Ermizda axborot inson hayotining barcha jabhalarida asosiy o'rinlardan birini egallaydi. Bu jamiyatning sanoat davridan postindustrial davrga bosqichma-bosqich o'tishi bilan bog'liq. Turli ma'lumotlardan foydalanish, egalik qilish va uzatish natijasida iqtisodiyotning butun sohasiga ta'sir ko'rsatishi mumkin bo'lgan axborot risklari paydo bo'lishi mumkin.
Qaysi tarmoqlar eng tez rivojlanmoqda?
Axborot oqimlarining oʻsib borishi yildan-yilga sezilarli boʻlib bormoqda, chunki texnik innovatsiyalarning kengayishi yangi texnologiyalarni moslashtirish bilan bogʻliq maʼlumotlarni tez uzatishni dolzarb ehtiyojga aylantirmoqda. Bizning zamonamizda sanoat, savdo, ta’lim, moliya kabi tarmoqlar bir zumda rivojlanmoqda. Aynan ma'lumotlarni uzatish jarayonida ularda axborot xavfi paydo bo'ladi.
Axborot eng qimmatli mahsulot turlaridan biriga aylanib bormoqda, uning umumiy qiymati tez orada barcha ishlab chiqarish mahsulotlari narxidan oshib ketadi. Bu sodir bo'ladi, chunki uchunBarcha moddiy ne’matlar va xizmatlarning resurs tejaydigan yaratilishini ta’minlash uchun axborotni uzatishning axborot risklari ehtimolini istisno qiladigan prinsipial jihatdan yangi usulini ta’minlash zarur.
Tanrif
Bizning davrimizda axborot xavfining aniq ta'rifi yo'q. Ko'pgina mutaxassislar ushbu atamani turli xil ma'lumotlarga bevosita ta'sir ko'rsatadigan hodisa sifatida izohlaydilar. Bu maxfiylikni buzish, buzish va hatto o'chirish bo'lishi mumkin. Ko'pchilik uchun xavf zonasi asosiy e'tibor bo'lgan kompyuter tizimlari bilan cheklangan.
Koʻpincha bu mavzuni oʻrganishda juda muhim jihatlar hisobga olinmaydi. Bularga axborotni bevosita qayta ishlash va axborot risklarini boshqarish kiradi. Axir, ma'lumotlar bilan bog'liq xavflar, qoida tariqasida, olish bosqichida yuzaga keladi, chunki ma'lumotni noto'g'ri qabul qilish va qayta ishlash ehtimoli yuqori. Ko'pincha, ma'lumotlarni qayta ishlash algoritmlaridagi nosozliklarga, shuningdek, boshqaruvni optimallashtirish uchun foydalaniladigan dasturlardagi nosozliklarga olib keladigan xavf-xatarlarga etarlicha e'tibor berilmaydi.
Ko'pchilik axborotni qayta ishlash bilan bog'liq xavflarni faqat iqtisodiy tomondan ko'rib chiqadi. Ular uchun bu birinchi navbatda axborot texnologiyalarini noto'g'ri joriy etish va ulardan foydalanish bilan bog'liq xavf hisoblanadi. Bu shuni anglatadiki, axborot tavakkalchiligini boshqarish turli axborot vositalari va aloqa vositalaridan foydalanish sharti bilan axborotni yaratish, uzatish, saqlash va foydalanish kabi jarayonlarni qamrab oladi.
Tahlil vaAT xavflarining tasnifi
Axborotni qabul qilish, qayta ishlash va uzatish bilan bogʻliq qanday xavflar bor? Ular qanday jihatdan farqlanadi? Quyidagi mezonlarga ko'ra axborot xavflarini sifat va miqdoriy baholashning bir necha guruhlari mavjud:
- voqea sodir boʻlgan ichki va tashqi manbalarga koʻra;
- qasddan va qasddan;
- bevosita yoki bilvosita;
- axborot buzilishi turi boʻyicha: ishonchlilik, dolzarblik, toʻliqlik, maʼlumotlarning maxfiyligi va boshqalar;
- ta'sir qilish usuliga ko'ra, xavflar quyidagilardan iborat: fors-major va tabiiy ofatlar, mutaxassislar xatosi, baxtsiz hodisalar va boshqalar.
