ჩვენს ეპოქაში ინფორმაცია ერთ-ერთ საკვანძო პოზიციას იკავებს ადამიანის ცხოვრების ყველა სფეროში. ეს გამოწვეულია საზოგადოების თანდათანობითი გადასვლით ინდუსტრიული ეპოქიდან პოსტინდუსტრიულზე. სხვადასხვა ინფორმაციის გამოყენების, ფლობისა და გადაცემის შედეგად შეიძლება წარმოიშვას საინფორმაციო რისკები, რომლებიც გავლენას მოახდენს ეკონომიკის მთელ სფეროზე.
რომელი ინდუსტრიები იზრდება ყველაზე სწრაფად?
ინფორმაციული ნაკადების ზრდა ყოველწლიურად უფრო და უფრო შესამჩნევი ხდება, რადგან ტექნიკური ინოვაციების გაფართოება ახალი ტექნოლოგიების ადაპტაციასთან დაკავშირებული ინფორმაციის სწრაფ გადაცემას გადაუდებელ აუცილებლობად აქცევს. ჩვენს დროში, ისეთი ინდუსტრიები, როგორიცაა მრეწველობა, ვაჭრობა, განათლება და ფინანსები, მყისიერად ვითარდება. სწორედ მონაცემთა გადაცემის დროს წარმოიქმნება მათში საინფორმაციო რისკები.
ინფორმაცია ხდება პროდუქციის ერთ-ერთი ყველაზე ღირებული სახეობა, რომლის ჯამური ღირებულება მალე გადააჭარბებს წარმოების ყველა პროდუქტის ფასს. ეს მოხდება იმიტომ, რომყველა მატერიალური საქონლისა და მომსახურების რესურსების დაზოგვის უზრუნველსაყოფად, აუცილებელია ინფორმაციის გადაცემის ფუნდამენტურად ახალი ხერხის უზრუნველყოფა, რომელიც გამორიცხავს ინფორმაციული რისკების შესაძლებლობას.
განმარტება
ჩვენს დროში არ არსებობს ინფორმაციის რისკის ცალსახა განმარტება. ბევრი ექსპერტი ამ ტერმინს განმარტავს, როგორც მოვლენას, რომელიც პირდაპირ გავლენას ახდენს სხვადასხვა ინფორმაციაზე. ეს შეიძლება იყოს კონფიდენციალურობის დარღვევა, დამახინჯება და წაშლაც კი. ბევრისთვის რისკის ზონა შემოიფარგლება კომპიუტერული სისტემებით, რომლებიც მთავარი აქცენტია.
ხშირად ამ თემის შესწავლისას ბევრი მართლაც მნიშვნელოვანი ასპექტი არ არის გათვალისწინებული. ეს მოიცავს ინფორმაციის უშუალო დამუშავებას და ინფორმაციის რისკების მართვას. ყოველივე ამის შემდეგ, მონაცემებთან დაკავშირებული რისკები წარმოიქმნება, როგორც წესი, მოპოვების ეტაპზე, რადგან დიდია ინფორმაციის არასწორი აღქმისა და დამუშავების ალბათობა. ხშირად სათანადო ყურადღება არ ეთმობა რისკებს, რომლებიც იწვევენ მონაცემთა დამუშავების ალგორითმების წარუმატებლობას, ასევე, გაუმართაობას პროგრამებში, რომლებიც გამოიყენება მართვის ოპტიმიზაციისთვის.
ბევრი განიხილავს რისკებს, რომლებიც დაკავშირებულია ინფორმაციის დამუშავებასთან, მხოლოდ ეკონომიკური მხრიდან. მათთვის ეს, უპირველეს ყოვლისა, საინფორმაციო ტექნოლოგიების არასწორ დანერგვასა და გამოყენებასთან დაკავშირებული რისკია. ეს ნიშნავს, რომ საინფორმაციო რისკის მართვა მოიცავს ისეთ პროცესებს, როგორიცაა ინფორმაციის შექმნა, გადაცემა, შენახვა და გამოყენება, რაც ექვემდებარება სხვადასხვა მედიისა და კომუნიკაციის საშუალებების გამოყენებას.
