Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Windows 8
  • Analiza postojećih metoda za procjenu rizika IB i razvoj vlastite metodologije za bankarski sektor. Metode procjene rizika informacija

Analiza postojećih metoda za procjenu rizika IB i razvoj vlastite metodologije za bankarski sektor. Metode procjene rizika informacija

18.08.2019 Windows 8

Informacioni rizici su rizik od gubitka ili štete kao rezultat korišćenja informacionih tehnologija od strane kompanije.

Drugim riječima, IT rizici su povezani sa stvaranjem, prijenosom, skladištenjem i korištenjem informacija korištenjem elektronskih medija i drugih sredstava komunikacije. rizici su podijeljeni u dvije kategorije:

  • ? rizike uzrokovane curenjem informacija i njihovim korištenjem od strane konkurenata ili zaposlenih u svrhe koje bi mogle naštetiti poslovanju;
  • ? rizici od tehničkih kvarova u radu kanala za prenos informacija, koji mogu dovesti do gubitaka.

Rad na minimiziranju IT rizika je da se spriječi neovlašteni pristup podacima, kao i nesreće i kvarovi na opremi.

Proces minimiziranja IT rizika razmatra se sveobuhvatno: prvo se identifikuju mogući problemi, a zatim se utvrđuje kojim metodama se mogu riješiti.

Za procjenu i upravljanje informacionim rizicima domaćih kompanija sada se koriste različite metode.

Procjena informacionog rizika kompanije može se izvršiti u skladu sa sljedećim planom:

  • ? identifikaciju i kvantitativnu procjenu informacionih resursa kompanije koji su značajni za poslovanje;
  • ? procjena mogućih prijetnji;
  • ? procjena postojećih ranjivosti;
  • ? procjenu efikasnosti alata za sigurnost informacija.

Rizici karakterišu opasnost koja može ugroziti komponente korporativnog informacionog sistema.

Informativni rizici kompanije zavise od:

  • ? indikatori vrijednosti informacionih resursa;
  • ? vjerovatnoća implementacije prijetnji resursima;
  • ? efikasnost postojećih ili planiranih alata za sigurnost informacija.

Svrha procene rizika je utvrđivanje karakteristika rizika korporativnog informacionog sistema i njegovih resursa.

Nakon procjene rizika, možete odabrati sredstva koja osiguravaju željeni nivo sigurnosti informacija za kompaniju. Prilikom procjene rizika uzimaju se u obzir faktori kao što su vrijednost resursa, značaj prijetnji i ranjivosti, te efikasnost postojećih i planiranih odbrana.

Mogućnost prijetnje određenom resursu kompanije procjenjuje se vjerovatnoćom njenog ostvarenja u datom vremenskom periodu. Istovremeno, vjerovatnoća da se prijetnja realizuje određena je sljedećim glavnim faktorima:

  • ? privlačnost resursa (uzima se u obzir prilikom razmatranja prijetnje od namjernog ljudskog utjecaja);
  • ? mogućnost korištenja resursa za ostvarivanje prihoda (također u slučaju prijetnje od namjernog ljudskog uticaja);
  • ? tehničke mogućnosti implementacije prijetnji u slučaju namjernog ljudskog uticaja;
  • ? lakoću sa kojom se ranjivost može iskoristiti.

U Rusiji se u ovom trenutku najčešće koriste različite "papirne" metode, čije su prednosti fleksibilnost i prilagodljivost. Ove metode po pravilu razvijaju kompanije – sistemski i specijalizovani integratori u oblasti informacione bezbednosti.

Specijalizirani softver koji implementira tehnike analize rizika može pripadati kategoriji softverskih proizvoda (dostupnih na tržištu) ili biti vlasništvo odjela ili organizacije i ne može se prodavati.

Ako se softver razvija kao softverski proizvod, on mora biti dovoljno svestran. Odjeljenjske softverske opcije prilagođene su specifičnostima postavljanja zadataka analize i upravljanja rizicima i omogućavaju uzimanje u obzir specifičnosti informacionih tehnologija organizacije.

Softver koji se nudi na tržištu fokusiran je uglavnom na nivo sigurnosti informacija, neznatno prevazilazeći osnovni nivo sigurnosti. Dakle, alat je dizajniran uglavnom za potrebe organizacija 3-4 stepena zrelosti, opisanih u prvom poglavlju.

Za rešavanje ovog problema razvijeni su softverski sistemi za analizu i kontrolu informacionih rizika: CRAMM, FRAP, RiskWatch, Microsoft, GRIF. U nastavku su kratki opisi brojnih uobičajenih tehnika analize rizika.

Uobičajene tehnike analize rizika:

  • ? metodologije koje koriste kvalitativnu procjenu rizika (na primjer, na skali "visok", "srednji", "nizak"). Ove tehnike uključuju, posebno, FRAP;
  • ? kvantitativne metode (rizik se procjenjuje kroz numeričku vrijednost, na primjer, iznos očekivanih godišnjih gubitaka). Ova klasa uključuje RiskWatch tehniku;
  • ? metode koje koriste mješovite procjene (ovaj pristup se koristi u CRAMM, Microsoft metodologiji, itd.).

CRAMM metodologija je jedan od prvih stranih radova o analizi rizika u oblasti informacione bezbednosti, razvijen 80-ih godina.

Zasniva se na integrisanom pristupu proceni rizika, kombinujući kvantitativne i kvalitativne metode analize. Metoda je raznovrsna i pogodna za velike i male organizacije, kako za državni tako i za komercijalni sektor. Verzije CRAMM softvera namijenjene različitim tipovima organizacija razlikuju se jedna od druge po bazama znanja (profilima):

  • ? komercijalni profil;
  • ? vladin profil.

Prilikom rada sa tehnikom, u prvim fazama, uzima se u obzir vrijednost resursa sistema koji se proučava i prikupljaju se primarne informacije o konfiguraciji sistema. Izvodi se identifikacija resursa: fizičkih, softverskih i informacijskih, sadržanih u granicama sistema.

Rezultat ove faze je izgradnja modela sistema, sa stablom povezivanja resursa. Ova shema vam omogućava da istaknete kritične elemente. Vrijednost fizičkih resursa u CRAMM-u određena je troškovima njihove obnove u slučaju uništenja.

Vrijednost podataka i softvera utvrđuje se u sljedećim situacijama:

  • ? nedostupnost resursa u određenom vremenskom periodu;
  • ? uništenje resursa - gubitak informacija primljenih od posljednje sigurnosne kopije, ili njegovo potpuno uništenje;
  • ? kršenje povjerljivosti u slučajevima neovlaštenog pristupa osoblja ili neovlaštenih lica;
  • ? modifikacija - razmatra se za slučajeve manjih grešaka osoblja (greške u unosu), programske greške, namjerne greške;
  • ? greške vezane za prenos informacija: odbijanje dostave, nedostavljanje informacija, dostava na pogrešnu adresu.
  • ? oštećenje reputacije organizacije;
  • ? kršenje važećeg zakonodavstva;
  • ? oštećenje zdravlja osoblja;
  • ? šteta uzrokovana otkrivanjem ličnih podataka pojedinaca;
  • ? finansijski gubici od otkrivanja informacija;
  • ? finansijski gubici povezani sa obnavljanjem resursa;
  • ? gubici povezani sa nemogućnošću ispunjavanja obaveza;
  • ? neorganizovanost aktivnosti.

Druga faza ispituje sve što se odnosi na identifikaciju i procjenu nivoa prijetnji za grupe resursa i njihove ranjivosti. Na kraju faze, korisnik dobija identifikovane i procenjene nivoe rizika za svoj sistem. U ovoj fazi se procjenjuje zavisnost korisničkih usluga od određenih grupa resursa i postojeći nivo prijetnji i ranjivosti, izračunavaju se nivoi rizika i analiziraju rezultati.

