NRU ITMO, *****@***com
Mbikëqyrës shkencor - Doktor i Shkencave Teknike, Profesor NRU ITMO, *****@
shënim
Artikulli diskuton metodat për llogaritjen e rrezikut siguria e informacionit, u bë një krahasim që tregon për mangësi kritike. Është paraqitur një propozim për të përdorur metodën tonë të vlerësimit të rrezikut.
Fjalë kyçe: rreziku, sistemi i informacionit, siguria e informacionit, metoda e llogaritjes së riskut, vlerësimi i riskut, aktivi i informacionit.
Prezantimi
Sistemi i menaxhimit të rrezikut të sigurisë së informacionit (IS) është një detyrë urgjente në të gjitha fazat e kompleksit të sigurisë së informacionit. Në të njëjtën kohë, është e pamundur të menaxhohen rreziqet pa i vlerësuar ato, gjë që nga ana tjetër duhet të bëhet duke përdorur ndonjë metodë. Në fazën e vlerësimit të rrezikut interesi më i madh paraqesin drejtpërdrejt formulat dhe të dhënat hyrëse për llogaritjen e vlerës së rrezikut. Artikulli analizon disa metoda të ndryshme llogaritjen e riskut dhe paraqet metodologjinë e vet. Qëllimi i punës është të nxjerrë një formulë për llogaritjen e rrezikut të sigurisë së informacionit, e cila na lejon të marrim një sërë rreziqesh aktuale dhe të vlerësojmë humbjet në terma monetarë.
Rreziku i sigurisë së informacionit në formën e tij klasike përkufizohet si funksioni i tre variablat:
- gjasat e një kërcënimi; gjasat e cenueshmërisë (pasigurisë); ndikimi i mundshëm.
Nëse ndonjë prej këtyre variablave i afrohet zeros, rreziku total gjithashtu i afrohet zeros.
Metodat e vlerësimit të rrezikut
ISO/IEC 27001 Për sa i përket metodologjisë për llogaritjen e vlerës së rrezikut, ai thekson se metodologjia e zgjedhur duhet të sigurojë që vlerësimet e rrezikut të prodhojnë rezultate të krahasueshme dhe të riprodhueshme. Megjithatë, standardi nuk ofron një formulë specifike llogaritëse.
NIST 800-30 ofron një formulë klasike të llogaritjes së rrezikut:
ku R është vlera e rrezikut;
P(t) - probabiliteti i realizimit të një kërcënimi të sigurisë së informacionit (përdoret një përzierje e shkallëve cilësore dhe sasiore);
S është shkalla e ndikimit të kërcënimit mbi aktivin (çmimi i aktivit në shkallë cilësore dhe sasiore).
Si rezultat, vlera e rrezikut llogaritet në njësi relative, të cilat mund të renditen sipas shkallës së rëndësisë për procedurën e menaxhimit të rrezikut të sigurisë së informacionit.
GOST R ISO/IEC TO 7. Llogaritja e rrezikut, ndryshe nga standardi NIST 800-30, bazohet në tre faktorë:
R = P(t) * P(v) * S,
ku R është vlera e rrezikut;
P(t) - probabiliteti i zbatimit të një kërcënimi të sigurisë së informacionit;
P(v) - probabiliteti i cenueshmërisë;
S është vlera e aktivit.
Si shembull i vlerave të probabilitetit P(t) dhe P(v), jepet një shkallë cilësore me tre nivele: e ulët, e mesme dhe e lartë. Për të vlerësuar vlerën e aktivit S, janë paraqitur sa vijon: vlerat numerike në rangun nga 0 në 4. Krahasimi i tyre i vlerave cilësore duhet të kryhet nga organizata në të cilën vlerësohen rreziqet e sigurisë së informacionit.
BS 7799. Niveli i rrezikut llogaritet duke marrë parasysh tre tregues - vlerën e burimit, nivelin e kërcënimit dhe shkallën e cenueshmërisë. Ndërsa vlerat e këtyre tre parametrave rriten, rreziku rritet, kështu që formula mund të paraqitet si më poshtë:
R = S * L(t) * L(v),
ku R është vlera e rrezikut;
S është vlera e aktivit/burimit;
L(t) - niveli i kërcënimit;
L(v) - niveli/shkalla e cenueshmërisë.
Në praktikë, llogaritja e rreziqeve të sigurisë së informacionit bëhet sipas një tabele të vlerave të pozicionimit të nivelit të kërcënimit, shkallës së probabilitetit të shfrytëzimit të cenueshmërisë dhe vlerës së aktivit. Vlera e rrezikut mund të ndryshojë nga 0 në 8, duke rezultuar në një listë kërcënimesh me vlera të ndryshme rreziku për çdo aktiv. Standardi ofron gjithashtu një shkallë të renditjes së rrezikut: e ulët (0-2), e mesme (3-5) dhe e lartë (6-8), e cila ju lejon të përcaktoni rreziqet më kritike.
STO BR IBBS. Sipas standardit, vlerësimi i shkallës së mundësisë së realizimit të një kërcënimi të sigurisë së informacionit kryhet në shkallë cilësore-sasiore, kërcënimi i parealizuar është 0%, kërcënimi mesatar është nga 21% në 50%, etj. Përcaktimi Ashpërsia e pasojave për lloje të ndryshme të aseteve të informacionit propozohet gjithashtu të vlerësohet duke përdorur shkallën cilësore-sasiore, pra minimale - 0.5% e kapitalit të bankës, e lartë - nga 1.5% në 3% të kapitalit të bankës.
Për të kryer një vlerësim cilësor të rreziqeve të sigurisë së informacionit, përdoret një tabelë e korrespondencës midis ashpërsisë së pasojave dhe gjasave të realizimit të kërcënimit. Nëse është e nevojshme të bëhet një vlerësim sasior, formula mund të paraqitet si:
ku R është vlera e rrezikut;
P(v) - probabiliteti i zbatimit të një kërcënimi të sigurisë së informacionit;
S është vlera e aktivit (ashpërsia e pasojave).
Metoda e sugjeruar
Duke marrë parasysh të gjitha metodat e mësipërme të vlerësimit të rrezikut në drejtim të llogaritjes së vlerës së rrezikut të sigurisë së informacionit, vlen të theksohet se përllogaritja e rrezikut është bërë duke përdorur vlerën e kërcënimeve dhe vlerën e aktivit. Një pengesë e rëndësishme është vlerësimi i vlerës së aseteve (sasia e dëmit) në formën e vlerave të kushtëzuara. Vlerat konvencionale nuk kanë njësi matëse të zbatueshme në praktikë, në veçanti, ato nuk janë një ekuivalent monetar. Si rezultat, kjo nuk jep një ide reale për nivelin e rrezikut që mund të transferohet në asetet reale të objektit të mbrojtur.
Kështu, propozohet që procedura e llogaritjes së rrezikut të ndahet në dy faza:
1. Llogaritja e vlerës së rrezikut teknik.
2. Llogaritja e dëmit të mundshëm.
Rreziku teknik kuptohet si vlera e rrezikut të sigurisë së informacionit që konsiston në gjasat që kërcënimet të realizohen dhe dobësitë e secilit komponent të infrastrukturës së informacionit që shfrytëzohet, duke marrë parasysh nivelin e konfidencialitetit, integritetit dhe disponueshmërisë së tyre. Për fazën e parë kemi 3 formulat e mëposhtme:
Rc = Kc * P(T) * P(V), Ri = Ki * P(T) * P(V),
Ra = Ka * P(T) * P(V),
ku Rс është vlera e rrezikut të konfidencialitetit;
Ri - vlera e rrezikut të integritetit;
Ra - vlera e rrezikut të disponueshmërisë;
Kс - koeficienti i konfidencialitetit të një aktivi informacioni;
Ki është koeficienti i integritetit të aktivit të informacionit;
Ka është koeficienti i disponueshmërisë së një aktivi informacioni;
P(T) - probabiliteti i zbatimit të kërcënimit;
P(V) - probabiliteti i shfrytëzimit të cenueshmërisë.
Përdorimi i këtij algoritmi do të bëjë të mundur që të bëhet një vlerësim më i detajuar i rrezikut, duke marrë në dalje një vlerë pa dimension të probabilitetit të rrezikut të komprometimit të çdo aktivi informacioni veç e veç.
Më pas, është e mundur të llogaritet vlera e dëmit; për këtë, përdoret vlera mesatare e rrezikut të çdo aktivi informacioni dhe sasia e humbjeve të mundshme:
ku L është vlera e dëmit;
Rav - vlera mesatare e rrezikut;
S - humbje (në terma monetarë).
Metodologjia e propozuar ju lejon të vlerësoni saktë vlerën e rrezikut të sigurisë së informacionit dhe të llogaritni humbjet monetare në rast të incidenteve të sigurisë.
Letërsia
1. ISO/IEC 27001. Standardi ndërkombëtar përmban kërkesa në fushën e sigurisë së informacionit për ngritjen, zhvillimin dhe mirëmbajtjen e një sistemi të menaxhimit të sigurisë së informacionit. 20s.
2. GOST R ISO/IEC TO 7. Standard kombëtar Federata Ruse. Metodat dhe mjetet për të garantuar sigurinë. Pjesa 3. Metodat e menaxhimit të sigurisë së teknologjisë së informacionit. Moska. 20s.
3. BS 7799-2:2005 Specifikimi i sistemit të menaxhimit të sigurisë së informacionit. Anglia. 20s.
4. RS BR IBBS-2.2-200. Sigurimi i sigurisë së informacionit të organizatave të sistemit bankar të Federatës Ruse. Metodologjia për vlerësimin e rreziqeve të shkeljeve të sigurisë së informacionit. Moska. 20s.
5. Udhëzues për menaxhimin e rrezikut për informacion Sistemet e Teknologjisë. Rekomandimet e Institutit Kombëtar të Standardeve dhe Teknologjisë. SHBA. 20s.
6. Burimi elektronik Wikipedia, artikulli "Rreziku".
Pyetje aplikim praktik analiza e rrezikut në proceset e menaxhimit të sigurisë së informacionit, si dhe çështjet e përgjithshme të vetë procesit të analizës së rrezikut të sigurisë së informacionit.
Në procesin e menaxhimit të çdo fushe të veprimtarisë, është e nevojshme të zhvillohen vendime të ndërgjegjshme dhe efektive, miratimi i të cilave ndihmon në arritjen e qëllimeve të caktuara. Sipas mendimit tonë, një vendim adekuat mund të merret vetëm në bazë të fakteve dhe analizave të marrëdhënieve shkak-pasojë. Sigurisht, në një numër rastesh, vendimet merren në një nivel intuitiv, por cilësia e një vendimi intuitiv varet shumë nga përvoja e menaxherit dhe, në një masë më të vogël, nga një kombinim i suksesshëm i rrethanave.
Për të ilustruar se sa kompleks është procesi i marrjes së një vendimi të bazuar dhe realist, do të japim një shembull nga fusha e menaxhimit të sigurisë së informacionit (IS). Le të marrim një situatë tipike: drejtuesi i departamentit të sigurisë së informacionit duhet të kuptojë se në cilat drejtime të lëvizë në mënyrë që të zhvillojë në mënyrë efektive funksionin e tij kryesor - sigurimin e sigurisë së informacionit të organizatës. Nga njëra anë, gjithçka është shumë e thjeshtë. Ekzistojnë një sërë qasjesh standarde për zgjidhjen e problemeve të sigurisë: mbrojtja e perimetrit, mbrojtja nga personat e brendshëm, mbrojtja nga rrethanat e forcës madhore. Dhe ka shumë produkte që ju lejojnë të zgjidhni këtë apo atë problem (mbroni veten nga ky apo ai kërcënim).
Sidoqoftë, ekziston një "por" i vogël. Specialistët e sigurisë së informacionit përballen me faktin se zgjedhja e produkteve klasa të ndryshmeështë shumë e gjerë, infrastruktura e informacionit të organizatës është shumë e gjerë, numri i objektivave të mundshëm të sulmeve nga ndërhyrës është i madh dhe aktivitetet e divizioneve të organizatës janë heterogjene dhe nuk mund të unifikohen. Në të njëjtën kohë, çdo specialist i departamentit ka mendimin e tij për përparësinë e fushave të veprimtarisë, që korrespondon me specializimin e tij dhe prioritetet personale. Dhe prezantimi i një zgjidhje teknike ose zhvillimi i një rregulloreje ose udhëzimi në një organizatë të madhe rezulton në një projekt të vogël me të gjitha atributet e aktivitetit të projektit: planifikim, buxhet, persona përgjegjës, afate, etj.