ანალიზი დაIT რისკების კლასიფიკაცია
რა რისკებთან არის დაკავშირებული ინფორმაციის მიღება, დამუშავება და გადაცემა? რით განსხვავდებიან ისინი? არსებობს საინფორმაციო რისკების ხარისხობრივი და რაოდენობრივი შეფასების რამდენიმე ჯგუფი შემდეგი კრიტერიუმების მიხედვით:
- შემთხვევის შიდა და გარე წყაროების მიხედვით;
- განზრახ და უნებლიედ;
- პირდაპირ ან ირიბად;
- ინფორმაციის დარღვევის ტიპის მიხედვით: სანდოობა, შესაბამისობა, სისრულე, მონაცემთა კონფიდენციალობა და ა.შ.;
- ზემოქმედების მეთოდის მიხედვით რისკები შემდეგია: ფორსმაჟორული და ბუნებრივი კატასტროფები, სპეციალისტების შეცდომები, უბედური შემთხვევები და ა.შ.
ინფორმაციული რისკის ანალიზი არის ინფორმაციული სისტემების დაცვის დონის გლობალური შეფასების პროცესი სხვადასხვა რისკის რაოდენობის (ფულადი რესურსების) და ხარისხის (დაბალი, საშუალო, მაღალი რისკის) დადგენით. ანალიზის პროცესი შეიძლება განხორციელდეს სხვადასხვა მეთოდებისა და ინსტრუმენტების გამოყენებით ინფორმაციის დაცვის გზების შესაქმნელად. ასეთი ანალიზის შედეგების საფუძველზე შესაძლებელია განისაზღვროს ყველაზე მაღალი რისკები, რომლებიც შეიძლება იყოს უშუალო საფრთხე და სტიმული დამატებითი ზომების დაუყონებლივ მიღებისთვის, რაც ხელს უწყობს საინფორმაციო რესურსების დაცვას.
მეთოდოლოგია IT რისკების განსაზღვრის
ამჟამად, არ არსებობს ზოგადად მიღებული მეთოდი, რომელიც საიმედოდ განსაზღვრავს საინფორმაციო ტექნოლოგიების სპეციფიკურ რისკებს. ეს გამოწვეულია იმით, რომ არ არის საკმარისი სტატისტიკური მონაცემები, რომლებიც უფრო კონკრეტულ ინფორმაციას მოგაწოდებდნენსაერთო რისკები. მნიშვნელოვან როლს თამაშობს ისიც, რომ ძნელია საფუძვლიანად განსაზღვროს კონკრეტული საინფორმაციო რესურსი, რადგან მწარმოებელს ან საწარმოს მფლობელს შეუძლია აბსოლუტური სიზუსტით დაასახელოს საინფორმაციო მედიის ღირებულება, მაგრამ მას გაუჭირდება გაახმოვანეთ მათზე განთავსებული ინფორმაციის ღირებულება. სწორედ ამიტომ, ამ დროისთვის, IT რისკების ღირებულების დადგენის საუკეთესო ვარიანტია ხარისხობრივი შეფასება, რომლის წყალობითაც ზუსტად არის გამოვლენილი სხვადასხვა რისკფაქტორები, ასევე მათი გავლენის სფეროები და შედეგები მთელი საწარმოსთვის.
CRAMM მეთოდი, რომელიც გამოიყენება დიდ ბრიტანეთში, არის ყველაზე ძლიერი გზა რაოდენობრივი რისკების იდენტიფიცირებისთვის. ამ ტექნიკის ძირითადი მიზნები მოიცავს:
- რისკების მართვის პროცესის ავტომატიზაცია;
- ფულადი სახსრების მართვის ხარჯების ოპტიმიზაცია;
- კომპანიის უსაფრთხოების სისტემების პროდუქტიულობა;
- ვალდებულება ბიზნესის უწყვეტობის მიმართ.
