Çağımızda bilgi, insan yaşamının tüm alanlarında kilit konumlardan birini işgal ediyor. Bu, toplumun sanayi çağından sanayi sonrası döneme kademeli geçişinden kaynaklanmaktadır. Çeşitli bilgilerin kullanılması, bulundurulması ve aktarılması sonucunda ekonominin tüm alanını etkileyebilecek bilgi riskleri ortaya çıkabilir.
Hangi sektörler daha hızlı büyüyor?
Teknik yeniliklerin genişlemesi, yeni teknolojilerin adaptasyonu ile ilgili hızlı bilgi transferini acil bir ihtiyaç haline getirdiğinden, bilgi akışlarındaki büyüme her yıl daha fazla fark edilir hale geliyor. Çağımızda sanayi, ticaret, eğitim, finans gibi sektörler bir anda gelişiyor. Verilerin aktarımı sırasında içlerinde bilgi riskleri ortaya çıkar.
Bilgi, toplam maliyeti yakında tüm üretim ürünlerinin fiyatını aşacak olan en değerli ürün türlerinden biri haline geliyor. Bu olacak çünküTüm maddi mal ve hizmetlerin kaynak tasarruflu oluşturulmasını sağlamak için, bilgi riskleri olasılığını ortadan kaldıran temel olarak yeni bir bilgi aktarma yöntemi sağlamak gerekir.
Tanım
Günümüzde bilgi riskinin açık bir tanımı yoktur. Birçok uzman bu terimi, çeşitli bilgiler üzerinde doğrudan etkisi olan bir olay olarak yorumlamaktadır. Bu, gizliliğin ihlali, bozulma ve hatta silme olabilir. Birçoğu için risk bölgesi, ana odak noktası olan bilgisayar sistemleriyle sınırlıdır.
Genellikle, bu konuyu incelerken, gerçekten önemli olan birçok husus dikkate alınmaz. Bunlar, bilgilerin doğrudan işlenmesini ve bilgi risk yönetimini içerir. Sonuçta, verilerle ilgili riskler, kural olarak, yanlış algılama ve bilgilerin işlenmesi olasılığı yüksek olduğundan, elde etme aşamasında ortaya çıkar. Çoğu zaman, veri işleme algoritmalarındaki arızalara ve yönetimi optimize etmek için kullanılan programlardaki arızalara neden olan risklere gereken özen gösterilmez.
Birçoğu, bilginin işlenmesiyle ilgili riskleri yalnızca ekonomik açıdan değerlendirir. Onlar için bu, öncelikle bilgi teknolojisinin yanlış uygulanması ve kullanılmasıyla ilişkili bir risktir. Bu, bilgi riski yönetiminin, çeşitli medya ve iletişim araçlarının kullanımına bağlı olarak, bilgilerin oluşturulması, aktarılması, depolanması ve kullanılması gibi süreçleri kapsadığı anlamına gelir.
Analiz veBT risklerinin sınıflandırılması
Bilgi alma, işleme ve iletmeyle ilgili riskler nelerdir? Hangi yönden farklılık gösterirler? Aşağıdaki kriterlere göre bilgi risklerinin çeşitli niteliksel ve niceliksel değerlendirme grupları vardır:
- iç ve dış oluşum kaynaklarına göre;
- kasıtlı ve kasıtsız olarak;
- doğrudan veya dolaylı olarak;
- bilgi ihlali türüne göre: güvenilirlik, alaka düzeyi, eksiksizlik, veri gizliliği vb.;
- etki yöntemine göre riskler şu şekildedir: mücbir sebepler ve doğal afetler, uzmanların hataları, kazalar vb.
Bilgi riski analizi, çeşitli risklerin miktarının (nakit kaynaklar) ve kalitesinin (düşük, orta, yüksek risk) belirlenmesi ile bilgi sistemlerinin koruma seviyesinin küresel bir değerlendirmesi sürecidir. Analiz süreci, bilgiyi korumanın yollarını oluşturmak için çeşitli yöntemler ve araçlar kullanılarak gerçekleştirilebilir. Böyle bir analizin sonuçlarına dayanarak, bilgi kaynaklarının korunmasına katkıda bulunan ek tedbirlerin derhal benimsenmesi için acil bir tehdit ve teşvik olabilecek en yüksek riskleri belirlemek mümkündür.
BT risklerini belirleme yöntemi
Şu anda, bilgi teknolojisinin belirli risklerini güvenilir bir şekilde belirleyen genel kabul görmüş bir yöntem yoktur. Bunun nedeni, hakkında daha spesifik bilgi sağlayacak yeterli istatistiksel verinin olmamasıdır.ortak riskler. Belirli bir bilgi kaynağının değerini tam olarak belirlemenin zor olması da önemli bir rol oynar, çünkü bir işletmenin üreticisi veya sahibi bilgi ortamının maliyetini mutlak doğrulukla adlandırabilir, ancak bunu zor bulacaktır. üzerlerinde bulunan bilgilerin maliyetini dile getirin. Bu nedenle, şu anda BT risklerinin maliyetini belirlemek için en iyi seçenek, çeşitli risk faktörlerinin yanı sıra bunların etki alanlarının ve tüm kuruluş için sonuçlarının doğru bir şekilde tanımlandığı niteliksel bir değerlendirmedir.