Resursi su grupirani prema vrsti prijetnji i ranjivosti. CRAMM softver generiše listu nedvosmislenih pitanja za svaku grupu resursa i svaki od 36 tipova pretnji.

Nivo prijetnji se ocjenjuje, u zavisnosti od odgovora, kao veoma visok, visok, srednji, nizak i veoma nizak. Nivo ugroženosti ocjenjuje se, u zavisnosti od odgovora, kao visok, srednji i nizak.

Na osnovu ovih informacija, nivoi rizika se izračunavaju na diskretnoj skali sa stepenom od 1 do 7. Nastali nivoi pretnji, ranjivosti i rizika se analiziraju i dogovaraju sa klijentom.

Glavni pristup rješavanju ovog problema je uzeti u obzir:

  • ? nivo opasnosti;
  • ? nivo ranjivosti;
  • ? veličinu očekivanih finansijskih gubitaka.

Na osnovu procjena troškova zaštićenih IP resursa, procjena prijetnji i ranjivosti, utvrđuju se "očekivani godišnji gubici".

Treća faza studije je potraga za opcijom sigurnosnog sistema koja najbolje odgovara zahtjevima kupca.

U ovoj fazi, CRAMM generiše nekoliko opcija za kontramere koje su adekvatne identifikovanim rizicima i njihovim nivoima.

Dakle, CRAMM je primjer metodologije proračuna u kojoj se početne ocjene daju na kvalitativnom nivou, a zatim se vrši prijelaz na kvantitativnu procjenu (u bodovima).

Rad na CRAMM metodologiji odvija se u tri faze, od kojih svaka ima svoj cilj u izgradnji modela rizika za informacioni sistem u celini. Razmatraju se prijetnje sistemu za njegove specifične resurse. Analiza softverskog i tehničkog stanja sistema se vrši u svakom koraku, izgrađujući stablo zavisnosti u sistemu, možete videti njegove slabe tačke i sprečiti gubitak informacija kao rezultat pada sistema, oba zbog do virusnog napada i hakerskih prijetnji.

Nedostaci CRAMM metode:

  • ? upotreba CRAMM metode zahtijeva posebnu obuku i visoke kvalifikacije revizora;
  • ? CRAMM je mnogo pogodniji za reviziju već postojećih IS u operativnoj fazi nego za IS u fazi razvoja;
  • ? revizija korištenjem CRAMM metode je prilično naporan proces i može zahtijevati mjeseci kontinuiranog rada revizora;
  • ? CRAMM softverski alat generira veliku količinu papirne dokumentacije, što nije uvijek korisno u praksi;
  • ? CRAMM vam ne dozvoljava da kreirate sopstvene šablone izveštaja ili da modifikujete postojeće;
  • ? mogućnost dopune CRAMM baze znanja korisnicima nije dostupna, što uzrokuje određene poteškoće u prilagođavanju ove metode potrebama određene organizacije;
  • ? CRAMM softver je dostupan samo na engleskom jeziku;
  • ? visoka cijena licence.

NRU ITMO, ***** @ *** kom

Akademski rukovodilac - doktor nauka, profesor, NRU ITMO, ***** @

anotacija

U članku su razmotrene metode za proračun rizika po sigurnost informacija, napravljeno je poređenje sa naznakom kritičnih nedostataka. Predstavljen je prijedlog korištenja vlastite metode procjene rizika.

Ključne riječi: rizik, informacioni sistem, informaciona bezbednost, metoda proračuna rizika, procena rizika, informaciona imovina.

Uvod

Sistem upravljanja rizikom bezbednosti informacija (IS) je hitan zadatak u svim fazama kompleksa informacione bezbednosti. Istovremeno, nemoguće je unaprijed upravljati rizicima bez njihove procjene, što se opet mora izvesti po nekom metodu. U fazi procjene rizika najinteresantnije su formule i ulazni podaci za izračunavanje vrijednosti rizika. Članak analizira nekoliko različitih metoda za izračunavanje rizika i predstavlja vlastitu metodologiju. Cilj rada je da se izvede formula za izračunavanje rizika bezbednosti informacija, koja omogućava dobijanje niza stvarnih rizika i procenu gubitaka u monetarnom smislu.

Rizik sigurnosti informacija u klasičnom obliku definira se kao funkcija tri varijable:

    vjerovatnoća prijetnje; vjerovatnoća ranjivosti (nesigurnosti); potencijalni uticaj.

Ako se bilo koja od ovih varijabli približi nuli, ukupni rizik također teži nuli.

Metode procjene rizika

ISO/IEC 27001. U pogledu metodologije za izračunavanje vrijednosti rizika, navedeno je da odabrana metodologija treba da obezbijedi da procjene rizika daju uporedive i ponovljive rezultate. Istovremeno, standard ne daje konkretnu formulu za izračunavanje.

NIST 800-30 nudi klasičnu formulu za izračunavanje rizika:

gdje je R vrijednost rizika;

P (t) je vjerovatnoća realizacije prijetnje IS (koristi se mješavina kvalitativnih i kvantitativnih skala);

S - stepen uticaja pretnje na sredstvo (cena imovine na kvalitativnoj i kvantitativnoj skali).

Kao rezultat, vrijednost rizika se izračunava u relativnim jedinicama, koje se mogu rangirati prema stepenu važnosti za proceduru upravljanja rizikom sigurnosti informacija.

GOST R ISO / IEC DO 7. Proračun rizika, za razliku od standarda NIST 800-30, zasniva se na tri faktora:

R = P (t) * P (v) * S,

gdje je R vrijednost rizika;

P (t) je vjerovatnoća realizacije prijetnje IS;

P (v) je vjerovatnoća ranjivosti;

S je vrijednost imovine.

Kao primjer vrijednosti vjerovatnoća P (t) i P (v), data je kvalitativna skala sa tri nivoa: niska, srednja i visoka. Za procjenu vrijednosti vrijednosti imovine S, numeričke vrijednosti su prikazane u rasponu od 0 do 4. Poređenje kvalitativnih vrijednosti treba da izvrši organizacija u kojoj se procjenjuju rizici po sigurnost informacija.

BS 7799. Nivo rizika se izračunava uzimajući u obzir tri indikatora - vrijednost resursa, nivo prijetnje i stepen ranjivosti. Sa povećanjem vrijednosti ova tri parametra rizik se povećava, pa se formula može predstaviti na sljedeći način:

R = S * L (t) * L (v),

gdje je R vrijednost rizika;

S je vrijednost imovine/resursa;

L (t) - nivo opasnosti;

L (v) - nivo / stepen ranjivosti.

U praksi se obračun IS rizika vrši prema tabeli pozicioniranja vrijednosti nivoa prijetnje, stepena vjerovatnoće iskorišćavanja ranjivosti i vrijednosti imovine. Vrijednost rizika može se mijenjati u rasponu od 0 do 8, kao rezultat toga, za svako sredstvo se dobija lista prijetnji s različitim vrijednostima rizika. Standard takođe nudi skalu za rangiranje rizika: nizak (0-2), srednji (3-5) i visok (6-8), što vam omogućava da odredite najkritičnije rizike.

STO BR IBBS. Prema standardu, procjena stepena mogućnosti realizacije prijetnje informacijskoj sigurnosti vrši se na kvalitativnoj i kvantitativnoj skali, neostvariva prijetnja - 0%, prosjek - od 21% do 50% itd. - kvantitativno skala, odnosno minimum je 0,5% kapitala banke, visok - od 1,5% do 3% kapitala banke.