Kështu, për të mbrojtur veten kudo dhe nga gjithçka, së pari, nuk është fizikisht e mundur, dhe së dyti, nuk ka kuptim. Çfarë mund të bëjë kreu i departamentit të sigurisë së informacionit në këtë rast?
Së pari, ai mund të mos bëjë asgjë deri në incidentin e parë të madh. Së dyti, përpiquni të zbatoni disa standarde përgjithësisht të pranuara të sigurisë së informacionit. Së treti, besoni materialet e marketingut të prodhuesve dhe integruesve apo konsulentëve të softuerit dhe harduerit në fushën e sigurisë së informacionit. Megjithatë, ka një mënyrë tjetër.
Përcaktimi i objektivave të menaxhimit të sigurisë së informacionit
Mund të përpiqeni - me ndihmën e menaxhmentit dhe punonjësve të organizatës - të kuptoni se çfarë në të vërtetë duhet të mbrohet dhe nga kush. Nga ky moment, aktivitetet specifike fillojnë në kryqëzimin e teknologjisë dhe biznesit kryesor, i cili konsiston në përcaktimin e drejtimit të aktivitetit dhe (nëse është e mundur) gjendjen e synuar të mbështetjes së sigurisë së informacionit, i cili do të formulohet njëkohësisht në terma biznesi dhe në terma të siguria e informacionit.
Procesi i analizës së rrezikut është një mjet me të cilin mund të përcaktoni qëllimet e menaxhimit të sigurisë së informacionit, të vlerësoni faktorët kryesorë kritikë që ndikojnë negativisht në proceset kryesore të biznesit të kompanisë dhe të zhvilloni të vetëdijshëm, efektivë dhe vendime të informuara për t'i kontrolluar ose minimizuar ato.
Më poshtë do të përshkruajmë se cilat detyra zgjidhen si pjesë e analizës së rrezikut të sigurisë së informacionit për të marrë rezultatet e listuara dhe si arrihen këto rezultate si pjesë e analizës së rrezikut.
Identifikimi dhe vlerësimi i pasurisë
Qëllimi i menaxhimit të sigurisë së informacionit është ruajtja e konfidencialitetit, integritetit dhe disponueshmërisë së informacionit. Pyetja e vetme është se çfarë lloj informacioni duhet të mbrohet dhe çfarë përpjekjesh duhet të bëhen për të garantuar sigurinë e tij (Fig. 1).
Çdo menaxhim bazohet në vetëdijen për situatën në të cilën ndodh. Për sa i përket analizës së rrezikut, ndërgjegjësimi për situatën shprehet në inventarizimin dhe vlerësimin e aseteve të organizatës dhe mjedisit të tyre, domethënë gjithçka që siguron zhvillimin e aktiviteteve të biznesit. Nga pikëpamja e analizës së rrezikut të sigurisë së informacionit, asetet kryesore përfshijnë informacionin, infrastrukturën, personelin, imazhin dhe reputacionin e kompanisë. Pa një inventar të aseteve në nivelin e aktivitetit të biznesit, është e pamundur t'i përgjigjemi pyetjes se çfarë saktësisht duhet të mbrohet. Është e rëndësishme të kuptohet se çfarë informacioni përpunohet brenda një organizate dhe ku përpunohet.
Në një organizatë të madhe moderne, numri i aseteve të informacionit mund të jetë shumë i madh. Nëse aktivitetet e një organizate janë të automatizuara duke përdorur një sistem ERP, atëherë mund të themi se pothuajse çdo objekt material i përdorur në këtë aktivitet korrespondon me disa objekt informacioni. Prandaj, detyra kryesore e menaxhimit të rrezikut është të identifikojë asetet më të rëndësishme.
Është e pamundur të zgjidhet ky problem pa përfshirjen e menaxherëve të veprimtarisë kryesore të organizatës, të nivelit të mesëm dhe të lartë. Situata optimale është kur menaxhmenti i lartë i organizatës përcakton personalisht fushat më kritike të veprimtarisë, për të cilat është jashtëzakonisht e rëndësishme të sigurohet siguria e informacionit. Opinioni i menaxhmentit të lartë në lidhje me prioritetet në ofrimin e sigurisë së informacionit është shumë i rëndësishëm dhe i vlefshëm në procesin e analizës së riskut, por në çdo rast ai duhet të qartësohet duke mbledhur informacione për kritikën e aseteve në nivelin mesatar të menaxhimit të kompanisë. Në të njëjtën kohë, këshillohet që të kryhen analiza të mëtejshme pikërisht në fushat e veprimtarisë së biznesit të përcaktuara nga menaxhmenti i lartë. Informacioni i marrë përpunohet, grumbullohet dhe i transmetohet menaxhmentit të lartë për një vlerësim gjithëpërfshirës të situatës (por më shumë për këtë më vonë).
Informacioni mund të identifikohet dhe lokalizohet bazuar në një përshkrim të proceseve të biznesit në të cilat informacioni konsiderohet si një nga llojet e burimeve. Detyra thjeshtohet disi nëse organizata ka adoptuar një qasje për rregullimin e aktiviteteve të biznesit (për shembull, për qëllime të menaxhimit të cilësisë dhe optimizimit të proceseve të biznesit). Përshkrimet e formalizuara të proceseve të biznesit janë një pikënisje e mirë për inventarin e aseteve. Nëse nuk ka përshkrime, mund të identifikoni asetet bazuar në informacionin e marrë nga punonjësit e organizatës. Pasi të jenë identifikuar asetet, duhet të përcaktohet vlera e tyre.
Puna e përcaktimit të vlerës së aseteve të informacionit në të gjithë organizatën është më e rëndësishmja dhe komplekse. Është vlerësimi i aseteve të informacionit që do t'i lejojë drejtuesit të departamentit të sigurisë së informacionit të zgjedhë fushat kryesore të veprimtarisë për të garantuar sigurinë e informacionit.
Vlera e një aktivi shprehet nga shuma e humbjeve që një organizatë do të pësojë në rast të një shkeljeje të sigurisë së aktivit. Përcaktimi i vlerës është problematik sepse në shumicën e rasteve, menaxherët e organizatës nuk mund t'i përgjigjen menjëherë pyetjes se çfarë do të ndodhte nëse, për shembull, informacioni i çmimit të blerjes ruhet në server skedari, do të shkojë te një konkurrent. Ose më mirë, në shumicën e rasteve, menaxherët organizativ nuk kanë menduar kurrë për situata të tilla.
Por efikasiteti ekonomik i procesit të menaxhimit të sigurisë së informacionit varet kryesisht nga vetëdija se çfarë duhet të mbrohet dhe çfarë përpjekjesh do të kërkojë kjo, pasi në shumicën e rasteve sasia e përpjekjeve të aplikuara është drejtpërdrejt proporcionale me sasinë e parave të shpenzuara dhe shpenzimet operative. Menaxhimi i rrezikut ju lejon t'i përgjigjeni pyetjes se ku mund të rrezikoni dhe ku jo. Në rastin e sigurisë së informacionit, termi "rrezik" do të thotë se në një fushë të caktuar është e mundur të mos bëhen përpjekje të konsiderueshme për mbrojtjen e aseteve të informacionit dhe në të njëjtën kohë, në rast të një shkeljeje të sigurisë, organizata nuk do të vuajë. humbje të konsiderueshme. Këtu mund të bëjmë një analogji me klasat e mbrojtjes së sistemeve të automatizuara: sa më të rëndësishme të jenë rreziqet, aq më të rrepta duhet të jenë kërkesat e mbrojtjes.
Për të përcaktuar pasojat e një shkeljeje të sigurisë, ose duhet të keni informacion për incidente të regjistruara të një natyre të ngjashme, ose të bëni një analizë skenari. Analiza e skenarit shqyrton marrëdhëniet shkak-pasojë midis ngjarjeve të sigurisë së aseteve dhe pasojave të këtyre ngjarjeve në aktivitetet e biznesit të organizatës. Pasojat e skenarëve duhet të vlerësohen nga disa njerëz, në mënyrë të përsëritur ose me qëllim. Duhet theksuar se zhvillimi dhe vlerësimi i skenarëve të tillë nuk mund të shkëputet plotësisht nga realiteti. Duhet të mbani mend gjithmonë se skenari duhet të jetë i mundshëm. Kriteret dhe shkallët për përcaktimin e vlerës janë individuale për çdo organizatë. Bazuar në rezultatet e analizës së skenarit, mund të merret informacion për vlerën e aseteve.
Nëse identifikohen asetet dhe përcaktohet vlera e tyre, mund të themi se qëllimet e sigurimit të sigurisë së informacionit janë përcaktuar pjesërisht: përcaktohen objektet e mbrojtjes dhe rëndësia e mbajtjes së tyre në një gjendje sigurie informacioni për organizatën. Ndoshta gjithçka që mbetet është të përcaktohet se nga kush duhet të mbrohet.
Analiza e burimeve të problemeve
Pas përcaktimit të qëllimeve të menaxhimit të sigurisë së informacionit, duhet të analizoni problemet që ju pengojnë t'i afroheni shtetit të synuar. Në këtë nivel, procesi i analizës së rrezikut zbret në infrastrukturën e informacionit dhe konceptet tradicionale të sigurisë së informacionit - ndërhyrës, kërcënime dhe dobësi (Fig. 2).
Modeli i ndërhyrës
Për të vlerësuar rreziqet, nuk mjafton të prezantohet një model standard i shkelësit që i ndan të gjithë shkelësit sipas llojit të aksesit në aktiv dhe njohurive për strukturën e aktivit. Kjo ndarje ndihmon në përcaktimin se cilat kërcënime mund të drejtohen ndaj një aktivi, por nuk i përgjigjet pyetjes nëse këto kërcënime, në parim, mund të realizohen.
Në procesin e analizës së rrezikut, është e nevojshme të vlerësohet motivimi i shkelësve në zbatimin e kërcënimeve. Në këtë rast, dhunuesi nuk nënkupton një haker abstrakt të jashtëm ose të brendshëm, por një palë e interesuar për të përfituar përfitime duke cenuar sigurinë e një aseti.
Këshillohet që informacioni fillestar për modelin e shkelësit, si në rastin e zgjedhjes së drejtimeve fillestare të aktiviteteve të sigurisë së informacionit, të merret nga menaxhmenti i lartë, i cili kupton pozicionin e organizatës në treg, ka informacion për konkurrentët dhe cilat metoda të ndikimit mund të jenë. pritet prej tyre. Informacioni i nevojshëm për të zhvilluar një model të një ndërhyrës mund të merret gjithashtu nga kërkimet e specializuara mbi shkeljet e sigurisë kompjuterike në fushën e biznesit për të cilën po kryhet analiza e rrezikut. Një model ndërhyrës i zhvilluar siç duhet plotëson objektivat e sigurisë së informacionit të përcaktuara gjatë vlerësimit të aseteve të organizatës.
Modeli i kërcënimit
Zhvillimi i një modeli kërcënimi dhe identifikimi i dobësive janë të lidhura pazgjidhshmërisht me një inventar të mjedisit të aseteve të informacionit të organizatës. Informacioni në vetvete nuk ruhet apo përpunohet. Qasja në të sigurohet duke përdorur një infrastrukturë informacioni që automatizon proceset e biznesit të organizatës. Është e rëndësishme të kuptohet se si infrastruktura e informacionit dhe asetet e informacionit të një organizate janë të lidhura me njëra-tjetrën. Nga këndvështrimi i menaxhimit të sigurisë së informacionit, rëndësia e infrastrukturës së informacionit mund të përcaktohet vetëm pasi të përcaktohet marrëdhënia midis aseteve të informacionit dhe infrastrukturës. Nëse proceset për mirëmbajtjen dhe funksionimin e infrastrukturës së informacionit në një organizatë janë të rregulluara dhe transparente, mbledhja e informacionit të nevojshëm për të identifikuar kërcënimet dhe për të vlerësuar dobësitë thjeshtohet shumë.
Zhvillimi i një modeli kërcënimi është një punë për profesionistët e sigurisë së informacionit të cilët kanë një kuptim të mirë se si një sulmues mund të fitojë akses të paautorizuar në informacion duke shkelur perimetrin e sigurisë ose duke përdorur metoda Inxhinieri sociale. Kur zhvilloni një model kërcënimi, mund të flisni edhe për skenarë si hapa vijues sipas të cilëve mund të realizohen kërcënimet. Shumë rrallë ndodh që kërcënimet të zbatohen në një hap duke shfrytëzuar një pikë të vetme të cenueshme në sistem.
