Analiza postojećih metoda za procjenu rizika IB-a i razvoj vlastite metodologije za bankarski sektor. Metode procjene informacijskih rizika

Informacijski rizici su opasnost od gubitka ili oštećenja kao rezultat korištenja informacijske tehnologije u poduzeću.

Drugim riječima, IT rizici povezani su sa stvaranjem, prijenosom, pohranjivanjem i korištenjem informacija korištenjem elektroničkih medija i drugih sredstava komunikacije. rizici su podijeljeni u dvije kategorije:

• ? rizike uzrokovane curenjem informacija i korištenjem od strane konkurenata ili zaposlenika u svrhe koje bi mogle naštetiti poslovanju;
• ? rizici tehničkih kvarova u radu kanala prijenosa informacija, koji mogu dovesti do gubitaka.

Rad na minimiziranju IT rizika uključuje sprječavanje neovlaštenog pristupa podacima, kao i nezgoda i kvarova opreme.

Proces minimiziranja informatičkih rizika sagledava se cjelovito: najprije se identificiraju mogući problemi, a zatim se utvrđuje na koji način ih je moguće riješiti.

Danas se koriste različite metode za procjenu i upravljanje informacijskim rizicima domaćih tvrtki.

Procjena informacijskih rizika poduzeća može se provesti prema sljedećem planu:

• ? utvrđivanje i kvantitativna procjena informacijskih resursa poduzeća koji su značajni za poslovanje;
• ? procjena mogućih prijetnji;
• ? procjena postojećih ranjivosti;
• ? procjena učinkovitosti sredstava informacijske sigurnosti.

Rizici karakteriziraju opasnost koja može zaprijetiti komponentama korporativnog informacijskog sustava.

Informacijski rizici tvrtke ovise o:

• ? pokazatelji vrijednosti informacijskih resursa;
• ? vjerojatnost realizacije prijetnji resursima;
• ? učinkovitost postojećih ili planiranih sredstava informacijske sigurnosti.

Svrha procjene rizika je utvrditi karakteristike rizika korporativnog informacijskog sustava i njegovih resursa.

Nakon procjene rizika možete odabrati alate koji osiguravaju željenu razinu informacijske sigurnosti za tvrtku. Pri procjeni rizika uzimaju se u obzir faktori kao što su vrijednost resursa, značaj prijetnji i ranjivosti te učinkovitost postojećih i planiranih sredstava zaštite.

Mogućnost implementacije prijetnje za određeni resurs tvrtke procjenjuje se vjerojatnošću njezine implementacije u određenom vremenskom razdoblju. U ovom slučaju, vjerojatnost da će se prijetnja realizirati određena je sljedećim glavnim čimbenicima:

• ? atraktivnost resursa (uzeta u obzir pri razmatranju prijetnje od namjernog ljudskog utjecaja);
• ? sposobnost korištenja resursa za stvaranje prihoda (također u slučaju prijetnje od namjernog ljudskog utjecaja);
• ? tehničke mogućnosti za provedbu prijetnje s namjernim ljudskim utjecajem;
• ? stupanj lakoće s kojom se ranjivost može iskoristiti.

U Rusiji se trenutno najčešće koriste razne "papirnate" metode, čije su prednosti fleksibilnost i prilagodljivost. U pravilu, razvoj ovih metoda provode tvrtke - sistemski i specijalizirani integratori u području informacijske sigurnosti.

Specijalizirani softver koji implementira tehnike analize rizika može se klasificirati kao softverski proizvod (dostupan na tržištu) ili biti vlasništvo odjela ili organizacije i nije za prodaju.

Ako se softver razvija kao softverski proizvod, mora biti dovoljno univerzalan. Softverske opcije odjela prilagođene su specifičnostima iskaza problema za analizu i upravljanje rizicima i omogućuju vam da uzmete u obzir specifičnosti informacijskih tehnologija organizacije.

Softver koji se nudi na tržištu uglavnom je usmjeren na razinu informacijske sigurnosti koja je nešto viša od osnovne razine sigurnosti. Stoga je alat dizajniran uglavnom za potrebe organizacija 3-4 stupnja zrelosti, opisanih u prvom poglavlju.

Za rješavanje ovog problema razvijeni su softverski sustavi za analizu i kontrolu informacijskih rizika: CRAMM, FRAP, RiskWatch, Microsoft, GRIF. U nastavku su kratki opisi nekoliko uobičajenih tehnika analize rizika.

Uobičajene tehnike analize rizika:

• ? tehnike koje koriste procjenu rizika na kvalitativnoj razini (na primjer, na ljestvici "visoka", "srednja", "niska"). Takve tehnike posebno uključuju FRAP;
• ? kvantitativne metode (rizik se procjenjuje preko numeričke vrijednosti, npr. veličine očekivanih godišnjih gubitaka). Metodologija RiskWatch pripada ovoj klasi;
• ? metode koje koriste mješovite procjene (ovaj se pristup koristi u metodama CRAMM, Microsoft itd.).

Tehnika CRAMM jedan je od prvih stranih radova o analizi rizika u području informacijske sigurnosti, razvijen 80-ih godina.

Temelji se na integriranom pristupu procjeni rizika, kombinirajući kvantitativne i kvalitativne metode analize. Metoda je univerzalna i prikladna i za velike i za male organizacije, kako za državni tako i za komercijalni sektor. Verzije CRAMM softvera namijenjene različitim vrstama organizacija razlikuju se jedna od druge u svojim bazama znanja (profilima):

• ? komercijalni profil;
• ? državni profil.

Kada metodologija radi, u prvim fazama uzima se u obzir vrijednost resursa sustava koji se proučava i prikupljaju se primarne informacije o konfiguraciji sustava. Provodi se identifikacija resursa: fizičkih, softverskih i informacijskih sadržanih unutar granica sustava.

Rezultat ove faze je konstrukcija modela sustava sa stablom povezivanja resursa. Ovaj dijagram vam omogućuje da istaknete kritične elemente. Vrijednost fizičkih resursa u CRAMM-u određena je cijenom njihove obnove u slučaju uništenja.

Vrijednost podataka i softvera utvrđuje se u sljedećim situacijama:

• ? nedostupnost resursa određeno vrijeme;
• ? uništenje resursa - gubitak informacija dobivenih od posljednje sigurnosne kopije ili njihovo potpuno uništenje;
• ? kršenje povjerljivosti u slučajevima neovlaštenog pristupa osoblja ili neovlaštenih osoba;
• ? modifikacija - razmatra se za slučajeve manjih pogrešaka osoblja (pogreške pri unosu), programske pogreške, namjerne pogreške;
• ? pogreške povezane s prijenosom informacija: odbijanje dostave, nedostava informacija, dostava na krivu adresu.

• ? narušavanje ugleda organizacije;
• ? kršenje važećeg zakonodavstva;
• ? oštećenje zdravlja osoblja;
• ? štete zbog otkrivanja osobnih podataka pojedinaca;
• ? financijski gubici od otkrivanja informacija;
• ? financijski gubici povezani s oporavkom resursa;
• ? gubici povezani s nemogućnošću ispunjenja obveza;
• ? neorganiziranost aktivnosti.

Druga faza razmatra sve što se odnosi na identifikaciju i procjenu razina prijetnji za grupe resursa i njihove ranjivosti. Na kraju faze korisnik dobiva identificirane i procijenjene razine rizika za svoj sustav. U ovoj fazi procjenjuje se ovisnost korisničkih servisa o određenim skupinama resursa te postojeća razina prijetnji i ranjivosti, izračunavaju se razine rizika i analiziraju rezultati.

Resursi su grupirani prema vrstama prijetnji i ranjivosti. Softver CRAMM generira popis otvorenih pitanja za svaku grupu resursa i svaku od 36 vrsta prijetnji.