Da bi se izvršila kvalitativna procjena rizika informacione sigurnosti, koristi se tabela korespondencije između težine posljedica i vjerovatnoće realizacije prijetnje. Ako je potrebno izvršiti kvantitativnu procjenu, onda se formula može predstaviti kao:

gdje je R vrijednost rizika;

P (v) je vjerovatnoća realizacije prijetnje IS;

S je vrijednost imovine (težina posljedica).

Predložena metoda

Uzimajući u obzir sve navedene metode procene rizika u smislu izračunavanja vrednosti rizika bezbednosti informacija, vredi napomenuti da se izračunavanje rizika vrši korišćenjem vrednosti pretnji i vrednosti imovine. Značajan nedostatak je procjena vrijednosti imovine (iznos štete) u obliku uslovnih vrijednosti. Uslovne vrijednosti nemaju mjerne jedinice koje se primjenjuju u praksi, a posebno nisu novčani ekvivalent. Kao rezultat toga, ovo ne daje stvarnu predstavu o nivou rizika koji se može prenijeti na stvarnu imovinu zaštićenog objekta.

Stoga se predlaže da se postupak izračuna rizika podijeli u dvije faze:

1. Proračun vrijednosti tehničkog rizika.

2. Proračun potencijalne štete.

Pod tehničkim rizikom se podrazumeva vrednost rizika informacione bezbednosti, koja se sastoji od verovatnoće implementacije pretnji i eksploatacije ranjivosti svake komponente informacione infrastrukture, uzimajući u obzir nivo njihove poverljivosti, integriteta i dostupnosti. Za prvu fazu imamo sljedeće 3 formule:

Rc = Kc * P (T) * P (V), Ri = Ki * P (T) * P (V),

Ra = Ka * P (T) * P (V),

gdje je Rc vrijednost rizika povjerljivosti;

Ri je vrijednost rizika integriteta;

Ra je vrijednost rizika dostupnosti;

Ks - koeficijent povjerljivosti informacijskog sredstva;

Ki je faktor integriteta informacijskog sredstva;

Ka je koeficijent dostupnosti informacijskog sredstva;

P (T) je vjerovatnoća realizacije prijetnje;

P (V) je vjerovatnoća iskorištavanja ranjivosti.

Upotreba ovog algoritma omogućit će detaljniju procjenu rizika, dobivši na izlazu bezdimenzionalnu vrijednost vjerovatnoće rizika od kompromitacije svakog informacijskog sredstva posebno.

Nakon toga, moguće je izračunati vrijednost štete, za to se koristi prosječna vrijednost rizika svakog informacijskog sredstva i iznos potencijalnih gubitaka:

gdje je L vrijednost štete;

Rav - prosječna vrijednost rizika;

S - gubici (u novčanom smislu).

Predložena metodologija omogućava ispravnu procjenu vrijednosti rizika sigurnosti informacija i izračunavanje novčanih gubitaka u slučaju sigurnosnih incidenata.

Književnost

1. ISO/IEC 27001. Međunarodni standard sadrži zahtjeve za sigurnost informacija za kreiranje, razvoj i održavanje sistema upravljanja bezbednošću informacija. 20s.

2. GOST R ISO / IEC DO 7. Nacionalni standard Ruske Federacije. Metode i sredstva osiguranja sigurnosti. Dio 3. Metode upravljanja sigurnošću informacionih tehnologija. Moskva. 20s.

3. BS 7799-2: 2005 Specifikacija sistema upravljanja sigurnošću informacija. Engleska. 20s.

4. RS BR IBBS-2.2-200. Osiguravanje informacione sigurnosti organizacija u bankarskom sistemu Ruske Federacije. Metode za procjenu rizika od narušavanja sigurnosti informacija. Moskva. 20s.

5. Vodič za upravljanje rizicima za sisteme informacionih tehnologija. Preporuke Nacionalnog instituta za standarde i tehnologiju. SAD. 20s.

6. Elektronski izvor Wikipedia, članak "Rizik".

Kako ispravno procijeniti rizike po sigurnost informacija - naš recept

Zadatak procjene rizika informacione sigurnosti danas se u stručnoj zajednici nedvosmisleno doživljava, a za to postoji više razloga. Prvo, ne postoji zlatni standard ili prihvaćen pristup. Brojni standardi i metodologije, iako slični generalno, značajno se razlikuju u detaljima. Primjena određene metodologije ovisi o području i objektu procjene. Međutim, izbor odgovarajuće metode može postati problem ako učesnici u procesu ocjenjivanja imaju različite percepcije o njemu i njegovim rezultatima.

Drugo, procjena rizika po sigurnost informacija je čisto stručni zadatak. Analiza faktora rizika (kao što su šteta, prijetnja, ranjivost, itd.) koju vrše različiti stručnjaci često daje različite rezultate. Nedovoljna ponovljivost rezultata procjene postavlja pitanje pouzdanosti i korisnosti dobijenih podataka. Ljudska priroda je takva da apstraktne procjene, posebno one koje se odnose na probabilističke mjerne jedinice, ljudi percipiraju na različite načine. Postojeće primijenjene teorije osmišljene da uzmu u obzir mjeru subjektivne percepcije osobe (na primjer, teorija perspektive) komplikuju ionako komplikovanu metodologiju analize rizika i ne doprinose njenoj popularizaciji.

Treće, sama procedura procene rizika u svom klasičnom smislu, sa dekompozicijom i inventarizacijom imovine je veoma naporan zadatak. Pokušaj ručne analize pomoću uobičajenih uredskih alata (kao što su proračunske tablice) neizbježno se utapa u moru informacija. Specijalizovani softverski alati dizajnirani da pojednostave pojedinačne faze analize rizika, donekle olakšavaju modeliranje, ali nimalo ne pojednostavljuju prikupljanje i sistematizaciju podataka.

Konačno, sama definicija rizika u kontekstu problema informacione sigurnosti još uvijek nije utvrđena. Pogledajte samo promjene u terminologiji ISO Vodiča 73: 2009 u odnosu na verziju iz 2002. Dok se ranije rizik definirao kao potencijal štete zbog iskorišćavanja ranjivosti bilo kojom prijetnjom, sada je to efekat odstupanja od očekivanih rezultata. Slične konceptualne promjene dogodile su se u novom izdanju ISO/IEC 27001:2013.

Zbog ovih, kao i niza drugih razloga, procjena rizika informacione sigurnosti se u najboljem slučaju tretira s oprezom, au najgorem s velikim nepovjerenjem. To diskredituje samu ideju upravljanja rizicima, što, kao rezultat, dovodi do sabotaže ovog procesa od strane menadžmenta, i kao rezultat toga, do pojave brojnih incidenata koji su puni godišnjih analitičkih izvještaja.

Uzimajući u obzir gore navedeno, s koje strane je najbolje pristupiti zadatku procjene rizika informacione sigurnosti?

Svež izgled

Sigurnost informacija danas je sve više fokusirana na poslovne ciljeve i ugrađena je u poslovne procese. Slična metamorfoza se dešava i sa procenom rizika - ona dobija neophodan poslovni kontekst. Koje kriterijume treba da ispunjava moderna metodologija za procenu rizika od IS? Očigledno, trebao bi biti dovoljno jednostavan i univerzalan kako bi rezultati njegove primjene ulivali povjerenje i bili korisni svim učesnicima u procesu. Istaknimo nekoliko principa na kojima bi se takva tehnika trebala zasnivati:

  1. izbjegavajte nepotrebne detalje;
  2. oslanjati se na mišljenje poslovanja;
  3. koristiti primjere;
  4. uzeti u obzir eksterne izvore informacija.

Suštinu predložene metodologije najbolje ilustruje praktični primjer. Razmotrimo problem procjene rizika informacione sigurnosti u trgovačkom i proizvodnom preduzeću. Kako obično počinje? Uz definisanje granica procjene. Ako se procjena rizika provodi prvi put, njene granice treba da obuhvate glavne poslovne procese koji ostvaruju prihod, kao i procese koji im služe.