Birleşik Krallık'ta kullanılan CRAMM yöntemi, nicel riskleri belirlemenin en güçlü yoludur. Bu tekniğin ana hedefleri şunlardır:
- risk yönetimi sürecini otomatikleştirin;
- nakit yönetimi maliyetlerinin optimizasyonu;
- şirket güvenlik sistemlerinin verimliliği;
- iş sürekliliği taahhüdü.
Uzman risk analizi yöntemi
Uzmanlar aşağıdaki bilgi güvenliği risk analizi faktörlerini dikkate alır:
1. Kaynak maliyeti. Bu değer, bu haliyle bilgi kaynağının değerini yansıtır. 1'in minimum, 2'nin ortalama değer ve 3'ün maksimum olduğu bir ölçekte niteliksel risk değerlendirme sistemi vardır. Bankacılık ortamının BT kaynaklarını dikkate alırsak, otomatik sunucusunun değeri 3 ve ayrı bir bilgi terminali olacaktır - 1.
2. Kaynağın güvenlik açığı derecesi. Tehdidin büyüklüğünü ve bir BT kaynağına zarar verme olasılığını gösterir. Bir bankacılık organizasyonundan bahsedersek, otomatik bankacılık sisteminin sunucusu mümkün olduğunca erişilebilir olacaktır, bu nedenle hacker saldırıları onun için en büyük tehdittir. 1'den 3'e kadar bir derecelendirme ölçeği de vardır; burada 1, küçük bir etkidir, 2, yüksek bir kaynak kurtarma olasılığıdır, 3, tehlike nötralize edildikten sonra kaynağın tamamen değiştirilmesi ihtiyacıdır.
3. Tehdit olasılığının değerlendirilmesi. Koşullu bir süre boyunca (çoğunlukla - bir yıl boyunca) bir bilgi kaynağına belirli bir tehdidin olasılığını belirler ve önceki faktörler gibi 1 ila 3 (düşük, orta, yüksek) bir ölçekte değerlendirilebilir..
Bilgi güvenliği risklerini oluştukları anda yönetme
Yeni ortaya çıkan risklerle ilgili sorunları çözmek için aşağıdaki seçenekler vardır:
- Riski kabul etmek ve kayıplarının sorumluluğunu almak;
- Riski az altmak, yani ortaya çıkmasıyla ilişkili kayıpları en aza indirmek;
- transfer, yani zararın tazminat bedelinin sigorta şirketine empoze edilmesi veya belirli mekanizmalar yoluyla en düşük tehlike derecesine sahip bir riske dönüştürülmesi.
Ardından, birincil olanları belirlemek için bilgi desteğinin riskleri sıraya göre dağıtılır. Bu tür riskleri yönetmek için onları az altmak ve bazen - onları sigorta şirketine devretmek gerekir. Yüksek ve yüksek risklerin olası transferi ve az altılmasıaynı şartlarda orta seviye ve daha düşük seviye riskler genellikle kabul edilir ve ileri analizlere dahil edilmez.
Bilgi sistemlerindeki risklerin sıralamasının, niteliksel değerlerinin hesaplanması ve belirlenmesi temelinde belirlendiği gerçeğini dikkate almaya değer. Yani, risk sıralama aralığı 1 ile 18 arasında ise, düşük risk aralığı 1 ile 7, orta risk aralığı 8 ile 13 ve yüksek risk aralığı 14 ile 18 arasındadır. bilgi riski yönetimi, ortalama ve yüksek riskleri en düşük değere indirmektir, böylece kabulleri mümkün olduğu kadar optimal ve mümkün olur.
CORAS risk az altma yöntemi
CORAS yöntemi, Bilgi Toplumu Teknolojileri programının bir parçasıdır. Anlamı, bilgi riskleri örnekleri üzerinde analiz yapmak için etkili yöntemlerin uyarlanması, somutlaştırılması ve birleştirilmesinde yatmaktadır.
CORAS metodolojisi aşağıdaki risk analizi prosedürlerini kullanır:
- söz konusu nesneyle ilgili bilgilerin aranmasını ve sistemleştirilmesini hazırlamak için önlemler;
- söz konusu nesneye ilişkin nesnel ve doğru verilerin müşteri tarafından sağlanması;
- Tüm aşamaları dikkate alarak yaklaşan analizin tam açıklaması;
- daha objektif bir analiz için orijinallik ve doğruluk için gönderilen belgelerin analizi;
- olası riskleri belirlemek için faaliyetler yürütmek;
- ortaya çıkan bilgi tehditlerinin tüm sonuçlarının değerlendirilmesi;
- şirketin alabileceği riskleri veen kısa sürede az altılması veya yeniden yönlendirilmesi gerekiyor;
- olası tehditleri ortadan kaldırmak için önlemler.