Axborot tavakkalchiligini tahlil qilish - bu turli risklarning miqdori (pul resurslari) va sifati (past, o'rta, yuqori xavf)ni aniqlash bilan axborot tizimlarining himoyalanish darajasini global baholash jarayoni. Tahlil jarayoni axborotni himoya qilish usullarini yaratish uchun turli usullar va vositalar yordamida amalga oshirilishi mumkin. Bunday tahlil natijalariga ko‘ra, bevosita tahdid va axborot resurslarini himoya qilishga hissa qo‘shadigan qo‘shimcha chora-tadbirlarni zudlik bilan qabul qilish uchun rag‘bat bo‘lishi mumkin bo‘lgan eng yuqori xavflarni aniqlash mumkin.
IT risklarini aniqlash metodologiyasi
Hozirda axborot texnologiyalarining oʻziga xos xavflarini ishonchli aniqlaydigan umumiy qabul qilingan usul yoʻq. Bu aniqroq ma'lumot beradigan statistik ma'lumotlarning etarli emasligi bilan bog'liqumumiy xavflar. Muayyan axborot resursining qiymatini har tomonlama aniqlash qiyinligi ham muhim rol o'ynaydi, chunki ishlab chiqaruvchi yoki korxona egasi axborot tashuvchisi narxini mutlaq aniqlik bilan nomlashi mumkin, ammo unga buni qilish qiyin bo'ladi. ularda joylashgan ma'lumotlarning narxini ovozli. Shu sababli, hozirgi vaqtda AT risklari narxini aniqlashning eng yaxshi varianti sifatli baholash bo'lib, uning yordamida turli xil xavf omillari, shuningdek ularning ta'sir doiralari va butun korxona uchun oqibatlari aniq aniqlanadi.
Buyuk Britaniyada qoʻllaniladigan CRAMM usuli miqdoriy xavflarni aniqlashning eng kuchli usuli hisoblanadi. Ushbu texnikaning asosiy maqsadlari quyidagilardan iborat:
- xavflarni boshqarish jarayonini avtomatlashtirish;
- pul mablagʻlarini boshqarish xarajatlarini optimallashtirish;
- kompaniya xavfsizlik tizimlarining samaradorligi;
- biznesning uzluksizligiga sodiqlik.
Mutaxassis riskini tahlil qilish usuli
Mutaxassislar axborot xavfsizligi xavf tahlilining quyidagi omillarini hisobga oladi:
1. Resurs narxi. Ushbu qiymat axborot resursining qiymatini aks ettiradi. 1 minimal, 2 o'rtacha qiymat va 3 maksimal bo'lgan shkala bo'yicha sifat riskini baholash tizimi mavjud. Agar bank muhitining IT resurslarini hisobga oladigan bo'lsak, uning avtomatlashtirilgan serveri 3 qiymatiga, alohida ma'lumot terminali esa 1 ga ega bo'ladi.
2. Resursning zaiflik darajasi. Bu tahdidning kattaligini va IT-resursga zarar etkazish ehtimolini ko'rsatadi. Agar bank tashkiloti haqida gapiradigan bo'lsak, avtomatlashtirilgan bank tizimining serveriga imkon qadar kirish mumkin bo'ladi, shuning uchun xakerlik hujumlari unga eng katta tahdiddir. Shuningdek, 1 dan 3 gacha bo'lgan reyting shkalasi mavjud, bunda 1 - kichik ta'sir, 2 - resurslarni tiklash ehtimoli yuqori, 3 - xavf zararsizlantirilgandan keyin resursni to'liq almashtirish zarurati.
3. Xavf ehtimolini baholash. U shartli vaqt oralig'ida (ko'pincha - bir yil davomida) axborot resursiga ma'lum bir tahdid ehtimolini aniqlaydi va oldingi omillar singari, 1 dan 3 gacha (past, o'rta, yuqori) shkala bo'yicha baholanishi mumkin..
Axborot xavfsizligi xavflarini ular yuzaga kelganda boshqarish
Yorgan xavflar bilan bogʻliq muammolarni hal qilish uchun quyidagi variantlar mavjud:
- tavakkalni qabul qilish va ularning yo'qotishlari uchun javobgarlikni o'z zimmasiga olish;
- xavfni kamaytirish, ya'ni uning yuzaga kelishi bilan bog'liq yo'qotishlarni minimallashtirish;
- oʻtkazish, yaʼni sugʻurta kompaniyasiga yetkazilgan zararni qoplash qiymatini belgilash yoki maʼlum mexanizmlar orqali eng past xavf darajasiga ega riskga aylantirish.
