Trong thời đại của chúng ta, thông tin chiếm một trong những vị trí quan trọng trong mọi lĩnh vực của đời sống con người. Điều này là do sự chuyển đổi dần dần của xã hội từ kỷ nguyên công nghiệp sang hậu công nghiệp. Do việc sử dụng, sở hữu và chuyển giao các thông tin khác nhau, rủi ro thông tin có thể phát sinh có thể ảnh hưởng đến toàn bộ nền kinh tế.
Những ngành nào đang phát triển nhanh nhất?
Luồng thông tin ngày càng trở nên đáng chú ý hơn mỗi năm, khi sự mở rộng của cải tiến kỹ thuật làm cho việc chuyển giao nhanh chóng thông tin liên quan đến việc thích ứng với công nghệ mới trở thành một nhu cầu cấp thiết. Trong thời đại của chúng ta, các ngành như công nghiệp, thương mại, giáo dục và tài chính đang phát triển tức thì. Chính trong quá trình chuyển dữ liệu, rủi ro thông tin sẽ phát sinh trong chúng.
Thông_tin đang trở thành một trong những loại sản phẩm có giá trị nhất, tổng chi phí sẽ sớm vượt quá giá của tất cả các sản phẩm sản xuất. Điều này sẽ xảy ra bởi vìĐể đảm bảo việc tạo ra tất cả các hàng hóa và dịch vụ vật chất một cách tiết kiệm tài nguyên, cần phải cung cấp một phương thức truyền tải thông tin mới về cơ bản loại trừ khả năng xảy ra rủi ro thông tin.
Định nghĩa
Trong thời đại của chúng ta, không có định nghĩa rõ ràng về rủi ro thông tin. Nhiều chuyên gia giải thích thuật ngữ này như một sự kiện có ảnh hưởng trực tiếp đến nhiều thông tin khác nhau. Đây có thể là hành vi vi phạm tính bảo mật, bóp méo và thậm chí là xóa. Đối với nhiều người, khu vực rủi ro được giới hạn trong các hệ thống máy tính, vốn là trọng tâm chính.
Thông thường, khi nghiên cứu chủ đề này, nhiều khía cạnh thực sự quan trọng không được xem xét. Chúng bao gồm việc xử lý thông tin trực tiếp và quản lý rủi ro thông tin. Rốt cuộc, rủi ro liên quan đến dữ liệu phát sinh, theo quy luật, ở giai đoạn thu thập, vì có khả năng cao nhận thức và xử lý thông tin không chính xác. Thông thường, người ta không chú ý đúng mức đến các rủi ro gây ra lỗi trong thuật toán xử lý dữ liệu, cũng như sự cố trong các chương trình được sử dụng để tối ưu hóa việc quản lý.
Nhiều người xem xét rủi ro liên quan đến việc xử lý thông tin, chỉ từ khía cạnh kinh tế. Đối với họ, đây chủ yếu là rủi ro liên quan đến việc triển khai và sử dụng công nghệ thông tin không chính xác. Điều này có nghĩa là quản lý rủi ro thông tin bao gồm các quá trình như tạo, chuyển, lưu trữ và sử dụng thông tin, tùy thuộc vào việc sử dụng các phương tiện và phương tiện thông tin khác nhau.
Phân tích vàphân loại rủi ro CNTT
Rủi ro liên quan đến việc nhận, xử lý và truyền thông tin là gì? Chúng khác nhau ở điểm nào? Có một số nhóm đánh giá định tính và định lượng rủi ro thông tin theo các tiêu chí sau:
- theo nguồn xuất hiện bên trong và bên ngoài;
- cố ý và vô ý;
- trực tiếp hoặc gián tiếp;
- theo loại vi phạm thông tin: độ tin cậy, mức độ liên quan, tính đầy đủ, tính bảo mật của dữ liệu, v.v.;
- theo phương pháp tác động, rủi ro như sau: bất khả kháng và thiên tai, sai sót của chuyên gia, tai nạn, …
Phân tích rủi ro thông tin là một quá trình đánh giá toàn cầu về mức độ bảo vệ của hệ thống thông tin với việc xác định số lượng (nguồn tiền mặt) và chất lượng (rủi ro thấp, trung bình, cao) của các rủi ro khác nhau. Quá trình phân tích có thể được thực hiện bằng cách sử dụng nhiều phương pháp và công cụ khác nhau để tạo ra các cách bảo vệ thông tin. Dựa trên kết quả phân tích như vậy, có thể xác định các rủi ro cao nhất có thể là mối đe dọa tức thời và động cơ để áp dụng ngay lập tức các biện pháp bổ sung góp phần bảo vệ tài nguyên thông tin.
