В нашу епоху інформація займає одну з ключових позицій у всіх сферах життя людини. Це пов’язано з поступовим переходом суспільства з індустріальної епохи в постіндустріальну. Внаслідок використання, володіння та передачі різної інформації можуть виникнути інформаційні ризики, які здатні вплинути на всю сферу економіки.
В яких галузях найбільш швидкий ріст?
З кожним роком все більше і більше стає помітним зростання інформаційних потоків, оскільки розширення технічних інновацій робить нагальною необхідністю швидку передачу інформації, пов’язаної з адаптацією нових технологій. Миттєво в наш час розвиваються такі галузі, як промисловість, сфера торгівлі, освіти і фінансів. Саме при передачі даних в них виникають інформаційні ризики.
Інформація стає одним з найцінніших видів продукції, загальна вартість якої найближчим часом буде перевершувати ціну всіх продуктів виробництва. Це відбудеться тому, що для того, щоб забезпечити ресурсозберігаюче створення всіх матеріальних благ і послуг, потрібно забезпечити принципово новий спосіб передачі інформації, що виключає можливість появи інформаційних ризиків.
Визначення
В наш час не існує однозначного визначення інформаційного ризику. Багато фахівців трактують цей термін як подія, що надає прямий вплив на різну інформацію. Це може бути порушення конфіденційності, спотворення і навіть видалення. Для багатьох зона ризику обмежується лише комп’ютерними системами, на які робиться основний упор.
Найчастіше при вивченні цієї теми не розглядаються багато дійсно важливі аспекти. До їх числа відноситься безпосередня обробка інформації та управління інформаційними ризиками. Адже ризики, пов’язані з даними, які виникають, як правило, на етапі отримання, так як велика ймовірність неправильного сприйняття й обробки відомостей. Часто належна увага не приділяється ризикам, із-за яких з’являються збої в алгоритмах обробки даних, а також неполадки в програмах, що використовуються для оптимізації управління.
Багато хто розглядає ризики, пов’язані з обробкою інформації, виключно з економічної сторони. Для них це в першу чергу ризик, пов’язаний з неправильним впровадженням і використанням інформаційних технологій. Отже, управління інформаційними ризиками охоплює такі процеси, як створення, передача, зберігання і використання інформації за умови застосування різноманітних носіїв і засобів зв’язку.
Аналіз і класифікація IT-ризиків
Які бувають ризики, пов’язані з отриманням, обробкою і передачею інформації? За якими ознаками вони відрізняються? Існує кілька груп якісної та кількісної оцінки інформаційних ризиків за такими критеріями:
- за внутрішніми та зовнішніми джерелами виникнення;
- по навмисного і ненавмисного характеру;
- по прямому або непрямому вигляді;
- по виду порушення інформації: достовірність, актуальність, повнота, конфіденційність даних і ін;
- за способом впливу ризики бувають наступні: форс-мажорні та стихійні лиха, помилки фахівців, аварії і т. д.
Аналіз інформаційних ризиків — це процес повсюдної оцінки рівня захисту інформаційних систем з визначенням кількості (грошові ресурси) і якості (низький, середній, високий рівень ризику) всіляких ризиків. Процес аналізу можна здійснити з допомогою різних методів і інструментів створення засобів захисту інформації. На основі результатів такого аналізу можна визначити найбільш високі ризики, які можуть бути безпосередньою загрозою і стимулом для негайного вжиття додаткових заходів, що сприяють захисту інформаційних ресурсів.
Методика визначення IT-ризиків
В даний час не існує загальноприйнятого методу, достовірно визначає конкретні ризики інформаційних технологій. Це пов’язано з тим, що немає належної кількості статистичних даних, які дозволили б отримати більш конкретну інформацію про поширених ризики. Важливу роль відіграє також те, що важко досконалим чином визначити величину конкретного інформаційного ресурсу, адже виробник або власник підприємства може з абсолютною точністю назвати вартість інформаційних носіїв, проте вартість інформації, що знаходиться на них, він затрудняється озвучити. Саме тому на даний момент оптимальним варіантом визначення вартості IT-ризиків є якісна оцінка, завдяки якій точно ідентифікуються різні фактори ризику, а також визначаються сфери їх впливу та наслідки виникнення для діяльності всього підприємства.
