Analiza e metodave ekzistuese për vlerësimin e rreziqeve të IB dhe zhvillimi i metodologjisë sonë për sektorin bankar. Metodat e vlerësimit të rrezikut të informacionit

Rreziqet e informacionit janë rreziku i humbjes ose dëmtimit si rezultat i përdorimit të teknologjisë së informacionit nga një kompani.

Me fjalë të tjera, rreziqet e TI-së lidhen me krijimin, transmetimin, ruajtjen dhe përdorimin e informacionit duke përdorur media elektronike dhe mjete të tjera komunikimi. rreziqet ndahen në dy kategori:

• ? rreziqet e shkaktuara nga rrjedhja e informacionit dhe përdorimi i tij nga konkurrentët ose punonjësit për qëllime që mund të dëmtojnë biznesin;
• ? rreziqet e dështimeve teknike në funksionimin e kanaleve të transmetimit të informacionit, të cilat mund të çojnë në humbje.

Puna për të minimizuar rreziqet e TI-së është të parandalojë aksesin e paautorizuar në të dhëna, si dhe aksidentet dhe dështimet e pajisjeve.

Procesi i minimizimit të rreziqeve të TI-së konsiderohet në mënyrë gjithëpërfshirëse: së pari, identifikohen problemet e mundshme, dhe më pas përcaktohet se me cilat metoda mund të zgjidhen.

Tani përdoren metoda të ndryshme për të vlerësuar dhe menaxhuar rreziqet e informacionit të kompanive vendase.

Vlerësimi i rrezikut të informacionit të një kompanie mund të kryhet në përputhje me planin e mëposhtëm:

• ? identifikimin dhe vlerësimin sasior të burimeve të informacionit të kompanisë që janë të rëndësishme për biznesin;
• ? vlerësimi i kërcënimeve të mundshme;
• ? vlerësimi i dobësive ekzistuese;
• ? vlerësimi i efektivitetit të mjeteve të sigurisë së informacionit.

Rreziqet karakterizojnë rrezikun që mund të kërcënojë komponentët e sistemit të informacionit të korporatës.

Rreziqet informative të kompanisë varen nga:

• ? treguesit e vlerës së burimeve të informacionit;
• ? gjasat e zbatimit të kërcënimeve ndaj burimeve;
• ? efektivitetin e mjeteve ekzistuese ose të planifikuara të sigurisë së informacionit.

Qëllimi i vlerësimit të rrezikut është të përcaktojë karakteristikat e rreziqeve të sistemit të informacionit të korporatës dhe burimeve të tij.

Pas vlerësimit të rreziqeve, ju mund të zgjidhni mjetet që sigurojnë nivelin e dëshiruar të sigurisë së informacionit për kompaninë. Gjatë vlerësimit të rreziqeve, merren parasysh faktorë të tillë si vlera e burimeve, rëndësia e kërcënimeve dhe dobësive, dhe efektiviteti i mbrojtjeve ekzistuese dhe të planifikuara.

Mundësia e një kërcënimi për një burim të caktuar të një kompanie vlerësohet nga probabiliteti i realizimit të tij brenda një periudhe të caktuar kohore. Në të njëjtën kohë, probabiliteti që kërcënimi të realizohet përcaktohet nga faktorët kryesorë të mëposhtëm:

• ? atraktiviteti i burimit (i marrë parasysh kur merret parasysh kërcënimi nga ndikimi i qëllimshëm njerëzor);
• ? mundësia e përdorimit të burimit për të gjeneruar të ardhura (gjithashtu në rast të një kërcënimi nga ndikimi i qëllimshëm njerëzor);
• ? aftësitë teknike të zbatimit të kërcënimit në rast të ndikimit të qëllimshëm njerëzor;
• ? lehtësinë me të cilën mund të shfrytëzohet cenueshmëria.

Në Rusi, për momentin, përdoren më shpesh metoda të ndryshme "letër", avantazhet e të cilave janë fleksibiliteti dhe përshtatshmëria. Si rregull, këto metoda zhvillohen nga kompani - sisteme dhe integrues të specializuar në fushën e sigurisë së informacionit.

Softueri i specializuar që zbaton teknikat e analizës së rrezikut mund t'i përkasë kategorisë së produkteve softuerike (të disponueshme në treg) ose të jetë pronë e një departamenti ose organizate dhe të mos shitet.

Nëse softueri zhvillohet si një produkt softuerik, ai duhet të jetë mjaft i gjithanshëm. Opsionet e softuerit të departamentit janë përshtatur me specifikat e përcaktimit të detyrave të analizës dhe menaxhimit të rrezikut dhe lejojnë marrjen parasysh të specifikave të teknologjive të informacionit të organizatës.

Softueri i ofruar në treg është i fokusuar kryesisht në nivelin e sigurisë së informacionit, duke tejkaluar paksa nivelin bazë të sigurisë. Kështu, paketa e veglave është projektuar kryesisht për nevojat e organizatave të 3-4 shkallëve të pjekurisë, të përshkruara në kapitullin e parë.

Për të zgjidhur këtë problem, u zhvilluan sisteme softuerike për analizën dhe kontrollin e rreziqeve të informacionit: CRAMM, FRAP, RiskWatch, Microsoft, GRIF. Më poshtë janë përshkrime të shkurtra të një numri teknikash të zakonshme të analizës së rrezikut.

Teknikat e zakonshme të analizës së rrezikut:

• ? metodologjitë që përdorin një vlerësim cilësor të rrezikut (për shembull, në një shkallë "të lartë", "mesatare", "të ulët"). Këto teknika përfshijnë, në veçanti, FRAP;
• ? metodat sasiore (rreziku vlerësohet përmes një vlere numerike, për shembull, shuma e humbjeve të pritshme vjetore). Kjo klasë përfshin teknikën RiskWatch;
• ? metoda që përdorin vlerësime të përziera (kjo qasje përdoret në CRAMM, metodologjinë e Microsoft, etj.).

Metodologjia CRAMM është një nga punimet e para të huaja për analizën e rreziqeve në fushën e sigurisë së informacionit, e zhvilluar në vitet '80.

Ai bazohet në një qasje të integruar për vlerësimin e rrezikut, duke kombinuar metodat sasiore dhe cilësore të analizës. Metoda është e gjithanshme dhe e përshtatshme si për organizatat e mëdha ashtu edhe për ato të vogla, si për sektorët qeveritarë ashtu edhe për ato komerciale. Versionet e softuerit CRAMM të synuara për lloje të ndryshme organizatash ndryshojnë nga njëri-tjetri në bazat e tyre të njohurive (profilet):

• ? profili komercial;
• ? profilin e qeverisë.

Kur punoni me teknikën, në fazat e para, merret parasysh vlera e burimeve të sistemit në studim dhe mblidhet informacioni parësor në lidhje me konfigurimin e sistemit. Identifikimi i burimeve kryhet: fizike, softuerike dhe informacioni, të përfshira brenda kufijve të sistemit.

Rezultati i kësaj faze është ndërtimi i një modeli sistemi, me një pemë të lidhjes së burimeve. Kjo skemë ju lejon të nënvizoni elementët kritikë. Vlera e burimeve fizike në CRAMM përcaktohet nga kostoja e restaurimit të tyre në rast shkatërrimi.

Vlera e të dhënave dhe softuerit përcaktohet në situatat e mëposhtme:

• ? mungesa e burimeve për një periudhë të caktuar kohe;
• ? shkatërrimi i një burimi - humbja e informacionit të marrë që nga rezervimi i fundit, ose shkatërrimi i plotë i tij;
• ? shkelje e konfidencialitetit në rastet e aksesit të paautorizuar nga anëtarët e stafit ose personat e paautorizuar;
• ? modifikim - konsiderohen për rastet e gabimeve të vogla të personelit (gabimet në hyrje), gabimet e programit, gabimet e qëllimshme;
• ? gabime në lidhje me transferimin e informacionit: refuzimi për të dhënë, mosdorëzimi i informacionit, dërgimi në adresën e gabuar.

• ? dëmtimi i reputacionit të organizatës;
• ? shkelje e legjislacionit aktual;
• ? dëmtimi i shëndetit të personelit;
• ? dëmi i shkaktuar nga zbulimi i të dhënave personale të individëve;
• ? humbje financiare nga zbulimi i informacionit;
• ? humbjet financiare që lidhen me restaurimin e burimeve;
• ? humbjet që lidhen me pamundësinë për të përmbushur detyrimet;
• ? çorganizimi i aktiviteteve.

Faza e dytë shqyrton gjithçka që lidhet me identifikimin dhe vlerësimin e niveleve të kërcënimit për grupet e burimeve dhe dobësitë e tyre. Në fund të fazës, klienti merr nivelet e identifikuara dhe të vlerësuara të rrezikut për sistemin e tij. Në këtë fazë, vlerësohet varësia e shërbimeve të përdoruesve nga grupe të caktuara burimesh dhe niveli ekzistues i kërcënimeve dhe dobësive, llogariten nivelet e rrezikut dhe analizohen rezultatet.

Burimet grupohen sipas llojit të kërcënimit dhe cenueshmërisë. Softueri CRAMM gjeneron një listë pyetjesh të paqarta për secilin grup burimesh dhe secilin nga 36 llojet e kërcënimeve.

