Մեր դարաշրջանում տեղեկատվությունը զբաղեցնում է առանցքային դիրքերից մեկը մարդկային կյանքի բոլոր ոլորտներում։ Դա պայմանավորված է հասարակության աստիճանական անցումով արդյունաբերական դարաշրջանից դեպի հետինդուստրիալ: Տարբեր տեղեկատվության օգտագործման, տիրապետման և փոխանցման արդյունքում կարող են առաջանալ տեղեկատվական ռիսկեր, որոնք կարող են ազդել տնտեսության ողջ ոլորտի վրա։
Ո՞ր ոլորտներն են ամենաարագ աճում։
Տեղեկատվական հոսքերի աճը տարեցտարի ավելի ու ավելի նկատելի է դառնում, քանի որ տեխնիկական նորարարության ընդլայնումը նոր տեխնոլոգիաների ադապտացման հետ կապված տեղեկատվության արագ փոխանցումը դարձնում է հրատապ անհրաժեշտություն: Մեր ժամանակներում այնպիսի ոլորտներ, ինչպիսիք են արդյունաբերությունը, առևտուրը, կրթությունը և ֆինանսները, ակնթարթորեն զարգանում են: Տվյալների փոխանցման ժամանակ է, որ դրանցում առաջանում են տեղեկատվական ռիսկեր։
Տեղեկատվությունը դառնում է ամենաարժեքավոր ապրանքատեսակներից մեկը, որի ընդհանուր արժեքը շուտով կգերազանցի արտադրության բոլոր ապրանքների գինը։ Դա տեղի կունենա, քանի որ համարԲոլոր նյութական ապրանքների և ծառայությունների ռեսուրսների խնայողությունն ապահովելու համար անհրաժեշտ է ապահովել տեղեկատվության փոխանցման հիմնովին նոր եղանակ, որը բացառում է տեղեկատվական ռիսկերի հավանականությունը։
Սահմանում
Մեր ժամանակներում տեղեկատվական ռիսկի միանշանակ սահմանում չկա: Շատ փորձագետներ այս տերմինը մեկնաբանում են որպես իրադարձություն, որն անմիջական ազդեցություն ունի տարբեր տեղեկատվության վրա: Սա կարող է լինել գաղտնիության խախտում, խեղաթյուրում և նույնիսկ ջնջում: Շատերի համար ռիսկի գոտին սահմանափակվում է համակարգչային համակարգերով, որոնք հիմնական ուշադրության կենտրոնում են։
Հաճախ այս թեման ուսումնասիրելիս շատ իրոք կարևոր ասպեկտներ հաշվի չեն առնվում: Դրանք ներառում են տեղեկատվության անմիջական մշակումը և տեղեկատվական ռիսկերի կառավարումը: Ի վերջո, տվյալների հետ կապված ռիսկերը, որպես կանոն, առաջանում են ստացման փուլում, քանի որ մեծ է տեղեկատվության սխալ ընկալման և մշակման հավանականությունը։ Հաճախ պատշաճ ուշադրություն չի դարձվում այն ռիսկերին, որոնք հանգեցնում են տվյալների մշակման ալգորիթմների խափանումների, ինչպես նաև կառավարման օպտիմալացման համար օգտագործվող ծրագրերի անսարքություններին:
Շատերը դիտարկում են տեղեկատվության մշակման հետ կապված ռիսկերը՝ բացառապես տնտեսական կողմից: Նրանց համար սա առաջին հերթին ռիսկ է՝ կապված տեղեկատվական տեխնոլոգիաների ոչ ճիշտ ներդրման և օգտագործման հետ։ Սա նշանակում է, որ տեղեկատվական ռիսկերի կառավարումն ընդգրկում է այնպիսի գործընթացներ, ինչպիսիք են տեղեկատվության ստեղծումը, փոխանցումը, պահպանումը և օգտագործումը, որոնք ենթակա են տարբեր լրատվամիջոցների և հաղորդակցման միջոցների օգտագործմանը:
Վերլուծություն ևՏՏ ռիսկերի դասակարգում