Modeli i kërcënimit duhet të përfshijë të gjitha kërcënimet e identifikuara përmes proceseve të lidhura me menaxhimin e sigurisë së informacionit, të tilla si menaxhimi i cenueshmërisë dhe incidenteve. Duhet mbajtur mend se kërcënimet do të duhet të renditen në raport me njëri-tjetrin sipas nivelit të mundësisë së zbatimit të tyre. Për ta bërë këtë, në procesin e zhvillimit të një modeli kërcënimi për secilin kërcënim, është e nevojshme të tregohen faktorët më domethënës, ekzistenca e të cilëve ndikon në zbatimin e tij.
Identifikimi i cenueshmërisë
Prandaj, pas zhvillimit të një modeli kërcënimi, është e nevojshme të identifikohen dobësitë në mjedisin e aseteve. Identifikimi dhe vlerësimi i dobësive mund të kryhet si pjesë e një procesi tjetër të menaxhimit të sigurisë së informacionit - auditimit. Këtu nuk duhet të harrojmë se për të kryer një auditim të sigurisë së informacionit është e nevojshme të zhvillohen kriteret e verifikimit. Dhe kriteret e verifikimit mund të zhvillohen bazuar në modelin e kërcënimit dhe modelin e ndërhyrës.
Bazuar në rezultatet e zhvillimit të një modeli kërcënimi, një modeli ndërhyrës dhe identifikimit të dobësive, mund të themi se janë identifikuar arsyet që ndikojnë në arritjen e gjendjes së synuar të sigurisë së informacionit të organizatës.
Vlerësimi i rrezikut
Identifikoni dhe vlerësoni asetet, zhvilloni një model kundërshtar dhe një model kërcënimi dhe identifikoni dobësitë - të gjitha këto janë hapa standardë që duhet të përshkruhen në çdo metodologji të analizës së rrezikut. Të gjithë hapat e mësipërm mund të kryhen me nivele të ndryshme cilësie dhe detajesh. Është shumë e rëndësishme të kuptojmë se çfarë dhe si mund të bëhet një sasi të madhe informacione të grumbulluara dhe modele të formalizuara. Sipas mendimit tonë, kjo pyetje është më e rëndësishmja, dhe përgjigjen për të duhet ta japë metodologjia e përdorur e analizës së rrezikut.
Rezultatet e marra duhet të vlerësohen, grumbullohen, klasifikohen dhe shfaqen. Meqenëse dëmi përcaktohet në fazën e identifikimit dhe vlerësimit të pasurisë, është e nevojshme të vlerësohet probabiliteti i ngjarjeve të rrezikut. Ashtu si në rastin e vlerësimit të pasurisë, një vlerësim probabiliteti mund të merret bazuar në statistikat e incidenteve, shkaqet e të cilave përkojnë me kërcënimet e sigurisë së informacionit në shqyrtim, ose me metodën e parashikimit - bazuar në faktorët e peshimit që korrespondojnë me modelin e zhvilluar të kërcënimit.
Një praktikë e mirë për vlerësimin e gjasave do të ishte klasifikimi i dobësive sipas një grupi të përzgjedhur faktorësh që karakterizojnë lehtësinë e shfrytëzimit të dobësive. Parashikimi i mundësisë së kërcënimeve kryhet në bazë të veçorive të cenueshmërisë dhe grupeve të shkelësve nga të cilët vijnë kërcënimet.
Një shembull i një sistemi klasifikimi të cenueshmërisë është standardi CVSS - sistemi i përbashkët i vlerësimit të cenueshmërisë. Duhet theksuar se në procesin e identifikimit dhe vlerësimit të dobësive, përvoja eksperte e specialistëve të sigurisë së informacionit që kryejnë vlerësimet e rrezikut dhe materialet dhe raportet statistikore të përdorura për dobësitë dhe kërcënimet në fushën e sigurisë së informacionit janë shumë të rëndësishme.
Madhësia (niveli) i rrezikut duhet të përcaktohet për të gjitha grupet e identifikuara dhe korresponduese të kërcënimeve të aseteve. Në të njëjtën kohë, shuma e dëmit dhe probabiliteti nuk duhet të shprehen në terma dhe përqindje absolute monetare; Për më tepër, si rregull, nuk është e mundur të paraqiten rezultatet në këtë formë. Arsyeja për këtë janë metodat e përdorura për të analizuar dhe vlerësuar rreziqet e sigurisë së informacionit: analiza e skenarit dhe parashikimi.
Vendimmarrja
Çfarë mund të bëni me rezultatin e vlerësimit?
Para së gjithash, duhet të hartoni një raport të thjeshtë dhe vizual të analizës së rrezikut, qëllimi kryesor i të cilit do të jetë prezantimi i informacionit të mbledhur në lidhje me rëndësinë dhe strukturën e rreziqeve të sigurisë së informacionit në organizatë. Raporti duhet t'i paraqitet menaxhmentit të lartë të organizatës. Një gabim i zakonshëm është prezantimi i rezultateve të ndërmjetme tek menaxhmenti i lartë në vend të konkluzioneve. Pa dyshim, të gjitha përfundimet duhet të mbështeten me argumente - të gjitha llogaritjet e ndërmjetme duhet t'i bashkëngjiten raportit.
Për qartësi të raportit, rreziqet duhet të klasifikohen në terma biznesi të njohur për organizatën, dhe rreziqe të ngjashme duhet të agregohen. Në përgjithësi, klasifikimi i rreziqeve mund të jetë i shumëanshëm. Nga njëra anë, po flasim për për rreziqet e sigurisë së informacionit, nga ana tjetër, për rreziqet e dëmtimit të reputacionit ose humbjes së një klienti. Rreziqet e klasifikuara duhet të renditen sipas mundësisë së shfaqjes së tyre dhe rëndësisë për organizatën.
Raporti i analizës së rrezikut pasqyron informacionin e mëposhtëm:
- fushat më problematike të sigurimit të informacionit në organizatë;
- ndikimi i kërcënimeve të sigurisë së informacionit në strukturën e përgjithshme rreziqet e organizatës;
- fushat prioritare të veprimtarisë së departamentit të sigurisë së informacionit për të përmirësuar efikasitetin e mbështetjes së sigurisë së informacionit.
Bazuar në raportin e analizës së rrezikut, drejtuesi i departamentit të sigurisë së informacionit mund të hartojë një plan pune të departamentit për një periudhë afatmesme dhe të caktojë një buxhet bazuar në natyrën e aktiviteteve të nevojshme për të reduktuar rreziqet. Vini re se një raport i analizës së rrezikut i përpiluar saktë i lejon kreut të departamentit të sigurisë së informacionit të gjejë gjuhë reciproke me menaxhmentin e lartë të organizatës dhe të vendosë problemet aktuale lidhur me menaxhimin e sigurisë së informacionit (Fig. 3).
Politika e trajtimit të rrezikut
Një çështje shumë e rëndësishme është politika e menaxhimit të rrezikut të organizatës. Politika përcakton rregullat për trajtimin e rrezikut. Për shembull, politika mund të thotë që së pari duhet të zbuten rreziqet e reputacionit, ndërsa zbutja e rreziqeve të rëndësisë mesatare që nuk konfirmohen nga incidentet e sigurisë së informacionit shtyhet në fund të radhës. Politikat e menaxhimit të rrezikut mund të përcaktohen nga njësia e menaxhimit të rrezikut të korporatës.
Një politikë e trajtimit të rrezikut mund të shpjegojë çështjet e sigurimit të rrezikut dhe ristrukturimit të aktiviteteve në rast se rreziqet e mundshme tejkalojnë një nivel të pranueshëm. Nëse politika nuk është e përcaktuar, atëherë sekuenca e reduktimit të rrezikut duhet të bazohet në parimin e efikasitetit maksimal, por gjithsesi duhet të përcaktohet nga menaxhmenti i lartë.
Le ta përmbledhim
Analiza e rrezikut është një procedurë mjaft intensive e punës. Duhet të zbatohet procesi i analizës së rrezikut materialet mësimore dhe mjetet. Megjithatë, kjo nuk mjafton për të zbatuar me sukses një proces të përsëritshëm; Një komponent tjetër i rëndësishëm janë rregulloret e menaxhimit të rrezikut. Ai mund të jetë i vetë-mjaftueshëm dhe të adresojë vetëm rreziqet e sigurisë së informacionit, ose mund të integrohet me procesin e përgjithshëm të menaxhimit të rrezikut në organizatë.
Procesi i analizës së rrezikut përfshin shumë ndarje strukturore të organizatës: divizione që udhëheqin drejtimet kryesore të aktiviteteve të saj, divizionin e menaxhimit të infrastrukturës së informacionit dhe divizionin e menaxhimit të sigurisë së informacionit. Për më tepër, për të kryer me sukses një analizë të rrezikut dhe për të përdorur në mënyrë efektive rezultatet e saj, është e nevojshme të përfshihet menaxhmenti i lartë i organizatës, duke siguruar kështu ndërveprimin midis divizioneve strukturore.
Nuk mjaftojnë vetëm teknikat e analizës së rrezikut ose mjetet e specializuara për vlerësimin e rreziqeve të sigurisë së informacionit. Kërkohen procedura për të identifikuar asetet, për të përcaktuar rëndësinë e aseteve, për të zhvilluar modele të ndërhyrësve dhe kërcënimeve, për të identifikuar dobësitë dhe për të grumbulluar dhe klasifikuar rreziqet. Në organizata të ndryshme, të gjitha procedurat e listuara mund të ndryshojnë ndjeshëm. Qëllimet dhe shtrirja e analizës së rrezikut të sigurisë së informacionit gjithashtu ndikojnë në kërkesat për proceset që lidhen me analizën e rrezikut.
Përdorimi i metodës së analizës së rrezikut për menaxhimin e sigurisë së informacionit kërkon që organizata të ketë një nivel të mjaftueshëm pjekurie në të cilën do të jetë e mundur të zbatohen të gjitha proceset e nevojshme brenda kornizës së analizës së rrezikut.
Menaxhimi i rrezikut ju lejon të strukturoni aktivitetet e departamentit të sigurisë së informacionit, të gjeni një gjuhë të përbashkët me menaxhmentin e lartë të organizatës, të vlerësoni efektivitetin e departamentit të sigurisë së informacionit dhe të justifikoni vendimet për zgjedhjen e teknikave specifike dhe masat organizative mbrojtje ndaj menaxhmentit të lartë.
Procesi i analizës së rrezikut është i vazhdueshëm, pasi qëllimet e nivelit të lartë të sigurisë së informacionit mund të mbeten të pandryshuara për një kohë të gjatë, por infrastruktura e informacionit, metodat e përpunimit të informacionit dhe rreziqet që lidhen me përdorimin e TI po ndryshojnë vazhdimisht.
Departamenti i sigurisë së informacionit dhe organizata në tërësi, kur strukturojnë aktivitetet e saj përmes analizës së vazhdueshme të rrezikut, marrin përfitimet e mëposhtme shumë domethënëse:
- identifikimi i qëllimeve të menaxhimit;
- përcaktimi i metodave të menaxhimit;
- efikasiteti i menaxhimit bazuar në marrjen e vendimeve të informuara dhe në kohë.
Ka disa pika të tjera për t'u theksuar në lidhje me menaxhimin e rrezikut dhe menaxhimin e sigurisë së informacionit.
Analiza e rrezikut, menaxhimi i incidenteve dhe auditimi i sigurisë së informacionit janë të lidhura pazgjidhshmërisht me njëra-tjetrën, pasi hyrjet dhe daljet e proceseve të listuara janë të lidhura. Zhvillimi dhe zbatimi i procesit të menaxhimit të rrezikut duhet të kryhet duke pasur parasysh menaxhimin e incidenteve dhe auditimeve të IS.
Procesi i vendosur i analizës së rrezikut është kërkesë e detyrueshme standardi STO-BR IBBS-1.0-2006 për garantimin e sigurisë së informacionit në sektorin bankar.
Krijimi i një procesi të analizës së rrezikut është i nevojshëm për një organizatë nëse ka vendosur t'i nënshtrohet certifikimit për përputhjen me kërkesat e standardit ndërkombëtar ISO/IEC 27001:2005.
Vendosja e një regjimi për mbrojtjen e sekreteve tregtare dhe të dhënave personale është i lidhur pazgjidhshmërisht me analizën e rrezikut, pasi të gjitha këto procese përdorin metoda të ngjashme për identifikimin dhe vlerësimin e aseteve, zhvillimin e një modeli ndërhyrës dhe një modeli kërcënimi.
Vlera e informacionit përcaktohet nga kompleksiteti i përgatitjes së tij (mbledhja), kostoja e mbështetjes (mirëmbajtjes), sasia e dëmit të mundshëm në rast të humbjes ose shkatërrimit të tij, kostoja që kanë personat e tjerë (konkurrentët, sulmuesit). të gatshëm për të paguar për të, si dhe shumën e pasojave dhe gjobave të mundshme, në rast të humbjes së tij (rrjedhjes). Pa vlerësimin e informacionit, është e pamundur të vlerësohet në mënyrë adekuate fizibiliteti i shpenzimit të parave dhe burimeve për mbrojtjen e tij. Vlera e informacionit duhet të merret parasysh gjatë zgjedhjes së masave mbrojtëse.
