Біздің дәуірімізде ақпарат адам өмірінің барлық салаларында негізгі орындардың бірін алады. Бұл қоғамның индустриалды дәуірден постиндустриалды кезеңге біртіндеп өтуімен байланысты. Әртүрлі ақпаратты пайдалану, иелену және беру нәтижесінде экономиканың бүкіл саласына әсер етуі мүмкін ақпараттық тәуекелдер туындауы мүмкін.
Қай салалар ең жылдам дамып жатыр?
Ақпарат ағынының өсуі жыл сайын көбірек байқалады, өйткені техникалық инновациялардың кеңеюі жаңа технологияларды бейімдеумен байланысты ақпаратты жылдам тасымалдауды кезек күттірмейтін қажеттілікке айналдырады. Біздің заманымызда өнеркәсіп, сауда, білім, қаржы сияқты салалар бірден дамып келеді. Деректерді тасымалдау кезінде оларда ақпараттық тәуекелдер туындайды.
Ақпарат ең құнды өнім түрлерінің біріне айналуда, оның жалпы құны жақын арада өндірістің барлық өнімдерінің бағасынан асып түседі. Бұл орын алады, себебіБарлық материалдық игіліктер мен қызметтерді ресурсты үнемдейтін құруды қамтамасыз ету үшін ақпараттық тәуекелдер мүмкіндігін болдырмайтын ақпаратты берудің принципті жаңа тәсілін қамтамасыз ету қажет.
Анықтама
Біздің уақытта ақпараттық тәуекелдің бір мәнді анықтамасы жоқ. Көптеген сарапшылар бұл терминді әртүрлі ақпаратқа тікелей әсер ететін оқиға ретінде түсіндіреді. Бұл құпиялылықты бұзу, бұрмалау және тіпті жою болуы мүмкін. Көптеген адамдар үшін тәуекел аймағы компьютерлік жүйелермен шектеледі, олар басты назарда болады.
Көбінесе бұл тақырыпты зерттегенде көптеген маңызды аспектілер ескерілмейді. Оларға ақпаратты тікелей өңдеу және ақпараттық тәуекелдерді басқару кіреді. Өйткені, деректермен байланысты тәуекелдер, әдетте, алу сатысында туындайды, өйткені ақпаратты дұрыс қабылдамау және өңдеу ықтималдығы жоғары. Көбінесе деректерді өңдеу алгоритмдеріндегі сәтсіздіктерге, сондай-ақ басқаруды оңтайландыру үшін пайдаланылатын бағдарламалардағы ақауларға әкелетін тәуекелдерге тиісті көңіл бөлінбейді.
Көбісі ақпаратты өңдеуге байланысты тәуекелдерді тек экономикалық жағынан қарастырады. Олар үшін бұл ең алдымен ақпараттық технологияларды дұрыс енгізбеу және пайдаланумен байланысты тәуекел. Бұл ақпараттық тәуекелді басқару әртүрлі тасымалдаушылар мен байланыс құралдарын пайдалану шартымен ақпаратты жасау, беру, сақтау және пайдалану сияқты процестерді қамтитынын білдіреді.
Талдау жәнеАТ тәуекелдерінің классификациясы
Ақпаратты қабылдау, өңдеу және берумен байланысты қандай қауіптер бар? Олар қандай жағынан ерекшеленеді? Келесі критерийлер бойынша ақпараттық тәуекелдерді сапалық және сандық бағалаудың бірнеше топтары бар:
- ішкі және сыртқы пайда болу көздеріне сәйкес;
- әдейі және байқаусызда;
- тікелей немесе жанама;
- ақпаратты бұзу түрлері бойынша: сенімділік, өзектілік, толықтық, деректердің құпиялылығы және т.б.;
- әсер ету әдісіне сәйкес тәуекелдер келесідей: форс-мажорлық және табиғи апаттар, мамандардың қателіктері, апаттар және т.б.