Ukoliko poslovni procesi nisu dokumentovani, opšta predstava o njima se može dobiti uvidom u organizacionu strukturu i pravilnik o odeljenjima, koji sadrži opis ciljeva i zadataka.

Nakon što smo definisali granice vrednovanja, pređimo na identifikaciju imovine. U skladu sa navedenim, glavne poslovne procese ćemo smatrati konsolidovanom imovinom, odlažući inventar informacionih resursa za naredne faze (pravilo 1). To je zbog činjenice da metodologija pretpostavlja postepeni prijelaz sa opšteg na posebno, a na ovom nivou detalja ovi podaci jednostavno nisu potrebni.

Faktori rizika

Pretpostavljamo da smo odlučili o sastavu imovine koja se vrednuje. Zatim morate identificirati prijetnje i ranjivosti povezane s njima. Međutim, ovaj pristup je primenljiv samo kada se vrši detaljna analiza rizika, gde su objekti okruženja informacionih sredstava objekti procene. U novoj verziji ISO/IEC 27001: 2013, fokus procjene rizika se pomjerio sa tradicionalnih IT sredstava na informacije i njihovu obradu. Budući da na trenutnom nivou detalja razmatramo proširene poslovne procese kompanije, dovoljno je identifikovati samo faktore rizika visokog nivoa koji su im svojstveni.

Faktor rizika je specifična karakteristika objekta, tehnologije ili procesa koji predstavlja izvor problema u budućnosti. Istovremeno, o prisustvu rizika kao takvom možemo govoriti samo ako problemi negativno utiču na performanse kompanije. Izgrađen je logički lanac:

Dakle, zadatak identifikovanja faktora rizika svodi se na identifikovanje neuspešnih svojstava i karakteristika procesa koji određuju verovatne scenarije za implementaciju rizika koji negativno utiču na poslovanje. Da pojednostavimo rješenje, koristimo ISACA poslovni model za sigurnost informacija (vidi sliku 1):

Rice. 1. Poslovni model informacione sigurnosti

Čvorovi modela ukazuju na osnovne pokretačke snage svake organizacije: strategiju, procese, ljude i tehnologije, a njegove ivice predstavljaju funkcionalne veze između njih. U ovim rebrima su, u osnovi, koncentrisani glavni faktori rizika. Lako je uočiti da rizici nisu povezani samo sa informatičkom tehnologijom.

Kako identifikovati faktore rizika na osnovu datog modela? U ovo je neophodno uključiti i biznis (pravilo 2). Poslovne jedinice su obično svjesne izazova s ​​kojima se suočavaju na poslu. Često se prisjećaju i iskustva kolega u industriji. Ove informacije možete dobiti postavljanjem pravih pitanja. Preporučljivo je da se pitanja vezana za osoblje obrati odjelu za ljudske resurse, tehnološka pitanja službi za automatizaciju (IT), a pitanja vezana za poslovanje odgovarajućim poslovnim jedinicama.

U zadatku identifikacije faktora rizika pogodnije je krenuti od problema. Nakon identificiranja problema, potrebno je utvrditi njegov uzrok. Kao rezultat, može se identifikovati novi faktor rizika. Glavna poteškoća ovdje je ne okliznuti se posebno. Na primjer, ako se incident dogodio kao rezultat nezakonitih radnji zaposlenog, faktor rizika neće biti to što je zaposlenik prekršio odredbe nekog propisa, već činjenica da je sama radnja postala moguća. Faktor rizika je uvijek preduslov za problem.

Kako bi osoblje bolje razumjelo o čemu se tačno pita, preporučljivo je pitanja popratiti primjerima (pravilo 3). Slijede primjeri nekoliko faktora rizika visokog nivoa koji se mogu naći u mnogim poslovnim procesima:

Osoblje:

  • Nedovoljne kvalifikacije (ivica ljudskih faktora na slici 1)
  • Nedostatak zaposlenih (Emergence rebro)
  • Niska motivacija (kultura rebara)

Procesi:

  • Česte promjene vanjskih zahtjeva (Governing edge)
  • Nedovoljno razvijena automatizacija procesa (omogućavanje ruba i podrška)
  • Kombinovanje uloga po izvođačima (Emergence rebro)

Tehnologije:

  • Zastarjeli softver (omogućavanje ruba i podrška)
  • Niska odgovornost korisnika (prednost ljudskih faktora)
  • Heterogeni IT pejzaž (rebro arhitekture)

Važna prednost predložene metode procjene je mogućnost unakrsne analize, u kojoj dva različita odjela razmatraju isti problem iz različitih uglova. Imajući to na umu, od velike je pomoći ispitanicima postaviti pitanja kao što su: „Šta mislite o problemima koje su vaše kolege identifikovale?“ Ovo je odličan način da dobijete dodatne ocjene kao i prilagodite postojeće. Može se provesti nekoliko krugova ove procjene kako bi se precizirao rezultat.

Uticaj na poslovanje

Kao što slijedi iz definicije rizika, karakteriše ga stepen uticaja na poslovni učinak organizacije. Sistem Balanced Scorecards je zgodan alat za određivanje prirode uticaja scenarija realizacije rizika na poslovanje. Ne ulazeći u detalje, napominjemo da Balanced Scorecards identifikuje 4 poslovne perspektive za svaku kompaniju, povezane na hijerarhijski način (vidi sliku 2).

Rice. 2. Četiri poslovne perspektive izbalansirane kartice

U odnosu na razmatranu metodologiju, rizik se može smatrati značajnim ako negativno utiče na barem jednu od tri perspektiva poslovanja: finansije, klijente i/ili procese (vidi sliku 3).

Rice. 3. Ključni pokazatelji poslovanja

Na primjer, faktor rizika „niska odgovornost korisnika“ može dovesti do scenarija „curenja informacija o klijentu“. Zauzvrat, ovo će uticati na poslovnu metriku broja kupaca.

Ako je kompanija razvila poslovnu metriku, to uvelike pojednostavljuje situaciju. Kad god je moguće pratiti uticaj određenog scenarija rizika na jedan ili više pokazatelja poslovanja, odgovarajući faktor rizika se može smatrati značajnim, a rezultati njegove procjene moraju biti evidentirani u upitnicima. Što se više u hijerarhiji poslovnih metrika prati uticaj scenarija, to su značajnije potencijalne posledice po poslovanje.

Zadatak analize ovih posljedica je stručan, pa ga treba rješavati uz angažovanje specijalizovanih poslovnih jedinica (pravilo 2). Za dodatnu kontrolu dobijenih procjena, korisno je koristiti eksterne izvore informacija koji sadrže statistiku o visini gubitaka kao rezultat incidenata (pravilo 4), na primjer, godišnji izvještaj „Cost of Data Breach Study”.

Ocena verovatnoće

U završnoj fazi analize, za svaki identifikovani faktor rizika, čiji je uticaj na poslovanje utvrđen, potrebno je procijeniti vjerovatnoću povezanih scenarija. Od čega zavisi ova procjena? U velikoj mjeri to zavisi od adekvatnosti mjera zaštite koje se sprovode u kompaniji.

Ovdje postoji mala pretpostavka. Logično je pretpostaviti da, pošto je problem identifikovan, to znači da je i dalje aktuelan. Istovremeno, sprovedene mjere, najvjerovatnije, nisu dovoljne da se izravnaju preduslovi za njen nastanak. Dovoljnost protumjera utvrđuje se rezultatima procjene efikasnosti njihove primjene, na primjer, korištenjem sistema metrike.