Niveli i kërcënimeve vlerësohet, në varësi të përgjigjeve, si shumë i lartë, i lartë, i mesëm, i ulët dhe shumë i ulët. Niveli i cenueshmërisë vlerësohet, në varësi të përgjigjeve, si i lartë, i mesëm dhe i ulët.

Bazuar në këtë informacion, nivelet e rrezikut llogariten në një shkallë diskrete me gradime nga 1 në 7. Nivelet që rezultojnë të kërcënimeve, dobësive dhe rreziqeve analizohen dhe bien dakord me klientin.

Qasja kryesore për zgjidhjen e këtij problemi është të merren parasysh:

• ? niveli i kërcënimit;
• ? niveli i cenueshmërisë;
• ? madhësia e humbjeve financiare të pritshme.

Bazuar në vlerësimet e kostos së burimeve të mbrojtura të IP-së, vlerësimet e kërcënimeve dhe dobësive, përcaktohen "humbjet e pritshme vjetore".

Faza e tretë e studimit është kërkimi i një opsioni të sistemit të sigurisë që i përshtatet më së miri kërkesave të klientit.

Në këtë fazë, CRAMM gjeneron disa opsione për kundërmasa që janë adekuate për rreziqet e identifikuara dhe nivelet e tyre.

Kështu, CRAMM është një shembull i një metodologjie llogaritëse në të cilën vlerësimet fillestare jepen në nivel cilësor, dhe më pas bëhet kalimi në një vlerësim sasior (në pikë).

Puna në metodologjinë CRAMM kryhet në tre faza, secila prej të cilave ka qëllimin e vet në ndërtimin e një modeli rreziku për sistemin e informacionit në tërësi. Kërcënimet ndaj sistemit për burimet e tij specifike merren parasysh. Një analizë e gjendjes softuerike dhe teknike të sistemit kryhet në çdo hap, duke ndërtuar një pemë të varësive në sistem, ju mund të shihni pikat e tij të dobëta dhe të parandaloni humbjen e informacionit si rezultat i një përplasjeje të sistemit, të dyja për shkak ndaj një sulmi virusi dhe kërcënimeve të hakerëve.

Disavantazhet e metodës CRAMM:

• ? përdorimi i metodës CRAMM kërkon trajnim të veçantë dhe kualifikime të larta të auditorit;
• ? CRAMM është shumë më i përshtatshëm për auditimin e IS ekzistuese në fazën operacionale sesa për IS në fazën e zhvillimit;
• ? auditimi duke përdorur metodën CRAMM është një proces mjaft i mundimshëm dhe mund të kërkojë muaj punë të vazhdueshme të auditorit;
• ? Paketa e veglave të softuerit CRAMM gjeneron një sasi të madhe dokumentacioni letre, i cili nuk është gjithmonë i dobishëm në praktikë;
• ? CRAMM nuk ju lejon të krijoni shabllonet tuaja të raportit ose të modifikoni ato ekzistuese;
• ? mundësia për të bërë shtesa në bazën e njohurive CRAMM nuk është e disponueshme për përdoruesit, gjë që shkakton vështirësi të caktuara në përshtatjen e kësaj metode me nevojat e një organizate të caktuar;
• ? Softueri CRAMM disponohet vetëm në anglisht;
• ? kosto e lartë e licencës.

NRU ITMO, ***** @ *** com

Mbikëqyrës Akademik - Doktor i Shkencave, Profesor, NRU ITMO, ***** @

shënim

Metodat për llogaritjen e rrezikut të sigurisë së informacionit konsiderohen në artikull, bëhet një krahasim me një tregues të mangësive kritike. Është paraqitur një propozim për të përdorur metodën tonë të vlerësimit të rrezikut.

Fjalë kyçe: rreziku, sistemi i informacionit, siguria e informacionit, metoda e llogaritjes së riskut, vlerësimi i riskut, aktivi i informacionit.

Prezantimi

Sistemi i menaxhimit të rrezikut të sigurisë së informacionit (IS) është një detyrë urgjente në të gjitha fazat e kompleksit të sigurisë së informacionit. Në të njëjtën kohë, është e pamundur të menaxhohen rreziqet paraprakisht pa i vlerësuar ato, gjë që nga ana tjetër duhet të kryhet sipas ndonjë metode. Në fazën e vlerësimit të rrezikut, më interesantet janë formulat dhe të dhënat hyrëse për llogaritjen e vlerës së rrezikut. Artikulli analizon disa metoda të ndryshme për llogaritjen e rrezikut dhe paraqet metodologjinë e tij. Qëllimi i punës është të nxjerrë një formulë për llogaritjen e rrezikut të sigurisë së informacionit, e cila lejon marrjen e një sërë rreziqesh aktuale dhe vlerësimin e humbjeve në terma monetarë.

Rreziku i sigurisë së informacionit në formën klasike përkufizohet si funksion i tre variablave:

gjasat e një kërcënimi; gjasat e një cenueshmërie (pasigurie); ndikimi i mundshëm.

Nëse ndonjë prej këtyre variablave i afrohet zeros, rreziku i përgjithshëm gjithashtu tenton në zero.

Metodat e vlerësimit të rrezikut

ISO / IEC 27001. Në lidhje me metodologjinë për llogaritjen e vlerës së rrezikut, thuhet se metodologjia e zgjedhur duhet të sigurojë që vlerësimet e rrezikut të japin rezultate të krahasueshme dhe të riprodhueshme. Në të njëjtën kohë, standardi nuk ofron një formulë specifike llogaritëse.

NIST 800-30 ofron një formulë klasike për llogaritjen e rrezikut:

ku R është vlera e rrezikut;

P (t) është probabiliteti i realizimit të një kërcënimi IS (përdoret një përzierje e shkallëve cilësore dhe sasiore);

S - shkalla e ndikimit të kërcënimit mbi aktivin (çmimi i aktivit në një shkallë cilësore dhe sasiore).

Si rezultat, vlera e rrezikut llogaritet në njësi relative, të cilat mund të renditen sipas shkallës së rëndësisë për procedurën e menaxhimit të rrezikut të sigurisë së informacionit.

GOST R ISO / IEC TO 7. Llogaritja e rrezikut, ndryshe nga standardi NIST 800-30, bazohet në tre faktorë:

R = P (t) * P (v) * S,

ku R është vlera e rrezikut;

P (t) është probabiliteti i realizimit të kërcënimit të IS;

P (v) është probabiliteti i një cenueshmërie;

S është vlera e aktivit.

Si shembull i vlerave të probabiliteteve P (t) dhe P (v), jepet një shkallë cilësore me tre nivele: e ulët, e mesme dhe e lartë. Për të vlerësuar vlerën e vlerës së aktivit S, vlerat numerike janë paraqitur në rangun nga 0 në 4. Krahasimi i vlerave cilësore duhet të kryhet nga organizata në të cilën vlerësohen rreziqet e sigurisë së informacionit.

BS 7799. Niveli i rrezikut llogaritet duke marrë parasysh tre tregues - vlerën e burimit, nivelin e kërcënimit dhe shkallën e cenueshmërisë. Me një rritje të vlerave të këtyre tre parametrave, rreziku rritet, kështu që formula mund të përfaqësohet si më poshtë:

R = S * L (t) * L (v),

ku R është vlera e rrezikut;

S është vlera e aktivit/burimit;

L (t) - niveli i kërcënimit;

L (v) - niveli / shkalla e cenueshmërisë.

Në praktikë, llogaritja e rreziqeve të IS kryhet sipas tabelës së pozicionimit të vlerave të nivelit të kërcënimit, shkallës së probabilitetit të shfrytëzimit të cenueshmërisë dhe vlerës së aktivit. Vlera e rrezikut mund të ndryshojë në intervalin nga 0 në 8, si rezultat, për çdo aktiv, merret një listë kërcënimesh me vlera të ndryshme rreziku. Standardi ofron gjithashtu një shkallë për renditjen e rreziqeve: të ulëta (0-2), të mesme (3-5) dhe të larta (6-8), e cila ju lejon të përcaktoni rreziqet më kritike.

STO BR IBBS. Sipas standardit, vlerësimi i shkallës së mundësisë së realizimit të një kërcënimi të sigurisë së informacionit bëhet në një shkallë cilësore dhe sasiore, një kërcënim i parealizueshëm - 0%, një mesatare - nga 21% në 50%, etj. - një sasior shkalla, domethënë minimumi është 0.5% e kapitalit të bankës, e lartë - nga 1.5% në 3% të kapitalit të bankës.

Për të kryer një vlerësim cilësor të rreziqeve të sigurisë së informacionit, përdoret një tabelë e korrespondencës midis ashpërsisë së pasojave dhe mundësisë së realizimit të kërcënimit. Nëse është e nevojshme të bëhet një vlerësim sasior, atëherë formula mund të përfaqësohet si:

ku R është vlera e rrezikut;

P (v) është probabiliteti i realizimit të kërcënimit të IS;

S është vlera e aktivit (ashpërsia e pasojave).