Որո՞նք են տեղեկատվության ստացման, մշակման և փոխանցման հետ կապված ռիսկերը: Ինչո՞վ են դրանք տարբերվում: Գոյություն ունեն տեղեկատվական ռիսկերի որակական և քանակական գնահատման մի քանի խմբեր՝ համաձայն հետևյալ չափանիշների՝
- ըստ առաջացման ներքին և արտաքին աղբյուրների;
- դիտավորյալ և ակամա;
- ուղղակի կամ անուղղակի;
- ըստ տեղեկատվության խախտման տեսակի՝ հավաստիություն, համապատասխանություն, ամբողջականություն, տվյալների գաղտնիություն և այլն;
- ըստ ազդեցության մեթոդի ռիսկերը հետևյալն են՝ ֆորս-մաժոր և բնական աղետներ, մասնագետների սխալներ, դժբախտ պատահարներ և այլն։
Տեղեկատվական ռիսկերի վերլուծությունը տեղեկատվական համակարգերի պաշտպանության մակարդակի գլոբալ գնահատման գործընթաց է՝ տարբեր ռիսկերի քանակի (դրամական միջոցների) և որակի (ցածր, միջին, բարձր ռիսկի) որոշմամբ: Վերլուծության գործընթացը կարող է իրականացվել՝ օգտագործելով տարբեր մեթոդներ և գործիքներ՝ տեղեկատվության պաշտպանության ուղիներ ստեղծելու համար: Նման վերլուծության արդյունքների հիման վրա հնարավոր է որոշել ամենաբարձր ռիսկերը, որոնք կարող են անմիջական սպառնալիք հանդիսանալ և խթան հանդիսանալ տեղեկատվական ռեսուրսների պաշտպանությանը նպաստող լրացուցիչ միջոցների անհապաղ ընդունման համար։
ՏՏ ռիսկերի որոշման մեթոդիկա
Ներկայումս, չկա ընդհանուր ընդունված մեթոդ, որը հուսալիորեն որոշում է տեղեկատվական տեխնոլոգիաների հատուկ ռիսկերը: Դա պայմանավորված է նրանով, որ չկան բավարար վիճակագրական տվյալներ, որոնք ավելի կոնկրետ տեղեկատվություն կհաղորդեն դրա մասինընդհանուր ռիսկեր. Կարևոր դեր է խաղում նաև այն փաստը, որ դժվար է մանրակրկիտ որոշել որոշակի տեղեկատվական ռեսուրսի արժեքը, քանի որ ձեռնարկության արտադրողը կամ սեփականատերը կարող է բացարձակ ճշգրտությամբ նշել տեղեկատվական լրատվամիջոցների արժեքը, բայց նա դժվար կլինի բարձրաձայնել դրանց վրա տեղադրված տեղեկատվության արժեքը: Այդ իսկ պատճառով ՏՏ ռիսկերի արժեքի որոշման լավագույն տարբերակը այս պահին որակական գնահատումն է, որի շնորհիվ ճշգրիտ բացահայտվում են տարբեր ռիսկային գործոններ, ինչպես նաև դրանց ազդեցության ոլորտներն ու հետևանքները ողջ ձեռնարկության համար։
Մեծ Բրիտանիայում օգտագործվող CRAMM մեթոդը քանակական ռիսկերը բացահայտելու ամենահզոր միջոցն է: Այս տեխնիկայի հիմնական նպատակները ներառում են՝
- ավտոմատացնել ռիսկերի կառավարման գործընթացը;
- կանխիկի կառավարման ծախսերի օպտիմալացում;
- ընկերության անվտանգության համակարգերի արտադրողականություն;
- պարտավորություն բիզնեսի շարունակականությանը:
Փորձագիտական ռիսկերի վերլուծության մեթոդ
Փորձագետները հաշվի են առնում տեղեկատվական անվտանգության ռիսկի վերլուծության հետևյալ գործոնները՝
