Informationen nehmen in unserer Zeit eine der Schlüsselpositionen in allen Bereichen des menschlichen Lebens ein. Dies ist auf den allmählichen Übergang der Gesellschaft vom Industriezeit alter zum postindustriellen Zeit alter zurückzuführen. Durch die Nutzung, den Besitz und die Weitergabe verschiedener Informationen können Informationsrisiken entstehen, die die gesamte Wirtschaftssphäre betreffen können.
Welche Branchen wachsen am schnellsten?
Das Wachstum der Informationsflüsse wird von Jahr zu Jahr deutlicher, da die Ausweitung technischer Innovationen den schnellen Informationstransfer im Zusammenhang mit der Anpassung neuer Technologien zu einem dringenden Bedarf macht. In unserer Zeit entwickeln sich Branchen wie Industrie, Handel, Bildung und Finanzen rasant. Bei der Übertragung von Daten entstehen Informationsrisiken in diesen.
Informationen werden zu einer der wertvollsten Arten von Produkten, deren Gesamtkosten bald den Preis aller Produktionsprodukte übersteigen werden. Dies wird geschehen, weil zUm eine ressourcenschonende Erstellung aller materiellen Güter und Dienstleistungen zu gewährleisten, bedarf es einer grundlegend neuen Art der Informationsübermittlung, die Informationsrisiken ausschließt.
Definition
In unserer Zeit gibt es keine eindeutige Definition von Informationsrisiko. Viele Experten interpretieren diesen Begriff als ein Ereignis, das sich direkt auf verschiedene Informationen auswirkt. Dies kann ein Verstoß gegen die Vertraulichkeit, eine Verzerrung und sogar eine Löschung sein. Für viele beschränkt sich die Risikozone auf Computersysteme, die im Mittelpunkt stehen.
Oft bleiben beim Studium dieses Themas viele wirklich wichtige Aspekte unberücksichtigt. Dazu gehören die direkte Verarbeitung von Informationen und das Informationsrisikomanagement. Denn die mit Daten verbundenen Risiken entstehen in der Regel bereits bei der Beschaffung, da eine hohe Wahrscheinlichkeit einer fehlerhaften Wahrnehmung und Verarbeitung von Informationen besteht. Oft wird den Risiken, die Fehler in Datenverarbeitungsalgorithmen sowie Fehlfunktionen in Programmen zur Optimierung der Verw altung verursachen, nicht die gebührende Aufmerksamkeit geschenkt.
Viele betrachten die mit der Verarbeitung von Informationen verbundenen Risiken ausschließlich von der wirtschaftlichen Seite. Für sie ist dies in erster Linie ein Risiko, das mit der falschen Implementierung und Nutzung von Informationstechnologie verbunden ist. Das bedeutet, dass das Informationsrisikomanagement Prozesse wie die Erstellung, Übertragung, Speicherung und Nutzung von Informationen unter Verwendung verschiedener Medien und Kommunikationsmittel umfasst.
Analyse undKlassifizierung von IT-Risiken
Welche Risiken sind mit dem Empfang, der Verarbeitung und der Übermittlung von Informationen verbunden? Worin unterscheiden sie sich? Es gibt mehrere Gruppen zur qualitativen und quantitativen Bewertung von Informationsrisiken nach folgenden Kriterien:
- nach internen und externen Vorkommensquellen;
- absichtlich und unabsichtlich;
- direkt oder indirekt;
- nach Art der Informationsverletzung: Zuverlässigkeit, Relevanz, Vollständigkeit, Vertraulichkeit der Daten usw.;
- Risiken je nach Wirkungsweise: Höhere Gew alt und Naturkatastrophen, Fachfehler, Unfälle etc.