Za procjenu se može koristiti jednostavna trostepena skala, gdje:

3 - sprovedene kontramere su generalno dovoljne;

2 - kontramjere su nedovoljno sprovedene;

1 - nema protumjera.

Standardi i smjernice specifične za industriju kao što su CobiT 5, ISO/IEC 27002 i drugi mogu se koristiti kao reference koje opisuju protumjere.Svaka protumjera mora biti povezana sa određenim faktorom rizika.

Važno je zapamtiti da analiziramo rizike povezane ne samo sa upotrebom IT-a, već i sa organizacijom internih informacionih procesa u kompaniji. Prema tome, kontramjere treba razmatrati šire. Nije uzalud da nova verzija ISO/IEC 27001:2013 ima upozorenje da je pri odabiru protumjera potrebno koristiti bilo koji vanjski izvor (pravilo 4), a ne samo Aneks A koji je prisutan u standardu za referentne svrhe.

Veličina rizika

Za određivanje ukupne vrijednosti rizika možete koristiti najjednostavniju tablicu (vidi tabelu. 1).

Tab. 1. Matrica procjene rizika

U slučaju da faktor rizika utiče na nekoliko poslovnih perspektiva, na primjer, "Kupci" i "Finansije", njihove metrike se sabiraju. Dimenzija skale, kao i prihvatljivi nivoi rizika po bezbednost informacija, mogu se odrediti na bilo koji pogodan način. U ovom primjeru, rizici se smatraju visokim ako imaju nivoe 2 i 3.

U ovom trenutku, prva faza procjene rizika se može smatrati završenom. Ukupna vrijednost rizika povezanog sa procijenjenim poslovnim procesom utvrđuje se kao zbir zbirnih vrijednosti za sve identifikovane faktore. Vlasnikom rizika može se smatrati osoba odgovorna u kompaniji za procijenjeni objekat.

Dobivena brojka nam ne govori koliko je novca organizacija u opasnosti da izgubi. Umjesto toga, ukazuje na područje koncentracije rizika i prirodu njihovog utjecaja na poslovni učinak. Ove informacije su neophodne kako bi se dalje fokusirali na najvažnije detalje.

Detaljna evaluacija

Glavna prednost razmatrane metode je da vam omogućava da izvršite analizu rizika sigurnosti informacija sa željenim nivoom detalja. Ako je potrebno, možete „upasti“ u elemente IS modela (slika 1) i detaljnije ih razmotriti. Na primjer, identificiranjem najveće koncentracije rizika u rubovima vezanim za IT, možete povećati nivo detalja u Tehnološkom čvoru. Ako je ranije predmet procjene rizika bio poseban poslovni proces, sada će se fokus pomjeriti na određeni informacioni sistem i procese njegovog korištenja. Da bi se obezbijedio potreban nivo detalja, možda će biti potrebno izvršiti inventar informacionih resursa.

Sve ovo važi i za druge oblasti ocjenjivanja. Kada se promijeni granularnost čvora Ljudi, ciljevi procjene mogu biti uloge osoblja ili čak pojedinačni zaposlenici. Za procesni čvor, to mogu biti specifične radne politike i procedure.

Promena nivoa detalja automatski menja ne samo faktore rizika već i primenljive protivmere. I jedno i drugo će postati specifičnije za predmet ocjenjivanja. Istovremeno, opći pristup procjeni faktora rizika neće se promijeniti. Za svaki identifikovani faktor bit će potrebno procijeniti:

  • stepen do kojeg rizik utiče na poslovne izglede;
  • dovoljnost kontramera.

ruski sindrom

Izdavanje standarda ISO/IEC 27001:2013 dovelo je mnoge ruske kompanije u težak položaj. S jedne strane, već su razvili određeni pristup procjeni rizika po sigurnost informacija, zasnovan na klasifikaciji informacionih sredstava, procjeni prijetnji i ranjivosti. Nacionalni regulatori su uspeli da donesu niz propisa koji podržavaju ovaj pristup, na primer, standard Banke Rusije, FSTEC naloge. S druge strane, odavno postoji potreba za izmjenama zadatka procjene rizika, te je sada potrebno modifikovati uspostavljenu proceduru tako da ispunjava i stare i nove zahtjeve. Da, danas je još uvijek moguće dobiti certifikat prema standardu GOST R ISO / IEC 27001: 2006, koji je identičan prethodnoj verziji ISO / IEC 27001, ali to ne traje dugo.

Tehnika analize rizika o kojoj smo gore govorili rješava ovaj problem. Kontrolom nivoa detalja u procjeni, možete uzeti u obzir sredstva i rizike na bilo kojoj skali, od poslovnih procesa do pojedinačnih tokova informacija. Ovaj pristup je također zgodan jer vam omogućava da pokrijete sve rizike visokog nivoa, a da ništa ne propustite. Istovremeno, kompanija će značajno smanjiti troškove rada za dalju analizu i neće gubiti vrijeme na detaljnu procjenu beznačajnih rizika.

Treba napomenuti da što je veći nivo detalja u oblasti procene, veća je odgovornost pripisana stručnjacima i potrebna je veća kompetencija, jer kada se dubina analize promeni, menjaju se ne samo faktori rizika, već i pejzaž. primjenjivih protumjera.

Uprkos svim pokušajima da se pojednostavi, analiza rizika po bezbednost informacija je i dalje dugotrajna i složena. Posebnu odgovornost ima vođa ovog procesa. Mnogo će stvari zavisiti od toga koliko će kompetentno izgraditi pristup i snaći se sa zadatkom koji je pred njim – od izdvajanja budžeta za informatičku sigurnost do održivosti poslovanja.

U ovom trenutku, rizici informacione sigurnosti predstavljaju veliku prijetnju normalnom radu mnogih preduzeća i institucija. U naše doba informatičke tehnologije, doći do bilo kakvih podataka praktički nije teško. S jedne strane, ovo, naravno, nosi mnogo pozitivnih aspekata, ali postaje problem za lice i brend mnogih kompanija.

Zaštita informacija u preduzećima sada postaje gotovo prioritetan zadatak. Stručnjaci vjeruju da samo razvijanjem određenog svjesnog slijeda radnji možete postići ovaj cilj. U ovom slučaju moguće je voditi se samo pouzdanim činjenicama i koristiti napredne analitičke metode. Određeni doprinos daje razvoj intuicije i iskustvo stručnjaka odgovornog za ovu jedinicu u preduzeću.

Ovaj materijal će vam reći o upravljanju rizicima sigurnosti informacija u poslovnom subjektu.

Koje su vrste mogućih prijetnji u informacionom okruženju?

Može postojati mnogo vrsta prijetnji. Analiza rizika sigurnosti informacija preduzeća počinje razmatranjem svih mogućih potencijalnih prijetnji. Ovo je neophodno kako bi se utvrdili načini provjere u slučaju ovih nepredviđenih situacija, kao i da bi se formirao odgovarajući sistem zaštite. Rizici bezbednosti informacija su podeljeni u posebne kategorije u zavisnosti od različitih kriterijuma klasifikacije. Oni su sljedećih tipova:

  • fizički izvori;
  • neprikladna upotreba kompjuterske mreže i World Wide Weba;
  • curenje iz zatvorenih izvora;
  • curenje tehničkim sredstvima;
  • neovlašteni upad;
  • napad na informacijsku imovinu;
  • kršenje integriteta modifikacije podataka;
  • hitni slučajevi;
  • kršenja zakona.

Šta je uključeno u koncept "fizičke prijetnje informacionoj sigurnosti"?