1. Ռեսուրսների արժեքը. Այս արժեքը արտացոլում է տեղեկատվական ռեսուրսի արժեքը որպես այդպիսին: Գոյություն ունի որակական ռիսկի գնահատման համակարգ այն սանդղակով, որտեղ 1-ը նվազագույնն է, 2-ը՝ միջին արժեքն է, իսկ 3-ը՝ առավելագույնը: Եթե դիտարկենք բանկային միջավայրի ՏՏ ռեսուրսները, ապա դրա ավտոմատացված սերվերը կունենա 3 արժեք, իսկ առանձին տեղեկատվական տերմինալը՝ 1։։
2. Ռեսուրսի խոցելիության աստիճանը. Այն ցույց է տալիս սպառնալիքի մեծությունը և ՏՏ ռեսուրսին վնասելու հավանականությունը: Եթե խոսենք բանկային կազմակերպության մասին, ապա ավտոմատացված բանկային համակարգի սերվերը հնարավորինս հասանելի կլինի, ուստի հաքերային հարձակումները նրա համար ամենամեծ վտանգն են։ Գոյություն ունի նաև գնահատման սանդղակ 1-ից 3, որտեղ 1-ը աննշան ազդեցություն է, 2-ը՝ ռեսուրսի վերականգնման մեծ հավանականություն, 3-ը՝ վտանգի չեզոքացումից հետո ռեսուրսի ամբողջական փոխարինման անհրաժեշտությունը:
3. Վտանգի հավանականության գնահատում. Այն որոշում է տեղեկատվական ռեսուրսի համար որոշակի սպառնալիքի հավանականությունը պայմանական ժամանակահատվածում (առավել հաճախ՝ մեկ տարի) և, ինչպես նախորդ գործոնները, կարող է գնահատվել 1-ից 3 (ցածր, միջին, բարձր) սանդղակով:.
Տեղեկատվական անվտանգության ռիսկերի կառավարում, երբ դրանք առաջանում են
Գոյություն ունեն առաջացող ռիսկերի հետ կապված խնդիրների լուծման հետևյալ տարբերակները՝
- ընդունել ռիսկը և պատասխանատվություն ստանձնել դրանց կորուստների համար;
- նվազեցնելով ռիսկը, այսինքն՝ նվազագույնի հասցնելով դրա առաջացման հետ կապված կորուստները;
- փոխանցում, այսինքն՝ ապահովագրական ընկերությանը վնասի փոխհատուցման արժեքի գանձում կամ որոշակի մեխանիզմներով վերափոխում ռիսկի ամենացածր մակարդակով վտանգի։
Այնուհետև տեղեկատվական աջակցության ռիսկերը բաշխվում են ըստ աստիճանների՝ առաջնայինները բացահայտելու համար։ Նման ռիսկերը կառավարելու համար անհրաժեշտ է նվազեցնել դրանք, իսկ երբեմն՝ փոխանցել ապահովագրական ընկերությանը։ Բարձր և ռիսկերի հնարավոր փոխանցում և նվազեցումմիջին մակարդակի նույն պայմաններով, իսկ ավելի ցածր մակարդակի ռիսկերը հաճախ ընդունվում են և չեն ներառվում հետագա վերլուծության մեջ:
Հարկ է հաշվի առնել այն փաստը, որ տեղեկատվական համակարգերում ռիսկերի դասակարգումը որոշվում է դրանց որակական արժեքի հաշվարկի և որոշման հիման վրա։ Այսինքն, եթե ռիսկերի դասակարգման միջակայքը գտնվում է 1-ից 18-ի միջակայքում, ապա ցածր ռիսկերի միջակայքը 1-ից 7 է, միջին ռիսկերը 8-ից 13-ը, իսկ բարձր ռիսկերը 14-ից 18-ն են: Ձեռնարկության էությունը: Տեղեկատվական ռիսկերի կառավարումը միջին և բարձր ռիսկերի նվազեցումն է մինչև նվազագույն արժեք, որպեսզի դրանց ընդունումը հնարավորինս օպտիմալ և հնարավոր լինի:
CORAS ռիսկի նվազեցման մեթոդ
CORAS մեթոդը Տեղեկատվական հասարակության տեխնոլոգիաներ ծրագրի մի մասն է: Դրա իմաստը տեղեկատվական ռիսկերի օրինակների վրա վերլուծություն իրականացնելու արդյունավետ մեթոդների հարմարեցման, կոնկրետացման և համակցման մեջ է։