Ақпараттық тәуекелді талдау – әртүрлі тәуекелдердің саны (ақшалай ресурстар) мен сапасын (төмен, орташа, жоғары тәуекел) анықтау арқылы ақпараттық жүйелердің қорғалу деңгейін жаһандық бағалау процесі. Талдау процесі ақпаратты қорғау жолдарын құрудың әртүрлі әдістері мен құралдарын қолдану арқылы жүзеге асырылуы мүмкін. Осындай талдаудың нәтижелері бойынша ақпараттық ресурстарды қорғауға ықпал ететін қосымша шараларды дереу қабылдау үшін тікелей қауіп және ынталандыру болуы мүмкін ең жоғары тәуекелдерді анықтауға болады.
АТ тәуекелдерін анықтау әдістемесі
Қазіргі уақытта ақпараттық технологиялардың нақты тәуекелдерін сенімді түрде анықтайтын жалпы қабылданған әдіс жоқ. Бұл туралы нақтырақ ақпарат беретін статистикалық деректердің жеткіліксіздігімен байланыстыжалпы тәуекелдер. Белгілі бір ақпараттық ресурстың құнын түбегейлі анықтаудың қиындығы да маңызды рөл атқарады, өйткені өндіруші немесе кәсіпорынның иесі ақпарат тасымалдаушысының құнын абсолютті дәлдікпен атай алады, бірақ ол оны анықтау қиынға соғады. оларда орналасқан ақпараттың құнын айту. Сондықтан қазіргі уақытта АТ тәуекелдерінің құнын анықтаудың ең жақсы нұсқасы сапалы бағалау болып табылады, оның арқасында әртүрлі тәуекел факторлары, сондай-ақ олардың әсер ету аймақтары және бүкіл кәсіпорын үшін салдары дәл анықталады.
Ұлыбританияда қолданылатын CRAMM әдісі сандық тәуекелдерді анықтаудың ең күшті әдісі болып табылады. Бұл техниканың негізгі мақсаттары мыналарды қамтиды:
- тәуекелдерді басқару процесін автоматтандыру;
- қолма-қол ақшаны басқару шығындарын оңтайландыру;
- компанияның қауіпсіздік жүйелерінің өнімділігі;
- бизнес үздіксіздігіне міндеттеме.
Сарапшылық тәуекелді талдау әдісі
Сарапшылар келесі ақпараттық қауіпсіздік тәуекелін талдау факторларын қарастырады:
1. Ресурс құны. Бұл мән ақпараттық ресурстың мәнін көрсетеді. Шкала бойынша сапалық тәуекелді бағалау жүйесі бар, мұнда 1 – ең төменгі, 2 – орташа мән және 3 – максимум. Банктік ортаның АТ-ресурстарын қарастыратын болсақ, онда оның автоматтандырылған серверінің мәні 3, ал жеке ақпараттық терминал - 1 болады.
2. Ресурстың осалдық дәрежесі. Ол қауіптің шамасын және АТ-ресурсқа зиян келтіру ықтималдығын көрсетеді. Егер банктік ұйым туралы айтатын болсақ, автоматтандырылған банк жүйесінің сервері мүмкіндігінше қолжетімді болады, сондықтан хакерлердің шабуылдары оған ең үлкен қауіп болып табылады. Сондай-ақ 1-ден 3-ке дейінгі бағалау шкаласы бар, мұнда 1 - шамалы әсер, 2 - ресурстарды қалпына келтірудің жоғары ықтималдығы, 3 - қауіп залалсыздандырылғаннан кейін ресурсты толығымен ауыстыру қажеттілігі.
3. Қауіптің болу мүмкіндігін бағалау. Ол ақпараттық ресурсқа белгілі бір қауіп төну ықтималдығын шартты уақыт кезеңіне (көбінесе – бір жылға) анықтайды және алдыңғы факторлар сияқты 1-ден 3-ке дейінгі шкала бойынша бағалануы мүмкін (төмен, орташа, жоғары).