Vrste rizika po bezbednost informacija određuju se u zavisnosti od izvora njihovog nastanka, načina sprovođenja nezakonitog upada i svrhe. Tehnički najjednostavnije, ali i dalje zahtijevaju profesionalno izvršenje, su fizičke prijetnje. Predstavljaju neovlašteni pristup zatvorenim izvorima. Odnosno, ovaj proces je u stvari obična krađa. Informacije se mogu dobiti lično, vlastitim rukama, jednostavnim upadom na teritoriju ustanove, u kancelarije, arhive radi pristupa tehničkoj opremi, dokumentaciji i drugim medijima.

Krađa možda ne leži čak ni u samim podacima, već u mjestu njihovog skladištenja, odnosno direktno u samoj kompjuterskoj opremi. Kako bi poremetili normalne aktivnosti organizacije, napadači mogu jednostavno uzrokovati kvar u radu medija za pohranu podataka ili tehničke opreme.

Svrha fizičkog upada može biti i pristup sistemu od kojeg zavisi zaštita informacija. Napadač može promijeniti opcije mreže informacione sigurnosti kako bi dodatno olakšao implementaciju ilegalnih metoda.

Mogućnost fizičke prijetnje mogu pružiti i pripadnici različitih grupa koji imaju pristup povjerljivim podacima koji nisu javno dostupni. Njihov cilj je vrijedna dokumentacija. Takve osobe se nazivaju insajderima.

Aktivnost vanjskih uljeza može biti usmjerena na isti objekat.

Kako sami zaposleni u preduzeću mogu postati uzrok nastanka prijetnji?

Rizici po bezbednost informacija često nastaju usled neprikladne upotrebe interneta i internog računarskog sistema od strane zaposlenih. Napadači se odlično igraju na neiskustvo, nepažnju i neznanje nekih ljudi u pogledu informacione sigurnosti. Kako bi se isključila ova opcija krađe povjerljivih podataka, rukovodstva mnogih organizacija imaju posebnu politiku među svojim osobljem. Njegov cilj je educirati ljude o pravilima ponašanja i korištenja mreža. Ovo je prilično uobičajena praksa, jer su prijetnje koje nastaju na ovaj način prilično česte. Programi za sticanje veština u oblasti informacione bezbednosti od strane zaposlenih u preduzeću uključuju sledeće tačke:

  • prevazilaženje neefikasne upotrebe revizorskih alata;
  • smanjenje stepena do kojeg ljudi koriste posebna sredstva za obradu podataka;
  • smanjena upotreba resursa i sredstava;
  • navikavanje pristupa mrežnim objektima samo utvrđenim metodama;
  • određivanje zona uticaja i određivanje teritorije odgovornosti.

Kada svaki zaposlenik shvati da sudbina ustanove zavisi od odgovornog obavljanja zadataka koji su mu dodijeljeni, tada se trudi da se pridržava svih pravila. Potrebno je da ljudi postave konkretne zadatke i opravdaju dobijene rezultate.

Kako se krše uslovi povjerljivosti?

Rizici i prijetnje po sigurnost informacija u velikoj su mjeri povezani sa nezakonitim sticanjem informacija koje ne bi trebale biti dostupne neovlaštenim licima. Prvi i najčešći kanal curenja je svaki način komunikacije i komunikacije. U vreme kada je, čini se, lična prepiska dostupna samo dvema stranama, ona je presreta od strane zainteresovanih lica. Iako razumni ljudi razumiju da je potrebno nešto izuzetno važno i tajno prenijeti na druge načine.

Budući da se sada mnogo informacija pohranjuje na prijenosnim medijima, napadači aktivno ovladavaju presretanjem informacija putem ove vrste tehnologije. Prisluškivanje komunikacijskih kanala je vrlo popularno, samo što su sada svi napori tehničkih genijalaca usmjereni na rušenje zaštitnih barijera pametnih telefona.

Povjerljive informacije mogu nenamjerno otkriti zaposleni u organizaciji. Možda neće direktno odati sve "logine i lozinke", već samo navesti napadača na pravi put. Na primjer, ljudi, nesvjesno, prijavljuju informacije o lokaciji skladištenja važnih dokumenata.

Samo podređeni nisu uvijek ranjivi. Ugovarači također mogu objaviti povjerljive informacije tokom partnerstva.

Kako je informaciona sigurnost narušena tehničkim sredstvima uticaja?

Sigurnost informacija je najvećim dijelom posljedica korištenja pouzdanih tehničkih sredstava zaštite. Ako je sistem podrške efikasan i efikasan čak iu samoj opremi, onda je to već pola uspjeha.

U osnovi, curenje informacija se obezbjeđuje na ovaj način kontrolom različitih signala. Takve metode uključuju stvaranje specijalizovanih izvora radio-emisije ili signala. Potonji mogu biti električni, akustični ili vibracijski.

Optički uređaji se često koriste za čitanje informacija sa ekrana i monitora.

Raznolikost uređaja određuje širok spektar metoda za unošenje i izvlačenje informacija od strane uljeza. Pored navedenih metoda, postoje i televizijsko, fotografsko i vizuelno izviđanje.

Zbog ovako širokih mogućnosti, revizija sigurnosti informacija prvenstveno uključuje provjeru i analizu rada tehničkih sredstava za zaštitu povjerljivih podataka.

Šta se smatra neovlašćenim pristupom poslovnim informacijama?

Upravljanje rizikom sigurnosti informacija nemoguće je bez sprječavanja prijetnji od neovlaštenog pristupa.

Jedan od najistaknutijih predstavnika ove metode hakovanja tuđeg sigurnosnog sistema je dodjela korisničkog ID-a. Ova metoda se zove "Maskarada". Neovlašteni pristup u ovom slučaju se sastoji u korištenju podataka za autentifikaciju. Odnosno, svrha uljeza je da dobije lozinku ili bilo koji drugi identifikator.

Napadači mogu uticati iznutra samog objekta ili izvana. Oni mogu dobiti informacije koje su im potrebne iz izvora kao što su revizorski trag ili revizorski alati.

Često prekršilac pokušava primijeniti politiku implementacije i koristiti, na prvi pogled, potpuno legalne metode.

Neovlašteni pristup odnosi se na sljedeće izvore informacija:

  • web stranice i vanjski hostovi;
  • bežična mreža preduzeća;
  • sigurnosne kopije podataka.

Postoji bezbroj načina i metoda neovlaštenog pristupa. Napadači traže nedostatke i praznine u softverskoj konfiguraciji i arhitekturi. Oni primaju podatke modifikovanjem softvera. Uljezi lansiraju zlonamjerni softver i logičke bombe kako bi neutralizirali i uspavljivali njihovu budnost.

Koje su pravne prijetnje informacionoj sigurnosti kompanije?

Upravljanje rizikom bezbednosti informacija funkcioniše u različitim pravcima, jer je njegov glavni cilj da obezbedi sveobuhvatnu i holističku zaštitu preduzeća od spoljnih upada.

Pravni nije ništa manje važan od tehničkog smjera. Dakle, ko bi, čini se, naprotiv, trebao braniti interese, ispada da dobije vrlo korisne informacije.

Povrede zakona mogu se ticati imovinskih, autorskih i patentnih prava. Ova kategorija takođe uključuje nezakonitu upotrebu softvera, uključujući uvoz i izvoz. Moguće je prekršiti zakonske uslove samo nepoštovanjem uslova ugovora ili zakonskog okvira uopšte.

Kako postavljate ciljeve sigurnosti informacija?

Pružanje informacione sigurnosti počinje uspostavljanjem zone zaštite. Potrebno je jasno definisati šta i od koga treba zaštititi. Za to se utvrđuje portret potencijalnog kriminalca, kao i moguće metode hakovanja i uvođenja. Da biste postavili ciljeve, prvo morate razgovarati sa menadžmentom. Reći će vam prioritetne oblasti zaštite.