Metoda e propozuar

Duke marrë parasysh të gjitha metodat e mësipërme të vlerësimit të rrezikut në drejtim të llogaritjes së vlerës së rrezikut të sigurisë së informacionit, vlen të theksohet se përllogaritja e rrezikut kryhet duke përdorur vlerën e kërcënimeve dhe vlerën e aktivit. Një pengesë e rëndësishme është vlerësimi i vlerës së aseteve (sasia e dëmit) në formën e vlerave të kushtëzuara. Vlerat e kushtëzuara nuk kanë njësi matëse të zbatueshme në praktikë, në veçanti, ato nuk janë ekuivalente monetare. Si rezultat, kjo nuk jep një ide reale të nivelit të rrezikut që mund të transferohet në asetet reale të objektit të mbrojtur.

Kështu, propozohet që procedura e llogaritjes së rrezikut të ndahet në dy faza:

1. Llogaritja e vlerës së rrezikut teknik.

2. Llogaritja e dëmit të mundshëm.

Rreziku teknik kuptohet si vlera e rrezikut të sigurisë së informacionit, i cili konsiston në probabilitetet e zbatimit të kërcënimeve dhe shfrytëzimit të dobësive të secilit komponent të infrastrukturës së informacionit, duke marrë parasysh nivelin e konfidencialitetit, integritetit dhe disponueshmërisë së tyre. Për fazën e parë, ne kemi 3 formulat e mëposhtme:

Rc = Kc * P (T) * P (V), Ri = Ki * P (T) * P (V),

Ra = Ka * P (T) * P (V),

ku Rc është vlera e rrezikut të konfidencialitetit;

Ri është vlera e rrezikut të integritetit;

Ra është vlera e rrezikut të disponueshmërisë;

Kс - koeficienti i konfidencialitetit të një aktivi informacioni;

Ki është faktori i integritetit të aktivit të informacionit;

Ka është koeficienti i disponueshmërisë së një aktivi informacioni;

P (T) është probabiliteti i realizimit të kërcënimit;

P (V) është probabiliteti i shfrytëzimit të cenueshmërisë.

Përdorimi i këtij algoritmi do të bëjë të mundur që të bëhet një vlerësim më i detajuar i rrezikut, duke marrë në dalje një vlerë pa dimension të probabilitetit të rrezikut të komprometimit të çdo aktivi informacioni veç e veç.

Më pas, është e mundur të llogaritet vlera e dëmit, për këtë përdoret vlera mesatare e rrezikut të çdo aktivi informacioni dhe sasia e humbjeve të mundshme:

ku L është vlera e dëmit;

Rav - vlera mesatare e rrezikut;

S - humbje (në terma monetarë).

Metodologjia e propozuar bën të mundur vlerësimin e saktë të vlerës së rrezikut të sigurisë së informacionit dhe llogaritjen e humbjeve monetare në rast incidentesh sigurie.

Letërsia

1. ISO / IEC 27001. Standardi ndërkombëtar përmban kërkesat e sigurisë së informacionit për krijimin, zhvillimin dhe mirëmbajtjen e një sistemi të menaxhimit të sigurisë së informacionit. 20s.

2. GOST R ISO / IEC TO 7. Standardi kombëtar i Federatës Ruse. Metodat dhe mjetet për të garantuar sigurinë. Pjesa 3. Metodat e menaxhimit të sigurisë së teknologjisë së informacionit. Moska. 20s.

3. BS 7799-2: 2005 Specifikimi i Sistemit të Menaxhimit të Sigurisë së Informacionit. Anglia. 20s.

4. RS BR IBBS-2.2-200. Sigurimi i sigurisë së informacionit të organizatave në sistemin bankar të Federatës Ruse. Metodat për vlerësimin e rreziqeve të shkeljeve të sigurisë së informacionit. Moska. 20s.

5. Udhëzues për Menaxhimin e Riskut për Sistemet e Teknologjisë së Informacionit. Rekomandimet e Institutit Kombëtar të Standardeve dhe Teknologjisë. SHBA. 20s.

6. Burimi elektronik Wikipedia, artikulli “Rreziku”.

Si të vlerësoni saktë rreziqet e sigurisë së informacionit - receta jonë

Detyra e vlerësimit të rreziqeve të sigurisë së informacionit sot perceptohet nga komuniteti i ekspertëve në mënyrë të paqartë dhe ka disa arsye për këtë. Së pari, nuk ka asnjë standard të artë apo qasje të pranuar. Standardet dhe metodologjitë e shumta, megjithëse të ngjashme në terma të përgjithshëm, ndryshojnë ndjeshëm në detaje. Zbatimi i një metodologjie të caktuar varet nga fusha dhe objekti i vlerësimit. Megjithatë, zgjedhja e metodës së duhur mund të bëhet problem nëse pjesëmarrësit në procesin e vlerësimit kanë perceptime të ndryshme për të dhe rezultatet e saj.

Së dyti, vlerësimi i rreziqeve të sigurisë së informacionit është një detyrë thjesht eksperte. Analiza e faktorëve të rrezikut (si dëmtimi, kërcënimi, cenueshmëria, etj.) e kryer nga ekspertë të ndryshëm shpesh jep rezultate të ndryshme. Riprodhueshmëria e pamjaftueshme e rezultateve të vlerësimit ngre pyetjen e besueshmërisë dhe dobisë së të dhënave të marra. Natyra njerëzore është e tillë që vlerësimet abstrakte, veçanërisht ato që lidhen me njësitë e matjes probabiliste, perceptohen nga njerëzit në mënyra të ndryshme. Teoritë ekzistuese të aplikuara të krijuara për të marrë parasysh masën e perceptimit subjektiv të një personi (për shembull, teoria e perspektivës) ndërlikojnë metodologjinë tashmë të ndërlikuar të analizës së rrezikut dhe nuk kontribuojnë në popullarizimin e tij.

Së treti, vetë procedura e vlerësimit të rrezikut në kuptimin e saj klasik, me zbërthimin dhe inventarizimin e aktiveve është një detyrë shumë e mundimshme. Përpjekja për të kryer analiza manuale duke përdorur mjete të zakonshme zyre (të tilla si tabelat) në mënyrë të pashmangshme mbytet në një det informacioni. Mjetet e specializuara softuerike të krijuara për të thjeshtuar fazat individuale të analizës së rrezikut, në një farë mase, lehtësojnë modelimin, por ato nuk thjeshtojnë aspak mbledhjen dhe sistematizimin e të dhënave.

Së fundi, vetë përkufizimi i rrezikut në kontekstin e problemit të sigurisë së informacionit nuk është vendosur ende. Thjesht shikoni ndryshimet në terminologjinë ISO Guide 73: 2009 në krahasim me versionin 2002. Ndërsa rreziku më herët përkufizohej si potencial për dëmtim për shkak të shfrytëzimit të cenueshmërisë nga çdo kërcënim, tani është efekt i devijimit nga rezultatet e pritura. Ndryshime të ngjashme konceptuale kanë ndodhur në botimin e ri të ISO / IEC 27001: 2013.

Për këtë, si dhe për një sërë arsyesh të tjera, vlerësimi i rreziqeve të sigurisë së informacionit trajtohet me kujdes në rastin më të mirë dhe me mosbesim të madh në rastin më të keq. Kjo diskrediton vetë idenë e menaxhimit të rrezikut, e cila, si rrjedhojë, çon në sabotimin e këtij procesi nga ana e menaxhmentit dhe, si rrjedhojë, në shfaqjen e incidenteve të shumta të mbushura me raporte analitike vjetore.

Duke marrë parasysh sa më sipër, nga cila anë është më mirë t'i qasemi detyrës së vlerësimit të rreziqeve të sigurisë së informacionit?

Një pamje e freskët

Siguria e informacionit sot fokusohet gjithnjë e më shumë në qëllimet e biznesit dhe është e përfshirë në proceset e biznesit. Një metamorfozë e ngjashme po ndodh me vlerësimin e rrezikut - ai fiton kontekstin e nevojshëm të biznesit. Cilat kritere duhet të plotësojë një metodologji moderne e vlerësimit të rrezikut të IS? Natyrisht, ai duhet të jetë mjaft i thjeshtë dhe universal, në mënyrë që rezultatet e aplikimit të tij të frymëzojnë besim dhe të jenë të dobishëm për të gjithë pjesëmarrësit në proces. Le të theksojmë një sërë parimesh mbi të cilat duhet të bazohet një teknikë e tillë:

1. shmangni detajet e panevojshme;
2. mbështetuni në opinionin e biznesit;
3. përdorni shembuj;
4. konsideroni burimet e jashtme të informacionit.

Thelbi i metodologjisë së propozuar ilustrohet më së miri nga një shembull praktik. Merrni parasysh problemin e vlerësimit të rreziqeve të sigurisë së informacionit në një kompani tregtare dhe prodhuese. Si fillon zakonisht? Me përcaktimin e kufijve të vlerësimit. Nëse vlerësimi i rrezikut kryhet për herë të parë, kufijtë e tij duhet të përfshijnë proceset kryesore të biznesit që gjenerojnë të ardhura, si dhe proceset që u shërbejnë atyre.