Razina ugroženosti ocjenjuje se, ovisno o odgovorima, kao vrlo visoka, visoka, srednja, niska i vrlo niska. Razina ranjivosti ocjenjuje se, ovisno o odgovorima, kao visoka, srednja i niska.

Na temelju tih informacija izračunavaju se razine rizika na diskretnoj ljestvici s stupnjevanjem od 1 do 7. Rezultirajuće razine prijetnji, ranjivosti i rizika analiziraju se i dogovaraju s korisnikom.

Osnovni pristup rješavanju ovog problema je razmatranje:

• ? razina prijetnje;
• ? razina ranjivosti;
• ? iznos očekivanih financijskih gubitaka.

Na temelju procjena troškova resursa zaštićenog IP-a, procjene prijetnji i ranjivosti, utvrđuju se „očekivani godišnji gubici“.

Treća faza studije je potraga za opcijom sigurnosnog sustava koja najbolje odgovara zahtjevima kupca.

U ovoj fazi CRAMM generira nekoliko opcija za protumjere koje su primjerene identificiranim rizicima i njihovim razinama.

Dakle, CRAMM je primjer metodologije izračuna u kojoj se početne ocjene daju na kvalitativnoj razini, a zatim se prelazi na kvantitativnu ocjenu (u bodovima).

Rad pomoću metode CRAMM odvija se u tri faze, od kojih svaka ima svoj cilj u izgradnji modela rizika za informacijski sustav u cjelini. Razmatraju se prijetnje sustavu za određene resurse. U svakom koraku provodi se analiza softverskog i tehničkog stanja sustava. Izgradnjom stabla ovisnosti u sustavu možete uočiti njegove slabe točke i spriječiti gubitak informacija kao rezultat pada sustava, oba do napada virusa i hakerskih prijetnji.

Nedostaci CRAMM metode:

• ? korištenje metode CRAMM zahtijeva posebnu obuku i visoke kvalifikacije revizora;
• ? CRAMM je puno prikladniji za reviziju postojećih informacijskih sustava u fazi rada nego za informacijske sustave u razvoju;
• ? revizija metodom CRAMM prilično je naporan proces i može zahtijevati mjesece neprekidnog rada revizora;
• ? Programski alati CRAMM generiraju veliku količinu papirnate dokumentacije, koja nije uvijek korisna u praksi;
• ? CRAMM vam ne dopušta stvaranje vlastitih predložaka izvješća ili izmjenu postojećih;
• ? mogućnost dopune CRAMM baze znanja nije dostupna korisnicima, što uzrokuje određene poteškoće u prilagodbi ove metode potrebama pojedine organizacije;
• ? Softver CRAMM dostupan je samo na engleskom jeziku;
• ? visoka cijena licence.

NRU ITMO, *****@****com

Znanstveni voditelj - doktor tehničkih znanosti, profesor NRU ITMO, *****@

anotacija

U članku se raspravlja o metodama za izračun rizika informacijske sigurnosti i daje usporedba koja ukazuje na kritične nedostatke. Predstavljen je prijedlog korištenja vlastite metode procjene rizika.

Ključne riječi: rizik, informacijski sustav, informacijska sigurnost, metoda izračuna rizika, procjena rizika, informacijska imovina.

Uvod

Sustav upravljanja rizicima informacijske sigurnosti (IS) hitan je zadatak u svim fazama kompleksa informacijske sigurnosti. Istodobno, nemoguće je upravljati rizicima bez njihove prethodne procjene, što pak mora biti učinjeno nekom metodom. U fazi procjene rizika najveći interes su izravno formule i ulazni podaci za izračun vrijednosti rizika. U članku se analizira nekoliko različitih metoda za izračun rizika i predstavlja vlastita metodologija. Cilj rada je izvođenje formule za izračun rizika informacijske sigurnosti, koja nam omogućuje dobivanje niza trenutnih rizika i procjenu gubitaka u novčanom iznosu.

Rizik informacijske sigurnosti u svom klasičnom obliku definiran je kao funkcija tri varijable:

vjerojatnost prijetnje; vjerojatnost ranjivosti (nesigurnosti); potencijalni utjecaj.

Ako se bilo koja od ovih varijabli približi nuli, ukupni rizik također se približi nuli.

Metode procjene rizika

ISO/IEC 27001 Što se tiče metodologije za izračun vrijednosti rizika, navodi se da odabrana metodologija treba osigurati da procjene rizika daju usporedive i ponovljive rezultate. Međutim, standard ne daje posebnu formulu za izračun.

NIST 800-30 nudi klasičnu formulu za izračun rizika:

gdje je R vrijednost rizika;

P(t) - vjerojatnost realizacije prijetnje informacijskoj sigurnosti (koristi se mješavina kvalitativnih i kvantitativnih ljestvica);

S je stupanj utjecaja prijetnje na imovinu (cijena imovine u kvalitativnom i kvantitativnom mjerilu).

Kao rezultat, vrijednost rizika se izračunava u relativnim jedinicama, koje se mogu rangirati prema stupnju važnosti za postupak upravljanja rizikom informacijske sigurnosti.

GOST R ISO/IEC TO 7. Izračun rizika, za razliku od standarda NIST 800-30, temelji se na tri faktora:

R = P(t) * P(v) * S,

gdje je R vrijednost rizika;

P(t) - vjerojatnost implementacije prijetnje informacijskoj sigurnosti;

P(v) - vjerojatnost ranjivosti;

S je vrijednost imovine.

Kao primjer vrijednosti vjerojatnosti P(t) i P(v) navedena je kvalitativna ljestvica s tri razine: niska, srednja i visoka. Za procjenu vrijednosti imovine S, numeričke vrijednosti prikazane su u rasponu od 0 do 4. Usporedbu kvalitativnih vrijednosti s njima treba provesti organizacija u kojoj se procjenjuju rizici informacijske sigurnosti.

BS 7799. Razina rizika izračunava se uzimajući u obzir tri pokazatelja - vrijednost resursa, razinu prijetnje i stupanj ranjivosti. Kako se povećavaju vrijednosti ova tri parametra, rizik se povećava, pa se formula može prikazati na sljedeći način:

R = S * L(t) * L(v),

gdje je R vrijednost rizika;

S je vrijednost imovine/resursa;

L(t) - razina prijetnje;

L(v) - razina/stupanj ranjivosti.

U praksi se izračun rizika informacijske sigurnosti odvija prema tablici vrijednosti pozicioniranja razine prijetnje, stupnja vjerojatnosti iskorištavanja ranjivosti i vrijednosti imovine. Vrijednost rizika može varirati od 0 do 8, što rezultira popisom prijetnji s različitim vrijednostima rizika za svaku imovinu. Standard nudi i ljestvicu rangiranja rizika: niska (0-2), srednja (3-5) i visoka (6-8), koja vam omogućuje određivanje najkritičnijih rizika.

STO BR IBBS. Prema standardu, procjena stupnja mogućnosti realizacije prijetnje informacijskoj sigurnosti provodi se na kvalitativno-kvantitativnoj ljestvici, nerealizirana prijetnja je 0%, prosječna prijetnja je od 21% do 50% itd. Utvrđivanje ozbiljnost posljedica za različite vrste informacijske imovine također se predlaže procijeniti pomoću kvalitativno-kvantitativne ljestvice, tj. minimalno - 0,5% kapitala banke, visoko - od 1,5% do 3% kapitala banke.

Za izvođenje kvalitativne procjene rizika informacijske sigurnosti koristi se tablica korespondencije između ozbiljnosti posljedica i vjerojatnosti realizacije prijetnje. Ako je potrebno napraviti kvantitativnu procjenu, formula se može prikazati kao:

gdje je R vrijednost rizika;

P(v) - vjerojatnost implementacije prijetnje informacijskoj sigurnosti;

S je vrijednost imovine (težina posljedica).