Метод CRAMM, що використовується у Великобританії, є найбільш дієвим для визначення кількісних ризиків. До основних цілей цієї методики можна віднести:
- автоматизацію процесу управління ризиками;
- оптимізацію грошових витрат на управління;
- продуктивність систем безпеки компанії;
- прагнення до безперервності бізнесу.
Експертний метод аналізу ризиків
Експерти беруть до уваги наступні фактори аналізу ризиків інформаційної безпеки:
1. Вартість ресурсу. Ця величина відображає цінність інформаційного ресурсу як такого. Існує оціночна система якісного ризику за шкалою, де 1 — мінімум, 2 — середнє значення і 3 — максимум. Якщо розглядати IT-ресурси банківської середовища, то її автоматизований сервер буде мати значення 3, а окремий інформаційний термінал — 1.
2. Ступінь уразливості ресурсу. Він демонструє величину загрози та імовірності пошкодження IT-ресурсу. Якщо говорити про банківську організації, сервер автоматизованої банківської системи буде максимально доступним, тому найбільшою загрозою для нього є хакерські атаки. Тут також діє оціночна шкала від 1 до 3, де 1 — це незначний вплив, 2 — велика ймовірність відновлення ресурсу, 3 — необхідність повної заміни ресурсу після нейтралізації небезпеки.
3. Оцінка можливості виникнення загрози. Вона визначає ймовірність реалізації певної загрози для інформаційного ресурсу за умовний проміжок часу (найчастіше — за рік) і так само, як попередні фактори, може оцінюватися за шкалою від 1 до 3 (низька, середня, висока).
Управління ризиками інформаційної безпеки в умовах їх виникнення
Існують наступні варіанти вирішення проблем з появою ризиками:
- прийняття на себе ризику і відповідальності за завдані ним збитки;
- зниження ризику, тобто мінімізація пов’язаних з його виникненням втрат;
- передача, тобто покладання витрат по відшкодуванню шкоди на страхову компанію, або трансформація з допомогою певних механізмів ризик з найменшим рівнем небезпеки.
Потім ризики інформаційного забезпечення розподіляються за рангом для того, щоб виявити першочергові. Для управління такими ризиками потрібно знизити, а іноді — передати в страхову компанію. Можлива передача і зниження ризиків високого і середнього рівня на однакових умовах, а ризики нижчого рівня часто приймаються і не беруть участь у подальшому аналізі.
Варто врахувати той факт, що ранжування ризиків в інформаційних системах визначається на основі розрахунку та визначення їх якісної величини. Тобто, якщо інтервал ранжирування ризиків знаходиться в межах від 1 до 18, то діапазон низьких ризиків — від 1 до 7, середніх — від 8 до 13, а високих — від 14 до 18. Суть управління інформаційними ризиками підприємства — це зниження величин середніх і високих ризиків до найнижчого значення, щоб їх прийняття було як можна більш оптимальним і можливим.
Метод зниження ризиків CORAS
Метод CORAS входить в програму Information Society Technologies. Його значення полягає в пристосуванні, конкретизації і поєднанні ефективних методів проведення аналізу на прикладах інформаційних ризиків.
Методологія CORAS використовує такі процедури аналізу можливих ризиків:
- заходи з підготовки пошуку та систематизації інформації про розглянутому об’єкті;
- надання клієнтом об’єктивних і вірних даних з розглядуваного об’єкту;
- повний опис майбутнього аналізу з урахуванням всіх етапів;
- аналіз наданих документів на справжність і правильність для більш об’єктивного аналізу;
- проведення заходів щодо виявлення можливих ризиків;
- оцінка всіх наслідків виникають інформаційних загроз;
- виділення ризиків, які можуть бути прийняті компанією, та ризиків, які необхідно якомога швидше зменшити або перенаправити;
- заходи по усуненню можливих загроз.