Vlerësimi i aseteve mund të kryhet duke përdorur metoda sasiore dhe cilësore. Kostoja aktuale e një aktivi përcaktohet bazuar në koston e blerjes, zhvillimit dhe mbështetjes së tij. Vlera e një aktivi përcaktohet nga kuptimi që ka për pronarët, përdoruesit e autorizuar dhe përdoruesit e paautorizuar. Disa informacione janë të rëndësishme për kompaninë dhe klasifikohen si konfidenciale.
Për shembull, kostoja e një serveri është 4000 dollarë, por kjo nuk është vlera e tij që merret parasysh kur vlerësohen rreziqet. Vlera përcaktohet nga kostoja e zëvendësimit ose riparimit të tij, humbjet për shkak të reduktimit të produktivitetit dhe dëmtimit nga dëmtimi ose humbja e të dhënave të ruajtura në të. Kjo është ajo që do të përcaktojë dëmin e kompanisë në rast të dëmtimit ose humbjes së serverit për një arsye ose një tjetër.
Gjatë përcaktimit të vlerës së aseteve duhet të merren parasysh çështjet e mëposhtme:
- Kostot e marrjes ose zhvillimit të një aktivi
- Kostot e mirëmbajtjes dhe mbrojtjes së aktivit
- Vlera e aktivit për pronarët dhe përdoruesit
- Vlera e aktivit për sulmuesit (konkurrentët)
- Vlera e pronës intelektuale e përdorur në zhvillimin e aktivit
- Çmimi që të tjerët janë të gatshëm të paguajnë për aktivin
- Kostoja e zëvendësimit të një aktivi kur humbet
- Salla e operacionit dhe aktiviteti prodhues, e cila varet nga disponueshmëria e aktivit
- Përgjegjësia në rast kompromisi të aseteve
- Përfitimet dhe roli i aktivit në kompani
Përcaktimi i vlerës së aktiveve është i dobishëm për një kompani për një sërë arsyesh, duke përfshirë sa vijon:
- Për të kryer një analizë kosto/përfitim
- Për të zgjedhur kundërmasa specifike dhe pajisje mbrojtëse
- Për përcaktimin nivelin e kërkuar mbulim sigurimi
- Për të kuptuar se çfarë saktësisht rrezikon kompania
- Për të përmbushur kërkesat ligjore, rregullatore dhe të kujdesit të duhur
Siç u tha më herët, rreziku është gjasat që një kërcënim të shfrytëzojë një cenueshmëri, duke rezultuar në një ndikim negativ të biznesit. Ka shumë lloje të burimeve të kërcënimit që mund të shfrytëzojnë lloje të ndryshme dobësish, të cilat mund të çojnë në kërcënime të caktuara. Disa shembuj të rreziqeve janë paraqitur në tabelën 1-2.
Tabela 1-2 Marrëdhënia midis kërcënimeve dhe dobësive
Ka lloje të tjera, shumë më të vështira për t'u identifikuar, të kërcënimeve që mund të ndodhin në mjedisi kompjuterik. Këto kërcënime lidhen me gabimet e aplikacionit dhe gabimet e përdoruesve. Megjithatë, me organizimin e duhur të kontrollit dhe auditimit të veprimeve të përdoruesve, gabimet e tyre (të qëllimshme ose aksidentale) janë shumë më të lehta për t'u identifikuar.
Pasi të jenë identifikuar dobësitë dhe kërcënimet shoqëruese, duhet të analizohen pasojat e shfrytëzimit të tyre, d.m.th. rreziqet e dëmtimit të mundshëm. Dëmtimi mund të lidhet me dëmtimin e të dhënave ose sistemeve (objekteve), zbulimin e paautorizuar të informacionit konfidencial, uljen e produktivitetit, etj. Kur kryen një analizë rreziku, ekipi duhet të marrë në konsideratë edhe të mundshmen dëmtimi i shtyrë(humbje e vonuar), e cila mund të ndodhë pas njëfarë kohe (nga 15 minuta deri në disa vite) pasi të jetë realizuar rreziku. Dëmi i vonuar mund të shkaktohet, për shembull, nga një ulje e produktivitetit të punës për një periudhë të caktuar kohore, një rënie në të ardhurat e kompanisë, dëmtimi i reputacionit të saj, gjobat kumulative, shpenzime shtesë për të rivendosur mjedisin, për të pezulluar pranimin e fondeve nga klientët, etj.
Për shembull, nëse, si rezultat i një sulmi ndaj serverëve të uebit të një kompanie, ata ndaluan shërbimin ndaj klientëve, dëmi i menjëhershëm mund të jetë korrupsioni i të dhënave, kostoja e kohës së punës për të rivendosur serverët, përditësimi i cenueshëm. software mbi ta. Përveç kësaj, kompania do të humbasë disa të ardhura për shkak të paaftësisë së saj për t'u shërbyer klientëve gjatë kohës që duhet për të rivendosur serverët e saj në internet. Nëse puna e restaurimit kërkon një kohë të konsiderueshme (për shembull, një javë), kompania mund të humbasë aq shumë fitime sa nuk do të jetë më në gjendje të paguajë faturat dhe shpenzimet e tjera. Ky do të jetë dëm i shtyrë. Dhe nëse, ndër të tjera, kompania humbet edhe besimin e klientëve, ajo mund të humbasë plotësisht biznesin e saj (për një kohë ose përgjithmonë). Ky është një rast ekstrem i dëmtimit të vonuar.
Këto lloj pyetjesh e bëjnë shumë më të vështirë përcaktimin sasior të dëmit, por ato duhet të merren parasysh për të marrë një vlerësim të besueshëm.
Metodat e vlerësimit të rrezikut. Shumë teknika të ndryshme përdoren për të vlerësuar rreziqet. Le të shohim disa prej tyre.
NIST SP 800-30 Dhe 800-66 janë metodologji që mund të përdoren nga kompanitë tregtare, megjithëse 800-66 fillimisht u zhvillua për kujdesin shëndetësor dhe industri të tjera të rregulluara. Qasja e NIST merr në konsideratë kërcënimet e TI-së dhe rreziqet e lidhura me sigurinë e informacionit. Ai siguron hapat e mëposhtëm:
- Përshkrimi i karakteristikave të sistemit
- Identifikimi i kërcënimit
- Identifikimi i cenueshmërisë
- Analiza e masave mbrojtëse
- Përkufizimi i probabilitetit
- Analiza e ndikimit
- Përkufizimi i rrezikut
- Rekomandime për masa mbrojtëse
- Dokumentimi i rezultateve
Metodologjia e vlerësimit të rrezikut NIST SP 800-30 përdoret shpesh nga konsulentët, profesionistët e sigurisë dhe departamentet e brendshme të IT. Ai fokusohet kryesisht në sistemet kompjuterike. Individë ose grupe të vogla mbledhin të dhëna nga rrjeti, nga praktikat e sigurisë dhe nga njerëzit që punojnë brenda kompanisë. Të dhënat e mbledhura përdoren si të dhëna për të kryer hapat e analizës së rrezikut të përshkruar në Dokumentin 800-30.
Një tjetër metodologji e vlerësimit të rrezikut është FRAP (Procesi i Analizës së Riskut të Lehtësuar - Procesi i analizës së riskut në grup). Ai është krijuar për të ofruar vlerësime të rrezikut me cilësi të lartë në një mënyrë që mundëson kryerjen e auditimeve në një sërë aspektesh dhe duke përdorur një sërë metodologjish. Ai ofron mënyra që një kompani të marrë vendime në lidhje me drejtimet e veprimit dhe veprimet specifike në rrethana specifike për të marrë parasysh çështje të ndryshme. Kjo bën të mundur, nëpërmjet parapërzgjedhjes, identifikimin e atyre fushave në kompani që vërtet kanë nevojë për analizë risku. FRAP është i strukturuar në atë mënyrë që kushdo me aftësi të mira organizative Punë në grup do të jetë në gjendje të kryejë me sukses një analizë rreziku duke përdorur këtë metodologji.
Një lloj tjetër metodologjie është OKTAVE (Vlerësimi i kërcënimeve kritike operacionale, aseteve dhe vulnerabilitetit - Vlerësimi i kërcënimeve kritike, aseteve dhe dobësive). Kjo është një metodologji që duhet përdorur në situatat kur i gjithë procesi i analizës së rrezikut të sigurisë së informacionit kryhet brenda kompanisë (pa përfshirjen e konsulentëve të jashtëm). Ajo bazohet në idenë që punonjësit e kompanisë kuptojnë më së miri se çfarë i duhet kompanisë realisht dhe me çfarë rreziqesh përballet. Punonjësit e përzgjedhur për të marrë pjesë në procesin e vlerësimit vendosin vetë se cila qasje është më e mira për vlerësimin e sigurisë së kompanisë së tyre.
Ndërsa metodologjitë NIST dhe OCTAVE fokusohen në kërcënimet e TI-së dhe rreziqet e sigurisë së informacionit, AS/NZS 4360 merr një qasje shumë më të gjerë për menaxhimin e rrezikut. Kjo metodologji mund të përdoret për të kuptuar rreziqet e një kompanie në fushat e financave, mbrojtjen e njerëzve, marrjen e vendimeve të biznesit, etj. Nuk u zhvillua posaçërisht për analizën e rrezikut të sigurisë, megjithëse mund të përdoret me sukses për këtë qëllim.
SHËNIM. mund të gjesh Informacion shtese mbi këto qasje për analizën e rrezikut dhe përdorimin e tyre, shihni artikullin nga Sean Harris në http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1191926,00.html.CRAMM (CCTA Risk Analysis and Management Method - Metoda e analizës dhe menaxhimit të rrezikut të Agjencisë Qendrore për Kompjuterë dhe Telekomunikacion (CCTA) të Britanisë së Madhe) ndahet në tre segmente: identifikimi dhe vlerësimi i aseteve, analiza e kërcënimeve dhe dobësive, përzgjedhja e kundërmasave. . Kjo teknikë merr parasysh se si aspektet teknike kompani, të dyja jo teknike.
Analiza e Pemës së Përfshirë Analiza e Pemës së Përfshirë është një metodologji që krijon një pemë të të gjitha kërcënimeve dhe dobësive të mundshme që mund të prishin funksionimin e një sistemi. Çdo degë është një temë ose kategori e përgjithësuar dhe degët që nuk janë të zbatueshme mund të hiqen gjatë procesit të analizës së rrezikut.
FMEA (Modalitetet e dështimit dhe analiza e efekteve)është një metodë e përcaktimit të funksioneve, identifikimit të defekteve funksionale, vlerësimit të shkaqeve të defektit dhe pasojave të tij nëpërmjet një procesi të strukturuar. Zbatimi i këtij procesi për defektet e vazhdueshme ju lejon të përcaktoni se ku ka më shumë gjasa të ndodhë gabimi. Kjo ndihmon shumë në identifikimin e dobësive, përcaktimin e saktë të kufijve të dobësive dhe pasojat e shfrytëzimit të tyre. Nga ana tjetër, kjo jo vetëm që e bën më të lehtë aplikimin e arnimeve që adresojnë dobësitë, por gjithashtu siguron që burimet të përdoren në mënyrë më efikase brenda asaj detyre.
Duke ndjekur një sekuencë të caktuar hapash, mund të arrini rezultatet më të mira në analizën e defekteve.
- Filloni me një bllok diagram të sistemit ose kontrollit (objekt i analizës).
- Konsideroni se çfarë do të ndodhte nëse çdo bllok në diagram dështon.
- Vizatoni një tabelë dhe tregoni në të defektet e shoqëruara me pasojat e tyre dhe një vlerësim të këtyre pasojave.
- Rregulloni dizajnin e sistemit dhe bëni ndryshimet e duhura në tabelë derisa të bëhet e qartë se sistemi nuk është i prirur për probleme.
- Merrni rishikime të shumta inxhinierike të natyrës së defektit dhe analizës së ndikimit.