ექსპერტის რისკის ანალიზის მეთოდი
ექსპერტები განიხილავენ ინფორმაციული უსაფრთხოების რისკის ანალიზის შემდეგ ფაქტორებს:
1. რესურსის ღირებულება. ეს მნიშვნელობა ასახავს საინფორმაციო რესურსის ღირებულებას, როგორც ასეთი. არსებობს ხარისხობრივი რისკის შეფასების სისტემა სკალაზე, სადაც 1 არის მინიმალური, 2 არის საშუალო მნიშვნელობა და 3 არის მაქსიმალური. თუ გავითვალისწინებთ საბანკო გარემოს IT რესურსებს, მაშინ მის ავტომატიზირებულ სერვერს ექნება მნიშვნელობა 3, ხოლო ცალკე საინფორმაციო ტერმინალი - 1..
2. რესურსის მოწყვლადობის ხარისხი. ის გვიჩვენებს საფრთხის სიდიდეს და IT რესურსის დაზიანების ალბათობას. თუ საბანკო ორგანიზაციაზე ვისაუბრებთ, ავტომატიზირებული საბანკო სისტემის სერვერი მაქსიმალურად ხელმისაწვდომი იქნება, ამიტომ ჰაკერული თავდასხმები მისთვის ყველაზე დიდი საფრთხეა. ასევე არსებობს შეფასების სკალა 1-დან 3-მდე, სადაც 1 არის უმნიშვნელო ზემოქმედება, 2 არის რესურსის აღდგენის მაღალი ალბათობა, 3 არის რესურსის სრული ჩანაცვლების საჭიროება საფრთხის განეიტრალების შემდეგ.
3. საფრთხის შესაძლებლობის შეფასება. იგი განსაზღვრავს საინფორმაციო რესურსზე გარკვეული საფრთხის ალბათობას პირობითი პერიოდის განმავლობაში (ყველაზე ხშირად - ერთი წლის განმავლობაში) და, წინა ფაქტორების მსგავსად, შეიძლება შეფასდეს 1-დან 3-მდე მასშტაბით (დაბალი, საშუალო, მაღალი).
ინფორმაციული უსაფრთხოების რისკების მართვა, როგორც ისინი წარმოიქმნება
არის შემდეგი ვარიანტები წარმოქმნილი რისკების პრობლემების გადასაჭრელად:
- რისკის მიღება და პასუხისმგებლობის აღება მათ დანაკარგებზე;
- რისკის შემცირება, ანუ მის წარმოქმნასთან დაკავშირებული ზარალის მინიმუმამდე შემცირება;
- გადაცემა, ანუ სადაზღვევო კომპანიისთვის ზიანის ანაზღაურების ღირებულების დაწესება, ან გარკვეული მექანიზმებით ტრანსფორმაცია საფრთხის ყველაზე დაბალი დონის რისკად.
შემდეგ, საინფორმაციო მხარდაჭერის რისკები ნაწილდება რანგის მიხედვით, რათა გამოვლინდეს პირველადი. ასეთი რისკების სამართავად საჭიროა მათი შემცირება, ზოგჯერ - სადაზღვევო კომპანიისთვის გადაცემა. მაღალი და რისკების შესაძლო გადაცემა და შემცირებასაშუალო დონის იგივე პირობებით და დაბალი დონის რისკები ხშირად მიიღება და არ შედის შემდგომ ანალიზში.
აღსანიშნავია ის ფაქტი, რომ საინფორმაციო სისტემებში რისკების რანჟირება განისაზღვრება მათი ხარისხობრივი მნიშვნელობის გაანგარიშებისა და განსაზღვრის საფუძველზე. ანუ, თუ რისკის რანჟირების ინტერვალი არის 1-დან 18-მდე, მაშინ დაბალი რისკების დიაპაზონი არის 1-დან 7-მდე, საშუალო რისკების დიაპაზონი 8-დან 13-მდე და მაღალი რისკებით არის 14-დან 18-მდე. საწარმოს არსი. საინფორმაციო რისკების მენეჯმენტი არის საშუალო და მაღალი რისკების შემცირება ყველაზე დაბალ მნიშვნელობებამდე, რათა მათი მიღება მაქსიმალურად ოპტიმალური და შესაძლებელი იყოს.
CORAS რისკის შემცირების მეთოდი
CORAS მეთოდი არის საინფორმაციო საზოგადოების ტექნოლოგიების პროგრამის ნაწილი. მისი მნიშვნელობა მდგომარეობს ინფორმაციული რისკების მაგალითებზე ანალიზის ჩატარების ეფექტური მეთოდების ადაპტაციაში, კონკრეტიზაციაში და კომბინაციაში.