Predložena metoda

Uzimajući u obzir sve gore navedene metode procjene rizika u smislu izračuna vrijednosti rizika informacijske sigurnosti, valja napomenuti da se izračun rizika vrši pomoću vrijednosti prijetnji i vrijednosti imovine. Značajan nedostatak je procjena vrijednosti imovine (visine štete) u obliku uvjetnih vrijednosti. Konvencionalne vrijednosti nemaju mjerne jedinice primjenjive u praksi, posebice one nisu novčani ekvivalent. Kao rezultat toga, to ne daje stvarnu ideju o razini rizika koji se može prenijeti na stvarnu imovinu štićenog objekta.

Stoga se predlaže postupak izračuna rizika podijeliti u dvije faze:

1. Izračun vrijednosti tehničkog rizika.

2. Proračun potencijalne štete.

Pod tehničkim rizikom podrazumijeva se vrijednost rizika informacijske sigurnosti koja se sastoji od vjerojatnosti realizacije prijetnji i iskorištavanja ranjivosti svake komponente informacijske infrastrukture, uzimajući u obzir razinu njihove povjerljivosti, cjelovitosti i dostupnosti. Za prvu fazu imamo sljedeće 3 formule:

Rc = Kc * P(T) * P(V), Ri = Ki * P(T) * P(V),

Ra = Ka * P(T) * P(V),

gdje je Rs vrijednost rizika povjerljivosti;

Ri - vrijednost rizika integriteta;

Ra - vrijednost rizika dostupnosti;

Ks - koeficijent povjerljivosti informacijskog sredstva;

Ki je koeficijent integriteta informacijskog sredstva;

Ka je koeficijent dostupnosti informacijskog sredstva;

P(T) - vjerojatnost implementacije prijetnje;

P(V) - vjerojatnost iskorištavanja ranjivosti.

Korištenje ovog algoritma omogućit će detaljniju procjenu rizika, dobivajući na izlazu bezdimenzionalnu vrijednost vjerojatnosti rizika kompromitacije svakog informacijskog sredstva zasebno.

Naknadno je moguće izračunati vrijednost štete, pri čemu se koristi prosječna vrijednost rizika svake informacijske imovine i iznos potencijalnih gubitaka:

gdje je L vrijednost štete;

Rav - prosječna vrijednost rizika;

S - gubici (u novčanom izrazu).

Predložena metodologija omogućuje ispravnu procjenu vrijednosti rizika informacijske sigurnosti i izračun novčanih gubitaka u slučaju sigurnosnih incidenata.

Književnost

1. ISO/IEC 27001. Međunarodna norma sadrži zahtjeve u području informacijske sigurnosti za uspostavu, razvoj i održavanje sustava upravljanja informacijskom sigurnošću. 20-ih godina.

2. GOST R ISO/IEC TO 7. Nacionalna norma Ruske Federacije. Metode i sredstva osiguranja sigurnosti. Dio 3. Metode upravljanja sigurnošću informacijske tehnologije. Moskva. 20-ih godina.

3. BS 7799-2:2005 Specifikacija sustava upravljanja informacijskom sigurnošću. Engleska. 20-ih godina.

4. RS BR IBBS-2.2-200. Osiguravanje informacijske sigurnosti organizacija bankarskog sustava Ruske Federacije. Metodologija procjene rizika od narušavanja informacijske sigurnosti. Moskva. 20-ih godina.

5. Vodič za upravljanje rizicima za sustave informacijske tehnologije. Preporuke Nacionalnog instituta za standarde i tehnologiju. SAD. 20-ih godina.

6. Elektronički izvor Wikipedia, članak “Rizik”.

Kako ispravno procijeniti rizike informacijske sigurnosti - naš recept

Zadaća procjene rizika informacijske sigurnosti danas se u stručnoj zajednici percipira dvosmisleno, a za to postoji više razloga. Prvo, ne postoji zlatni standard ili općeprihvaćen pristup. Brojni standardi i metode, iako u načelu slični, bitno se razlikuju u detaljima. Korištenje pojedine tehnike ovisi o području i objektu ocjenjivanja. Ali odabir odgovarajuće metode može postati problem ako sudionici u procesu evaluacije različito shvaćaju nju i njezine rezultate.

Drugo, procjena rizika informacijske sigurnosti čisto je stručna zadaća. Analiza čimbenika rizika (kao što su šteta, prijetnja, ranjivost itd.) koju provode različiti stručnjaci često daje različite rezultate. Nedostatak ponovljivosti rezultata procjene postavlja pitanja o pouzdanosti i korisnosti dobivenih podataka. Ljudska je priroda takva da apstraktne procjene, posebice one koje se odnose na probabilističke mjerne jedinice, ljudi različito percipiraju. Postojeće primijenjene teorije osmišljene da uzmu u obzir mjeru subjektivne percepcije osobe (primjerice, teorija perspektive) kompliciraju ionako složenu metodologiju analize rizika i ne pridonose njezinoj popularizaciji.

Treće, sam postupak procjene rizika u svom klasičnom smislu, s dekompozicijom i popisom imovine, vrlo je naporan posao. Pokušaj ručnog izvođenja analize pomoću uobičajenih uredskih alata (kao što su proračunske tablice) neizbježno vas ostavlja da se utapate u moru informacija. Specijalizirani softverski alati namijenjeni pojednostavljenju pojedinih faza analize rizika donekle olakšavaju modeliranje, ali nimalo ne pojednostavljuju prikupljanje i sistematizaciju podataka.

Konačno, sama definicija rizika u kontekstu problema informacijske sigurnosti još nije uspostavljena. Pogledajte samo promjene u terminologiji ISO Guide 73:2009 u usporedbi s verzijom iz 2002. godine. Ako se ranije rizik definirao kao mogućnost štete zbog iskorištavanja ranjivosti od strane neke prijetnje, sada je to učinak odstupanja od očekivanih rezultata. Slične konceptualne promjene dogodile su se u novom izdanju norme ISO/IEC 27001:2013.

Zbog ovih, kao i niza drugih razloga, procjenama rizika informacijske sigurnosti pristupa se u najboljem slučaju s oprezom, a u najgorem s velikim nepovjerenjem. Time se diskreditira sama ideja upravljanja rizicima, što u konačnici dovodi do sabotaže ovog procesa od strane menadžmenta, a posljedično i do pojave brojnih incidenata kojima su prepuna godišnja analitička izvješća.

S obzirom na navedeno, s koje strane je bolje pristupiti zadatku procjene rizika informacijske sigurnosti?

Svjež izgled

Informacijska sigurnost danas je sve više usmjerena na poslovne ciljeve i integrirana u poslovne procese. Slične metamorfoze događaju se i s procjenom rizika – ona dobiva potreban poslovni kontekst. Koje kriterije treba zadovoljiti suvremena metodologija procjene rizika informacijske sigurnosti? Očito, treba biti dovoljno jednostavan i univerzalan kako bi rezultati njegove primjene bili vjerodostojni i korisni svim sudionicima u procesu. Istaknimo nekoliko načela na kojima bi se takva metodologija trebala temeljiti:

1. izbjegavajte pretjerane detalje;
2. oslanjati se na poslovno mišljenje;
3. koristiti primjere;
4. uzeti u obzir vanjske izvore informacija.

Suštinu predložene metodologije najbolje je pokazati na primjeru iz prakse. Razmotrimo zadatak procjene rizika informacijske sigurnosti u trgovačkom i proizvodnom poduzeću. Gdje obično počinje? Od definiranja granica ocjenjivanja. Ako se procjena rizika provodi prvi put, njezine granice trebaju uključivati ​​glavne poslovne procese koji generiraju prihod, kao i procese koji im služe.