Keyin, asosiylarini aniqlash uchun axborotni qoʻllab-quvvatlash xatarlari darajalar boʻyicha taqsimlanadi. Bunday risklarni boshqarish uchun ularni kamaytirish, ba'zan esa - sug'urta kompaniyasiga o'tkazish kerak. Mumkin bo'lgan o'tkazish va yuqori xavflarni kamaytirish vabir xil shartlar bo'yicha o'rta darajadagi va past darajadagi risklar ko'pincha qabul qilinadi va keyingi tahlilga kiritilmaydi.
Axborot tizimlaridagi risklar reytingi ularning sifat qiymatini hisoblash va aniqlash asosida aniqlanishini hisobga olish kerak. Ya'ni, agar tavakkalchilik darajasi 1 dan 18 gacha bo'lgan intervalda bo'lsa, u holda past risklar diapazoni 1 dan 7 gacha, o'rtacha risklar 8 dan 13 gacha va yuqori risklar 14 dan 18 gacha. Korxonaning mohiyati. axborot tavakkalchiligini boshqarish oʻrtacha va yuqori risklarni eng past qiymatgacha kamaytirishdan iborat boʻlib, ularni qabul qilish imkon qadar optimal va mumkin boʻladi.
CORAS xavfni kamaytirish usuli
CORAS usuli axborot jamiyati texnologiyalari dasturining bir qismidir. Uning ma'nosi axborot tavakkalchiligi misollari bo'yicha tahlil o'tkazishning samarali usullarini moslashtirish, konkretlashtirish va kombinatsiyasida yotadi.
CORAS metodologiyasi quyidagi xavflarni tahlil qilish tartib-qoidalaridan foydalanadi:
- koʻrilayotgan obyekt haqidagi maʼlumotlarni qidirish va tizimlashtirishga tayyorgarlik koʻrish chora-tadbirlari;
- mijoz tomonidan ko'rib chiqilayotgan ob'ekt bo'yicha ob'ektiv va to'g'ri ma'lumotlar taqdim etilishi;
- barcha bosqichlarni hisobga olgan holda kelgusi tahlilning toʻliq tavsifi;
- ob'ektiv tahlil qilish uchun taqdim etilgan hujjatlarning haqiqiyligi va to'g'riligi tahlili;
- mumkin boʻlgan xavflarni aniqlash boʻyicha tadbirlarni amalga oshirish;
- paydo boʻlayotgan axborot tahdidlarining barcha oqibatlarini baholash;
- kompaniya qabul qilishi mumkin boʻlgan xavf-xatarlarni va bu xavflarni taʼkidlab oʻtishimkon qadar tezroq qisqartirish yoki qayta yo'n altirish kerak;
- mumkin boʻlgan tahdidlarni bartaraf etish choralari.
Shuni ta'kidlash kerakki, sanab o'tilgan chora-tadbirlar amalga oshirish va keyinchalik amalga oshirish uchun katta kuch va resurslarni talab qilmaydi. CORAS metodologiyasidan foydalanish juda oddiy va undan foydalanishni boshlash uchun ko'p tayyorgarlik talab etilmaydi. Ushbu asboblar to'plamining yagona kamchiliklari - baholashda davriylikning yo'qligi.
OCTAVE usuli
Xavfni OCTAVE baholash usuli ma'lumot egasining tahlilda ma'lum darajada ishtirok etishini nazarda tutadi. Bu muhim tahdidlarni tezkor baholash, aktivlarni aniqlash va axborot xavfsizligi tizimidagi zaif tomonlarni aniqlash uchun ishlatilishini bilishingiz kerak. OCTAVE tizimidan foydalanuvchi kompaniya xodimlari va axborot bo'limi xodimlarini o'z ichiga olgan vakolatli tahlil, xavfsizlik guruhini yaratishni nazarda tutadi. OCTAVE uch bosqichdan iborat:
Birinchidan, tashkilot baholanadi, ya'ni tahlil guruhi zararni, keyin esa xatarlarni baholash mezonlarini belgilaydi. Tashkilotning eng muhim resurslari aniqlanadi, kompaniyada AT xavfsizligini ta'minlash jarayonining umumiy holati baholanadi. Oxirgi qadam - xavfsizlik talablarini aniqlash va xavflar ro'yxatini aniqlash
- Ikkinchi bosqich - kompaniyaning axborot infratuzilmasini har tomonlama tahlil qilish. Xodimlar va buning uchun mas'ul bo'limlar o'rtasidagi tezkor va muvofiqlashtirilgan o'zaro hamkorlikka e'tibor qaratiladiinfratuzilma.