Od ovog trenutka počinje revizija informacione sigurnosti. Omogućava vam da odredite u kom omjeru je potrebno primijeniti tehnološke metode i metode poslovanja. Rezultat ovog procesa je konačna lista mjera, koja objedinjuje ciljeve jedinice za osiguranje zaštite od neovlaštenog upada. Procedura revizije je usmjerena na identifikaciju kritičnih tačaka i slabosti u sistemu koje ometaju normalan rad i razvoj preduzeća.

Nakon postavljanja ciljeva, razvija se i mehanizam za njihovu implementaciju. Formiraju se instrumenti za kontrolu i minimiziranje rizika.

Kakvu ulogu igra imovina u analizi rizika?

Rizici informacione sigurnosti organizacije direktno utiču na imovinu preduzeća. Na kraju krajeva, cilj napadača je doći do vrijednih informacija. Njegov gubitak ili otkrivanje neizbježno će dovesti do gubitaka. Šteta uzrokovana neovlaštenim upadom može imati direktan ili samo indirektan utjecaj. Odnosno, nezakonite radnje protiv organizacije mogu dovesti do potpunog gubitka kontrole nad poslovanjem.

Visina štete se procjenjuje prema imovini kojom organizacija raspolaže. Pogođeni su svi resursi koji na bilo koji način doprinose ostvarenju ciljeva rukovodstva. Imovina preduzeća podrazumeva sve materijalne i nematerijalne vrednosti koje donose i pomažu ostvarivanju prihoda.

Imovina je nekoliko vrsta:

  • materijal;
  • čovjek;
  • informativni;
  • finansijski;
  • procesi;
  • brend i kredibilitet.

Ova druga vrsta imovine najviše pati od neovlaštenog upada. To je zbog činjenice da svaki stvarni sigurnosni rizici utječu na sliku. Problemi u ovoj oblasti automatski smanjuju poštovanje i povjerenje u takvo preduzeće, jer niko ne želi da njegove povjerljive informacije postanu javne. Svaka organizacija koja poštuje sebe vodi računa o zaštiti sopstvenih informacionih resursa.

Koliko će i koja imovina stradati zavisi od različitih faktora. Dijele se na vanjske i unutrašnje. Njihov kompleksan uticaj se, po pravilu, odnosi istovremeno na više grupa vrednih resursa.

Celokupno poslovanje preduzeća izgrađeno je na imovini. One su donekle prisutne u aktivnostima bilo koje institucije. Samo, nekima su neke grupe važnije, a druge manje važne. U zavisnosti od toga na koju vrstu imovine su napadači uspeli da utiču, zavisi i rezultat, odnosno nastala šteta.

Procjena rizika za sigurnost informacija omogućava jasnu identifikaciju glavnih sredstava, a ako su one pogođene, onda je to preplavljeno nenadoknadivim gubicima za preduzeće. Menadžment treba da obrati pažnju na ove grupe vrijednih resursa, jer je njihova sigurnost u interesu vlasnika.

Prioritetnu oblast za sektor informacione bezbednosti zauzimaju pomoćna sredstva. Za njihovu zaštitu je odgovorna posebna osoba. Rizici u vezi sa njima nisu kritični i utiču samo na sistem upravljanja.

Koji su faktori informacione sigurnosti?

Proračun rizika informacione sigurnosti uključuje izgradnju specijalizovanog modela. Predstavlja čvorove koji su međusobno povezani funkcionalnim vezama. Čvorovi su sama imovina. Model koristi sljedeće vrijedne resurse:

  • ljudi;
  • strategija;
  • tehnologije;
  • procesi.

Rebra koja ih povezuju su ti faktori rizika. Kako bi se identificirale moguće prijetnje, najbolje je da se direktno obratite odjelu ili stručnjaku koji se bavi ovom imovinom. Svaki potencijalni faktor rizika može biti preduslov za nastanak problema. Model naglašava glavne prijetnje koje se mogu pojaviti.

Što se tiče tima, problem je nizak nivo obrazovanja, manjak kadrova, nedostatak motivacije.

Rizici procesa uključuju varijabilnost vanjskog okruženja, lošu automatizaciju proizvodnje i nejasnu podjelu odgovornosti.

Tehnologija može patiti od zastarjelog softvera, nedostatka kontrole korisnika. Problemi sa heterogenim pejzažom informacionih tehnologija takođe mogu biti uzrok.

Prednost ovog modela je što pragovi rizika po bezbednost informacija nisu jasno definisani, jer se problem posmatra iz različitih uglova.

Šta je revizija informacione sigurnosti?

Važan postupak u oblasti informacione bezbednosti preduzeća je revizija. To je provjera trenutnog stanja sistema protivprovalne zaštite. Tokom revizije utvrđuje se stepen usklađenosti sa utvrđenim zahtjevima. Njegovo vođenje je obavezno za neke vrste institucija, za ostale je savjetodavne prirode. Pregled se vrši u odnosu na dokumentaciju računovodstvenih i poreskih službi, tehničkih sredstava i finansijsko-ekonomskog dijela.

Revizija je neophodna kako bi se razumio nivo sigurnosti, au slučaju njegove nedosljednosti, optimizacija na normalu. Ova procedura vam takođe omogućava da procenite izvodljivost finansijskih ulaganja u bezbednost informacija. Na kraju, stručnjak će dati preporuke o stopi finansijske potrošnje kako bi se postigla maksimalna efikasnost. Revizija vam omogućava da prilagodite kontrole.

Ekspertiza informacione sigurnosti podijeljena je u nekoliko faza:

  1. Postavljanje ciljeva i kako ih postići.
  2. Analiza podataka potrebnih za donošenje presude.
  3. Obrada prikupljenih podataka.
  4. Stručno mišljenje i preporuke.

Na kraju, specijalista će donijeti svoju odluku. Preporuke komisije najčešće su usmjerene na promjenu konfiguracija tehničke opreme, ali i servera. Često se od problematičnog preduzeća traži da izabere drugu metodu zaštite. Moguće je da će za dodatno jačanje stručnjaci odrediti set zaštitnih mjera.

Rad nakon dobijanja rezultata revizije ima za cilj informisanje tima o problemima. Ukoliko je potrebno, vrijedi provesti dodatnu obuku kako bi se povećala edukacija zaposlenih u pogledu zaštite informacionih resursa preduzeća.

U praksi se koriste kvantitativni i kvalitativni pristupi za procjenu rizika sigurnosti informacija. Koja je razlika između njih?

Kvantitativna metoda

Kvantitativna procjena rizika se koristi u situacijama kada se prijetnje koje se istražuju i povezani rizici mogu uporediti sa konačnim kvantitativnim vrijednostima izraženim u novcu, postotku, vremenu, ljudskim resursima itd. Metoda vam omogućava da dobijete specifične vrijednosti objekata procjene rizika u implementaciji prijetnji po sigurnost informacija.

U kvantitativnom pristupu, svim elementima procene rizika se dodeljuju specifične i stvarne kvantitativne vrednosti. Algoritam za dobijanje ovih vrednosti treba da bude jasan i razumljiv. Predmet procjene može biti vrijednost imovine u novčanom smislu, vjerovatnoća realizacije prijetnje, šteta od prijetnje, trošak zaštitnih mjera i tako dalje.

Kako kvantificirati rizike?

1. Odrediti vrijednost informacijske imovine u novčanom smislu.

2. Procijeniti u kvantitativnom smislu potencijalnu štetu od implementacije svake prijetnje u odnosu na svako informacijsko sredstvo.

Trebali biste dobiti odgovore na pitanja "Koji dio vrijednosti imovine će biti šteta od implementacije svake prijetnje?"