Ako poslovni procesi nisu dokumentirani, opća predodžba o njima može se dobiti proučavanjem organizacijske strukture i propisa o odjelima koji sadrže opis ciljeva i ciljeva.

Nakon što smo odredili granice procjene, prijeđimo na identifikaciju imovine. U skladu s gore navedenim, glavne poslovne procese smatrat ćemo uvećanom imovinom, odgađajući popis informacijskih resursa za sljedeće faze (pravilo 1). To je zbog činjenice da metodologija uključuje postupan prijelaz s općeg na specifično, a na ovoj razini detalja ti podaci jednostavno nisu potrebni.

Faktori rizika

Pretpostavit ćemo da smo odlučili o sastavu imovine koja se procjenjuje. Zatim morate identificirati prijetnje i ranjivosti povezane s njima. Međutim, ovaj pristup je primjenjiv samo kada se provodi detaljna analiza rizika, gdje su objekti okruženja informacijske imovine predmet procjene. U novoj verziji norme ISO/IEC 27001:2013 fokus procjene rizika pomaknut je s tradicionalnih IT sredstava na informacije i njihovu obradu. Budući da na trenutnoj razini detalja razmatramo proširene poslovne procese tvrtke, dovoljno je identificirati samo faktore rizika visoke razine koji su im svojstveni.

Čimbenik rizika je specifična karakteristika objekta, tehnologije ili procesa koja je izvor budućih problema. Istovremeno, o prisutnosti rizika kao takvog možemo govoriti samo ako problemi negativno utječu na poslovanje poduzeća. Izgrađen je logički lanac:

Dakle, zadatak identificiranja čimbenika rizika svodi se na identificiranje neuspješnih svojstava i karakteristika procesa koji određuju vjerojatne scenarije rizika koji imaju negativan utjecaj na poslovanje. Kako bismo pojednostavili njegovo rješenje, koristit ćemo poslovni model informacijske sigurnosti koji je razvila udruga ISACA (vidi sliku 1):

Riža. 1. Poslovni model informacijske sigurnosti

Čvorovi modela označavaju temeljne pokretačke snage svake organizacije: strategiju, procese, ljude i tehnologiju, a njegovi rubovi predstavljaju funkcionalne veze između njih. Glavni čimbenici rizika uglavnom su koncentrirani u tim rebrima. Kao što lako možete vidjeti, rizici nisu povezani samo s informacijskom tehnologijom.

Kako prepoznati čimbenike rizika na temelju gornjeg modela? Poslovni subjekti moraju biti uključeni u ovo (pravilo 2). Poslovne jedinice obično dobro razumiju probleme s kojima se susreću u svom poslovanju. Često se prisjeti iskustva kolega iz branše. Ove informacije možete dobiti postavljanjem pravih pitanja. Pitanja vezana uz osoblje preporučljivo je uputiti HR službi, tehnološka pitanja službi automatizacije (IT), a pitanja vezana uz poslovne procese relevantnim poslovnim jedinicama.

U zadatku identificiranja čimbenika rizika pogodnije je krenuti od problema. Nakon što ste identificirali problem, morate utvrditi njegov uzrok. Kao rezultat toga, može se identificirati novi čimbenik rizika. Glavna je poteškoća ovdje posebno izbjeći klizanje. Primjerice, ako se incident dogodio kao posljedica nezakonitog postupanja zaposlenika, faktor rizika neće biti to što je zaposlenik prekršio odredbu nekog propisa, već to što je samo postupanje postalo moguće. Čimbenik rizika uvijek je preduvjet za nastanak problema.

Kako bi osoblje bolje razumjelo o čemu se točno pita, preporučljivo je pitanja popratiti primjerima (pravilo 3). Slijede primjeri nekoliko faktora rizika visoke razine koji mogu biti zajednički mnogim poslovnim procesima:

Osoblje:

• Nedovoljne kvalifikacije (rub ljudskih faktora na slici 1)
• Nedostatak osoblja (Emergence rebro)
• Niska motivacija (edge ​​​​Culture)

Procesi:

• Česte promjene vanjskih zahtjeva (upravljačka prednost)
• Nerazvijena automatizacija procesa (Enabling & Support edge)
• Kombinacija uloga po izvođačima (Emergence edge)

Tehnologije:

• Naslijeđeni softver (omogućavanje i podrška)
• Niska odgovornost korisnika (prednost ljudskih faktora)
• Heterogeni IT krajolik (Arhitekturski rub)

Važna prednost predložene metode ocjenjivanja je mogućnost unakrsne analize, u kojoj dva različita odjela promatraju isti problem iz različitih kutova. S obzirom na tu činjenicu, vrlo je korisno sugovornicima postavljati pitanja poput: “Što mislite o problemima koje su identificirali vaši kolege?” Ovo je izvrstan način da dobijete dodatne ocjene, kao i da ispravite postojeće. Kako bi se razjasnio rezultat, može se provesti nekoliko krugova takve procjene.

Utjecaj na poslovanje

Kao što proizlazi iz definicije rizika, karakterizira ga stupanj utjecaja na uspješnost poslovanja organizacije. Prikladan alat koji vam omogućuje određivanje prirode utjecaja scenarija rizika na poslovanje je sustav Balanced Scorecards. Ne ulazeći u detalje, napominjemo da Balanced Scorecards identificira 4 poslovne perspektive za bilo koju tvrtku, povezane na hijerarhijski način (vidi sliku 2).

Riža. 2. Četiri poslovne perspektive Balanced Scorecarda

U odnosu na metodologiju koja se razmatra, rizik se može smatrati značajnim ako negativno utječe na barem jedan od sljedeća tri poslovna izgleda: financije, klijente i/ili procese (vidi sliku 3).

Riža. 3. Ključni pokazatelji poslovanja

Na primjer, čimbenik rizika "Niska odgovornost korisnika" može rezultirati scenarijem "Curenja podataka o klijentu". Zauzvrat, to će utjecati na poslovni pokazatelj "Broj kupaca".

Ako tvrtka ima razvijenu poslovnu metriku, to uvelike pojednostavljuje situaciju. Kad god je moguće pratiti utjecaj određenog scenarija rizika na jedan ili više pokazatelja poslovanja, pripadajući čimbenik rizika može se smatrati značajnim, a rezultati njegove procjene moraju se evidentirati u upitnicima. Što se više u hijerarhiji poslovnih metrika prati utjecaj scenarija, veći je potencijalni utjecaj na poslovanje.

Zadatak analize ovih posljedica je stručan, pa ga treba rješavati uz angažman specijaliziranih poslovnih jedinica (pravilo 2). Za dodatnu kontrolu dobivenih procjena korisno je koristiti vanjske izvore informacija koji sadrže statističke podatke o visini gubitaka kao rezultat incidenata koji su se dogodili (pravilo 4), na primjer, godišnje izvješće “Cost of Data Breach Study” .

Procjena vjerojatnosti

U završnoj fazi analize, za svaki identificirani čimbenik rizika, čiji je utjecaj na poslovanje utvrđen, potrebno je procijeniti vjerojatnost nastanka pripadajućih scenarija. O čemu ovisi ova procjena? U velikoj mjeri to ovisi o dostatnosti zaštitnih mjera koje se provode u poduzeću.

Ovdje postoji mala pretpostavka. Logično je pretpostaviti da, budući da je problem identificiran, to znači da je još uvijek aktualan. Pri tome, provedene mjere najvjerojatnije nisu dovoljne da neutraliziraju preduvjete za njegovu pojavu. Dostatnost protumjera utvrđuje se rezultatima procjene učinkovitosti njihove primjene, primjerice pomoću sustava metrike.