Informationsrisikoanalyse ist ein Prozess der globalen Bewertung des Schutzniveaus von Informationssystemen mit der Bestimmung der Quantität (Geldmittel) und Qualität (niedriges, mittleres, hohes Risiko) verschiedener Risiken. Der Analyseprozess kann mit verschiedenen Methoden und Tools durchgeführt werden, um Möglichkeiten zum Schutz von Informationen zu schaffen. Basierend auf den Ergebnissen einer solchen Analyse ist es möglich, die höchsten Risiken zu bestimmen, die eine unmittelbare Bedrohung und einen Anreiz für die sofortige Ergreifung zusätzlicher Maßnahmen darstellen können, die zum Schutz von Informationsressourcen beitragen.
Methodik zur Ermittlung von IT-Risiken
Derzeit gibt es keine allgemein anerkannte Methode, die die spezifischen Risiken der Informationstechnologie zuverlässig ermittelt. Dies liegt daran, dass es nicht genügend statistische Daten gibt, die genauere Informationen darüber liefern würdenallgemeine Risiken. Eine wichtige Rolle spielt auch die Tatsache, dass es schwierig ist, den Wert einer bestimmten Informationsressource genau zu bestimmen, weil ein Hersteller oder Inhaber eines Unternehmens die Kosten von Informationsmedien absolut genau benennen kann, es ihm aber schwer fallen wird äußern Sie die Kosten der auf ihnen befindlichen Informationen. Aus diesem Grund ist derzeit die beste Möglichkeit, die Kosten von IT-Risiken zu bestimmen, eine qualitative Bewertung, dank der verschiedene Risikofaktoren genau identifiziert werden, sowie ihre Einflussbereiche und die Folgen für das gesamte Unternehmen.
Die im Vereinigten Königreich verwendete Cramm-Methode ist die leistungsstärkste Methode zur Identifizierung quantitativer Risiken. Die Hauptziele dieser Technik sind:
- den Risikomanagementprozess automatisieren;
- Optimierung der Cash-Management-Kosten;
- Produktivität von Sicherheitssystemen in Unternehmen;
- Verpflichtung zur Geschäftskontinuität.
Expertenmethode zur Risikoanalyse
Experten berücksichtigen die folgenden Risikoanalysefaktoren für die Informationssicherheit:
1. Ressourcenkosten. Dieser Wert spiegelt den Wert der Informationsressource als solche wider. Es gibt ein Bewertungssystem für das qualitative Risiko auf einer Skala, bei der 1 der Mindestwert, 2 der Durchschnittswert und 3 der Höchstwert ist. Wenn wir die IT-Ressourcen der Bankenumgebung berücksichtigen, hat der automatisierte Server den Wert 3 und ein separates Informationsterminal den Wert 1.
2. Der Grad der Anfälligkeit der Ressource. Es zeigt das Ausmaß der Bedrohung und die Wahrscheinlichkeit eines Schadens an einer IT-Ressource. Wenn wir über eine Bankorganisation sprechen, wird der Server des automatisierten Banksystems so zugänglich wie möglich sein, daher sind Hackerangriffe die größte Bedrohung dafür. Es gibt auch eine Bewertungsskala von 1 bis 3, wobei 1 eine geringe Auswirkung ist, 2 eine hohe Wahrscheinlichkeit der Ressourcenwiederherstellung ist, 3 die Notwendigkeit eines vollständigen Austauschs der Ressource ist, nachdem die Gefahr neutralisiert wurde.
3. Einschätzung der Möglichkeit einer Bedrohung. Es bestimmt die Wahrscheinlichkeit einer bestimmten Bedrohung einer Informationsressource für einen bedingten Zeitraum (meistens - für ein Jahr) und kann wie die vorherigen Faktoren auf einer Skala von 1 bis 3 (niedrig, mittel, hoch) bewertet werden..
Management von Informationssicherheitsrisiken, sobald sie auftreten
Es gibt folgende Möglichkeiten, Probleme mit auftretenden Risiken zu lösen:
- Risiken akzeptieren und Verantwortung für ihre Verluste übernehmen;
- Reduzierung des Risikos, d. h. Minimierung der mit seinem Eintritt verbundenen Verluste;
- Transfer, d. h. die Auferlegung der Schadensersatzkosten an die Versicherungsgesellschaft oder die Umwandlung durch bestimmte Mechanismen in ein Risiko mit dem geringsten Gefahrengrad.