Tabela 1-3 jep një shembull të kryerjes dhe dokumentimit të një FMEA. Ndërsa shumica e kompanive nuk kanë burime për të hyrë në detaje të tilla në çdo sistem dhe kontroll, kjo duhet të bëhet për funksione dhe sisteme kritike që mund të kenë një ndikim të rëndësishëm në kompani. Është e rëndësishme të analizohet një masë ose sistem sigurie nga niveli mikro në atë makro për të kuptuar plotësisht se ku mund të qëndrojnë dobësitë ose defektet e mundshme dhe cilat mund të jenë pasojat e shfrytëzimit të këtyre dobësive. Çdo sistem kompjuterik mund të përbëhet nga shumë bomba të ndryshme me sahat në nivele të ndryshme të strukturës së tij. Në nivelin e komponentëve, kjo mund të jetë një tejmbushje buferi ose komponentë të rrezikshëm ActiveX, të cilat mund të lejojnë një sulmues të marrë kontrollin e sistemit duke shfrytëzuar cenueshmërinë. Në nivelin e softuerit, aplikacioni mund të mos kryejë në mënyrë të sigurt autorizimin ose mund të mos mbrojë siç duhet çelësat e tij kriptografikë. Aktiv niveli i sistemit Kerneli i sistemit operativ mund të ketë të meta që do të lejojnë një sulmues të fitojë lehtësisht akses administrativ. Gjëra të ndryshme të tmerrshme mund të ndodhin në çdo nivel, prandaj një qasje kaq e detajuar është e nevojshme.
Tabela 1-3 Shembull i kryerjes dhe dokumentimit të FMEA
FMEA u zhvillua fillimisht për studimin e sistemeve. Qëllimi i tij është të studiojë defektet e mundshme në produkte dhe procese të ngjashme. Kjo qasje ka rezultuar e suksesshme dhe është përshtatur për t'u përdorur në vlerësimin e prioriteteve të menaxhimit të rrezikut dhe në zbutjen e dobësive të njohura të kërcënimit.
Megjithatë, FMEA nuk është mjaft efektiv për të identifikuar defekte komplekse që mund të përfshijnë disa sisteme të ndryshme ose nënsisteme. Në këtë rast, është më e përshtatshme të përdoret analiza e pemës së gabimeve. Për analizë duke përdorur një pemë gabimi, merret procesi kryesor. Ngjarja e padëshiruar tregohet si rrënja e saj (elementi më i lartë i kësaj peme logjike). Më pas, si degë, shtohen një sërë shprehjesh dhe ngjarjesh logjike që mund të çojnë në zbatimin e një ngjarjeje të padëshiruar të nivelit më të lartë. Pas kësaj, pema e gabimit shënohet me numra që korrespondojnë me probabilitetin e dështimeve (zakonisht kjo bëhet duke përdorur të specializuara programet kompjuterike, i cili mund të llogarisë probabilitetet në një pemë gabimi). Figura 1-7 tregon një pemë të thjeshtuar të defektit dhe simbolet e ndryshme logjike të përdorura për të përfaqësuar atë që duhet të ndodhë për të shkaktuar një defekt.
Figura 1-7 Pema e gabimeve dhe portat logjike
Kur krijoni një pemë, është e nevojshme të tregoni me saktësi të gjitha kërcënimet ose dështimet që mund të ndodhin në sistem. Degët e pemës mund të ndahen në kategori, për shembull, kërcënime fizike, kërcënimet e rrjetit, kërcënimet kompjuterike, Kërcënimet e internetit dhe kërcënimet për ndërprerje. Pasi të kontrollohen të gjitha kategoritë e mundshme, ju mund të krasitni degët nga pema, duke hequr kërcënimet që nuk janë të zbatueshme në këtë rast (nëse sistemi nuk është i lidhur me internetin, atëherë degët e lidhura me internetin mund të krasiten në mënyrë të sigurt nga pema).
Disa nga dështimet më të zakonshme të softuerit që mund të hetohen duke përdorur analizën e pemës së gabimeve janë dhënë më poshtë:
- Alarme false (alarme ose mbrojtje)
- Trajtimi i pamjaftueshëm i gabimeve
- Çrregullim i sekuencës ose rendit
- Sinkronizimi i gabuar i rezultateve
- Rezultate të sakta por të papritura
Kur zbatoni një sistem të menaxhimit të sigurisë së informacionit (ISMS) në një organizatë, një nga pikat kryesore penguese është zakonisht sistemi i menaxhimit të rrezikut. Diskutimet rreth menaxhimit të rrezikut të sigurisë së informacionit janë të ngjashme me problemin e UFO-ve. Nga njëra anë, askush përreth nuk dukej se e kishte parë këtë dhe vetë ngjarja duket e pamundur, nga ana tjetër, ka shumë prova, janë shkruar qindra libra, madje ka disiplina shkencore përkatëse dhe shoqata shkencëtarësh të përfshirë. në këtë procesi i kërkimit dhe, si zakonisht, shërbimet speciale kanë njohuri të veçanta sekrete në këtë fushë.
Alexander Astakhov, CISA, 2006
Prezantimi
Nuk ka konsensus midis specialistëve të sigurisë së informacionit për çështjet e menaxhimit të rrezikut. Dikush mohon metodat sasiore të vlerësimit të rrezikut, dikush mohon metodat cilësore, dikush në përgjithësi mohon fizibilitetin dhe vetë mundësinë e vlerësimit të rrezikut, dikush akuzon menaxhmentin e organizatës për ndërgjegjësim të pamjaftueshëm për rëndësinë e çështjeve të sigurisë ose ankohet për vështirësitë që lidhen me arritjen e një objektivi. vlerësimi i vlerës së aseteve të caktuara, siç është reputacioni i organizatës. Të tjerë, duke mos parë mundësinë e justifikimit të kostove të sigurisë, propozojnë që kjo të trajtohet si një lloj procedure higjienike dhe të shpenzohen aq para për këtë procedurë sa nuk është për të ardhur keq, apo aq sa ka mbetur në buxhet.
Çfarëdo opinionesh që ekzistojnë për çështjen e menaxhimit të rrezikut të sigurisë së informacionit dhe pavarësisht se si i trajtojmë këto rreziqe, një gjë është e qartë se në kjo çështje qëndron thelbi i veprimtarisë së shumanshme të specialistëve të sigurisë së informacionit, duke e lidhur atë drejtpërdrejt me biznesin, duke i dhënë kuptim dhe përshtatshmëri të arsyeshme. Ky artikull përshkruan një qasje të mundshme për menaxhimin e rrezikut dhe i përgjigjet pyetjes se pse organizata të ndryshme i shohin dhe menaxhojnë ndryshe rreziqet e sigurisë së informacionit.
Asetet fikse dhe ndihmëse
Kur flasim për rreziqet e biznesit nënkuptojmë mundësinë e pësuar dëme të caktuara me një probabilitet të caktuar. Ky mund të jetë ose dëm material i drejtpërdrejtë ose dëm indirekt, i shprehur për shembull në fitime të humbura, deri në dalje nga biznesi, sepse nëse nuk menaxhohet rreziku, atëherë biznesi mund të humbasë.
Në fakt, thelbi i çështjes është se organizata ka dhe përdor disa kategori kryesore burimesh për të arritur rezultatet e aktiviteteve të saj (qëllimet e saj të biznesit) (në tekstin e mëtejmë do të përdorim konceptin e një aktivi të lidhur drejtpërdrejt me biznesin). Një aktiv është çdo gjë që ka vlerë për një organizatë dhe gjeneron të ardhura të saj (me fjalë të tjera, është diçka që krijon një rrjedhë financiare pozitive ose kursen para)
Ka pasuri materiale, financiare, njerëzore dhe informative. Standardet moderne ndërkombëtare përcaktojnë edhe një kategori tjetër të aseteve – proceset. Një proces është një aktiv i agreguar që operon të gjitha asetet e tjera të kompanisë për të arritur qëllimet e biznesit. Imazhi dhe reputacioni i kompanisë konsiderohen gjithashtu një nga asetet më të rëndësishme. Këto asete kyçe për çdo organizatë nuk janë gjë tjetër veçse një lloj i veçantë i aseteve të informacionit, pasi imazhi dhe reputacioni i një kompanie nuk është gjë tjetër veçse përmbajtja e informacionit të hapur dhe të shpërndarë gjerësisht për të. Siguria e informacionit merret me çështjet e imazhit për aq sa problemet me sigurinë e organizatës, si dhe rrjedhja e informacionit konfidencial, kanë një ndikim jashtëzakonisht negativ në imazh.
Rezultatet e biznesit ndikohen nga faktorë të ndryshëm të jashtëm dhe të brendshëm të klasifikuar si rrezik. Ky ndikim shprehet në një ndikim negativ në një ose në të njëjtën kohë disa grupe të aseteve të organizatës. Për shembull, një dështim i serverit ndikon në disponueshmërinë e informacionit dhe aplikacioneve të ruajtura në të, dhe riparimi i tij shpërqendron burimet njerëzore, duke krijuar mungesë të tyre në një fushë të caktuar pune dhe duke shkaktuar çorganizim të proceseve të biznesit, ndërsa padisponueshmëria e përkohshme e klientit shërbimet mund të ndikojnë negativisht në imazhin e kompanisë.
Sipas përkufizimit, të gjitha llojet e aseteve janë të rëndësishme për një organizatë. Megjithatë, çdo organizatë ka asete thelbësore jetike dhe asete mbështetëse. Është shumë e lehtë të përcaktosh se cilat asete janë ato kryesore, sepse... Këto janë asetet rreth të cilave ndërtohet biznesi i organizatës. Kështu, biznesi i një organizate mund të bazohet në pronësinë dhe përdorimin e aktiveve të prekshme (për shembull, tokë, pasuri të paluajtshme, pajisje, minerale), biznesi mund të ndërtohet gjithashtu në menaxhimin e aktiveve financiare (aktivitetet e kreditit, sigurimet, investimi), biznesi mund të bazohet në kompetencën dhe autoritetin e specialistëve të veçantë (konsulencë, auditim, trajnim, industri të teknologjisë së lartë dhe me njohuri intensive) ose një biznes mund të rrotullohet rreth aseteve të informacionit (zhvillimi i softuerit, produktet e informacionit, e-commerce, biznesi në internet). Rreziqet e aktiveve fikse janë të mbushura me humbje biznesi dhe humbje të pariparueshme për organizatën, prandaj vëmendja e pronarëve të bizneseve është kryesisht e përqendruar në këto rreziqe dhe menaxhmenti i organizatës merret me to personalisht. Rreziqet për asetet mbështetëse zakonisht rezultojnë në dëme të rikuperueshme dhe nuk janë një përparësi kryesore në sistemin e menaxhimit të organizatës. Në mënyrë tipike, rreziqe të tilla menaxhohen nga njerëz të caktuar posaçërisht, ose këto rreziqe transferohen te një palë e tretë, për shembull, një kontraktues ose një kompani sigurimesh. Për një organizatë, kjo është më shumë një çështje e efikasitetit të menaxhimit sesa mbijetesës.
Qasjet ekzistuese për menaxhimin e rrezikut
Meqenëse rreziqet e sigurisë së informacionit nuk janë ato kryesore për të gjitha organizatat, praktikohen tre qasje kryesore për menaxhimin e këtyre rreziqeve, të ndryshme në thellësi dhe nivel të formalizmit.
Për sistemet jo kritike, kur asetet e informacionit janë ndihmëse dhe niveli i informatizimit nuk është i lartë, gjë që është tipike për shumicën e kompanive moderne ruse, ekziston një nevojë minimale për vlerësimin e rrezikut. Në organizata të tilla është e nevojshme të flitet për disa niveli bazë Siguria e informacionit përcaktohet nga rregulloret dhe standardet ekzistuese, praktikat më të mira, përvoja, si dhe mënyra se si bëhet në shumicën e organizatave të tjera. Megjithatë, standardet ekzistuese, ndërkohë që përshkruajnë një grup të caktuar të kërkesave dhe mekanizmave të sigurisë, gjithmonë përcaktojnë nevojën për të vlerësuar rreziqet dhe fizibilitetin ekonomik të përdorimit të mekanizmave të caktuar të kontrollit për të zgjedhur grup i përgjithshëm kërkesat dhe mekanizmat janë ato që janë të zbatueshme në një organizatë të caktuar.
Për sistemet kritike në të cilat asetet e informacionit nuk janë ato kryesore, por niveli i informatizimit të proceseve të biznesit është shumë i lartë dhe rreziqet e informacionit mund të ndikojnë ndjeshëm në proceset kryesore të biznesit, duhet të zbatohet vlerësimi i rrezikut, megjithatë në këtë rast këshillohet të kufizohet veten ndaj qasjeve joformale cilësore për zgjidhjen e këtij problemi, duke i kushtuar vëmendje Vëmendje e veçantë sistemet më kritike.
Kur biznesi i një organizate ndërtohet rreth aseteve të informacionit dhe rreziqet e sigurisë së informacionit janë ato kryesore, duhet përdorur një qasje formale dhe metoda sasiore për të vlerësuar këto rreziqe.