CORAS մեթոդաբանությունը օգտագործում է ռիսկի վերլուծության հետևյալ ընթացակարգերը՝
- միջոցառումներ՝ նախապատրաստելու տվյալ օբյեկտի մասին տեղեկատվության որոնումը և համակարգումը;
- պատվիրատուի կողմից խնդրո առարկա օբյեկտի վերաբերյալ օբյեկտիվ և ճիշտ տվյալների տրամադրում;
- առաջիկա վերլուծության ամբողջական նկարագրությունը՝ հաշվի առնելով բոլոր փուլերը;
- ներկայացված փաստաթղթերի իսկության և ճշգրտության վերլուծություն՝ ավելի օբյեկտիվ վերլուծության համար;
- գործողությունների իրականացում հնարավոր ռիսկերը բացահայտելու համար;
- գնահատում առաջացող տեղեկատվական սպառնալիքների բոլոր հետեւանքների;
- կարևորելով այն ռիսկերը, որոնք ընկերությունը կարող է վերցնել և այն ռիսկերը, որոնք կարող է լինելանհրաժեշտ է որքան հնարավոր է շուտ կրճատել կամ վերահղել;
- միջոցառումներ՝ հնարավոր սպառնալիքները վերացնելու համար։
Կարևոր է նշել, որ թվարկված միջոցառումները չեն պահանջում էական ջանքեր և ռեսուրսներ իրականացման և հետագա իրականացման համար: CORAS-ի մեթոդաբանությունը բավականին պարզ է օգտագործման մեջ և այն օգտագործելու համար շատ ուսուցում չի պահանջում: Այս գործիքակազմի միակ թերությունը գնահատման պարբերականության բացակայությունն է։
OCTAVE մեթոդ
OCTAVE ռիսկի գնահատման մեթոդը ենթադրում է տեղեկատվության սեփականատիրոջ որոշակի մասնակցություն վերլուծության մեջ: Դուք պետք է իմանաք, որ այն օգտագործվում է կրիտիկական սպառնալիքները արագ գնահատելու, ակտիվները բացահայտելու և տեղեկատվական անվտանգության համակարգում թույլ կողմերը հայտնաբերելու համար: OCTAVE-ն նախատեսում է իրավասու վերլուծության, անվտանգության խմբի ստեղծում, որը ներառում է համակարգից օգտվող ընկերության աշխատակիցները և տեղեկատվական բաժնի աշխատակիցները: OCTAVE-ը բաղկացած է երեք փուլից՝
Առաջին հերթին գնահատվում է կազմակերպությունը, այսինքն՝ վերլուծական խումբը որոշում է վնասի գնահատման չափանիշները և հետագայում՝ ռիսկերը։ Բացահայտված են կազմակերպության կարևորագույն ռեսուրսները, գնահատվում է ընկերությունում ՏՏ անվտանգության պահպանման գործընթացի ընդհանուր վիճակը։ Վերջին քայլը անվտանգության պահանջների բացահայտումն է և ռիսկերի ցանկի սահմանումը:
- Երկրորդ փուլը ընկերության տեղեկատվական ենթակառուցվածքի համապարփակ վերլուծությունն է։ Շեշտը դրվում է աշխատակիցների և դրա համար պատասխանատու ստորաբաժանումների արագ և համակարգված փոխգործակցության վրաենթակառուցվածք։
- Երրորդ փուլում իրականացվում է անվտանգության մարտավարության մշակում, ստեղծվում է պլան՝ նվազեցնելու հնարավոր ռիսկերը և պաշտպանելու տեղեկատվական ռեսուրսները։ Գնահատվում են նաև հնարավոր վնասները և սպառնալիքների իրականացման հավանականությունը, ինչպես նաև գնահատվում են դրանց գնահատման չափանիշները։
Ռիսկերի վերլուծության մատրիցային մեթոդ