Dann werden die Risiken der Informationsunterstützung nach Rang verteilt, um die primären zu identifizieren. Um solche Risiken zu managen, ist es notwendig, sie zu reduzieren und manchmal - an die Versicherungsgesellschaft zu übertragen. Mögliche Übertragung und Reduzierung von Risiken von hohen undRisiken auf mittlerer Ebene zu denselben Bedingungen, Risiken auf niedrigerer Ebene werden häufig akzeptiert und nicht in die weitere Analyse einbezogen.
Es ist zu bedenken, dass die Rangordnung von Risiken in Informationssystemen auf der Grundlage der Berechnung und Bestimmung ihres qualitativen Werts bestimmt wird. Das heißt, wenn das Risikoeinstufungsintervall im Bereich von 1 bis 18 liegt, dann reicht der Bereich für niedrige Risiken von 1 bis 7, für mittlere Risiken von 8 bis 13 und für hohe Risiken von 14 bis 18. Das Wesen des Unternehmertums Information Risk Management ist es, die durchschnittlichen und hohen Risiken auf den niedrigsten Wert zu reduzieren, damit ihre Akzeptanz so optimal und möglich wie möglich ist.
CORAS Risikominderungsmethode
Die CORAS-Methode ist Teil des Programms "Technologien der Informationsgesellschaft". Seine Bedeutung liegt in der Anpassung, Konkretisierung und Kombination effektiver Methoden zur Durchführung von Analysen an Beispielen von Informationsrisiken.
Die CORAS-Methodik verwendet die folgenden Risikoanalyseverfahren:
- Maßnahmen zur Vorbereitung der Suche und Systematisierung von Informationen über das betreffende Objekt;
- Bereitstellung objektiver und korrekter Daten zum jeweiligen Objekt durch den Auftraggeber;
- vollständige Beschreibung der anstehenden Analyse unter Berücksichtigung aller Phasen;
- Analyse der eingereichten Dokumente auf Authentizität und Korrektheit für eine objektivere Analyse;
- Durchführung von Aktivitäten zur Identifizierung möglicher Risiken;
- Bewertung aller Folgen neu auftretender Informationsbedrohungen;
- Hervorheben der Risiken, die das Unternehmen eingehen kann, und der Risiken, die es zulässtmuss so schnell wie möglich reduziert oder umgeleitet werden;
- Maßnahmen zur Beseitigung möglicher Bedrohungen.
Es ist wichtig zu beachten, dass die aufgeführten Maßnahmen keinen erheblichen Aufwand und Ressourcen für die Umsetzung und anschließende Umsetzung erfordern. Die CORAS-Methodik ist recht einfach zu verwenden und erfordert nicht viel Schulung, um mit der Verwendung zu beginnen. Der einzige Nachteil dieses Toolkits ist die fehlende Periodizität der Bewertung.
OCTAVE-Methode
Die OCTAVE-Risikobewertungsmethode impliziert ein gewisses Maß an Beteiligung des Informationseigentümers an der Analyse. Sie müssen wissen, dass es verwendet wird, um kritische Bedrohungen schnell zu bewerten, Vermögenswerte zu identifizieren und Schwachstellen im Informationssicherheitssystem zu identifizieren. OCTAVE sorgt für die Bildung einer kompetenten Analyse-Sicherheitsgruppe, die Mitarbeiter des Unternehmens, das das System verwendet, und Mitarbeiter der Informationsabteilung umfasst. OCTAVE besteht aus drei Stufen:
Zunächst wird die Organisation bewertet, dh die Analysegruppe ermittelt die Kriterien zur Bewertung des Schadens und anschließend der Risiken. Die wichtigsten Ressourcen der Organisation werden identifiziert, der allgemeine Stand des Prozesses zur Aufrechterh altung der IT-Sicherheit im Unternehmen wird bewertet. Der letzte Schritt besteht darin, Sicherheitsanforderungen zu identifizieren und eine Liste von Risiken zu definieren
- Der zweite Schritt ist eine umfassende Analyse der Informationsinfrastruktur des Unternehmens. Dabei wird Wert auf ein schnelles und abgestimmtes Zusammenspiel der dafür zuständigen Mitarbeiter und Abteilungen gelegtInfrastruktur.