Në shumë kompani, disa lloje asetesh mund të jenë jetike në të njëjtën kohë, për shembull, kur biznesi është i larmishëm ose kompania është e angazhuar në krijimin e produkteve të informacionit dhe burimet njerëzore dhe ato të informacionit mund të jenë po aq të rëndësishme për të. Në këtë rast, qasja racionale është kryerja e një vlerësimi të rrezikut të nivelit të lartë për të përcaktuar se cilat sisteme janë shumë të ekspozuara ndaj rrezikut dhe cilat janë kritike për operacionet e biznesit, e ndjekur nga një vlerësim i detajuar i rrezikut të sistemeve të identifikuara. Për të gjitha sistemet e tjera jo kritike, këshillohet të kufizoheni në përdorimin e një qasjeje bazë, duke marrë vendime për menaxhimin e rrezikut bazuar në përvojën ekzistuese, mendimet e ekspertëve dhe praktikat më të mira.
Nivelet e pjekurisë
Zgjedhja e qasjes për vlerësimin e rrezikut në një organizatë, përveç natyrës së biznesit të saj dhe nivelit të informatizimit të proceseve të biznesit, ndikohet edhe nga niveli i pjekurisë së saj. Menaxhimi i rrezikut të sigurisë së informacionit është një detyrë biznesi e iniciuar nga menaxhmenti i një organizate për shkak të vetëdijes dhe shkallës së vetëdijes për problemet e sigurisë së informacionit, kuptimi i së cilës është mbrojtja e biznesit nga kërcënimet reale ekzistuese të sigurisë së informacionit. Sipas shkallës së ndërgjegjësimit, mund të gjurmohen disa nivele të pjekurisë së organizatave, të cilat në një farë mase lidhen me nivelet e pjekurisë të përcaktuara në COBIT dhe standarde të tjera:
- Në nivelin fillestar, nuk ka ndërgjegjësim si i tillë; organizata merr masa të fragmentuara për të garantuar sigurinë e informacionit, të iniciuara dhe zbatuara nga specialistë të IT-së nën përgjegjësinë e tyre.
- Në nivelin e dytë, organizata përcakton përgjegjësinë për sigurinë e informacionit; bëhen përpjekje për të përdorur zgjidhje të integruara me menaxhim të centralizuar dhe për të zbatuar procese të veçanta të menaxhimit të sigurisë së informacionit.
- Niveli i tretë karakterizohet nga aplikimi i një qasjeje procesi për menaxhimin e sigurisë së informacionit të përshkruar në standarde. Sistemi i menaxhimit të sigurisë së informacionit bëhet aq i rëndësishëm për organizatën saqë konsiderohet si një komponent i domosdoshëm i sistemit të menaxhimit të organizatës. Sidoqoftë, një sistem i plotë i menaxhimit të sigurisë së informacionit nuk ekziston ende, sepse mungon element bazë të këtij sistemi janë proceset e menaxhimit të riskut.
- Organizatat me shkallën më të lartë të ndërgjegjësimit për problemet e sigurisë së informacionit karakterizohen nga përdorimi i një qasjeje të formalizuar për menaxhimin e rrezikut të sigurisë së informacionit, e karakterizuar nga prania e proceseve të dokumentuara për planifikimin, zbatimin, monitorimin dhe përmirësimin.
Modeli i procesit të menaxhimit të rrezikut
Në mars të këtij viti, u miratua një standard i ri britanik, BS 7799 Pjesa 3 - Sistemet e menaxhimit të sigurisë së informacionit - Praktika e menaxhimit të rrezikut të sigurisë së informacionit. ISO pret që ky dokument të miratohet si Standard Ndërkombëtar deri në fund të vitit 2007. BS 7799-3 përcakton vlerësimin e rrezikut dhe proceset e menaxhimit si një element integral i sistemit të menaxhimit të një organizate, duke përdorur të njëjtin model procesi si standardet e tjera të menaxhimit, i cili përfshin katër grupe procesi: plani, bëj, rishikim, akt (PDA), i cili pasqyron standardin. cikli i çdo procesi menaxhimi. Ndërsa ISO 27001 përshkruan ciklin e përgjithshëm të menaxhimit të sigurisë nga fundi në fund, BS 7799-3 e zgjeron atë në proceset e menaxhimit të rrezikut të sigurisë së informacionit.
Në sistemin e menaxhimit të rrezikut të sigurisë së informacionit, në fazën e planifikimit, përcaktohet politika dhe metodologjia për menaxhimin e rrezikut dhe kryhet një vlerësim i rrezikut, i cili përfshin një inventar të aseteve, përpilimin e profileve të kërcënimit dhe cenueshmërisë, vlerësimin e efektivitetit të kundërmasave. dhe dëmtimin e mundshëm, dhe përcaktimin e nivelit të pranueshëm të rreziqeve të mbetura.
Në fazën e zbatimit, përpunohen rreziqet dhe futen mekanizmat e kontrollit për t'i minimizuar ato. Menaxhmenti i organizatës merr një nga katër vendimet për çdo rrezik të identifikuar: injoroni, shmangni, transferoni te një palë e jashtme ose minimizoni. Pas kësaj, hartohet dhe zbatohet një plan për trajtimin e rrezikut.
Në fazën e Verifikimit, monitorohet funksionimi i mekanizmave të kontrollit, monitorohen ndryshimet në faktorët e rrezikut (pasuri, kërcënime, dobësi), kryhen auditime dhe kryhen procedura të ndryshme kontrolli.
Në fazën e veprimit bazuar në rezultate monitorimi i vazhdueshëm dhe inspektimet e kryera, ndërmerren veprimet e nevojshme korrigjuese, të cilat mund të përfshijnë, veçanërisht, rivlerësimin e madhësisë së rreziqeve, rregullimin e politikës dhe metodologjisë së menaxhimit të rrezikut, si dhe planin e trajtimit të rrezikut.
Faktoret e rrezikut
Thelbi i çdo qasjeje të menaxhimit të rrezikut është të analizojë faktorët e rrezikut dhe të marrë vendime adekuate për trajtimin e rreziqeve. Faktorët e rrezikut janë parametrat kryesorë që ne përdorim kur vlerësojmë rreziqet. Ekzistojnë vetëm shtatë parametra të tillë:
- Aseti
- Dëmi (humbje)
- Kërcënimi
- Cenueshmëria
- Mekanizmi i kontrollit
- Humbja mesatare vjetore (ALE)
- Kthimi nga investimi (ROI)
Mënyra se si analizohen dhe vlerësohen këto parametra përcaktohet nga metodologjia e vlerësimit të rrezikut të përdorur në organizatë. Në të njëjtën kohë, qasja e përgjithshme dhe modeli i arsyetimit janë afërsisht të njëjta, pavarësisht se çfarë metodologjie përdoret. Procesi i vlerësimit të rrezikut përfshin dy faza. Në fazën e parë, e cila është përcaktuar në standarde si analiza e rrezikut, është e nevojshme t'i përgjigjemi pyetjeve të mëposhtme:
- Cili është aseti kryesor i kompanisë?
- Cila është vlera reale e këtij aseti?
- Çfarë kërcënimesh ekzistojnë për këtë aset?
- Cilat janë pasojat e këtyre kërcënimeve dhe dëmtimit të biznesit?
- Sa të mundshme janë këto kërcënime?
- Sa i prekshëm është biznesi ndaj këtyre kërcënimeve?
- Sa është humbja mesatare vjetore e pritshme?
Në fazën e dytë, e cila përcaktohet nga standardet si vlerësimi i rrezikut, është e nevojshme t'i përgjigjemi pyetjes: Cili nivel rreziku (sasia e humbjeve mesatare vjetore) është i pranueshëm për organizatën dhe, në bazë të kësaj, cilat rreziqe e tejkalojnë këtë. niveli.
Kështu, bazuar në rezultatet e vlerësimit të rrezikut, marrim një përshkrim të rreziqeve që tejkalojnë nivelin e pranueshëm dhe një vlerësim të madhësisë së këtyre rreziqeve, i cili përcaktohet nga madhësia e humbjeve mesatare vjetore. Më pas, ju duhet të merrni një vendim për trajtimin e rrezikut, d.m.th. Pergjigju pyetjeve ne vazhdim:
- Cilin opsion të trajtimit të rrezikut zgjedhim?
- Nëse merret një vendim për të minimizuar rrezikun, çfarë mekanizma kontrolli duhet të përdoren?
- Sa efektive janë këto kontrolle dhe çfarë kthimi nga investimi do të ofrojnë?
Rezultati i këtij procesi është një plan i trajtimit të rrezikut që përcakton se si trajtohen rreziqet, koston e kundërmasave, si dhe kohën dhe përgjegjësinë për zbatimin e kundërmasave.
Vendimi për trajtimin e rrezikut
Marrja e një vendimi për trajtimin e rrezikut është momenti kyç dhe më kritik në procesin e menaxhimit të rrezikut. Në mënyrë që menaxhmenti të marrë vendimin e duhur, personi përgjegjës për menaxhimin e rrezikut në organizatë duhet t'i sigurojë atij informacionin përkatës. Përcaktohet forma e paraqitjes së një informacioni të tillë algoritmi standard komunikimi i biznesit, i cili përfshin katër pika kryesore:
- Raportimi i problemit: Cili është kërcënimi për biznesin (burimi, objekti, mënyra e zbatimit) dhe cila është arsyeja e ekzistencës së tij?
- Ashpërsia e problemit: Si e kërcënon kjo organizatën, menaxhmentin dhe aksionarët e saj?
- Zgjidhja e propozuar: Çfarë propozohet të bëhet për të korrigjuar situatën, sa do të kushtojë, kush duhet ta bëjë atë dhe çfarë kërkohet drejtpërdrejt nga menaxhmenti?
- Zgjidhjet alternative: Cilat mënyra të tjera për të zgjidhur problemin ekzistojnë (ka gjithmonë alternativa dhe menaxhmenti duhet të ketë mundësinë të zgjedhë).
Pikat 1 dhe 2, si dhe 3 dhe 4 mund të ndërrohen, në varësi të situatës specifike.
Metodat e menaxhimit të rrezikut
Ekziston një numër i mjaftueshëm i metodave të vlerësimit dhe menaxhimit të rrezikut të provuara mirë dhe të përdorura gjerësisht. Një metodë e tillë është OCTAVE, e zhvilluar në Universitetin Carnegie Melon për përdorim të brendshëm në organizata. OCTAVE - Vlerësimi i Kërcënimit Kritik Operacional, Aseteve dhe Vulnerabilitetit (Vlerësimi i Kërcënimit Kritik Operacional, Aseteve dhe Vulnerabilitetit) ka një numër modifikimesh të dizajnuara për organizatat madhësive të ndryshme dhe fushat e veprimtarisë. Thelbi i kësaj metode është se një sekuencë e punëtorive të brendshme të organizuara në mënyrë të përshtatshme përdoret për të vlerësuar rreziqet. Vlerësimi i rrezikut kryhet në tre faza, të cilat paraprihen nga një sërë aktivitetesh përgatitore, duke përfshirë marrëveshjen për orarin e seminareve, caktimin e roleve, planifikimin dhe koordinimin e veprimeve të anëtarëve të ekipit të projektit.
Në fazën e parë, gjatë seminareve praktike, zhvillohen profilet e kërcënimeve, duke përfshirë një inventar dhe vlerësim të vlerës së aseteve, identifikimin e kërkesave ligjore dhe rregullatore në fuqi, identifikimin e kërcënimeve dhe vlerësimin e gjasave të tyre, si dhe përcaktimin e një sistemi të masat organizative për ruajtjen e regjimit të sigurisë së informacionit.
Në fazën e dytë bëhet analiza teknike dobësitë e sistemeve të informacionit të organizatës në lidhje me kërcënimet, profilet e të cilave janë zhvilluar në fazën e mëparshme, e cila përfshin identifikimin e dobësive ekzistuese të sistemeve të informacionit të organizatës dhe vlerësimin e madhësisë së tyre.
Në fazën e tretë, vlerësohen dhe përpunohen rreziqet e sigurisë së informacionit, i cili përfshin përcaktimin e madhësisë dhe gjasave për të shkaktuar dëme si rezultat i kërcënimeve të sigurisë duke përdorur dobësitë që janë identifikuar në fazat e mëparshme, përcaktimin e një strategjie mbrojtjeje, si dhe zgjedhjen e opsioneve dhe marrjen e vendimeve për trajtimin e rrezikut. Madhësia e rrezikut përcaktohet si humbja mesatare vjetore e organizatës si rezultat i zbatimit të kërcënimeve të sigurisë.