Nëse proceset e biznesit nuk janë të dokumentuara, një ide e përgjithshme për to mund të merret duke ekzaminuar strukturën organizative dhe rregulloret mbi departamentet, duke përmbajtur një përshkrim të qëllimeve dhe objektivave.

Pasi kemi përcaktuar kufijtë e vlerësimit, le të kalojmë në identifikimin e aktiveve. Në përputhje me sa më sipër, ne do t'i konsiderojmë proceset kryesore të biznesit si aktive të konsoliduara, duke shtyrë inventarin e burimeve të informacionit në fazat e ardhshme (rregulli 1). Kjo për faktin se metodologjia supozon një kalim gradual nga e përgjithshme në të veçantë dhe në këtë nivel detajesh, këto të dhëna thjesht nuk janë të nevojshme.

Faktoret e rrezikut

Ne do të supozojmë se kemi vendosur për përbërjen e aktiveve që vlerësohen. Më pas, ju duhet të identifikoni kërcënimet dhe dobësitë që lidhen me to. Megjithatë, kjo qasje është e zbatueshme vetëm kur kryhet një analizë e detajuar e rrezikut, ku objektet e mjedisit të aseteve të informacionit janë objekt vlerësimi. Në versionin e ri të ISO / IEC 27001: 2013, fokusi i vlerësimit të rrezikut është zhvendosur nga asetet tradicionale të TI-së tek informacioni dhe përpunimi i tij. Meqenëse në nivelin aktual të detajeve po shqyrtojmë proceset e zgjeruara të biznesit të kompanisë, mjafton të identifikohen vetëm faktorët e rrezikut të nivelit të lartë të qenësishëm në to.

Një faktor rreziku është një karakteristikë specifike e një objekti, teknologjie ose procesi që është burim problemesh në të ardhmen. Në të njëjtën kohë, ne mund të flasim për praninë e rrezikut si të tillë vetëm nëse problemet ndikojnë negativisht në performancën e kompanisë. Ndërtohet një zinxhir logjik:

Kështu, detyra e identifikimit të faktorëve të rrezikut reduktohet në identifikimin e vetive dhe karakteristikave të pasuksesshme të proceseve që përcaktojnë skenarët e mundshëm për realizimin e rrezikut që kanë një ndikim negativ në biznes. Për të thjeshtuar zgjidhjen, le të përdorim modelin e biznesit ISACA për sigurinë e informacionit (shih Figurën 1):

Oriz. 1. Modeli i biznesit të sigurisë së informacionit

Nyjet e modelit tregojnë forcat kryesore lëvizëse të çdo organizate: strategjia, proceset, njerëzit dhe teknologjitë, dhe skajet e tij përfaqësojnë lidhjet funksionale midis tyre. Në këto brinjë, në thelb, janë përqendruar faktorët kryesorë të rrezikut. Është e lehtë të shihet se rreziqet lidhen jo vetëm me teknologjinë e informacionit.

Si të identifikohen faktorët e rrezikut bazuar në modelin e dhënë? Është e nevojshme të përfshihet biznesi në këtë (rregulli 2). Njësitë e biznesit zakonisht janë të vetëdijshme për sfidat me të cilat përballen në punë. Përvoja e kolegëve në industri gjithashtu kujtohet shpesh. Ju mund ta merrni këtë informacion duke bërë pyetjet e duhura. Këshillohet që çështjet e lidhura me personelin t'i adresohen departamentit të burimeve njerëzore, çështjet teknologjike në shërbimin e automatizimit (IT) dhe çështjet që lidhen me biznesin tek njësitë përkatëse të biznesit.

Në detyrën e identifikimit të faktorëve të rrezikut, është më e përshtatshme të nisesh nga problemet. Pas identifikimit të një problemi, është e nevojshme të përcaktohet shkaku i tij. Si rezultat, mund të identifikohet një faktor i ri rreziku. Vështirësia kryesore këtu është të mos rrëshqasë në veçanti. Për shembull, nëse një incident ka ndodhur si rezultat i veprimeve të paligjshme të një punonjësi, faktori i rrezikut nuk do të jetë se punonjësi ka shkelur dispozitat e ndonjë rregulloreje, por që vetë veprimi është bërë i mundur. Një faktor rreziku është gjithmonë një parakusht për një problem.

Në mënyrë që stafi të kuptojë më mirë se për çfarë saktësisht pyeten, këshillohet që pyetjet të shoqërohen me shembuj (rregulli 3). Më poshtë janë shembuj të disa faktorëve të rrezikut të nivelit të lartë që mund të gjenden në shumë procese biznesi:

Stafi:

• Kualifikime të pamjaftueshme (faktorët njerëzorë në Fig. 1)
• Mungesa e punonjësve (brinjë emergjente)
• Motivim i ulët (kultura e brinjëve)

Proceset:

• Ndryshimi i shpeshtë i kërkesave të jashtme (Auza drejtuese)
• Automatizimi i procesit i pazhvilluar (Aktivizimi dhe Mbështetja e skajeve)
• Kombinimi i roleve nga interpretuesit (brinjë e shfaqjes)

Teknologjitë:

• Softuer i vjetëruar (Aktivizimi dhe Mbështetja e skajeve)
• Përgjegjshmëri e ulët e përdoruesit (përparësi të Faktorëve Njerëzor)
• Peizazh heterogjen IT (brinjë arkitekturore)

Një avantazh i rëndësishëm i metodës së propozuar të vlerësimit është mundësia e analizës së kryqëzuar, në të cilën dy departamente të ndryshme konsiderojnë të njëjtin problem nga këndvështrime të ndryshme. Me këtë në mendje, është shumë e dobishme t'u bëni të intervistuarve pyetje të tilla si: "Çfarë mendoni për çështjet që kanë identifikuar kolegët tuaj?" Kjo është një mënyrë e shkëlqyer për të marrë nota shtesë, si dhe për të rregulluar ato ekzistuese. Mund të kryhen disa raunde të këtij vlerësimi për të përmirësuar rezultatin.

Ndikimi në biznes

Siç del nga përkufizimi i rrezikut, ai karakterizohet nga shkalla e ndikimit në performancën e biznesit të organizatës. Sistemi i Balancuar Scorecards është një mjet i përshtatshëm për përcaktimin e natyrës së ndikimit të skenarëve të realizimit të rrezikut në biznes. Pa hyrë në detaje, vërejmë se kartat e rezultateve të balancuara identifikojnë 4 perspektiva biznesi për çdo kompani, të lidhura në një mënyrë hierarkike (shih Fig. 2).

Oriz. 2. Katër perspektivat e biznesit të kartës së rezultateve të balancuara

Në lidhje me metodologjinë e shqyrtuar, një rrezik mund të konsiderohet i rëndësishëm nëse ai ndikon negativisht të paktën një nga tre perspektivat e mëposhtme të biznesit: financat, klientët dhe/ose proceset (shih Fig. 3).

Oriz. 3. Treguesit kryesorë të biznesit

Për shembull, një faktor rreziku "Përgjegjësi e ulët e përdoruesit" mund të rezultojë në një skenar "Rrjedhje të informacionit të klientit". Nga ana tjetër, kjo do të ndikojë në metrikën e biznesit të Numrit të klientëve.

Nëse kompania ka zhvilluar metrikë biznesi, kjo thjeshton shumë situatën. Sa herë që është e mundur të gjurmohet ndikimi i një skenari të caktuar rreziku në një ose më shumë tregues të biznesit, faktori përkatës i rrezikut mund të konsiderohet i rëndësishëm dhe rezultatet e vlerësimit të tij duhet të regjistrohen në pyetësorë. Sa më i lartë në hierarkinë e matjeve të biznesit të gjurmohet ndikimi i një skenari, aq më të rëndësishme janë pasojat e mundshme për biznesin.

Detyra e analizimit të këtyre pasojave është eksperte, prandaj duhet zgjidhur me përfshirjen e njësive të specializuara të biznesit (rregulli 2). Për kontroll shtesë të vlerësimeve të marra, është e dobishme të përdoren burime të jashtme informacioni që përmbajnë të dhëna statistikore për sasinë e humbjeve si rezultat i incidenteve (rregulli 4), për shembull, raporti vjetor "Studimi i kostos së shkeljes së të dhënave".

Rezultati i probabilitetit

Në fazën përfundimtare të analizës, për çdo faktor rreziku të identifikuar, ndikimi i të cilit në biznes është përcaktuar, është e nevojshme të vlerësohet mundësia e skenarëve të lidhur. Nga çfarë varet ky vlerësim? Në një masë të madhe, kjo varet nga përshtatshmëria e masave mbrojtëse të zbatuara në kompani.

Këtu ka një supozim të vogël. Është logjike të supozohet se meqenëse problemi është identifikuar, do të thotë se ai është ende i rëndësishëm. Në të njëjtën kohë, masat e zbatuara, me shumë mundësi, nuk janë të mjaftueshme për të niveluar parakushtet për shfaqjen e tij. Mjaftueshmëria e kundërmasave përcaktohet nga rezultatet e vlerësimit të efektivitetit të aplikimit të tyre, për shembull, duke përdorur një sistem metrikë.