Ақпараттық қауіпсіздік тәуекелдерін олардың пайда болуына қарай басқару
Тәуекелдер туындайтын мәселелерді шешудің келесі нұсқалары бар:
- тәуекелді қабылдау және олардың шығындары үшін жауапкершілікті алу;
- тәуекелді азайту, яғни оның пайда болуына байланысты шығындарды азайту;
- аудару, яғни сақтандыру компаниясына келтірілген залалдың орнын толтыру құнын салу немесе белгілі бір механизмдер арқылы қауіптіліктің ең төмен деңгейі бар тәуекелге айналдыру.
Содан кейін негізгілерді анықтау үшін ақпараттық қолдаудың тәуекелдері дәреже бойынша бөлінеді. Мұндай тәуекелдерді басқару үшін оларды азайту керек, кейде – сақтандыру компаниясына беру керек. Тәуекелдердің мүмкін берілуі және төмендеуі жоғары жәнебірдей шарттар бойынша орташа деңгей және төменгі деңгейдегі тәуекелдер жиі қабылданады және әрі қарай талдауға қосылмайды.
Ақпараттық жүйелердегі тәуекелдер рейтингі олардың сапалық құнын есептеу және анықтау негізінде анықталатынын ескерген жөн. Яғни, егер тәуекел рейтингінің интервалы 1-ден 18-ге дейін болса, онда төмен тәуекелдер диапазоны 1-ден 7-ге дейін, орташа тәуекелдер 8-ден 13-ке дейін, ал жоғары тәуекелдер 14-тен 18-ге дейін. Кәсіпорынның мәні. ақпараттық тәуекелдерді басқару орташа және жоғары тәуекелдерді ең төменгі мәнге дейін төмендету болып табылады, осылайша оларды қабылдау мүмкіндігінше оңтайлы және мүмкін болады.
CORAS тәуекелді азайту әдісі
CORAS әдісі ақпараттық қоғам технологиялары бағдарламасының бөлігі болып табылады. Оның мәні ақпараттық тәуекелдердің мысалдары бойынша талдау жүргізудің тиімді әдістерін бейімдеу, нақтылау және біріктіруде жатыр.
CORAS әдістемесі келесі тәуекелді талдау процедураларын пайдаланады:
- қаралатын объект туралы ақпаратты іздеу және жүйелеуді дайындау шаралары;
- клиенттің қарастырылып отырған объекті бойынша объективті және дұрыс деректерді ұсынуы;
- барлық кезеңдерді ескере отырып, алдағы талдаудың толық сипаттамасы;
- объективті талдау үшін түпнұсқалығы мен дұрыстығына ұсынылған құжаттарды талдау;
- мүмкін тәуекелдерді анықтау бойынша іс-шараларды орындау;
- пайда болатын ақпараттық қауіптердің барлық салдарын бағалау;
- компания қабылдай алатын тәуекелдерді және тәуекелдерді көрсетумүмкіндігінше қысқарту немесе қайта бағыттау керек;
- ықтимал қауіптерді жою шаралары.
Тізімде көрсетілген шаралар іске асыру және кейіннен іске асыру үшін айтарлықтай күш пен ресурстарды қажет етпейтінін атап өткен жөн. CORAS әдістемесін пайдалану өте қарапайым және оны пайдалануды бастау үшін көп дайындықты қажет етпейді. Бұл құралдар жинағының жалғыз кемшілігі - бағалаудың кезеңділігінің болмауы.
ОКТАВА әдісі
OCTAVE тәуекелді бағалау әдісі ақпарат иесінің талдауға белгілі бір дәрежеде қатысуын білдіреді. Ол маңызды қауіптерді жылдам бағалау, активтерді анықтау және ақпараттық қауіпсіздік жүйесіндегі әлсіз жақтарды анықтау үшін қолданылатынын білуіңіз керек. OCTAVE құзыретті талдау, қауіпсіздік тобын құруды қарастырады, оның құрамына жүйені пайдаланатын компания қызметкерлері мен ақпарат бөлімінің қызметкерлері кіреді. OCTAVE үш кезеңнен тұрады:
Біріншіден, ұйым бағаланады, яғни талдау тобы залалды бағалау критерийлерін, содан кейін тәуекелдерді анықтайды. Ұйымның маңызды ресурстары анықталады, компаниядағы АТ қауіпсіздігін қамтамасыз ету процесінің жалпы жағдайы бағаланады. Соңғы қадам - қауіпсіздік талаптарын анықтау және тәуекелдер тізімін анықтау
- Екінші кезең – компанияның ақпараттық инфрақұрылымын кешенді талдау. Осыған жауапты қызметкерлер мен бөлімдер арасындағы жылдам және үйлестірілген өзара іс-қимылға баса назар аударыладыинфрақұрылым.