Za procjenu možete koristiti jednostavnu skalu od 3 razine, gdje:

3 - provedene protumjere općenito su dovoljne;

2 - protumjere nisu dovoljno provedene;

1 - nema protumjera.

Kao referentne knjige koje opisuju protumjere, možete koristiti specijalizirane standarde i smjernice, na primjer CobiT 5, ISO/IEC 27002 itd. Svaka protumjera mora biti povezana s određenim faktorom rizika.

Važno je zapamtiti da analiziramo rizike povezane ne samo s korištenjem IT-a, već i s organizacijom internih informacijskih procesa u tvrtki. Stoga protumjere treba razmatrati šire. Nije uzalud nova verzija ISO/IEC 27001:2013 klauzula da je pri odabiru protumjera potrebno koristiti sve vanjske izvore (pravilo 4), a ne samo Dodatak A, koji je prisutan u standardu za referentne svrhe.

Veličina rizika

Za određivanje konačnog iznosa rizika možete koristiti jednostavnu tablicu (vidi tablicu 1).

Stol 1. Matrica procjene rizika

U slučaju da čimbenik rizika utječe na nekoliko poslovnih izgleda, na primjer, "Kupci" i "Financije", njihovi se pokazatelji zbrajaju. Dimenzija ljestvice, kao i prihvatljive razine rizika informacijske sigurnosti, mogu se odrediti na bilo koji prikladan način. U gornjem primjeru, rizici razine 2 i 3 smatraju se visokima.

U ovom trenutku, prva faza procjene rizika može se smatrati završenom. Konačna vrijednost rizika povezanog s procijenjenim poslovnim procesom utvrđuje se kao zbroj kompozitnih vrijednosti za sve identificirane čimbenike. Vlasnikom rizika može se smatrati odgovorna osoba u poduzeću za predmet procjene.

Dobivena brojka ne govori nam koliko novca organizacija riskira gubitak. Umjesto toga, ukazuje na područje gdje su rizici koncentrirani i prirodu njihovog utjecaja na poslovnu uspješnost. Ove informacije su neophodne kako bismo se dodatno usredotočili na najvažnije detalje.

Detaljna procjena

Glavna prednost razmatrane metodologije je u tome što vam omogućuje da izvršite analizu rizika informacijske sigurnosti sa željenom razinom detalja. Ako je potrebno, možete "upasti" u elemente modela informacijske sigurnosti (slika 1) i detaljnije ih razmotriti. Na primjer, identificiranjem najveće koncentracije rizika u rubovima povezanim s IT-om, možete povećati razinu detalja u čvoru Tehnologija. Ako je prije kao objekt procjene rizika bio zaseban poslovni proces, sada će se fokus prebaciti na konkretan informacijski sustav i procese njegovog korištenja. Kako bi se osigurala potrebna razina detalja, možda će biti potrebno provesti popis izvora informacija.

Sve ovo vrijedi i za druga područja ocjenjivanja. Kada promijenite detalje čvora Ljudi, uloge osoblja ili čak pojedinačni zaposlenici mogu postati objekti procjene. Za čvor “Proces” to mogu biti posebni radni propisi i procedure.

Promjena razine detalja automatski će promijeniti ne samo čimbenike rizika, već i primjenjive protumjere. Oba će postati specifičnija za predmet koji se procjenjuje. Međutim, opći pristup provođenju procjene faktora rizika neće se promijeniti. Za svaki identificirani faktor bit će potrebno procijeniti:

• stupanj utjecaja rizika na poslovne izglede;
• dostatnost protumjera.

Ruski sindrom

Objavljivanje standarda ISO/IEC 27001:2013 dovelo je mnoge ruske tvrtke u težak položaj. S jedne strane, oni su već razvili određeni pristup procjeni rizika informacijske sigurnosti, koji se temelji na klasifikaciji informacijske imovine, procjeni prijetnji i ranjivosti. Nacionalni regulatori uspjeli su izdati niz propisa koji podržavaju ovaj pristup, na primjer, standard Banke Rusije, naredbe FSTEC-a. S druge strane, zadatak procjene rizika odavno se čeka na promjenu, a sada je potrebno modificirati uspostavljenu proceduru kako bi zadovoljila i stare i nove zahtjeve. Da, danas je još uvijek moguće dobiti certifikat prema normi GOST R ISO/IEC 27001:2006, koja je identična prethodnoj verziji ISO/IEC 27001, ali to neće dugo trajati.

Gore razmotrena metodologija analize rizika rješava ovaj problem. Kontrolom razine detalja prilikom izvođenja procjene možete razmotriti imovinu i rizike na bilo kojoj razini: od poslovnih procesa do pojedinačnih tokova informacija. Ovaj je pristup također prikladan jer vam omogućuje da pokrijete sve rizike visoke razine, a da ništa ne propustite. Istovremeno, tvrtka će značajno smanjiti troškove rada za daljnje analize i neće gubiti vrijeme na detaljnu procjenu beznačajnih rizika.

Treba napomenuti da što je detaljnije područje procjene, to je veća odgovornost dodijeljena stručnjacima i veća je potrebna kompetencija, jer kada se dubina analize promijeni, ne mijenjaju se samo čimbenici rizika, već i krajolik primjenjivih protumjera .

Unatoč svim pokušajima pojednostavljenja, analiza rizika informacijske sigurnosti još uvijek je dugotrajna i složena. Voditelj ovog procesa ima posebnu odgovornost. O tome koliko će kompetentno izgraditi svoj pristup i nositi se s postavljenim zadatkom ovisit će mnogo stvari - od raspodjele proračuna za informacijsku sigurnost do održivosti poslovanja.

U ovom trenutku rizici informacijske sigurnosti predstavljaju veliku prijetnju normalnim aktivnostima mnogih poduzeća i institucija. U našem dobu informacijske tehnologije, dobivanje bilo kakvih podataka praktički nije teško. S jedne strane, to, naravno, donosi mnogo pozitivnih aspekata, ali postaje problem za lice i brend mnogih tvrtki.

Zaštita informacija u poduzećima sada postaje gotovo glavni prioritet. Stručnjaci vjeruju da se taj cilj može postići samo razvijanjem određenog svjesnog slijeda radnji. U ovom slučaju moguće je voditi se samo pouzdanim činjenicama i koristiti napredne analitičke metode. Razvoj intuicije i iskustva stručnjaka odgovornog za ovaj odjel u poduzeću daje određeni doprinos.

Ovaj materijal će vam reći o upravljanju rizicima informacijske sigurnosti poslovnog subjekta.

Koje vrste mogućih prijetnji postoje u informacijskom okruženju?

Može postojati mnogo vrsta prijetnji. Analiza rizika informacijske sigurnosti poduzeća počinje razmatranjem svih mogućih potencijalnih prijetnji. To je potrebno kako bi se odlučilo o načinima provjere u slučaju ovih nepredviđenih situacija, kao i za stvaranje odgovarajućeg sustava zaštite. Rizici informacijske sigurnosti podijeljeni su u određene kategorije ovisno o različitim kriterijima klasifikacije. Dolaze u sljedećim vrstama:

• fizički izvori;
• neprikladno korištenje računalne mreže i World Wide Weba;
• curenje iz zatvorenih izvora;
• curenje tehničkim sredstvima;
• neovlašteni ulazak;
• napad na informacijsku imovinu;
• povreda integriteta izmjene podataka;
• hitni slučajevi;
• zakonske povrede.

Što je uključeno u koncept "fizičke prijetnje informacijskoj sigurnosti"?