Një shkallë e thjeshtë me 3 nivele mund të përdoret për vlerësim, ku:

3 - kundërmasat e zbatuara janë përgjithësisht të mjaftueshme;

2 - kundërmasat janë zbatuar në mënyrë të pamjaftueshme;

1 - nuk ka kundërmasa.

Standardet dhe udhëzimet specifike të industrisë si CobiT 5, ISO/IEC 27002 dhe të tjera mund të përdoren si referenca që përshkruajnë kundërmasat.Çdo kundërmasë duhet të shoqërohet me një faktor rreziku specifik.

Është e rëndësishme të mbani mend se ne analizojmë rreziqet që lidhen jo vetëm me përdorimin e IT, por edhe me organizimin e proceseve të brendshme të informacionit në kompani. Prandaj, kundërmasat duhet të konsiderohen më gjerësisht. Jo më kot versioni i ri i ISO / IEC 27001: 2013 ka një paralajmërim që kur zgjidhni kundërmasa, është e nevojshme të përdorni çdo burim të jashtëm (rregulli 4), dhe jo vetëm Shtojca A, e cila është e pranishme në standardin për qëllime referimi.

Madhësia e rrezikut

Për të përcaktuar vlerën totale të rrezikut, mund të përdorni tabelën më të thjeshtë (shih tabelën 1).

Tab. 1. Matrica e vlerësimit të rrezikut

Në rast se një faktor rreziku ndikon në disa perspektiva biznesi, për shembull, "Klientë" dhe "Financa", matjet e tyre shtohen së bashku. Dimensioni i shkallës, si dhe nivelet e pranueshme të rreziqeve të sigurisë së informacionit, mund të përcaktohen në çdo mënyrë të përshtatshme. Në këtë shembull, rreziqet konsiderohen të larta nëse ato kanë nivelet 2 dhe 3.

Në këtë pikë, faza e parë e vlerësimit të rrezikut mund të konsiderohet e përfunduar. Vlera totale e rrezikut të lidhur me procesin e vlerësuar të biznesit përcaktohet si shuma e vlerave të përbëra për të gjithë faktorët e identifikuar. Pronari i rrezikut mund të konsiderohet personi përgjegjës në shoqëri për objektin e vlerësuar.

Shifra që rezulton nuk na tregon se sa para rrezikon të humbasë organizata. Në vend të kësaj, ai tregon zonën e përqendrimit të rreziqeve dhe natyrën e ndikimit të tyre në performancën e biznesit. Ky informacion është i nevojshëm për t'u fokusuar më tej në detajet më të rëndësishme.

Vlerësim i detajuar

Avantazhi kryesor i metodës në shqyrtim është se ju lejon të kryeni analizën e rrezikut të sigurisë së informacionit me nivelin e dëshiruar të detajeve. Nëse është e nevojshme, ju mund të "bini" në elementët e modelit IS (Fig. 1) dhe t'i konsideroni ato në mënyrë më të detajuar. Për shembull, duke identifikuar përqendrimin më të lartë të rrezikut në skajet e lidhura me TI-në, mund të rrisni nivelin e detajeve në nyjen e Teknologjisë. Nëse më parë një proces i veçantë biznesi ishte objekt i vlerësimit të rrezikut, tani fokusi do të zhvendoset në një sistem informacioni specifik dhe proceset e përdorimit të tij. Për të siguruar nivelin e kërkuar të detajeve, mund të jetë e nevojshme të bëhet një inventar i burimeve të informacionit.

E gjithë kjo vlen edhe për fusha të tjera të vlerësimit. Kur shkalla e hollësisë së nyjës "Njerëz" ndryshon, objektivat për vlerësim mund të jenë rolet e personelit apo edhe punonjësit individualë. Për një nyje Procesi, këto mund të jenë politika dhe procedura specifike të punës.

Ndryshimi i nivelit të detajeve ndryshon automatikisht jo vetëm faktorët e rrezikut, por edhe kundërmasat e zbatueshme. Të dyja do të bëhen më specifike për lëndën e vlerësimit. Në të njëjtën kohë, qasja e përgjithshme për vlerësimin e faktorëve të rrezikut nuk do të ndryshojë. Për secilin faktor të identifikuar, do të jetë e nevojshme të vlerësohet:

• shkalla në të cilën rreziku ndikon në perspektivat e biznesit;
• mjaftueshmëria e kundërmasave.

Sindroma ruse

Lëshimi i standardit ISO / IEC 27001: 2013 ka vënë shumë kompani ruse në një pozitë të vështirë. Nga njëra anë, ata kanë zhvilluar tashmë një qasje të caktuar për vlerësimin e rreziqeve të sigurisë së informacionit, bazuar në klasifikimin e aseteve të informacionit, vlerësimin e kërcënimeve dhe dobësive. Rregullatorët kombëtarë arritën të nxjerrin një sërë rregulloresh që mbështesin këtë qasje, për shembull, standardet e Bankës së Rusisë, urdhrat FSTEC. Nga ana tjetër, ka një nevojë të vonuar për ndryshime në detyrën e vlerësimit të rrezikut dhe tani është e nevojshme të modifikohet procedura e vendosur në mënyrë që ajo të përmbushë kërkesat e vjetra dhe të reja. Po, sot është ende e mundur të certifikohesh sipas standardit GOST R ISO / IEC 27001: 2006, i cili është identik me versionin e mëparshëm të ISO / IEC 27001, por kjo nuk është për shumë kohë.

Teknika e analizës së rrezikut e diskutuar më sipër e zgjidh këtë çështje. Duke kontrolluar nivelin e detajeve në një vlerësim, ju mund të merrni parasysh asetet dhe rreziqet në çdo shkallë, nga proceset e biznesit deri te flukset individuale të informacionit. Kjo qasje është gjithashtu e përshtatshme sepse ju lejon të mbuloni të gjitha rreziqet e nivelit të lartë pa humbur asgjë. Në të njëjtën kohë, kompania do të ulë ndjeshëm kostot e punës për analiza të mëtejshme dhe nuk do të humbasë kohë për një vlerësim të detajuar të rreziqeve të parëndësishme.

Duhet theksuar se sa më i lartë të jetë niveli i detajeve në fushën e vlerësimit, aq më e madhe u caktohet përgjegjësia ekspertëve dhe aq më shumë kompetencë nevojitet, sepse kur ndryshon thellësia e analizës, ndryshojnë jo vetëm faktorët e rrezikut, por edhe peizazhi. të kundërmasave të aplikueshme.

Pavarësisht nga të gjitha përpjekjet për të thjeshtuar, analizimi i rreziqeve të sigurisë së informacionit është ende kohë dhe kompleks. Drejtuesi i këtij procesi ka një përgjegjësi të veçantë. Shumë gjëra do të varen nga sa me kompetencë ai ndërton një qasje dhe do të përballet me detyrën në fjalë - nga ndarja e një buxheti për sigurinë e informacionit deri te qëndrueshmëria e biznesit.

Për momentin, rreziqet e sigurisë së informacionit përbëjnë një kërcënim të madh për funksionimin normal të shumë ndërmarrjeve dhe institucioneve. Në epokën tonë të teknologjisë së informacionit, marrja e të dhënave praktikisht nuk është e vështirë. Nga njëra anë, kjo sigurisht që mbart shumë aspekte pozitive, por bëhet problem për fytyrën dhe markën e shumë kompanive.

Mbrojtja e informacionit në ndërmarrje tani po bëhet pothuajse një detyrë prioritare. Ekspertët besojnë se vetëm duke zhvilluar një sekuencë të caktuar të ndërgjegjshme veprimesh, mund ta arrini këtë qëllim. Në këtë rast, është e mundur të udhëhiqeni vetëm nga fakte të besueshme dhe të përdorni metoda të avancuara analitike. Një kontribut të caktuar jep zhvillimi i intuitës dhe përvoja e specialistit përgjegjës për këtë njësi në ndërmarrje.

Ky material do t'ju tregojë për menaxhimin e rrezikut të sigurisë së informacionit të një entiteti biznesi.

Cilat janë llojet e kërcënimeve të mundshme në mjedisin e informacionit?

Mund të ketë shumë lloje kërcënimesh. Një analizë e rrezikut të sigurisë së informacionit të ndërmarrjes fillon me marrjen në konsideratë të të gjitha kërcënimeve të mundshme. Kjo është e nevojshme për të përcaktuar metodat e verifikimit në rast të këtyre situatave të paparashikuara, si dhe për të formuar një sistem të përshtatshëm mbrojtjeje. Rreziqet e sigurisë së informacionit ndahen në kategori specifike në varësi të kritereve të ndryshme të klasifikimit. Ato janë të llojeve të mëposhtme:

• burimet fizike;
• përdorimi i papërshtatshëm i rrjetit kompjuterik dhe i World Wide Web;
• rrjedhje nga burime të mbyllura;
• rrjedhje me mjete teknike;
• ndërhyrje e paautorizuar;
• sulm ndaj aseteve të informacionit;
• shkelje e integritetit të modifikimit të të dhënave;
• emergjencave;
• shkelje ligjore.

Çfarë përfshihet në konceptin e "kërcënimeve fizike ndaj sigurisë së informacionit"?