Важливо відзначити, що перераховані заходи не вимагають значних зусиль і ресурсів для впровадження та подальшого здійснення. Методика CORAS досить проста в застосуванні і не вимагає тривалого навчання для початку її використання. Єдиним недоліком даного інструментарію є відсутність періодичності проведення оцінки.
Метод OCTAVE
Метод оцінки ризиків OCTAVE передбачає певну ступінь залученості власника інформації в аналіз. Необхідно знати, що з його допомогою відбувається швидка оцінка критичних загроз, визначення активів і виявлення слабких місць у системі захисту інформації. OCTAVE передбачає створення компетентної групи аналізу, безпеки, яка включає використовують систему працівників компанії та співробітників інформаційного відділу. OCTAVE складається з трьох етапів:
- Спочатку відбувається оцінка організації, тобто група аналізу визначає критерії оцінки збитку, а згодом — і ризиків. Виявляються найважливіші ресурси організації, оцінюється загальний стан процесу підтримки IT-безпеки в компанії. Останній крок полягає в ідентифікації вимог безпеки і визначення переліку ризиків.
- Друга стадія полягає в комплексному аналізі інформаційної інфраструктури компанії. Наголос робиться на швидке і злагоджену взаємодію між співробітниками і відділами, які відповідають за дану інфраструктуру.
- На третій стадії проводиться розробка тактики забезпечення безпеки, створюється план по скороченню можливих ризиків та захисту інформаційних ресурсів. Також оцінюється можливий втрат та ймовірність реалізації загроз, а також встановлюються критерії їх оцінки.
Матричний метод аналізу ризиків
Цей метод аналізу об’єднує загрози, вразливості, активи та засоби управління інформаційною безпекою, а також визначає їх важливість для відповідних активів організації. Активи організації — це значущі з точки зору користі матеріальні і нематеріальні об’єкти. Важливо знати, що метод матриці складається з трьох частин: матриці загроз, матриці уразливості і матриці контролю. Для аналізу ризиків використовуються результати всіх трьох частин цієї методики.
Варто врахувати взаємозв’язок всіх матриць в ході аналізу. Так, наприклад, матриця вразливості є зв’язком активів та існуючих вразливостей, матриця загроз — це сукупність вразливостей і загроз, а матриця контролю пов’язує такі поняття, як загрози та засоби управління. Кожна клітинка матриці відображає співвідношення стовпця елемента рядка. Використовується висока, середня, а також низька система оцінок.
Для створення таблиці потрібно сформувати списки загроз, вразливостей, засобів управління і активів. Додаються дані про взаємодію вмісту стовпця матриці з вмістом рядка. Пізніше дані матриці вразливостей переходять в матрицю загроз, а потім за цим же принципом у матрицю контролю переноситься інформація з матриці загроз.
Висновок
Роль даних значно зросла з переходом ряду країн в систему ринкової економіки. Без своєчасного отримання потрібної інформації нормальне функціонування фірми просто неможливо.
Разом з розвитком інформаційних технологій виникли так звані інформаційні ризики, що являють собою загрозу для діяльності компаній. Саме тому їх необхідно виявляти, аналізувати та оцінювати для подальшого скорочення, передачі або утилізації. Формування і реалізація політики безпеки буде неефективною, якщо існуючі правила не використовуються належним чином через некомпетентність або недостатньої поінформованості співробітників. Важливо розробити комплекс щодо дотримання інформаційної безпеки.
Регулювання ризиків є суб’єктивним, складним, але в той же час важливим етапом у діяльності компанії. Найбільший наголос на безпеку своїх даних повинна зробити фірма, що працює з великими обсягами інформації, або володіє конфіденційними даними.
Існує безліч ефективних методик розрахунку і аналізу ризиків, пов’язаних з інформацією, що дозволяють оперативно інформувати фірму і дозволяти їй дотримуватися правила конкурентоспроможності на ринку, а також зберігати безпеку і безперервність діяльності.