3. Odrediti vjerovatnoću implementacije svake od prijetnji IS-a.

Da biste to učinili, možete koristiti statistiku, ankete zaposlenih i dionika. U procesu određivanja vjerovatnoće, izračunajte učestalost incidenata povezanih sa implementacijom razmatrane prijetnje IS-a tokom kontrolnog perioda (na primjer, godinu dana).

4. Odrediti ukupnu potencijalnu štetu od svake prijetnje u odnosu na svako sredstvo za kontrolni period (za godinu dana).

Vrijednost se izračunava množenjem jednokratne štete od realizacije prijetnje sa učestalošću realizacije prijetnje.

5. Provesti analizu primljenih podataka o šteti za svaku prijetnju.

Za svaku prijetnju mora se donijeti odluka: prihvatiti rizik, smanjiti rizik ili prenijeti rizik.

Prihvatiti rizik znači shvatiti ga, prihvatiti njegovu mogućnost i nastaviti djelovati po starom. Primjenjivo za prijetnje male štete i male vjerovatnoće.

Smanjiti rizik znači uvesti dodatne mjere i sredstva zaštite, sprovesti obuku osoblja i sl. Odnosno, sprovesti smišljen rad na smanjenju rizika. Istovremeno, potrebno je izvršiti kvantitativnu procjenu efikasnosti dodatnih mjera i sredstava zaštite. Svi troškovi organizacije, od nabavke zaštitne opreme do puštanja u rad (uključujući instalaciju, konfiguraciju, obuku, održavanje, itd.), ne bi trebali prelaziti iznos štete od implementacije prijetnje.

Prenošenje rizika znači prebacivanje posledica sa realizacije rizika na treće lice, na primer, uz pomoć osiguranja.

Kao rezultat kvantitativne procjene rizika, potrebno je utvrditi sljedeće:

  • novčana vrijednost imovine;
  • potpuna lista svih prijetnji IS-a sa štetom od jednog incidenta za svaku prijetnju;
  • učestalost implementacije svake prijetnje;
  • potencijalna šteta od svake prijetnje;
  • Preporučene sigurnosne mjere, protumjere i radnje za svaku prijetnju.

Kvantitativna analiza rizika informacione sigurnosti (primjer)

Razmotrimo tehniku ​​na primjeru web servera organizacije, koji se koristi za prodaju određenog proizvoda. Kvantitativno jednokratnoŠteta od kvara servera može se procijeniti kao proizvod prosječnog računa o kupovini sa prosječnim brojem pogodaka u određenom vremenskom intervalu, jednakom vremenu zastoja servera. Recimo da je trošak jednokratne štete od direktnog kvara servera 100 hiljada rubalja.

Sada je potrebno od strane stručnjaka procijeniti koliko često se takva situacija može pojaviti (uzimajući u obzir intenzitet rada, kvalitetu napajanja itd.). Na primjer, uzimajući u obzir mišljenje stručnjaka i statističke podatke, razumijemo da server može otkazati do 2 puta godišnje.

Pomnožimo ove dvije količine i dobijemo to prosječno godišnješteta od implementacije prijetnje direktnog kvara servera iznosi 200 hiljada rubalja godišnje.

Ovi proračuni se mogu koristiti za opravdanje izbora zaštitnih mjera. Na primjer, uvođenje sistema neprekidnog napajanja i rezervnog sistema sa ukupnim troškom od 100 hiljada rubalja godišnje će minimizirati rizik od kvara servera i biće potpuno efikasno rješenje.

Kvalitativna metoda

Nažalost, nije uvijek moguće dobiti konkretan izraz objekta procjene zbog velike nesigurnosti. Kako precizno procijeniti štetu reputaciji kompanije kada se pojavi informacija o incidentu u vezi s informacijskom sigurnošću? U ovom slučaju se primjenjuje kvalitativna metoda.

Kvalitativni pristup ne koristi kvantitativne ili monetarne izraze za predmet. Umjesto toga, subjektu ocjenjivanja se dodjeljuje indikator, rangiran na skali od tri (nizak, srednji, visok), petostepenoj ili desetostepenoj (0...10). Za prikupljanje podataka za kvalitativnu procjenu rizika koriste se ankete ciljnih grupa, intervjui, upitnici i lični sastanci.

Kvalitativnu analizu rizika po bezbednost informacija treba sprovesti uz uključivanje zaposlenih sa iskustvom i kompetencijama u oblasti u kojoj se pretnje razmatraju.

Kako provesti kvalitativnu procjenu rizika:

1. Odredite vrijednost informacijske imovine.

Vrijednost sredstva može se odrediti prema stepenu kritičnosti (posljedice) u slučaju kršenja sigurnosnih karakteristika (povjerljivost, integritet, dostupnost) informacijskog sredstva.

2. Utvrditi vjerovatnoću realizacije prijetnje u odnosu na informacijsko sredstvo.

Za procjenu vjerovatnoće realizacije prijetnje može se koristiti trostepena kvalitativna skala (nizak, srednji, visok).

3. Utvrditi nivo mogućnosti uspješne implementacije prijetnje, uzimajući u obzir trenutno stanje informacione sigurnosti, sprovedene mjere i sredstva zaštite.

Trostepena kvalitativna skala (nizak, srednji, visok) takođe se može koristiti za procenu nivoa mogućnosti realizacije pretnje. Vrijednost mogućnosti realizacije prijetnje pokazuje koliko je izvodljivo uspješno implementirati prijetnju.

4. Donijeti zaključak o nivou rizika na osnovu vrijednosti informacijskog sredstva, vjerovatnoće prijetnje, mogućnosti prijetnje.

Da biste odredili nivo rizika, možete koristiti skalu od pet ili deset tačaka. Prilikom određivanja nivoa rizika mogu se koristiti referentne tabele koje daju razumijevanje koje kombinacije indikatora (vrijednost, vjerovatnoća, prilika) dovode do kojeg nivoa rizika.

5. Sprovesti analizu dobijenih podataka za svaku pretnju i nivo rizika za nju.

Grupa za analizu rizika često radi sa konceptom „prihvatljivog nivoa rizika“. Ovo je nivo rizika koji je kompanija spremna prihvatiti (ako prijetnja ima nivo rizika manji ili jednak prihvatljivom, onda se ne smatra relevantnim). Globalni zadatak kvalitativne procjene je smanjenje rizika na prihvatljiv nivo.

6. Razviti sigurnosne mjere, protumjere i radnje za svaku stvarnu prijetnju kako bi se smanjio nivo rizika.

Koju metodu odabrati?

Svrha obe metode je da se razumeju stvarni rizici informacione bezbednosti kompanije, da se utvrdi lista aktuelnih pretnji, kao i da se izaberu efikasne protivmere i sredstva zaštite. Svaka metoda procjene rizika ima svoje prednosti i nedostatke.

Kvantitativna metoda daje vizuelni prikaz u novcu po objektima procene (šteta, troškovi), ali je napornija iu nekim slučajevima neprimenljiva.

Kvalitativna metoda omogućava bržu procjenu rizika, međutim procjene i rezultati su subjektivniji i ne daju jasno razumijevanje štete, troškova i koristi od implementacije sistema informacione sigurnosti.

Odabir metode treba izvršiti na osnovu specifičnosti određene kompanije i zadataka koji su dodijeljeni stručnjaku.

Stanislav Shilyaev, projekt menadžer za sigurnost informacija u SKB Kontur

Top srodni članci

Ažurirajte Android OS na Samsung telefonu Ažurirajte softver na Samsung telefonu
Ažurirajte Android OS na Samsung telefonu Ažurirajte softver na Samsung telefonu
Koji pametni telefoni će se nadograditi na Android 7
Koji pametni telefoni će se nadograditi na Android 7
Dizajn, materijali karoserije, dimenzije
Dizajn, materijali karoserije, dimenzije
Kategorije:
© 2021 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.