Llojet e rreziqeve të sigurisë së informacionit përcaktohen në varësi të burimeve të shfaqjes së tyre, metodës së zbatimit të ndërhyrjeve të paligjshme dhe qëllimit. Më e thjeshta teknikisht, por që ende kërkon ekzekutim profesional, janë kërcënimet fizike. Ato përfaqësojnë akses të paautorizuar në burime të mbyllura. Domethënë ky proces është në fakt një vjedhje e zakonshme. Informacioni mund të merret personalisht, me duart tuaja, thjesht duke pushtuar territorin e institucionit, në zyra, arkiva për të pasur akses në pajisje teknike, dokumentacion dhe media të tjera.

Vjedhja mund të mos jetë as në vetë të dhënat, por në vendin e ruajtjes së tyre, domethënë drejtpërdrejt në vetë pajisjet kompjuterike. Për të ndërprerë aktivitetet normale të një organizate, sulmuesit thjesht mund të shkaktojnë një dështim në funksionimin e mediave të ruajtjes ose pajisjeve teknike.

Qëllimi i një ndërhyrjeje fizike mund të jetë gjithashtu për të fituar akses në sistemin nga i cili varet mbrojtja e informacionit. Një sulmues mund të ndryshojë opsionet e rrjetit të sigurisë së informacionit për të lehtësuar më tej zbatimin e metodave të paligjshme.

Mundësia e një kërcënimi fizik mund të sigurohet edhe nga anëtarë të grupeve të ndryshme që kanë akses në informacione të klasifikuara që nuk janë të disponueshme publikisht. Qëllimi i tyre është dokumentacioni i vlefshëm. Persona të tillë quhen të brendshëm.

Aktiviteti i ndërhyrësve të jashtëm mund të drejtohet në të njëjtin objekt.

Si mund të bëhen shkaktarë të shfaqjes së kërcënimeve vetë punonjësit e ndërmarrjes?

Rreziqet e sigurisë së informacionit shpesh lindin nga përdorimi i papërshtatshëm i internetit dhe i sistemit të brendshëm kompjuterik nga punonjësit. Sulmuesit janë të shkëlqyeshëm për të luajtur me papërvojën, pavëmendjen dhe injorancën e disa njerëzve në lidhje me sigurinë e informacionit. Për të përjashtuar këtë mundësi të vjedhjes së të dhënave konfidenciale, udhëheqja e shumë organizatave ka një politikë të veçantë midis stafit të tyre. Qëllimi i tij është të edukojë njerëzit për rregullat e sjelljes dhe përdorimit të rrjeteve. Kjo është një praktikë mjaft e zakonshme, pasi kërcënimet që lindin në këtë mënyrë janë mjaft të zakonshme. Programet për marrjen e aftësive të sigurisë së informacionit nga punonjësit e ndërmarrjes përfshijnë pikat e mëposhtme:

• tejkalimi i përdorimit joefektiv të mjeteve të auditimit;
• një rënie në shkallën në të cilën njerëzit përdorin mjete të posaçme për përpunimin e të dhënave;
• përdorimi i reduktuar i burimeve dhe aseteve;
• të mësuarit për të fituar akses në objektet e rrjetit vetëm me metoda të përcaktuara;
• caktimi i zonave të ndikimit dhe përcaktimi i territorit të përgjegjësisë.

Kur çdo punonjës kupton se fati i institucionit varet nga kryerja me përgjegjësi e detyrave që i ngarkohen, atëherë ai përpiqet t'u përmbahet të gjitha rregullave. Është e nevojshme që njerëzit të vendosin detyra specifike dhe të arsyetojnë rezultatet e marra.

Si shkelen kushtet e konfidencialitetit?

Rreziqet dhe kërcënimet e sigurisë së informacionit lidhen kryesisht me marrjen e paligjshme të informacionit që nuk duhet të jetë në dispozicion të personave të paautorizuar. Kanali i parë dhe më i zakonshëm i rrjedhjes është çdo lloj komunikimi dhe komunikimi. Në një kohë kur, siç duket, korrespondenca personale është e disponueshme vetëm për dy palë, ajo përgjohet nga persona të interesuar. Edhe pse njerëzit e arsyeshëm e kuptojnë se është e nevojshme të transmetohet diçka jashtëzakonisht e rëndësishme dhe sekrete në mënyra të tjera.

Meqenëse tani shumë informacione ruhen në media portative, sulmuesit po zotërojnë në mënyrë aktive përgjimin e informacionit përmes kësaj lloj teknologjie. Përgjimi i kanaleve të komunikimit është shumë i popullarizuar, vetëm tani të gjitha përpjekjet e gjenive teknikë synojnë të thyejnë barrierat mbrojtëse të telefonave inteligjentë.

Informacioni konfidencial mund të zbulohet pa dashje nga punonjësit e organizatës. Ata mund të mos japin drejtpërdrejt të gjitha "hyrjet dhe fjalëkalimet", por vetëm ta çojnë sulmuesin në rrugën e duhur. Për shembull, njerëzit, pa e ditur, raportojnë informacione për vendndodhjen e ruajtjes së dokumenteve të rëndësishme.

Vetëm vartësit nuk janë gjithmonë të prekshëm. Kontraktorët gjithashtu mund të nxjerrin informacion konfidencial gjatë partneritetit.

Si cenohet siguria e informacionit nga mjetet teknike të ndikimit?

Siguria e informacionit është kryesisht për shkak të përdorimit të mjeteve teknike të besueshme të mbrojtjes. Nëse sistemi mbështetës është efikas dhe efektiv edhe në vetë pajisjet, atëherë kjo është tashmë gjysma e suksesit.

Në thelb, rrjedhja e informacionit sigurohet në këtë mënyrë duke kontrolluar sinjale të ndryshme. Metoda të tilla përfshijnë krijimin e burimeve të specializuara të emetimit të radios ose sinjaleve. Kjo e fundit mund të jetë elektrike, akustike ose vibruese.

Pajisjet optike shpesh përdoren për të lexuar informacion nga ekranet dhe monitorët.

Shumëllojshmëria e pajisjeve përcakton një gamë të gjerë metodash për futjen dhe nxjerrjen e informacionit nga ndërhyrës. Përveç metodave të mësipërme, ekzistojnë edhe zbulimi televiziv, fotografik dhe vizual.

Për shkak të aftësive të tilla të gjera, auditimi i sigurisë së informacionit përfshin kryesisht kontrollin dhe analizimin e funksionimit të mjeteve teknike për mbrojtjen e të dhënave konfidenciale.

Çfarë konsiderohet akses i paautorizuar në informacionin e ndërmarrjes?

Menaxhimi i rrezikut të sigurisë së informacionit është i pamundur pa parandalimin e kërcënimeve të aksesit të paautorizuar.

Një nga përfaqësuesit më të shquar të kësaj metode të hakimit të sistemit të sigurisë së dikujt tjetër është caktimi i një ID të përdoruesit. Kjo metodë quhet "Maskaradë". Qasja e paautorizuar në këtë rast konsiston në përdorimin e të dhënave të vërtetimit. Kjo do të thotë, qëllimi i ndërhyrës është të marrë një fjalëkalim ose ndonjë identifikues tjetër.

Sulmuesit mund të ndikojnë nga brenda vetë objektit ose nga jashtë. Ata mund të marrin informacionin që u nevojitet nga burime të tilla si gjurmët e auditimit ose mjetet e auditimit.

Shpesh shkelësi përpiqet të zbatojë politikën e zbatimit dhe të përdorë, në shikim të parë, metoda krejtësisht ligjore.

Qasja e paautorizuar zbatohet për burimet e mëposhtme të informacionit:

• faqe interneti dhe hoste të jashtëm;
• rrjeti pa tela i ndërmarrjes;
• kopje rezervë të të dhënave.

Ka mënyra dhe metoda të panumërta të aksesit të paautorizuar. Sulmuesit kërkojnë të meta dhe boshllëqe në konfigurimin dhe arkitekturën e softuerit. Ata marrin të dhëna duke modifikuar softuerin. Ndërhyrës lëshojnë malware dhe bomba logjike për të neutralizuar dhe qetësuar vigjilencën e tyre.

Cilat janë kërcënimet ligjore për sigurinë e informacionit të kompanisë?

Menaxhimi i rrezikut të sigurisë së informacionit funksionon në drejtime të ndryshme, sepse qëllimi i tij kryesor është të sigurojë mbrojtje gjithëpërfshirëse dhe holistike të ndërmarrjes nga ndërhyrjet e jashtme.

Ligjore nuk është më pak e rëndësishme se drejtimi teknik. Kështu, kush, do të duket, përkundrazi, duhet të mbrojë interesat, rezulton të marrë informacion shumë të dobishëm.

Shkeljet ligjore mund të kenë të bëjnë me të drejtat pronësore, të drejtat e autorit dhe të drejtat e patentës. Kjo kategori përfshin gjithashtu përdorimin e paligjshëm të softuerit, duke përfshirë importin dhe eksportin. Shkelja e kërkesave ligjore është e mundur vetëm duke mos respektuar kushtet e kontratës apo kuadrin ligjor në përgjithësi.