Vrste rizika informacijske sigurnosti određuju se ovisno o izvorima njihova nastanka, načinu provedbe nezakonitog upada i svrsi. Tehnički najjednostavnije, ali ipak zahtijevaju profesionalnu izvedbu, su fizičke prijetnje. Oni predstavljaju neovlašteni pristup zatvorenim izvorima. Odnosno, ovaj proces je zapravo obična krađa. Informacije se mogu dobiti osobno, vlastitim rukama, jednostavnim upadom na teritorij ustanove, ureda, arhiva kako bi se dobio pristup tehničkoj opremi, dokumentaciji i drugim informacijskim medijima.

Krađa možda čak i ne uključuje same podatke, već mjesto gdje su pohranjeni, odnosno samu računalnu opremu. Kako bi poremetili normalne aktivnosti organizacije, napadači mogu jednostavno uzrokovati kvar medija za pohranu ili tehničke opreme.

Svrha fizičkog upada može biti i dobivanje pristupa sustavu o kojem ovisi zaštita informacija. Napadač može promijeniti mrežne opcije odgovorne za informacijsku sigurnost kako bi dodatno olakšao implementaciju ilegalnih metoda.

Mogućnost fizičke prijetnje mogu pružiti i pripadnici različitih skupina koji imaju pristup tajnim podacima koji nisu javno dostupni. Cilj im je vrijedna dokumentacija. Takve osobe nazivamo insajderima.

Aktivnost vanjskih napadača može biti usmjerena na isti objekt.

Kako sami zaposlenici tvrtke mogu postati uzrok prijetnji?

Rizici informacijske sigurnosti često nastaju zbog neprikladnog korištenja Interneta i internih računalnih sustava od strane zaposlenika. Napadači dobro znaju iskoristiti neiskustvo, nepažnju i neobrazovanost nekih ljudi o informacijskoj sigurnosti. Kako bi se isključila ova mogućnost krađe povjerljivih podataka, menadžment mnogih organizacija provodi posebnu politiku među svojim osobljem. Cilj mu je poučiti ljude pravilima ponašanja i korištenja mreža. Ovo je prilično uobičajena praksa, budući da su prijetnje koje nastaju na ovaj način prilično česte. Programi za stjecanje vještina informacijske sigurnosti za zaposlenike poduzeća uključuju sljedeće:

• prevladavanje neučinkovite upotrebe revizijskih alata;
• smanjenje stupnja do kojeg ljudi koriste posebne alate za obradu podataka;
• smanjenje korištenja resursa i imovine;
• osposobljavanje za dobivanje pristupa mrežnim alatima samo utvrđenim metodama;
• utvrđivanje zona utjecaja i određivanje teritorija odgovornosti.

Kada svaki zaposlenik shvati da sudbina ustanove ovisi o odgovornom obavljanju zadataka koji su mu dodijeljeni, nastoji se pridržavati svih pravila. Potrebno je ljudima postaviti konkretne zadatke i opravdati dobivene rezultate.

Kako se krše uvjeti povjerljivosti?

Rizici i prijetnje informacijskoj sigurnosti uvelike su povezani s nezakonitim stjecanjem informacija koje ne bi smjele biti dostupne neovlaštenim osobama. Prvi i najčešći kanal curenja su sve vrste komunikacije i komunikacijskih metoda. U trenutku kada bi se činilo da je osobna korespondencija dostupna samo dvjema stranama, presreću je zainteresirane strane. Iako razumni ljudi razumiju da je potrebno prenijeti nešto izuzetno važno i tajno na druge načine.

Budući da se mnogo informacija sada pohranjuje na prijenosnim medijima, napadači aktivno svladavaju presretanje informacija putem ove vrste tehnologije. Slušanje komunikacijskih kanala vrlo je popularno, samo sada svi napori tehničkih genijalaca usmjereni su na probijanje zaštitnih barijera pametnih telefona.

Zaposlenici organizacije mogu nenamjerno otkriti povjerljive informacije. Oni ne mogu izravno otkriti sve “pojave i lozinke”, već samo uputiti napadača na pravi put. Na primjer, ljudi, ne znajući, daju informacije o lokaciji važne dokumentacije.

Nisu uvijek samo podređeni ranjivi. Izvođači također mogu odavati povjerljive informacije tijekom partnerstva.

Kako se informacijska sigurnost narušava tehničkim sredstvima?

Osiguranje informacijske sigurnosti uvelike je posljedica korištenja pouzdanih tehničkih sredstava zaštite. Ako je sustav podrške učinkovit i učinkovit, barem u samoj opremi, onda je to već pola uspjeha.

U osnovi, curenje informacija se tako postiže kontrolom različitih signala. Slične metode uključuju stvaranje specijaliziranih izvora radio emisija ili signala. Potonji mogu biti električni, akustični ili vibracijski.

Vrlo često se koriste optički instrumenti koji omogućuju očitavanje informacija sa zaslona i monitora.

Raznolikost uređaja pruža širok raspon metoda za infiltraciju i izvlačenje informacija od strane napadača. Osim navedenih metoda, postoje i televizijsko, fotografsko i vizualno izviđanje.

Zbog tako širokih mogućnosti, revizija informacijske sigurnosti prvenstveno uključuje provjeru i analizu rada tehničkih sredstava za zaštitu povjerljivih podataka.

Što se smatra neovlaštenim pristupom informacijama poduzeća?

Upravljanje rizicima informacijske sigurnosti nemoguće je bez sprječavanja prijetnji neovlaštenog pristupa.

Jedan od najistaknutijih predstavnika ove metode hakiranja tuđeg sigurnosnog sustava je dodjela korisničkog ID-a. Ova metoda se zove "maskarada". Neovlašteni pristup u ovom slučaju uključuje korištenje podataka za provjeru autentičnosti. Odnosno, cilj uljeza je dobiti lozinku ili bilo koji drugi identifikator.

Napadači mogu utjecati unutar samog objekta ili izvana. Oni mogu dobiti informacije koje su im potrebne iz izvora kao što su dnevnik revizije ili alati za reviziju.

Često prekršitelj pokušava primijeniti politiku provedbe i koristiti se naizgled posve legalnim metodama.

Neovlašteni pristup odnosi se na sljedeće izvore informacija:

• web stranica i vanjski hostovi;
• bežična mreža poduzeća;
• sigurnosne kopije podataka.

Postoji bezbroj načina i metoda neovlaštenog pristupa. Napadači traže nedostatke i nedostatke u konfiguraciji i arhitekturi softvera. Podatke dobivaju modificiranjem softvera. Kako bi neutralizirali i uspavali oprez, prekršitelji lansiraju malware i logičke bombe.

Koje su pravne prijetnje informacijskoj sigurnosti poduzeća?

Upravljanje rizikom informacijske sigurnosti djeluje u različitim smjerovima, jer mu je glavni cilj osigurati sveobuhvatnu i holističku zaštitu poduzeća od upada izvana.

Ništa manje važan od tehničkog smjera nije ni pravni. Na ovaj način, koji bi, naprotiv, čini se, trebao braniti interese, ispada da se dobivaju vrlo korisne informacije.

Povrede s pravne strane mogu se odnositi na vlasnička prava, autorska prava i patentna prava. Ilegalna uporaba softvera, uključujući uvoz i izvoz, također spada u ovu kategoriju. Zakonske zahtjeve možete prekršiti samo ako se ne pridržavate uvjeta ugovora ili pravnog okvira u cjelini.

Kako postaviti ciljeve informacijske sigurnosti?

Osiguranje informacijske sigurnosti započinje uspostavom područja zaštite. Potrebno je jasno definirati što treba štititi i od koga. Da bi se to postiglo, utvrđuje se portret potencijalnog kriminalca, kao i moguće metode hakiranja i infiltracije. Da biste postavili ciljeve, prvo morate razgovarati s menadžmentom. Predložit će prioritetna područja zaštite.