Një qasje e ngjashme përdoret në metodën e mirënjohur të vlerësimit të rrezikut CRAMM, e zhvilluar në një kohë me urdhër të qeverisë britanike. Metoda kryesore e CRAMM për vlerësimin e rrezikut është përmes intervistave të planifikuara me kujdes duke përdorur pyetësorë të detajuar. CRAMM përdoret në mijëra organizata në mbarë botën, falë, ndër të tjera, disponueshmërisë së mjeteve softuerike shumë të zhvilluara që përmbajnë një bazë njohurish mbi rreziqet dhe mekanizmat për minimizimin e tyre, mjetet për mbledhjen e informacionit, gjenerimin e raporteve dhe gjithashtu zbatimin e algoritmeve. për llogaritjen e madhësisë së rreziqeve.
Ndryshe nga metoda OCTAVE, CRAMM përdor një sekuencë paksa të ndryshme veprimesh dhe metodash për përcaktimin e madhësisë së rreziqeve. Së pari, përcaktohet fizibiliteti i vlerësimit të rreziqeve në përgjithësi, dhe nëse sistemi i informacionit të organizatës nuk është mjaftueshëm kritik, atëherë një grup standard i mekanizmave të kontrollit të përshkruar në standardet ndërkombëtare dhe të përfshira në bazën e njohurive CRAMM.
Në fazën e parë, metoda CRAMM ndërton një model të burimeve të sistemit të informacionit që përshkruan marrëdhëniet midis informacionit, softuerit dhe burimeve teknike, si dhe vlerëson vlerën e burimeve bazuar në dëmin e mundshëm që një organizatë mund të pësojë si rezultat i kompromisit të tyre. .
Në fazën e dytë, kryhet një vlerësim i rrezikut, i cili përfshin identifikimin dhe vlerësimin e mundësisë së kërcënimeve, vlerësimin e madhësisë së dobësive dhe llogaritjen e rreziqeve për secilën treshe: burim - kërcënim - cenueshmëri. CRAMM vlerëson rreziqet "të pastra", pavarësisht nga mekanizmat e kontrollit të zbatuar në sistem. Në fazën e vlerësimit të rrezikut, supozohet se nuk zbatohen fare kundërmasa dhe bazuar në këtë supozim formohet një grup kundërmasash të rekomanduara për të minimizuar rreziqet.
Në fazën përfundimtare, paketa e mjeteve CRAMM gjeneron një grup kundërmasash për të minimizuar rreziqet e identifikuara dhe krahason kundërmasat e rekomanduara dhe ekzistuese, pas së cilës formohet një plan për trajtimin e rrezikut.
Paketa e Menaxhimit të Riskut
Në procesin e vlerësimit të rrezikut, ne kalojmë nëpër një sërë fazash të njëpasnjëshme, duke u kthyer periodikisht në fazat e mëparshme, për shembull, duke rivlerësuar një rrezik të caktuar pasi kemi zgjedhur një kundërmasë specifike për ta minimizuar atë. Në çdo fazë, është e nevojshme të keni në dispozicion pyetësorë, lista të kërcënimeve dhe dobësive, regjistrat e burimeve dhe rreziqeve, dokumentacionin, procesverbalet e takimeve, standardet dhe udhëzimet. Në këtë drejtim, ne kemi nevojë për një lloj algoritmi të programuar, bazë të dhënash dhe ndërfaqe për të punuar me këto të dhëna të ndryshme.
Për të menaxhuar rreziqet e sigurisë së informacionit, mund të përdorni mjete, për shembull, si në metodën CRAMM, ose RA2 (treguar në figurë), por kjo nuk është e detyrueshme. Standardi BS 7799-3 thotë pothuajse të njëjtën gjë. Dobia e përdorimit të paketës së veglave mund të qëndrojë në faktin se ai përmban një algoritëm të programuar për vlerësimin e rrezikut dhe rrjedhën e punës së menaxhimit të rrezikut, i cili thjeshton punën për një specialist të papërvojë.
Përdorimi i mjeteve ju lejon të unifikoni metodologjinë dhe të thjeshtoni përdorimin e rezultateve për të rivlerësuar rreziqet, edhe nëse kryhet nga specialistë të tjerë. Falë përdorimit të mjeteve, është e mundur të thjeshtoni ruajtjen e të dhënave dhe të punoni me modelet e burimeve, profilet e kërcënimeve, listat e dobësive dhe rreziqeve.
Përveç vetë instrumenteve të vlerësimit dhe menaxhimit të rrezikut, mjetet softuerike mund të përmbajnë gjithashtu mjete shtesë për dokumentimin e ISMS, analizimin e mospërputhjeve me kërkesat standarde, zhvillimin e një regjistri të burimeve, si dhe mjete të tjera të nevojshme për zbatimin dhe funksionimin e ISMS.
konkluzionet
Zgjedhja e qasjeve cilësore ose sasiore për vlerësimin e rrezikut përcaktohet nga natyra e biznesit të organizatës dhe niveli i informatizimit të saj, d.m.th. rëndësinë e aseteve të informacionit për të, si dhe nivelin e pjekurisë së organizatës.
Kur zbatohet një qasje formale për menaxhimin e rrezikut në një organizatë, është e nevojshme të mbështetemi kryesisht në sensin e përbashkët, standardet ekzistuese (p.sh. BS 7799-3) dhe metodologjitë e vendosura mirë (p.sh. OCTAVE ose CRAMM). Mund të jetë e dobishme të përdoren mjete softuerike për këto qëllime që zbatojnë metodologjitë e duhura dhe plotësojnë kërkesat e standardeve në masën maksimale të mundshme (për shembull, RA2).
Efektiviteti i procesit të menaxhimit të rrezikut të sigurisë së informacionit përcaktohet nga saktësia dhe plotësia e analizës dhe vlerësimit të faktorëve të rrezikut, si dhe nga efektiviteti i mekanizmave të përdorur në organizatë për marrjen e vendimeve të menaxhimit dhe monitorimin e zbatimit të tyre.
Lidhjet
- Astakhov A.M., "Historia e standardit BS 7799", http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
- Astakhov A.M., "Si të ndërtoni dhe certifikoni një sistem të menaxhimit të sigurisë së informacionit?"
Për momentin, rreziqet e sigurisë së informacionit përbëjnë një kërcënim të madh për aktivitetet normale të shumë ndërmarrjeve dhe institucioneve. Në epokën tonë teknologjitë e informacionit Praktikisht nuk është e vështirë për të marrë ndonjë të dhënë. Nga njëra anë, kjo sigurisht që sjell shumë aspekte pozitive, por bëhet problem për fytyrën dhe markën e shumë kompanive.
Mbrojtja e informacionit në ndërmarrje tani po bëhet pothuajse një prioritet kryesor. Ekspertët besojnë se vetëm duke zhvilluar një sekuencë të caktuar të ndërgjegjshme veprimesh mund të arrihet ky qëllim. Në këtë rast, është e mundur të udhëhiqeni vetëm nga fakte të besueshme dhe të përdorni metoda të avancuara analitike. Zhvillimi i intuitës dhe përvojës së specialistit përgjegjës për këtë ndarje në ndërmarrje jep një kontribut të caktuar.
Ky material do t'ju tregojë për menaxhimin e rreziqeve të sigurisë së informacionit të një entiteti biznesi.
Cilat lloje të kërcënimeve të mundshme ekzistojnë në mjedisin e informacionit?
Mund të ketë shumë lloje kërcënimesh. Analiza e rreziqeve të sigurisë së informacionit të ndërmarrjes fillon me shqyrtimin e të gjitha kërcënimeve të mundshme të mundshme. Kjo është e nevojshme për të vendosur mbi metodat e verifikimit në rast të këtyre situatave të paparashikuara, si dhe për të krijuar një sistem të përshtatshëm mbrojtjeje. Rreziqet e sigurisë së informacionit ndahen në kategori të caktuara në varësi të kritereve të ndryshme të klasifikimit. Ato vijnë në llojet e mëposhtme:
- burimet fizike;
- përdorimi i papërshtatshëm i rrjetit kompjuterik dhe i rrjetit botëror;
- rrjedhje nga burime të mbyllura;
- rrjedhje me mjete teknike;
- hyrje e paautorizuar;
- sulmi i aseteve të informacionit;
- shkelje e integritetit të modifikimit të të dhënave;
- emergjenca;
- shkelje ligjore.
Çfarë përfshihet në konceptin e “kërcënimeve fizike ndaj sigurisë së informacionit”?
Llojet e rreziqeve të sigurisë së informacionit përcaktohen në varësi të burimeve të shfaqjes së tyre, mënyrës së zbatimit të ndërhyrjes së paligjshme dhe qëllimit. Më e thjeshta teknikisht, por që ende kërkon ekzekutim profesional, janë kërcënimet fizike. Ato përfaqësojnë akses të paautorizuar në burime të mbyllura. Domethënë ky proces është në fakt një vjedhje e zakonshme. Informacioni mund të merret personalisht, me duart tuaja, thjesht duke pushtuar territorin e institucionit, zyrave, arkivave për të pasur akses në pajisje teknike, dokumentacion dhe mjete të tjera informative.
Vjedhja mund të mos përfshijë as vetë të dhënat, por vendin ku ato ruhen, pra vetë pajisjet kompjuterike. Për të ndërprerë aktivitetet normale të një organizate, sulmuesit thjesht mund të shkaktojnë mosfunksionim të mediave të ruajtjes ose pajisjeve teknike.
Qëllimi i një ndërhyrjeje fizike mund të jetë gjithashtu për të fituar akses në një sistem nga i cili varet mbrojtja e informacionit. Një sulmues mund të ndryshojë opsionet e rrjetit përgjegjës për sigurinë e informacionit në mënyrë që të lehtësojë më tej zbatimin e metodave të paligjshme.
Mundësi kërcënim fizik anëtarë të grupeve të ndryshme me qasje në informacione të klasifikuara, e cila nuk është publike. Qëllimi i tyre është dokumentacioni i vlefshëm. Persona të tillë quhen të brendshëm.
Aktiviteti i sulmuesve të jashtëm mund të drejtohet në të njëjtin objekt.
Si mund të bëhen shkaku i kërcënimeve vetë punonjësit e kompanisë?
Rreziqet e sigurisë së informacionit shpesh lindin për shkak të përdorimit të papërshtatshëm nga punonjësit e internetit dhe të brendshëm sistemi kompjuterik. Sulmuesit janë të shkëlqyeshëm në shfrytëzimin e papërvojës, pakujdesisë dhe mungesës së edukimit të disa njerëzve në lidhje me sigurinë e informacionit. Për të përjashtuar këtë mundësi të vjedhjes së të dhënave konfidenciale, menaxhmenti i shumë organizatave ndjek një politikë të veçantë midis stafit të tyre. Qëllimi i tij është t'u mësojë njerëzve rregullat e sjelljes dhe përdorimit të rrjeteve. Kjo është një praktikë mjaft e zakonshme, pasi kërcënimet që lindin në këtë mënyrë janë mjaft të zakonshme. Programet për marrjen e aftësive të sigurisë së informacionit për punonjësit e ndërmarrjes përfshijnë si më poshtë:
- tejkalimi i përdorimit joefektiv të mjeteve të auditimit;
- zvogëlimi i shkallës në të cilën njerëzit përdorin mjete të posaçme për përpunimin e të dhënave;
- reduktimi i përdorimit të burimeve dhe aseteve;
- trajnimi për të fituar akses në mjetet e rrjetit vetëm me metoda të përcaktuara;
- identifikimi i zonave të ndikimit dhe përcaktimi i territorit të përgjegjësisë.
Kur çdo punonjës kupton se fati i institucionit varet nga kryerja me përgjegjësi e detyrave që i ngarkohen, ai përpiqet t'u përmbahet të gjitha rregullave. Është e nevojshme të vendosen detyra specifike për njerëzit dhe të justifikohen rezultatet e marra.
Si shkelen kushtet e konfidencialitetit?
Rreziqet dhe kërcënimet për sigurinë e informacionit lidhen kryesisht me marrjen e paligjshme të informacionit që nuk duhet të jetë i disponueshëm ndaj të huajve. Kanali i parë dhe më i zakonshëm i rrjedhjes janë të gjitha llojet e komunikimit dhe metodave të komunikimit. Në një kohë kur duket se korrespondenca personale është e disponueshme vetëm për dy palë, ajo përgjohet nga të interesuarit. Edhe pse njerëzit e arsyeshëm e kuptojnë se është e nevojshme të përcillni diçka jashtëzakonisht të rëndësishme dhe sekrete në mënyra të tjera.
Meqenëse shumë informacione ruhen tani në media portative, sulmuesit po zotërojnë në mënyrë aktive përgjimin e informacionit përmes kësaj lloj teknologjie. Dëgjimi i kanaleve të komunikimit është shumë i popullarizuar, vetëm tani të gjitha përpjekjet e gjenive teknike kanë për qëllim thyerjen e barrierave mbrojtëse të telefonave inteligjentë.