Si i vendosni qëllimet e sigurisë së informacionit?

Sigurimi i sigurisë së informacionit fillon me krijimin e zonës së mbrojtjes. Është e nevojshme të përcaktohet qartë se çfarë duhet të mbrohet dhe nga kush. Për këtë, përcaktohet një portret i një krimineli të mundshëm, si dhe metodat e mundshme të hakimit dhe prezantimit. Për të vendosur qëllime, së pari duhet të bisedoni me menaxhmentin. Ai do t'ju tregojë fushat prioritare të mbrojtjes.

Nga ky moment fillon kontrolli i sigurisë së informacionit. Kjo ju lejon të përcaktoni se në çfarë raporti është e nevojshme të aplikoni metoda teknologjike dhe metoda biznesi. Rezultati i këtij procesi është lista përfundimtare e masave, e cila konsolidon qëllimet e njësisë për të siguruar mbrojtjen nga ndërhyrjet e paautorizuara. Procedura e auditimit ka për qëllim identifikimin e pikave kritike dhe dobësive në sistem që ndërhyjnë në funksionimin dhe zhvillimin normal të ndërmarrjes.

Pas vendosjes së qëllimeve, zhvillohet edhe një mekanizëm për zbatimin e tyre. Po krijohen instrumente për kontrollin dhe minimizimin e rreziqeve.

Çfarë roli luajnë aktivet në analizën e rrezikut?

Rreziqet e sigurisë së informacionit të një organizate ndikojnë drejtpërdrejt në asetet e ndërmarrjes. Në fund të fundit, qëllimi i sulmuesve është të marrin informacione të vlefshme. Humbja ose zbulimi i tij do të çojë në mënyrë të pashmangshme në humbje. Dëmi i shkaktuar nga një ndërhyrje e paautorizuar mund të ketë një ndikim të drejtpërdrejtë ose vetëm indirekt. Kjo do të thotë, veprimet e paligjshme kundër një organizate mund të çojnë në një humbje të plotë të kontrollit mbi biznesin.

Shuma e dëmit llogaritet sipas aseteve që disponon organizata. Ndikohen të gjitha burimet që në çfarëdo mënyre kontribuojnë në realizimin e objektivave të lidershipit. Asetet e një ndërmarrjeje nënkuptojnë të gjitha vlerat e prekshme dhe të paprekshme që sjellin dhe ndihmojnë në gjenerimin e të ardhurave.

Asetet janë të disa llojeve:

• material;
• njerëzore;
• informative;
• financiare;
• proceset;
• markë dhe besueshmëri.

Lloji i fundit i asetit vuan më së shumti nga ndërhyrjet e paautorizuara. Kjo për faktin se çdo rrezik real i sigurisë së informacionit ndikon në imazh. Problemet me këtë fushë reduktojnë automatikisht respektin dhe besimin në një ndërmarrje të tillë, pasi askush nuk dëshiron që informacioni i saj konfidencial të bëhet publik. Çdo organizatë që respekton veten kujdeset për mbrojtjen e burimeve të veta të informacionit.

Sa dhe çfarë asetesh do të vuajnë ndikohet nga faktorë të ndryshëm. Ato ndahen në të jashtme dhe të brendshme. Ndikimi i tyre kompleks, si rregull, ka të bëjë njëkohësisht me disa grupe burimesh të vlefshme.

I gjithë biznesi i ndërmarrjes është ndërtuar mbi asetet. Ato janë të pranishme deri diku në veprimtarinë e çdo institucioni. Vetëm se për disa, disa grupe janë më të rëndësishme, dhe të tjerët më pak të rëndësishëm. Në varësi të llojit të aseteve që sulmuesit arritën të ndikojnë, varet rezultati, domethënë dëmi i shkaktuar.

Vlerësimi i rreziqeve të sigurisë së informacionit bën të mundur identifikimin e qartë të aseteve kryesore, dhe nëse ato preken, atëherë kjo është e mbushur me humbje të pariparueshme për ndërmarrjen. Menaxhmenti duhet t'u kushtojë vëmendje këtyre grupeve të burimeve të vlefshme, pasi siguria e tyre është në interes të pronarëve.

Zona prioritare për divizionin e sigurisë së informacionit është e zënë nga asetet ndihmëse. Një person i veçantë është përgjegjës për mbrojtjen e tyre. Rreziqet në lidhje me to nuk janë kritike dhe prekin vetëm sistemin e menaxhimit.

Cilët janë faktorët e sigurisë së informacionit?

Llogaritja e rreziqeve të sigurisë së informacionit përfshin ndërtimin e një modeli të specializuar. Ai përfaqëson nyjet që janë të lidhura me njëra-tjetrën me lidhje funksionale. Nyjet janë vetë asetet. Modeli përdor burimet e mëposhtme të vlefshme:

• njerëzit;
• strategjia;
• teknologjitë;
• proceset.

Brinjët që i lidhin janë pikërisht ata faktorë rreziku. Për të identifikuar kërcënimet e mundshme, është më mirë të kontaktoni direkt departamentin ose specialistin që merret me këto asete. Çdo faktor rreziku i mundshëm mund të jetë një parakusht për formimin e një problemi. Modeli nxjerr në pah kërcënimet kryesore që mund të lindin.

Përsa i përket ekipit, problemi është niveli i ulët arsimor, mungesa e personelit dhe mungesa e një momenti motivimi.

Rreziqet e procesit përfshijnë ndryshueshmërinë e mjedisit të jashtëm, automatizimin e dobët të prodhimit dhe ndarjen e paqartë të përgjegjësive.

Teknologjia mund të vuajë nga softueri i vjetëruar, mungesa e kontrollit të përdoruesit. Problemet me peizazhin heterogjen të teknologjisë së informacionit mund të jenë gjithashtu shkaku.

Avantazhi i këtij modeli është se pragjet për rreziqet e sigurisë së informacionit nuk janë të përcaktuara qartë, pasi problemi shikohet nga këndvështrime të ndryshme.

Çfarë është auditimi i sigurisë së informacionit?

Një procedurë e rëndësishme në fushën e sigurisë së informacionit të një ndërmarrje është auditimi. Është një kontroll i gjendjes aktuale të sistemit të mbrojtjes nga ndërhyrja. Gjatë auditimit përcaktohet shkalla e pajtueshmërisë me kërkesat e vendosura. Drejtimi i tij është i detyrueshëm për disa lloje institucionesh, për pjesën tjetër ka natyrë këshillimore. Ekzaminimi kryhet në lidhje me dokumentacionin e departamenteve të kontabilitetit dhe tatimeve, mjetet teknike dhe pjesën financiare dhe ekonomike.

Një auditim është i nevojshëm për të kuptuar nivelin e sigurisë dhe në rast të mospërputhjes së tij, optimizimi në normalitet. Kjo procedurë ju lejon gjithashtu të vlerësoni fizibilitetin e investimeve financiare në sigurinë e informacionit. Në fund, eksperti do të japë rekomandime për shkallën e shpenzimeve financiare në mënyrë që të arrihet efikasiteti maksimal. Auditimi ju lejon të rregulloni kontrollet.

Ekspertiza e sigurisë së informacionit ndahet në disa faza:

1. Vendosja e qëllimeve dhe mënyrat për t'i arritur ato.
2. Analiza e informacionit të kërkuar për një vendim.
3. Përpunimi i të dhënave të mbledhura.
4. Mendimi dhe rekomandimet e ekspertëve.

Në fund të fundit, specialisti do të japë vendimin e tij. Rekomandimet e komisionit më së shpeshti synojnë ndryshimin e konfigurimeve të pajisjeve teknike, si dhe serverëve. Shpesh, një ndërmarrje problematike i kërkohet të zgjedhë një metodë tjetër sigurie. Është e mundur që për forcimin shtesë ekspertët të caktojnë një sërë masash mbrojtëse.

Puna pas marrjes së rezultateve të auditimit ka për qëllim informimin e ekipit për problemet. Nëse është e nevojshme, ia vlen të kryhen trajnime shtesë për të rritur edukimin e punonjësve në lidhje me mbrojtjen e burimeve të informacionit të ndërmarrjes.

Në praktikë, metodat sasiore dhe cilësore përdoren për të vlerësuar rreziqet e sigurisë së informacionit. Cili është ndryshimi midis tyre?

Metoda sasiore

Vlerësimi sasior i rrezikut përdoret në situata ku kërcënimet nën hetim dhe rreziqet e lidhura mund të krahasohen me vlerat sasiore përfundimtare të shprehura në para, përqindje, kohë, burime njerëzore, etj. Metoda ju lejon të merrni vlera specifike të objekteve të vlerësimit të rrezikut në zbatimin e kërcënimeve për sigurinë e informacionit.

Në një qasje sasiore, të gjithë elementëve të vlerësimit të rrezikut u caktohen vlera sasiore specifike dhe reale. Algoritmi për marrjen e këtyre vlerave duhet të jetë i qartë dhe i kuptueshëm. Objekti i vlerësimit mund të jetë vlera e një aktivi në terma monetarë, mundësia e realizimit të një kërcënimi, dëmtimi nga një kërcënim, kostoja e masave mbrojtëse, etj.

