranje gubitaka povezanih s njegovim nastankom;
- transfer, odnosno nametanje troška naknade štete osiguravajućem društvu, ili pretvaranje određenim mehanizmima u rizik s najnižom razinom opasnosti.
Tada su rizici informacijske podrške raspoređeni prema rangu kako bi se identificirali primarni. Za upravljanje takvim rizicima potrebno ih je smanjiti, a ponekad - prenijeti na osiguravajuće društvo. Mogući prijenos i smanjenje rizika od visokih isrednje razine pod istim uvjetima, a rizici niže razine često se prihvaćaju i nisu uključeni u daljnju analizu.
Vrijedi uzeti u obzir činjenicu da se rangiranje rizika u informacijskim sustavima utvrđuje na temelju izračuna i utvrđivanja njihove kvalitativne vrijednosti. Odnosno, ako je interval rangiranja rizika u rasponu od 1 do 18, tada je raspon niskih rizika od 1 do 7, srednjih rizika od 8 do 13, a visokih rizika od 14 do 18. Bit poduzeća. Upravljanje informacijskim rizikom je smanjenje prosječnih i visokih rizika na najnižu vrijednost, kako bi njihovo prihvaćanje bilo što optimalnije i moguće.
CORAS metoda ublažavanja rizika
Metoda CORAS dio je programa Tehnologije informacijskog društva. Njegovo značenje leži u prilagodbi, konkretizaciji i kombinaciji učinkovitih metoda za provođenje analize na primjerima informacijskih rizika.
CORAS metodologija koristi sljedeće postupke analize rizika:
- mjere za pripremu pretraživanja i sistematizacije podataka o predmetnom objektu;
- pružanje od strane klijenta objektivnih i točnih podataka o predmetnom objektu;
- potpuni opis nadolazeće analize, uzimajući u obzir sve faze;
- analiza dostavljenih dokumenata na vjerodostojnost i ispravnost radi objektivnije analize;
- provođenje aktivnosti za utvrđivanje mogućih rizika;
- procjena svih posljedica novih informacijskih prijetnji;
- isticanje rizika koje tvrtka može preuzeti i rizika kojepotrebno je smanjiti ili preusmjeriti što je prije moguće;
- mjere za uklanjanje mogućih prijetnji.
Važno je napomenuti da navedene mjere ne zahtijevaju značajne napore i sredstva za provedbu i naknadnu provedbu. Metodologija CORAS je prilično jednostavna za korištenje i ne zahtijeva puno obuke da biste je počeli koristiti. Jedini nedostatak ovog kompleta alata je nedostatak periodičnosti u ocjenjivanju.
OCTAVE metoda
OCTAVE metoda procjene rizika podrazumijeva određeni stupanj uključenosti vlasnika informacija u analizu. Morate znati da se koristi za brzu procjenu kritičnih prijetnji, identificiranje imovine i identificiranje slabosti u sustavu informacijske sigurnosti. OCTAVE osigurava stvaranje kompetentne analitičke, sigurnosne grupe, koja uključuje zaposlenike tvrtke koja koristi sustav i zaposlenike informacijskog odjela. OKTAVA se sastoji od tri faze:
Prvo se procjenjuje organizacija, odnosno grupa za analizu utvrđuje kriterije za procjenu štete, a potom i rizika. Identificiraju se najvažniji resursi organizacije, procjenjuje se opće stanje procesa održavanja IT sigurnosti u poduzeću. Posljednji korak je identificiranje sigurnosnih zahtjeva i definiranje popisa rizika
- Druga faza je sveobuhvatna analiza informacijske infrastrukture tvrtke. Naglasak je stavljen na brzu i koordiniranu interakciju između zaposlenika i odjela nadležnih za toinfrastruktura.
- U trećoj fazi provodi se razvoj sigurnosnih taktika, izrađuje se plan za smanjenje mogućih rizika i zaštitu informacijskih resursa. Također se procjenjuje moguća šteta i vjerojatnost provedbe prijetnji, te kriteriji za njihovu ocjenu.
Matrična metoda analize rizika
Ova metoda analize objedinjuje prijetnje, ranjivosti, imovinu i kontrole sigurnosti informacija i utvrđuje njihovu važnost za odgovarajuću imovinu organizacije. Imovina organizacije su materijalni i nematerijalni objekti koji su značajni u smislu korisnosti. Važno je znati da se matrična metoda sastoji od tri dijela: matrice prijetnji, matrice ranjivosti i matrice kontrole. Rezultati sva tri dijela ove metodologije koriste se za analizu rizika.
Vrijedi razmotriti odnos svih matrica tijekom analize. Tako, na primjer, matrica ranjivosti je veza između imovine i postojećih ranjivosti, matrica prijetnji je skup ranjivosti i prijetnji, a matrica kontrole povezuje koncepte kao što su prijetnje i kontrole. Svaka ćelija matrice odražava omjer elementa stupca i retka. Koriste se visoki, srednji i niski sustavi ocjenjivanja.
Da biste stvorili tablicu, morate izraditi popis prijetnji, ranjivosti, kontrola i imovine. Dodaju se podaci o interakciji sadržaja stupca matrice sa sadržajem retka. Kasnije se podaci matrice ranjivosti prenose u matricu prijetnji, a zatim se, prema istom principu, informacije iz matrice prijetnji prenose u kontrolnu matricu.
Zaključak
Uloga podatakaznačajno porasla s prijelazom niza zemalja na tržišno gospodarstvo. Bez pravovremenog primitka potrebnih informacija normalno funkcioniranje tvrtke jednostavno je nemoguće.
Zajedno s razvojem informacijske tehnologije nastali su i tzv. informacijski rizici koji predstavljaju prijetnju djelatnostima tvrtki. Zato ih je potrebno identificirati, analizirati i evaluirati za daljnje smanjenje, prijenos ili zbrinjavanje. Formiranje i provedba sigurnosne politike bit će neučinkoviti ako se postojeća pravila ne koriste pravilno zbog nestručnosti ili neosviještenosti zaposlenika. Važno je razviti kompleks za usklađenost s informacijskom sigurnošću.
Upravljanje rizicima je subjektivna, složena, ali ujedno i važna faza u aktivnostima tvrtke. Najveći naglasak na sigurnost svojih podataka trebala bi staviti tvrtka koja radi s velikim količinama informacija ili posjeduje povjerljive podatke.
Postoji mnogo učinkovitih metoda za izračun i analizu rizika povezanih s informacijama koje vam omogućuju brzo informiranje tvrtke i omogućavanje joj da se pridržava pravila konkurentnosti na tržištu, kao i održavanje sigurnosti i kontinuiteta poslovanja.