Informacioni konfidencial mund të zbulohet pa dashje nga punonjësit e një organizate. Ata nuk mund të zbulojnë drejtpërdrejt të gjitha "hyrjet dhe fjalëkalimet", por vetëm ta çojnë sulmuesin Mënyra më e drejtë. Për shembull, njerëzit, pa e ditur, japin informacion për vendndodhjen e dokumentacionit të rëndësishëm.
Nuk janë gjithmonë vetëm vartësit ata që janë të pambrojtur. Kontraktorët gjithashtu mund të japin informacion konfidencial gjatë partneritetit.
Si cenohet siguria e informacionit me mjete teknike?
Sigurimi i sigurisë së informacionit është kryesisht për shkak të përdorimit të mjeteve teknike të besueshme të mbrojtjes. Nëse sistemi mbështetës është efikas dhe efektiv, të paktën në vetë pajisjet, atëherë kjo është tashmë gjysma e suksesit.
Në thelb, rrjedhja e informacionit sigurohet kështu nga kontrolli sinjale të ndryshme. TE metoda të ngjashme i referohet krijimit të burimeve të specializuara të emetimit ose sinjaleve të radios. Kjo e fundit mund të jetë elektrike, akustike ose vibruese.
Shumë shpesh, përdoren instrumente optike që lejojnë leximin e informacionit nga ekranet dhe monitorët.
Shumëllojshmëria e pajisjeve ofron një gamë të gjerë metodash për infiltrimin dhe nxjerrjen e informacionit nga sulmuesit. Përveç metodave të mësipërme, ekzistojnë edhe zbulimi televiziv, fotografik dhe vizual.
Për shkak të mundësive kaq të gjera, një auditim i sigurisë së informacionit përfshin kryesisht kontrollin dhe analizimin e funksionimit të mjeteve teknike për mbrojtjen e të dhënave konfidenciale.
Çfarë konsiderohet akses i paautorizuar në informacionin e ndërmarrjes?
Menaxhimi i rrezikut të sigurisë së informacionit është i pamundur pa parandaluar kërcënimet e aksesit të paautorizuar.
Një nga përfaqësuesit më të shquar këtë metodë hakimi i sistemit të sigurisë së dikujt tjetër është caktimi i një ID të përdoruesit. Kjo metodë quhet "Maskaradë". Qasje e paautorizuar në këtë rast është aplikimi i të dhënave të vërtetimit. Kjo do të thotë, qëllimi i ndërhyrës është të marrë një fjalëkalim ose ndonjë identifikues tjetër.
Sulmuesit mund të ushtrojnë ndikim nga brenda vetë objektit ose nga jashtë. Merrni informacionin e nevojshëm ato mund të vijnë nga burime të tilla si një regjistër auditimi ose mjete auditimi.
Shpesh shkelësi përpiqet të zbatojë politikën e zbatimit dhe të përdorë metoda në dukje plotësisht ligjore.
Qasja e paautorizuar zbatohet për burimet e mëposhtme të informacionit:
- faqe interneti dhe hoste të jashtëm;
- rrjeti pa tela i ndërmarrjes;
- kopje rezervë të të dhënave.
Ka mënyra dhe metoda të panumërta të aksesit të paautorizuar. Sulmuesit kërkojnë të meta dhe boshllëqe në konfigurimin dhe arkitekturën e softuerit. Ata marrin të dhëna duke modifikuar softuerin. Për të neutralizuar dhe qetësuar vigjilencën, shkelësit lëshojnë malware dhe bomba logjike.
Cilat janë kërcënimet ligjore për sigurinë e informacionit të një kompanie?
Menaxhimi i rrezikut të sigurisë së informacionit funksionon në drejtime të ndryshme, sepse qëllimi i tij kryesor është të sigurojë mbrojtje gjithëpërfshirëse dhe holistike të ndërmarrjes nga ndërhyrjet e jashtme.
Jo më pak i rëndësishëm se drejtimi teknik është ai ligjor. Në këtë mënyrë, e cila, përkundrazi, duket se duhet të mbrojë interesat, rezulton të merret informacion shumë i dobishëm.
Shkeljet nga ana ligjore mund të lidhen me të drejtat pronësore, të drejtat e autorit dhe të drejtat e patentës. Përdorimi i paligjshëm i softuerit, duke përfshirë importin dhe eksportin, gjithashtu bie në këtë kategori. Ju mund të shkelni kërkesat ligjore vetëm duke mos respektuar kushtet e kontratës ose kuadrin ligjor në tërësi.
Si të vendosni qëllimet e sigurisë së informacionit?
Sigurimi i sigurisë së informacionit fillon me krijimin e zonës së mbrojtjes. Është e nevojshme të përcaktohet qartë se çfarë duhet të mbrohet dhe nga kush. Për ta bërë këtë, përcaktohet një portret i një krimineli të mundshëm, si dhe metodat e mundshme të hakimit dhe infiltrimit. Për të vendosur qëllime, së pari duhet të flisni me menaxhmentin. Do t'ju tregojë fushat prioritare mbrojtjes.
Nga ky moment fillon kontrolli i sigurisë së informacionit. Kjo ju lejon të përcaktoni se në çfarë raporti është e nevojshme të aplikoni teknikat teknologjike dhe metodat e biznesit. Rezultati i këtij procesi është një listë përfundimtare e aktiviteteve, e cila përcakton qëllimet me të cilat përballet njësia për të siguruar mbrojtje kundër ndërhyrjeve të paautorizuara. Procedura e auditimit ka për qëllim identifikimin e pikave kritike dhe pika të dobëta sistemet që ndërhyjnë në funksionimin dhe zhvillimin normal të ndërmarrjes.
Pas përcaktimit të qëllimeve, zhvillohet një mekanizëm për zbatimin e tyre. Po zhvillohen mjete për monitorimin dhe minimizimin e rreziqeve.
Çfarë roli luajnë aktivet në analizën e rrezikut?
Rreziqet e sigurisë së informacionit organizativ ndikojnë drejtpërdrejt në asetet e ndërmarrjes. Në fund të fundit, qëllimi i sulmuesve është të marrin informacion të vlefshëm. Humbja ose zbulimi i tij sigurisht që do të çojë në humbje. Dëmi i shkaktuar nga një ndërhyrje e paautorizuar mund të ketë një ndikim të drejtpërdrejtë ose mund të ketë vetëm një ndikim indirekt. Kjo eshte sjellje të pahijshme në lidhje me organizatën mund të çojë në një humbje të plotë të kontrollit mbi biznesin.
Shuma e dëmit vlerësohet sipas aseteve në dispozicion të organizatës. Burimet lëndore janë të gjitha burimet që në çfarëdo mënyre kontribuojnë në zbatimin e qëllimeve të menaxhimit. Asetet e një ndërmarrjeje nënkuptojnë të gjitha aktivet e prekshme dhe të paprekshme që gjenerojnë dhe ndihmojnë në gjenerimin e të ardhurave.
Ekzistojnë disa lloje të aseteve:
- material;
- njerëzore;
- informative;
- financiare;
- proceset;
- markë dhe autoritet.
Lloji i fundit i asetit vuan më së shumti nga ndërhyrjet e paautorizuara. Kjo për faktin se çdo rrezik real i sigurisë së informacionit ndikon në imazh. Problemet me këtë fushë reduktojnë automatikisht respektin dhe besimin në një sipërmarrje të tillë, pasi askush nuk e dëshiron atë informacion konfidencial u bë dijeni publike. Çdo organizatë që respekton veten kujdeset për mbrojtjen e saj burimet e informacionit.
Faktorë të ndryshëm ndikojnë se sa dhe cilat asete do të vuajnë. Ato ndahen në të jashtme dhe të brendshme. Ndikimi i tyre kompleks, si rregull, ndikon njëkohësisht në disa grupe burimesh të vlefshme.
I gjithë biznesi i ndërmarrjes është i ndërtuar mbi asete. Ato janë të pranishme deri diku në aktivitetet e çdo institucioni. Është vetëm se për disa njerëz disa grupe janë më të rëndësishme, dhe të tjerët më pak të rëndësishëm. Në varësi të llojit të aseteve që sulmuesit kanë mundur të ndikojnë, varet rezultati, domethënë dëmi i shkaktuar.
Vlerësimi i rreziqeve të sigurisë së informacionit ju lejon të identifikoni qartë asetet kryesore, dhe nëse ato preken, atëherë kjo është e mbushur me humbje të pariparueshme për ndërmarrjen. Vetë menaxhmenti duhet t'u kushtojë vëmendje këtyre grupeve të burimeve të vlefshme, pasi siguria e tyre është në interes të pronarëve.
Zona prioritare për departamentin e sigurisë së informacionit është e zënë nga asetet ndihmëse. Përgjegjës për mbrojtjen e tyre person i veçantë. Rreziqet në lidhje me to nuk janë kritike dhe prekin vetëm sistemin e menaxhimit.
Cilët janë faktorët e sigurisë së informacionit?
Llogaritja e rreziqeve të sigurisë së informacionit përfshin ndërtimin e një modeli të specializuar. Ai përfaqëson nyjet që janë të lidhura me njëra-tjetrën lidhjet funksionale. Nyjet janë të njëjtat asete. Modeli përdor burimet e mëposhtme të vlefshme:
- Njerëzit;
- strategjia;
- teknologjitë;
- proceset.
Brinjët që i lidhin janë vetë faktorët e rrezikut. Për të identifikuar kërcënimet e mundshme, është më mirë të kontaktoni direkt departamentin ose specialistin që punon me këto asete. Çdo faktor rreziku i mundshëm mund të jetë një parakusht për formimin e një problemi. Modeli nxjerr në pah kërcënimet kryesore që mund të lindin.
Për sa i përket ekipit, problemi është i ulëti niveli arsimor, mungesa e personelit, mungesa e motivimit.
Rreziqet e procesit përfshijnë ndryshueshmërinë mjedisi i jashtëm, automatizimi i dobët i prodhimit, ndarja e paqartë e përgjegjësive.
Teknologjitë mund të vuajnë nga softueri i vjetëruar dhe mungesa e kontrollit mbi përdoruesit. Problemet me peizazhin heterogjen të teknologjisë së informacionit mund të jenë gjithashtu shkaku.
Avantazhi i këtij modeli është se vlerat e pragut të rreziqeve të sigurisë së informacionit nuk janë përcaktuar qartë, pasi problemi shihet nga këndvështrime të ndryshme.
Çfarë është një auditim i sigurisë së informacionit?
Një procedurë e rëndësishme në fushën e sigurisë së informacionit të ndërmarrjes është auditimi. Ai përfaqëson një kontroll gjendja e tanishme sistemet e mbrojtjes kundër ndërhyrjeve të paautorizuara. Procesi i auditimit përcakton shkallën e përputhshmërisë me kërkesat e vendosura. Zbatimi i tij është i detyrueshëm për disa lloje institucionesh, për të tjerët është këshillues. Ekzaminimi kryhet në lidhje me dokumentacionin e departamenteve të kontabilitetit dhe tatimeve, pajisjet teknike dhe pjesët financiare dhe ekonomike.
Një auditim është i nevojshëm për të kuptuar nivelin e sigurisë, dhe në rast të mospërputhjes, optimizimi në normalitet. Kjo procedurë ju lejon gjithashtu të vlerësoni fizibilitetin e investimeve financiare në sigurinë e informacionit. Në fund të fundit, eksperti do të japë rekomandime për shkallën e shpenzimeve financiare për të marrë efikasitetin maksimal. Një auditim ju lejon të rregulloni kontrollet.
Ekspertiza e sigurisë së informacionit ndahet në disa faza:
- Vendosja e qëllimeve dhe mënyrave për t'i arritur ato.
- Analiza e informacionit të nevojshëm për të arritur një vendim.
- Përpunimi i të dhënave të mbledhura.
- Mendimi dhe rekomandimet e ekspertëve.
Në fund të fundit, specialisti do të japë vendimin e tij. Rekomandimet e komisionit më së shpeshti synojnë ndryshimin e konfigurimeve të pajisjeve teknike, si dhe serverëve. Shpesh, një ndërmarrje me probleme i kërkohet të zgjedhë një metodë tjetër sigurie. Ndoshta, për forcim shtesë, ekspertët do të përshkruajnë një sërë masash mbrojtëse.
Puna pas marrjes së rezultateve të auditimit ka për qëllim informimin e ekipit për problemet. Nëse kjo është e nevojshme, atëherë ia vlen të kryhen trajnime shtesë për të rritur edukimin e punonjësve në lidhje me mbrojtjen e burimeve të informacionit të ndërmarrjes.