Od tog trenutka počinje revizija informacijske sigurnosti. Omogućuje vam da odredite u kojem omjeru je potrebno primijeniti tehnološke tehnike i poslovne metode. Rezultat ovog procesa je konačna lista aktivnosti, koja postavlja ciljeve s kojima se jedinica suočava kako bi osigurala zaštitu od neovlaštenog upada. Revizijski postupak usmjeren je na prepoznavanje kritičnih trenutaka i slabosti sustava koji ometaju normalne aktivnosti i razvoj poduzeća.

Nakon postavljanja ciljeva razvija se mehanizam za njihovu provedbu. Razvijaju se alati za praćenje i minimiziranje rizika.

Kakvu ulogu ima imovina u analizi rizika?

Sigurnosni rizici organizacijskih informacija izravno utječu na imovinu poduzeća. Uostalom, cilj napadača je doći do vrijednih informacija. Njegov gubitak ili otkrivanje sigurno će dovesti do gubitaka. Šteta uzrokovana neovlaštenim upadom može imati izravan ili samo neizravan utjecaj. Odnosno, nezakonite radnje protiv organizacije mogu dovesti do potpunog gubitka kontrole nad poslovanjem.

Visina štete procjenjuje se prema imovini kojom organizacija raspolaže. Predmetni resursi su svi resursi koji na bilo koji način doprinose ostvarenju ciljeva upravljanja. Imovina poduzeća podrazumijeva svu materijalnu i nematerijalnu imovinu koja stvara i pomaže u stvaranju prihoda.

Postoji nekoliko vrsta imovine:

• materijal;
• ljudski;
• informativni;
• financijski;
• procesi;
• brend i autoritet.

Posljednja vrsta imovine najviše pati od neovlaštenog upada. To je zbog činjenice da svi stvarni rizici za sigurnost informacija utječu na sliku. Problemi s ovim područjem automatski smanjuju poštovanje i povjerenje u takvo poduzeće, jer nitko ne želi da njegovi povjerljivi podaci postanu javni. Svaka organizacija koja drži do sebe brine o zaštiti vlastitih informacijskih resursa.

Različiti čimbenici utječu na to koliko će i koja imovina biti oštećena. Dijele se na vanjske i unutarnje. Njihov složeni utjecaj, u pravilu, istodobno utječe na nekoliko skupina vrijednih resursa.

Cjelokupno poslovanje poduzeća izgrađeno je na imovini. Oni su u određenoj mjeri prisutni u aktivnostima svake institucije. Samo što su nekim ljudima neke grupe važnije, a druge manje. Ovisno o vrsti imovine na koju su napadači mogli utjecati ovisi i rezultat, odnosno nastala šteta.

Procjena rizika informacijske sigurnosti omogućuje vam jasno identificiranje glavnih sredstava, a ako su oni pogođeni, onda je to prepuno nepopravljivih gubitaka za poduzeće. Sama uprava treba obratiti pozornost na ove skupine vrijednih resursa, jer je njihova sigurnost u interesu vlasnika.

Prioritetno područje za odjel informacijske sigurnosti zauzimaju pomoćna sredstva. Za njihovu zaštitu odgovorna je posebna osoba. Rizici u vezi s njima nisu kritični i utječu samo na sustav upravljanja.

Koji su čimbenici informacijske sigurnosti?

Izračun rizika informacijske sigurnosti uključuje izradu specijaliziranog modela. Predstavlja čvorove koji su međusobno povezani funkcionalnim vezama. Čvorovi su ta ista sredstva. Model koristi sljedeće vrijedne resurse:

• Narod;
• strategija;
• tehnologije;
• procesima.

Rebra koja ih spajaju sami su čimbenici rizika. Kako biste identificirali moguće prijetnje, najbolje je kontaktirati izravno odjel ili stručnjaka koji radi s tim sredstvima. Svaki potencijalni faktor rizika može biti preduvjet za nastanak problema. Model naglašava glavne prijetnje koje se mogu pojaviti.

Što se tiče tima, problem je u niskoj obrazovnoj razini, nedostatku kadrova i nemotiviranosti.

Rizici procesa uključuju varijabilnost okoliša, lošu automatizaciju proizvodnje i nejasnu podjelu odgovornosti.

Tehnologije mogu patiti od zastarjelog softvera i nedostatka kontrole nad korisnicima. Problemi s heterogenim okruženjem informacijske tehnologije također mogu biti uzrok.

Prednost ovog modela je što granične vrijednosti rizika informacijske sigurnosti nisu jasno utvrđene, jer se problem promatra iz različitih kutova.

Što je revizija informacijske sigurnosti?

Važan postupak u području informacijske sigurnosti poduzeća je revizija. Radi se o provjeri trenutnog stanja sustava zaštite od neovlaštenih upada. Procesom revizije utvrđuje se stupanj usklađenosti s utvrđenim zahtjevima. Njegova je provedba obvezna za neke vrste institucija, a za druge je savjetodavna. Provjera se provodi u odnosu na dokumentaciju računovodstvenih i poreznih službi, tehničku opremljenost i financijsko-ekonomski dio.

Audit je neophodan kako bi se razumjela razina sigurnosti, au slučaju neusklađenosti optimizacija na normalu. Ovaj postupak također vam omogućuje procjenu izvedivosti financijskih ulaganja u informacijsku sigurnost. U konačnici, stručnjak će dati preporuke o stopi financijske potrošnje kako bi se postigla maksimalna učinkovitost. Revizija vam omogućuje prilagodbu kontrola.

Ekspertiza informacijske sigurnosti podijeljena je u nekoliko faza:

1. Postavljanje ciljeva i načina za njihovo postizanje.
2. Analiza podataka potrebnih za donošenje presude.
3. Obrada prikupljenih podataka.
4. Stručno mišljenje i preporuke.

Na kraju će stručnjak donijeti svoju odluku. Preporuke komisije najčešće su usmjerene na promjenu konfiguracije tehničke opreme, ali i poslužitelja. Često se od poduzeća u problemima traži da odabere drugu sigurnosnu metodu. Možda će za dodatno jačanje stručnjaci propisati niz zaštitnih mjera.

Rad nakon primitka rezultata revizije usmjeren je na informiranje tima o problemima. Ako je to potrebno, onda je vrijedno provesti dodatne edukacije kako bi se povećala edukacija zaposlenika o zaštiti informacijskih resursa poduzeća.

U praksi se koriste kvantitativni i kvalitativni pristupi procjeni rizika informacijske sigurnosti. Koja je razlika?

Kvantitativna metoda

Kvantitativna procjena rizika koristi se u situacijama u kojima se prijetnje koje se proučavaju i rizici povezani s njima mogu usporediti s konačnim kvantitativnim vrijednostima izraženim u novcu, kamatama, vremenu, ljudskim resursima itd. Metoda vam omogućuje da dobijete specifične vrijednosti objekata procjene rizika kada se ostvare prijetnje sigurnosti informacija.

U kvantitativnom pristupu svim elementima procjene rizika dodijeljene su specifične i realne kvantitativne vrijednosti. Algoritam za dobivanje ovih vrijednosti trebao bi biti jasan i razumljiv. Predmet procjene može biti vrijednost imovine u novčanom iznosu, vjerojatnost realizacije prijetnje, šteta od prijetnje, troškovi zaštitnih mjera itd.

Kako kvantitativno procijeniti rizike?

1. Odredite vrijednost informacijske imovine u novčanom smislu.

2. Procijenite u kvantitativnom smislu potencijalnu štetu od implementacije svake prijetnje u odnosu na svaku informacijsku imovinu.