- Үшінші кезеңде қауіпсіздік тактикасын әзірлеу жүзеге асырылады, ықтимал тәуекелдерді азайту және ақпараттық ресурстарды қорғау жоспары құрылады. Ықтимал залал мен қауіптерді жүзеге асыру ықтималдығы, сондай-ақ оларды бағалау критерийлері бағаланады.
Тәуекелді талдаудың матрицалық әдісі
Бұл талдау әдісі қауіптерді, осалдықтарды, активтерді және ақпараттық қауіпсіздікті бақылауды біріктіреді және олардың ұйымның тиісті активтері үшін маңыздылығын анықтайды. Ұйымның активтері пайдалылық тұрғысынан маңызды болып табылатын материалдық және материалдық емес объектілер болып табылады. Матрицалық әдіс үш бөліктен тұратынын білу маңызды: қауіп матрицасы, осалдық матрицасы және басқару матрицасы. Осы әдістеменің барлық үш бөлігінің нәтижелері тәуекелді талдау үшін пайдаланылады.
Талдау кезінде барлық матрицалардың байланысын қарастырған жөн. Мысалы, осалдық матрицасы – активтер мен бар осалдықтар арасындағы байланыс, қауіп матрицасы – осалдықтар мен қауіптердің жиынтығы, ал басқару матрицасы қауіптер мен басқару элементтері сияқты ұғымдарды байланыстырады. Матрицаның әрбір ұяшығы баған мен жол элементінің қатынасын көрсетеді. Жоғары, орташа және төмен бағалау жүйелері пайдаланылады.
Кестені жасау үшін қауіптер, осалдықтар, басқару элементтері және активтер тізімдерін жасау керек. Матрица бағанының мазмұнының жол мазмұнымен әрекеттесуі туралы деректер қосылады. Кейінірек осалдық матрицасы деректері қауіп матрицасына тасымалданады, содан кейін сол принцип бойынша қауіп матрицасынан ақпарат басқару матрицасына тасымалданады.
Қорытынды
Деректердің рөлібірқатар елдердің нарықтық экономикаға көшуімен айтарлықтай өсті. Қажетті ақпаратты уақтылы алмайынша, компанияның қалыпты жұмыс істеуі мүмкін емес.
Ақпараттық технологиялардың дамуымен бірге компаниялардың қызметіне қауіп төндіретін ақпараттық тәуекелдер пайда болды. Сондықтан оларды анықтау, талдау және одан әрі азайту, тасымалдау немесе жою үшін бағалау қажет. Қызметкерлердiң бiлiктiлiгiнiң немесе хабардар болмауының салдарынан қолданыстағы ережелер дұрыс пайдаланылмаса, қауiпсiздiк саясатын қалыптастыру және жүзеге асыру тиiмсiз болады. Ақпараттық қауіпсіздікке сәйкес кешенді әзірлеу маңызды.
Тәуекелдерді басқару – бұл субъективті, күрделі, бірақ сонымен бірге компания қызметіндегі маңызды кезең. Олардың деректерінің қауіпсіздігіне үлкен мән беруді ақпараттың үлкен көлемімен жұмыс істейтін немесе құпия деректерге ие компания жасауы керек.
Компанияны жылдам хабардар етуге және нарықтағы бәсекеге қабілеттілік ережелерін сақтауға, сондай-ақ қауіпсіздік пен бизнестің үздіксіздігін сақтауға мүмкіндік беретін ақпаратқа байланысты тәуекелдерді есептеу мен талдаудың көптеген тиімді әдістері бар..