CORAS მეთოდოლოგია იყენებს რისკის ანალიზის შემდეგ პროცედურებს:
- ზომები მოსამზადებლად სადავო ობიექტის შესახებ ინფორმაციის ძიებისა და სისტემატიზაციისთვის;
- მიწოდება კლიენტის მიერ ობიექტური და სწორი მონაცემების შესახებ მოცემულ ობიექტზე;
- მომავალი ანალიზის სრული აღწერა ყველა ეტაპის გათვალისწინებით;
- გამოგზავნილი დოკუმენტების ანალიზი ავთენტურობისა და სისწორისთვის უფრო ობიექტური ანალიზისთვის;
- აქტივობების განხორციელება შესაძლო რისკების გამოსავლენად;
- შეფასება გაჩენილი საინფორმაციო საფრთხეების ყველა შედეგის შესახებ;
- ხაზს უსვამს იმ რისკებს, რომლებიც შეიძლება მიიღოს კომპანიამ და რა რისკებსუნდა შემცირდეს ან გადამისამართდეს რაც შეიძლება მალე;
- ზომები შესაძლო საფრთხეების აღმოსაფხვრელად.
მნიშვნელოვანია აღინიშნოს, რომ ჩამოთვლილი ღონისძიებები არ საჭიროებს მნიშვნელოვან ძალისხმევას და რესურსებს განხორციელებისთვის და შემდგომი განხორციელებისთვის. CORAS-ის მეთოდოლოგია საკმაოდ მარტივი გამოსაყენებელია და არ საჭიროებს დიდ ტრენინგს მისი გამოყენების დასაწყებად. ამ ინსტრუმენტთა ნაკრების ერთადერთი ნაკლი არის შეფასების პერიოდულობის ნაკლებობა.
OCTAVE მეთოდი
ოქტავე რისკის შეფასების მეთოდი გულისხმობს ინფორმაციის მფლობელის გარკვეულ ჩართულობას ანალიზში. თქვენ უნდა იცოდეთ, რომ იგი გამოიყენება კრიტიკული საფრთხეების სწრაფად შესაფასებლად, აქტივების იდენტიფიცირებისთვის და ინფორმაციული უსაფრთხოების სისტემაში სისუსტეების დასადგენად. OCTAVE ითვალისწინებს კომპეტენტური ანალიზის, უსაფრთხოების ჯგუფის შექმნას, რომელიც მოიცავს კომპანიის თანამშრომლებს სისტემის გამოყენებით და საინფორმაციო დეპარტამენტის თანამშრომლებს. OCTAVE შედგება სამი ეტაპისგან:
პირველ რიგში ხდება ორგანიზაციის შეფასება, ანუ ანალიზის ჯგუფი განსაზღვრავს ზიანის შეფასების კრიტერიუმებს და შემდგომში რისკებს. იდენტიფიცირებულია ორგანიზაციის ყველაზე მნიშვნელოვანი რესურსები, ფასდება კომპანიაში IT უსაფრთხოების შენარჩუნების პროცესის ზოგადი მდგომარეობა. ბოლო ნაბიჯი არის უსაფრთხოების მოთხოვნების დადგენა და რისკების სიის განსაზღვრა
- მეორე ეტაპი არის კომპანიის საინფორმაციო ინფრასტრუქტურის ყოვლისმომცველი ანალიზი. აქცენტი კეთდება სწრაფ და კოორდინირებულ ურთიერთქმედებას თანამშრომლებსა და ამაზე პასუხისმგებელ განყოფილებებს შორისინფრასტრუქტურა.
- მესამე ეტაპზე ხორციელდება უსაფრთხოების ტაქტიკის შემუშავება, იქმნება გეგმა შესაძლო რისკების შესამცირებლად და საინფორმაციო რესურსების დასაცავად. ასევე შეფასებულია შესაძლო ზიანი და საფრთხეების განხორციელების ალბათობა, ასევე მათი შეფასების კრიტერიუმები.