- Uchinchi bosqichda xavfsizlik taktikasini ishlab chiqish amalga oshiriladi, ehtimoliy xavflarni kamaytirish va axborot resurslarini himoya qilish rejasi tuziladi. Mumkin bo'lgan zarar va tahdidlarni amalga oshirish ehtimoli, shuningdek, ularni baholash mezonlari ham baholanadi.
Xavfni tahlil qilishning matritsa usuli
Bu tahlil usuli tahdidlar, zaifliklar, aktivlar va axborot xavfsizligini boshqarish vositalarini birlashtiradi va ularning tashkilotning tegishli aktivlari uchun ahamiyatini belgilaydi. Tashkilotning aktivlari foydalilik nuqtai nazaridan muhim bo'lgan moddiy va nomoddiy ob'ektlardir. Matritsa usuli uch qismdan iboratligini bilish muhim: tahdid matritsasi, zaiflik matritsasi va nazorat matritsasi. Ushbu metodologiyaning uchta qismining natijalari xavf tahlili uchun ishlatiladi.
Tahlil paytida barcha matritsalarning oʻzaro bogʻliqligini koʻrib chiqishga arziydi. Masalan, zaiflik matritsasi - bu aktivlar va mavjud zaifliklar o'rtasidagi bog'liqlik, tahdid matritsasi - zaifliklar va tahdidlar to'plami va nazorat matritsasi - tahdidlar va boshqaruvlar kabi tushunchalarni bog'laydi. Matritsaning har bir katagi ustun va satr elementining nisbatini aks ettiradi. Yuqori, oʻrta va past baholash tizimlari qoʻllaniladi.
Jadval yaratish uchun siz tahdidlar, zaifliklar, boshqaruv elementlari va aktivlar roʻyxatini yaratishingiz kerak. Matritsa ustuni tarkibining satr mazmuni bilan o'zaro ta'siri haqida ma'lumotlar qo'shiladi. Keyinchalik, zaiflik matritsasi ma'lumotlari tahdid matritsasiga o'tkaziladi va keyin xuddi shu printsipga ko'ra, tahdid matritsasi ma'lumotlari nazorat matritsasiga o'tkaziladi.
Xulosa
Ma'lumotlarning roliqator mamlakatlarning bozor iqtisodiyotiga oʻtishi bilan sezilarli darajada oshdi. Kerakli ma'lumotlarni o'z vaqtida olmasdan, kompaniyaning normal ishlashi mumkin emas.
Axborot texnologiyalarining rivojlanishi bilan birga kompaniyalar faoliyatiga tahdid soladigan axborot risklari paydo boʻldi. Shuning uchun ularni aniqlash, tahlil qilish va keyinchalik kamaytirish, uzatish yoki yo'q qilish uchun baholash kerak. Mavjud qoidalar xodimlarning malakasizligi yoki xabardorligi tufayli to'g'ri qo'llanilmasa, xavfsizlik siyosatini shakllantirish va amalga oshirish samarasiz bo'ladi. Axborot xavfsizligiga rioya qilish kompleksini ishlab chiqish muhim.
Xavflarni boshqarish sub'ektiv, murakkab, lekin ayni paytda kompaniya faoliyatidagi muhim bosqichdir. Ularning maʼlumotlari xavfsizligiga katta eʼtibor katta hajmdagi maʼlumotlar bilan ishlaydigan yoki maxfiy maʼlumotlarga ega boʻlgan kompaniya tomonidan berilishi kerak.
Axborot bilan bog'liq risklarni hisoblash va tahlil qilishning ko'plab samarali usullari mavjud bo'lib, ular sizga kompaniyani tezda xabardor qilish va bozorda raqobatbardoshlik qoidalariga rioya qilish, shuningdek, xavfsizlik va biznes uzluksizligini ta'minlash imkonini beradi..