Potrebno je dobiti odgovore na pitanja “Koji će dio vrijednosti imovine biti šteta od provedbe svake prijetnje?”, “Kolika je cijena štete u novčanom smislu od jednog incidenta tijekom provedbe ove prijetnja ovoj imovini?"

3. Odrediti vjerojatnost implementacije svake od prijetnji informacijskoj sigurnosti.

Da biste to učinili, možete koristiti statističke podatke, ankete zaposlenika i dionika. U postupku određivanja vjerojatnosti izračunajte učestalost incidenata povezanih s implementacijom razmatrane informacijske sigurnosne prijetnje tijekom kontrolnog razdoblja (na primjer, godinu dana).

4. Odredite ukupnu potencijalnu štetu od svake prijetnje u odnosu na svaku imovinu tijekom kontrolnog razdoblja (jedna godina).

Vrijednost se izračunava množenjem jednokratne štete od prijetnje s učestalošću prijetnje.

5. Analizirati primljene podatke o šteti za svaku prijetnju.

Za svaku prijetnju mora se donijeti odluka: prihvatiti rizik, smanjiti rizik ili prenijeti rizik.

Prihvatiti rizik znači prepoznati ga, pomiriti se s njegovom mogućnošću i nastaviti djelovati kao prije. Primjenjivo za prijetnje s malom štetom i malom vjerojatnošću pojavljivanja.

Smanjenje rizika podrazumijeva uvođenje dodatnih mjera i zaštitne opreme, obuku osoblja i sl. Odnosno promišljeni rad na smanjenju rizika. Pritom je potrebno kvantitativno ocijeniti učinkovitost dodatnih mjera i sredstava zaštite. Svi troškovi koje je napravila organizacija, od kupnje zaštitne opreme do puštanja u pogon (uključujući instalaciju, konfiguraciju, obuku, održavanje itd.), ne bi smjeli premašiti iznos štete od prijetnje.

Prenijeti rizik znači prenijeti posljedice rizika na treću stranu, primjerice putem osiguranja.

Kao rezultat kvantitativne procjene rizika treba utvrditi sljedeće:

• vrijednost imovine u monetarnom smislu;
• potpuni popis svih prijetnji informacijskoj sigurnosti s štetom od jednog incidenta za svaku prijetnju;
• učestalost provedbe svake prijetnje;
• potencijalna šteta od svake prijetnje;
• Preporučene sigurnosne mjere, protumjere i akcije za svaku prijetnju.

Kvantitativna analiza rizika sigurnosti informacija (primjer)

Razmotrimo tehniku ​​na primjeru web poslužitelja organizacije koji se koristi za prodaju određenog proizvoda. Kvantitativno jednomšteta od kvara poslužitelja može se procijeniti kao umnožak prosječnog primitka kupnje i prosječnog broja zahtjeva za određeni vremenski interval, jednak vremenu prekida rada poslužitelja. Recimo da će trošak jednokratne štete od izravnog kvara poslužitelja biti 100 tisuća rubalja.

Sada je potrebno stručnim putem procijeniti koliko se često takva situacija može pojaviti (uzimajući u obzir intenzitet rada, kvalitetu napajanja itd.). Na primjer, uzimajući u obzir stručno mišljenje i statističke podatke, razumijemo da poslužitelj može pasti do 2 puta godišnje.

Množenjem ove dvije količine, dobivamo to prosječna godišnjašteta od prijetnje izravnog kvara poslužitelja iznosi 200 tisuća rubalja godišnje.

Ovi izračuni mogu se koristiti za opravdanje izbora zaštitnih mjera. Na primjer, implementacija sustava neprekidnog napajanja i rezervnog sustava s ukupnim troškom od 100 tisuća rubalja godišnje minimizirat će rizik od kvara poslužitelja i bit će potpuno učinkovito rješenje.

Kvalitativna metoda

Nažalost, nije uvijek moguće dobiti konkretan izraz predmeta vrednovanja zbog velike nesigurnosti. Kako točno procijeniti štetu ugledu tvrtke kada se pojavi informacija o incidentu informacijske sigurnosti? U ovom slučaju koristi se kvalitativna metoda.

Kvalitativni pristup ne koristi kvantitativne ili novčane izraze za predmet koji se ocjenjuje. Umjesto toga, predmetu ocjenjivanja dodjeljuje se pokazatelj rangiran na ljestvici od tri točke (nisko, srednje, visoko), pet točaka ili deset točaka (0... 10). Za prikupljanje podataka za kvalitativnu procjenu rizika koriste se ankete ciljnih skupina, intervjui, upitnici i osobni sastanci.

Analizu rizika informacijske sigurnosti kvalitativnom metodom treba provoditi uz uključivanje djelatnika s iskustvom i kompetencijom u području u kojem se prijetnje razmatraju.

Kako provesti dobru procjenu rizika:

1. Odredite vrijednost informacijske imovine.

Vrijednost imovine može se odrediti razinom kritičnosti (posljedice) ako su sigurnosne karakteristike (povjerljivost, cjelovitost, dostupnost) informacijske imovine narušene.

2. Odredite vjerojatnost pojave prijetnje u odnosu na informacijsko sredstvo.

Za procjenu vjerojatnosti realizacije prijetnje može se koristiti kvalitativna skala od tri razine (niska, srednja, visoka).

3. Utvrditi razinu mogućnosti uspješne provedbe prijetnje, uzimajući u obzir trenutno stanje informacijske sigurnosti, provedene mjere i sredstva zaštite.

Za ocjenu razine mogućnosti realizacije prijetnje može se koristiti i trostupanjska kvalitativna ljestvica (niska, srednja, visoka). Vrijednost izvedivosti prijetnje pokazuje koliko je izvedivo uspješno izvršiti prijetnju.

4. Izvedite zaključak o razini rizika na temelju vrijednosti informacijskog sredstva, vjerojatnosti realizacije prijetnje i mogućnosti realizacije prijetnje.

Za određivanje razine rizika možete koristiti ljestvicu od pet ili deset točaka. Prilikom određivanja razine rizika, možete koristiti referentne tablice koje pružaju razumijevanje koje kombinacije pokazatelja (vrijednost, vjerojatnost, prilika) dovode do koje razine rizika.

5. Analizirati podatke dobivene za svaku prijetnju i za nju dobivenu razinu rizika.

Tim za analizu rizika često koristi koncept "prihvatljive razine rizika". To je razina rizika koju je tvrtka spremna prihvatiti (ako prijetnja ima razinu rizika nižu ili jednaku prihvatljivoj, tada se ne smatra relevantnom). Globalni zadatak u kvalitativnoj procjeni je smanjiti rizike na prihvatljivu razinu.

6. Razviti sigurnosne mjere, protumjere i akcije za svaku trenutnu prijetnju kako bi se smanjila razina rizika.

Koju metodu odabrati?

Cilj obje metode je razumjeti stvarne rizike informacijske sigurnosti tvrtke, utvrditi popis trenutnih prijetnji te odabrati učinkovite protumjere i sredstva zaštite. Svaka metoda procjene rizika ima svoje prednosti i nedostatke.

Kvantitativna metoda daje vizualni prikaz u novcu predmeta procjene (šteta, troškovi), ali je radno intenzivnija iu nekim slučajevima neprimjenjiva.

Kvalitativna metoda omogućuje bržu procjenu rizika, ali su procjene i rezultati subjektivniji i ne daju jasno razumijevanje štete, troškova i koristi od implementacije informacijske sigurnosti.

Izbor metode treba napraviti na temelju specifičnosti određene tvrtke i zadataka dodijeljenih stručnjaku.

Stanislav Šiljajev, voditeljica projekta informacijske sigurnosti u SKB Kontur