Si të përcaktojmë sasinë e rreziqeve?

1. Përcaktoni vlerën e aseteve të informacionit në terma monetarë.

2. Vlerësoni në terma sasiorë dëmin e mundshëm nga zbatimi i çdo kërcënimi në lidhje me çdo aset informacioni.

Ju duhet të merrni përgjigje për pyetjet "Cila pjesë e vlerës së asetit do të jetë dëmi nga zbatimi i çdo kërcënimi?"

3. Përcaktoni gjasat e zbatimit të secilit prej kërcënimeve të IS.

Për ta bërë këtë, mund të përdorni statistika, anketa të punonjësve dhe palëve të interesuara. Në procesin e përcaktimit të gjasave, llogaritni shpeshtësinë e incidenteve që lidhen me zbatimin e kërcënimit të konsideruar të IS gjatë një periudhe kontrolli (për shembull, një vit).

4. Përcaktoni dëmin total të mundshëm nga çdo kërcënim në lidhje me çdo aktiv për periudhën e kontrollit (për një vit).

Vlera llogaritet duke shumëzuar dëmin e njëhershëm nga realizimi i kërcënimit me frekuencën e realizimit të kërcënimit.

5. Kryeni një analizë të të dhënave të marra për dëmet për çdo kërcënim.

Për çdo kërcënim, duhet të merret një vendim: pranoni rrezikun, zvogëloni rrezikun ose transferoni rrezikun.

Të pranosh një rrezik do të thotë ta realizosh atë, të pranosh mundësinë e tij dhe të vazhdosh të veprosh si më parë. E aplikueshme për kërcënime me dëmtime të ulëta, me probabilitet të ulët.

Të reduktosh rrezikun do të thotë të futësh masa dhe mjete shtesë mbrojtëse, të bësh trajnime të personelit, etj. Do të thotë të bësh punë të qëllimshme për të reduktuar rrezikun. Në të njëjtën kohë, është e nevojshme të bëhet një vlerësim sasior i efektivitetit të masave dhe mjeteve shtesë të mbrojtjes. Të gjitha kostot e bëra nga organizata, nga blerja e pajisjeve mbrojtëse deri në vënien në punë (përfshirë instalimin, konfigurimin, trajnimin, mirëmbajtjen, etj.), Nuk duhet të kalojnë sasinë e dëmit nga zbatimi i kërcënimit.

Transferimi i rrezikut nënkupton zhvendosjen e pasojave nga realizimi i rrezikut tek një palë e tretë, për shembull, me ndihmën e sigurimit.

Si rezultat i një vlerësimi sasior të rrezikut, duhet të përcaktohen sa vijon:

• vlera monetare e aseteve;
• një listë e plotë e të gjitha kërcënimeve të IS me dëme nga një incident i vetëm për çdo kërcënim;
• frekuenca e zbatimit të çdo kërcënimi;
• dëme të mundshme nga çdo kërcënim;
• Masat, kundërmasat dhe veprimet e rekomanduara të sigurisë për çdo kërcënim.

Analiza sasiore e rreziqeve të sigurisë së informacionit (shembull)

Le të shqyrtojmë teknikën duke përdorur shembullin e serverit në internet të një organizate, i cili përdoret për të shitur një produkt specifik. Sasiore një herë Dëmi nga një dështim i serverit mund të vlerësohet si produkt i marrjes mesatare të blerjes nga numri mesatar i goditjeve gjatë një intervali të caktuar kohor, i barabartë me kohën e ndërprerjes së serverit. Le të themi se kostoja e një dëmtimi një herë nga një dështim i drejtpërdrejtë i serverit është 100 mijë rubla.

Tani është e nevojshme të vlerësohet nga një ekspert se sa shpesh mund të lindë një situatë e tillë (duke marrë parasysh intensitetin e funksionimit, cilësinë e furnizimit me energji elektrike, etj.). Për shembull, duke marrë parasysh mendimin e ekspertëve dhe informacionin statistikor, kuptojmë se serveri mund të dështojë deri në 2 herë në vit.

Ne i shumëzojmë këto dy sasi, e marrim atë mesatare vjetore dëmi nga zbatimi i kërcënimit të një dështimi të drejtpërdrejtë të serverit është 200 mijë rubla në vit.

Këto llogaritje mund të përdoren për të justifikuar zgjedhjen e masave mbrojtëse. Për shembull, futja e një sistemi të furnizimit me energji të pandërprerë dhe një sistemi rezervë me një kosto totale prej 100 mijë rubla në vit do të minimizojë rrezikun e dështimit të serverit dhe do të jetë një zgjidhje plotësisht efektive.

Metoda cilësore

Fatkeqësisht, nuk është gjithmonë e mundur të merret një shprehje specifike e objektit të vlerësimit për shkak të pasigurisë së madhe. Si të vlerësohet me saktësi dëmtimi i reputacionit të një kompanie kur shfaqen informacione për një incident të sigurisë së informacionit me të? Në këtë rast zbatohet metoda cilësore.

Qasja cilësore nuk përdor terma sasiorë ose monetarë për lëndën. Në vend të kësaj, objektit të vlerësimit i caktohet një tregues, i renditur në një shkallë me tre pikë (të ulët, të mesëm, të lartë), pesë pikë ose dhjetë pikë (0 ... 10). Për të mbledhur të dhëna për një vlerësim cilësor të rrezikut, përdoren anketa të grupeve të synuara, intervista, pyetësorë dhe takime personale.

Një analizë cilësore e rreziqeve të sigurisë së informacionit duhet të kryhet me përfshirjen e punonjësve me përvojë dhe kompetencë në fushën në të cilën merren parasysh kërcënimet.

Si të kryhet një vlerësim cilësor i rrezikut:

1. Përcaktoni vlerën e aseteve të informacionit.

Vlera e një aktivi mund të përcaktohet nga niveli i kritikitetit (pasojat) në rast të shkeljes së karakteristikave të sigurisë (konfidencialiteti, integriteti, disponueshmëria) e një aktivi informacioni.

2. Përcaktoni gjasat që kërcënimi të realizohet në lidhje me aktivin e informacionit.

Një shkallë cilësore me tre nivele (e ulët, e mesme, e lartë) mund të përdoret për të vlerësuar mundësinë e realizimit të një kërcënimi.

3. Përcaktoni nivelin e mundësisë së zbatimit të suksesshëm të kërcënimit, duke marrë parasysh gjendjen aktuale të sigurisë së informacionit, masat e zbatuara dhe mjetet e mbrojtjes.

Një shkallë cilësore me tre nivele (e ulët, e mesme, e lartë) mund të përdoret gjithashtu për të vlerësuar nivelin e mundësisë së realizimit të kërcënimit. Vlera e mundësisë së realizimit të kërcënimit tregon se sa e realizueshme është të zbatohet me sukses kërcënimi.

4. Bëni një përfundim për nivelin e rrezikut bazuar në vlerën e aktivit të informacionit, gjasat e kërcënimit, mundësinë e kërcënimit.

Për të përcaktuar nivelin e rrezikut, mund të përdorni një shkallë me pesë ose dhjetë pikë. Gjatë përcaktimit të nivelit të rrezikut, mund të përdoren tabela referuese, duke dhënë një kuptim se cilat kombinime treguesish (vlera, probabiliteti, mundësia) çojnë në cilin nivel rreziku.

5. Kryerja e një analize të të dhënave të marra për çdo kërcënim dhe nivelit të rrezikut të marrë për të.

Shpesh, grupi i analizës së riskut operon me konceptin e “nivelit të pranueshëm të rrezikut”. Ky është niveli i rrezikut që kompania është e gatshme të pranojë (nëse një kërcënim ka një nivel rreziku më të vogël ose të barabartë me të pranueshëm, atëherë ai nuk konsiderohet i rëndësishëm). Detyra globale për një vlerësim cilësor është të reduktojë rreziqet në një nivel të pranueshëm.

6. Të zhvillohen masa sigurie, kundërmasa dhe veprime për çdo kërcënim aktual për të ulur nivelin e rrezikut.

Cilën metodë duhet të zgjidhni?

Qëllimi i të dyja metodave është të kuptojnë rreziqet reale të sigurisë së informacionit të kompanisë, të përcaktojnë listën e kërcënimeve aktuale, si dhe të zgjedhin kundërmasat dhe mjetet efektive të mbrojtjes. Çdo metodë e vlerësimit të rrezikut ka avantazhet dhe disavantazhet e veta.

Metoda sasiore jep një paraqitje vizuale në para nga objektet e vlerësimit (dëmtime, kosto), por është më e mundimshme dhe në disa raste e pazbatueshme.

Metoda cilësore bën të mundur vlerësimin më të shpejtë të rreziqeve, megjithatë, vlerësimet dhe rezultatet janë më subjektive dhe nuk japin një kuptim të qartë të dëmit, kostove dhe përfitimeve nga zbatimi i sistemeve të sigurisë së informacionit.

Zgjedhja e metodës duhet të bëhet në bazë të specifikave të një kompanie të caktuar dhe detyrave që i janë caktuar specialistit.

Stanislav Shilyaev, Menaxher Projekti për Sigurinë e Informacionit në SKB Kontur