Listelenen önlemlerin, uygulama ve müteakip uygulama için önemli çabalar ve kaynaklar gerektirmediğine dikkat etmek önemlidir. CORAS metodolojisinin kullanımı oldukça basittir ve kullanmaya başlamak için fazla eğitim gerektirmez. Bu araç setinin tek dezavantajı, değerlendirmede periyodiklik olmamasıdır.
OCTAVE yöntemi
OCTAVE risk değerlendirme yöntemi, bilgi sahibinin analize belirli bir ölçüde dahil olmasını gerektirir. Kritik tehditleri hızlı bir şekilde değerlendirmek, varlıkları belirlemek ve bilgi güvenliği sistemindeki zayıflıkları belirlemek için kullanıldığını bilmeniz gerekir. OCTAVE, sistemi kullanan şirket çalışanlarını ve bilgi departmanı çalışanlarını içeren yetkin bir analiz, güvenlik grubu oluşturulmasını sağlar. OKTAVE üç aşamadan oluşur:
Önce kuruluş değerlendirilir, yani analiz grubu hasarı ve ardından riskleri değerlendirme kriterlerini belirler. Kuruluşun en önemli kaynakları belirlenir, şirkette BT güvenliğini sağlama sürecinin genel durumu değerlendirilir. Son adım, güvenlik gereksinimlerini belirlemek ve bir risk listesi tanımlamaktır
- İkinci aşama, şirketin bilgi altyapısının kapsamlı bir analizidir. Çalışanlar ve bundan sorumlu departmanlar arasındaki hızlı ve koordineli etkileşime vurgu yapılır. altyapı.
- Üçüncü aşamada, güvenlik taktiklerinin geliştirilmesi gerçekleştirilir, olası risklerin az altılması ve bilgi kaynaklarının korunması için bir plan oluşturulur. Olası hasar ve tehditlerin uygulanma olasılığı ve bunların değerlendirilmesi için kriterler de değerlendirilir.
Risk analizinin matris yöntemi
Bu analiz yöntemi, tehditleri, güvenlik açıklarını, varlıkları ve bilgi güvenliği kontrollerini bir araya getirir ve bunların kuruluşun ilgili varlıkları için önemini belirler. Bir organizasyonun varlıkları, fayda açısından önemli olan maddi ve maddi olmayan nesnelerdir. Matris yönteminin üç bölümden oluştuğunu bilmek önemlidir: tehdit matrisi, güvenlik açığı matrisi ve kontrol matrisi. Bu metodolojinin üç bölümünün de sonuçları risk analizi için kullanılır.
Analiz sırasında tüm matrislerin ilişkisini dikkate almaya değer. Örneğin, bir güvenlik açığı matrisi, varlıklar ve mevcut güvenlik açıkları arasındaki bir bağlantıdır, bir tehdit matrisi, bir güvenlik açıkları ve tehditler topluluğudur ve bir kontrol matrisi, tehditler ve kontroller gibi kavramları birbirine bağlar. Matrisin her hücresi, sütun ve satır öğesinin oranını yansıtır. Yüksek, orta ve düşük derecelendirme sistemleri kullanılır.
Tablo oluşturmak için tehditler, güvenlik açıkları, kontroller ve varlıklardan oluşan listeler oluşturmanız gerekir. Matris sütununun içeriğinin satırın içeriğiyle etkileşimi hakkında veriler eklenir. Daha sonra zafiyet matrisi verileri tehdit matrisine aktarılır ve daha sonra aynı prensibe göre tehdit matrisinden gelen bilgiler kontrol matrisine aktarılır.
Sonuç
Verinin rolübirçok ülkenin piyasa ekonomisine geçişi ile önemli ölçüde artmıştır. Gerekli bilgiler zamanında alınmadan şirketin normal işleyişi kesinlikle imkansızdır.
Bilgi teknolojilerinin gelişmesiyle birlikte şirketlerin faaliyetlerine tehdit oluşturan sözde bilgi riskleri ortaya çıkmıştır. Bu nedenle daha fazla az altma, aktarma veya bertaraf için tanımlanmaları, analiz edilmeleri ve değerlendirilmeleri gerekir. Çalışanların yetersizliği veya bilinçsizliği nedeniyle mevcut kuralların gerektiği gibi kullanılmaması durumunda güvenlik politikasının oluşturulması ve uygulanması etkisiz olacaktır. Bilgi güvenliğine uyum için bir kompleks geliştirmek önemlidir.
Risk yönetimi öznel, karmaşık ama aynı zamanda şirket faaliyetlerinde önemli bir aşamadır. Verilerinin güvenliğine en büyük vurgu, büyük miktarda bilgiyle çalışan veya gizli verilere sahip olan bir şirket tarafından yapılmalıdır.
Şirketi hızlı bir şekilde bilgilendirmenizi ve piyasadaki rekabet kurallarına uymasını sağlamanın yanı sıra güvenlik ve iş sürekliliğini korumanıza olanak tanıyan bilgi ile ilgili riskleri hesaplamak ve analiz etmek için çok sayıda etkili yöntem vardır..