Վերլուծության այս մեթոդը միավորում է սպառնալիքները, խոցելիությունները, ակտիվները և տեղեկատվական անվտանգության վերահսկողությունը և որոշում դրանց նշանակությունը կազմակերպության համապատասխան ակտիվների համար: Կազմակերպության ակտիվները նյութական և ոչ նյութական օբյեկտներ են, որոնք նշանակալի են օգտակարության տեսանկյունից: Կարևոր է իմանալ, որ մատրիցային մեթոդը բաղկացած է երեք մասից՝ սպառնալիքի մատրիցա, խոցելիության մատրիցա և հսկիչ մատրիցա։ Այս մեթոդաբանության բոլոր երեք մասերի արդյունքներն օգտագործվում են ռիսկերի վերլուծության համար:
Անալիզի ընթացքում արժե հաշվի առնել բոլոր մատրիցների փոխհարաբերությունները: Այսպիսով, օրինակ, խոցելիության մատրիցը կապ է ակտիվների և առկա խոցելիությունների միջև, սպառնալիքների մատրիցան խոցելիությունների և սպառնալիքների հավաքածու է, իսկ վերահսկման մատրիցը կապում է այնպիսի հասկացություններ, ինչպիսիք են սպառնալիքներն ու վերահսկումները: Մատրիցի յուրաքանչյուր բջիջ արտացոլում է սյունակի և տողի տարրի հարաբերակցությունը: Օգտագործվում են բարձր, միջին և ցածր գնահատման համակարգեր։
Աղյուսակ ստեղծելու համար անհրաժեշտ է ստեղծել սպառնալիքների, խոցելիության, հսկողության և ակտիվների ցուցակներ: Տվյալներ են ավելացվում մատրիցային սյունակի բովանդակության և տողի բովանդակության փոխազդեցության մասին: Հետագայում խոցելիության մատրիցայի տվյալները փոխանցվում են սպառնալիքի մատրիցին, այնուհետև, նույն սկզբունքով, սպառնալիքի մատրիցից տեղեկատվությունը փոխանցվում է կառավարման մատրիցին:
Եզրակացություն
Տվյալների դերըզգալիորեն ավելացել է մի շարք երկրների շուկայական տնտեսության անցումով։ Առանց անհրաժեշտ տեղեկատվության ժամանակին ստացման՝ ընկերության բնականոն գործունեությունը պարզապես անհնար է։
Տեղեկատվական տեխնոլոգիաների զարգացմանը զուգընթաց առաջացել են, այսպես կոչված, տեղեկատվական ռիսկեր, որոնք վտանգ են ներկայացնում ընկերությունների գործունեության համար։ Այդ իսկ պատճառով դրանք պետք է բացահայտվեն, վերլուծվեն և գնահատվեն հետագա կրճատման, փոխանցման կամ հեռացման համար: Անվտանգության քաղաքականության ձևավորումն ու իրականացումն անարդյունավետ կլինի, եթե աշխատողների ոչ կոմպետենտության կամ անտեղյակության պատճառով գործող կանոնները ճիշտ չկիրառվեն։ Կարևոր է տեղեկատվական անվտանգությանը համապատասխանության համալիր մշակել։
Ռիսկերի կառավարումը ընկերության գործունեության սուբյեկտիվ, բարդ, բայց միևնույն ժամանակ կարևոր փուլ է։ Նրանց տվյալների անվտանգության ամենամեծ շեշտը պետք է դրվի այն ընկերության կողմից, որն աշխատում է մեծ քանակությամբ տեղեկատվության հետ կամ տիրապետում է գաղտնի տվյալների:
Գոյություն ունեն տեղեկատվության հետ կապված ռիսկերի հաշվարկման և վերլուծության շատ արդյունավետ մեթոդներ, որոնք թույլ են տալիս արագ տեղեկացնել ընկերությանը և թույլ տալ նրան համապատասխանել շուկայում մրցունակության կանոններին, ինչպես նաև պահպանել անվտանգությունն ու բիզնեսի շարունակականությունը:.