- In der dritten Phase wird die Entwicklung von Sicherheitstaktiken durchgeführt, ein Plan erstellt, um mögliche Risiken zu reduzieren und Informationsressourcen zu schützen. Bewertet werden auch der mögliche Schaden und die Wahrscheinlichkeit der Umsetzung von Bedrohungen sowie die Kriterien für deren Bewertung.
Matrixmethode der Risikoanalyse
Diese Analysemethode führt Bedrohungen, Schwachstellen, Assets und Informationssicherheitskontrollen zusammen und bestimmt ihre Bedeutung für die jeweiligen Assets der Organisation. Die Vermögenswerte einer Organisation sind materielle und immaterielle Gegenstände, die in Bezug auf den Nutzen von Bedeutung sind. Es ist wichtig zu wissen, dass die Matrixmethode aus drei Teilen besteht: einer Bedrohungsmatrix, einer Schwachstellenmatrix und einer Kontrollmatrix. Die Ergebnisse aller drei Teile dieser Methodik werden für die Risikoanalyse verwendet.
Es lohnt sich, bei der Analyse die Beziehung aller Matrizen zu berücksichtigen. So ist beispielsweise eine Schwachstellenmatrix eine Verbindung zwischen Assets und bestehenden Schwachstellen, eine Bedrohungsmatrix eine Sammlung von Schwachstellen und Bedrohungen und eine Kontrollmatrix verbindet Konzepte wie Bedrohungen und Kontrollen. Jede Zelle der Matrix spiegelt das Verhältnis des Sp alten- und Zeilenelements wider. Es werden hohe, mittlere und niedrige Bewertungssysteme verwendet.
Um eine Tabelle zu erstellen, müssen Sie Listen mit Bedrohungen, Schwachstellen, Kontrollen und Assets erstellen. Es werden Daten über die Interaktion des Inh alts der Matrixsp alte mit dem Inh alt der Zeile hinzugefügt. Später werden die Daten der Schwachstellenmatrix in die Bedrohungsmatrix übertragen, und dann werden nach dem gleichen Prinzip Informationen aus der Bedrohungsmatrix in die Kontrollmatrix übertragen.
Schlussfolgerung
Die Rolle der Datenmit dem Übergang einer Reihe von Ländern zur Marktwirtschaft erheblich gestiegen. Ohne den rechtzeitigen Erh alt der erforderlichen Informationen ist das normale Funktionieren des Unternehmens einfach unmöglich.
Im Zuge der Entwicklung der Informationstechnologie sind sogenannte Informationsrisiken entstanden, die die Aktivitäten von Unternehmen gefährden. Deshalb müssen sie identifiziert, analysiert und bewertet werden, um sie weiter zu reduzieren, zu transferieren oder zu entsorgen. Die Erstellung und Umsetzung einer Sicherheitsrichtlinie wird wirkungslos, wenn die bestehenden Regeln aufgrund von Inkompetenz oder mangelndem Bewusstsein der Mitarbeiter nicht richtig angewendet werden. Es ist wichtig, einen Komplex für die Einh altung der Informationssicherheit zu entwickeln.
Risikomanagement ist ein subjektiver, komplexer, aber gleichzeitig wichtiger Schritt in der Unternehmenstätigkeit. Größten Wert auf die Sicherheit ihrer Daten sollte ein Unternehmen legen, das mit großen Mengen an Informationen arbeitet oder vertrauliche Daten besitzt.
Es gibt viele effektive Methoden zur Berechnung und Analyse informationsbezogener Risiken, die es Ihnen ermöglichen, das Unternehmen schnell zu informieren und es ihm zu ermöglichen, die Wettbewerbsregeln auf dem Markt einzuh alten sowie die Sicherheit und Geschäftskontinuität aufrechtzuerh alten.