რისკის ანალიზის მატრიცული მეთოდი
ეს ანალიზის მეთოდი აერთიანებს საფრთხეებს, მოწყვლადობას, აქტივებს და ინფორმაციული უსაფრთხოების კონტროლს და განსაზღვრავს მათ მნიშვნელობას ორგანიზაციის შესაბამისი აქტივებისთვის. ორგანიზაციის აქტივები არის მატერიალური და არამატერიალური ობიექტები, რომლებიც მნიშვნელოვანია სარგებლიანობის თვალსაზრისით. მნიშვნელოვანია იცოდეთ, რომ მატრიცის მეთოდი შედგება სამი ნაწილისგან: საფრთხის მატრიცა, დაუცველობის მატრიცა და საკონტროლო მატრიცა. ამ მეთოდოლოგიის სამივე ნაწილის შედეგები გამოიყენება რისკის ანალიზისთვის.
ღირს ანალიზის დროს ყველა მატრიცის ურთიერთობის გათვალისწინება. მაგალითად, დაუცველობის მატრიცა არის კავშირი აქტივებსა და არსებულ მოწყვლადობას შორის, საფრთხის მატრიცა არის დაუცველობისა და საფრთხეების კრებული, ხოლო საკონტროლო მატრიცა აკავშირებს ცნებებს, როგორიცაა საფრთხეები და კონტროლი. მატრიცის თითოეული უჯრედი ასახავს სვეტისა და მწკრივის ელემენტის თანაფარდობას. გამოიყენება მაღალი, საშუალო და დაბალი შეფასების სისტემები.
ცხრილის შესაქმნელად, თქვენ უნდა შექმნათ საფრთხეების, დაუცველობის, კონტროლისა და აქტივების სიები. ემატება მონაცემები მატრიცის სვეტის შიგთავსის მწკრივის შინაარსთან ურთიერთქმედების შესახებ. მოგვიანებით, დაუცველობის მატრიცის მონაცემები გადადის საფრთხის მატრიცაში, შემდეგ კი, იმავე პრინციპის მიხედვით, ინფორმაცია საფრთხის მატრიციდან გადადის საკონტროლო მატრიცაში..
დასკვნა
მონაცემთა როლიმნიშვნელოვნად გაიზარდა რიგი ქვეყნების საბაზრო ეკონომიკაზე გადასვლასთან ერთად. საჭირო ინფორმაციის დროული მიღების გარეშე კომპანიის ნორმალური ფუნქციონირება უბრალოდ შეუძლებელია.
ინფორმაციული ტექნოლოგიების განვითარებასთან ერთად წარმოიშვა ე.წ. საინფორმაციო რისკები, რომლებიც საფრთხეს უქმნის კომპანიების საქმიანობას. სწორედ ამიტომ საჭიროა მათი იდენტიფიცირება, ანალიზი და შეფასება შემდგომი შემცირების, გადაცემის ან განადგურების მიზნით. უსაფრთხოების პოლიტიკის ფორმირება და განხორციელება არაეფექტური იქნება, თუ არსებული წესები არ იქნება სათანადოდ გამოყენებული თანამშრომელთა არაკომპეტენტურობის ან არაინფორმირებულობის გამო. მნიშვნელოვანია ინფორმაციული უსაფრთხოების დაცვის კომპლექსის შემუშავება.
რისკების მართვა კომპანიის საქმიანობის სუბიექტური, რთული, მაგრამ ამავე დროს მნიშვნელოვანი ეტაპია. მათი მონაცემების უსაფრთხოებაზე უდიდესი აქცენტი უნდა გააკეთოს კომპანიამ, რომელიც მუშაობს დიდი რაოდენობით ინფორმაციაზე ან ფლობს კონფიდენციალურ მონაცემებს.
არსებობს უამრავი ეფექტური მეთოდი ინფორმაციასთან დაკავშირებული რისკების გამოთვლისა და ანალიზისთვის, რაც საშუალებას გაძლევთ სწრაფად აცნობოთ კომპანიას და მისცეთ საშუალებას დაიცვას ბაზარზე კონკურენტუნარიანობის წესები, ასევე შეინარჩუნოთ უსაფრთხოება და ბიზნესის უწყვეტობა..