Phương pháp luận để xác định rủi ro CNTT
Hiện tại, không có phương pháp nào được chấp nhận chung xác định một cách đáng tin cậy các rủi ro cụ thể của công nghệ thông tin. Điều này là do không có đủ dữ liệu thống kê để cung cấp thông tin cụ thể hơn vềrủi ro chung. Một vai trò quan trọng cũng do thực tế là rất khó xác định kỹ lưỡng giá trị của một nguồn thông tin cụ thể, bởi vì một nhà sản xuất hoặc chủ sở hữu của một doanh nghiệp có thể đặt tên cho chi phí của phương tiện thông tin với độ chính xác tuyệt đối, nhưng anh ta sẽ khó nói lên chi phí của thông tin nằm trên chúng. Đó là lý do tại sao hiện tại, lựa chọn tốt nhất để xác định chi phí rủi ro CNTT là đánh giá định tính, nhờ đó các yếu tố rủi ro khác nhau được xác định chính xác, cũng như các khu vực ảnh hưởng của chúng và hậu quả đối với toàn bộ doanh nghiệp.
Phương pháp CRAMM được sử dụng ở Anh là cách hiệu quả nhất để xác định rủi ro định lượng. Các mục tiêu chính của kỹ thuật này bao gồm:
- tự động hóa quy trình quản lý rủi ro;
- tối ưu hóa chi phí quản lý tiền mặt;
- năng suất của hệ thống an ninh công ty;
- cam kết liên tục kinh doanh.
Phương pháp phân tích rủi ro của chuyên gia
Các chuyên gia xem xét các yếu tố phân tích rủi ro bảo mật thông tin sau:
1. Chi phí tài nguyên. Giá trị này phản ánh giá trị của nguồn thông tin như vậy. Có một hệ thống đánh giá rủi ro định tính trên thang điểm trong đó 1 là giá trị nhỏ nhất, 2 là giá trị trung bình và 3 là giá trị lớn nhất. Nếu chúng ta xem xét các tài nguyên CNTT của môi trường ngân hàng, thì máy chủ tự động của nó sẽ có giá trị là 3 và một thiết bị đầu cuối thông tin riêng - 1.
2. Mức độ dễ bị tổn thương của tài nguyên. Nó cho thấy mức độ của mối đe dọa và xác suất thiệt hại đối với tài nguyên CNTT. Nếu chúng ta nói về một tổ chức ngân hàng, máy chủ của hệ thống ngân hàng tự động sẽ càng dễ tiếp cận càng tốt, vì vậy các cuộc tấn công của hacker là mối đe dọa lớn nhất đối với nó. Ngoài ra còn có thang điểm đánh giá từ 1 đến 3, trong đó 1 là tác động nhỏ, 2 là khả năng khôi phục tài nguyên cao, 3 là nhu cầu thay thế hoàn toàn tài nguyên sau khi mối nguy được hóa giải.
3. Đánh giá khả năng xảy ra mối đe dọa. Nó xác định khả năng xảy ra một mối đe dọa nhất định đối với nguồn thông tin trong một khoảng thời gian có điều kiện (thường xuyên nhất - trong một năm) và giống như các yếu tố trước đó, có thể được đánh giá trên thang điểm từ 1 đến 3 (thấp, trung bình, cao).
Quản lý rủi ro bảo mật thông tin khi chúng xảy ra
Có những lựa chọn sau để giải quyết vấn đề với những rủi ro đang phát sinh:
- chấp nhận rủi ro và chịu trách nhiệm về những tổn thất của mình;
- giảm rủi ro, tức là giảm thiểu thiệt hại liên quan đến sự xuất hiện của nó;
- chuyển giao, tức là việc áp đặt chi phí bồi thường thiệt hại cho công ty bảo hiểm, hoặc chuyển đổi thông qua các cơ chế nhất định thành rủi ro với mức độ nguy hiểm thấp nhất.
Sau đó, rủi ro của hỗ trợ thông tin được phân bổ theo cấp bậc để xác định những rủi ro chính. Để quản lý những rủi ro như vậy, cần phải giảm thiểu chúng, và đôi khi - chuyển chúng cho công ty bảo hiểm. Có thể chuyển giao và giảm rủi ro cao vàmức độ trung bình với các điều khoản giống nhau và rủi ro cấp độ thấp hơn thường được chấp nhận và không được đưa vào phân tích sâu hơn.
Điều đáng xem là xếp hạng rủi ro trong hệ thống thông tin được xác định trên cơ sở tính toán và xác định giá trị định tính của chúng. Tức là, nếu khoảng xếp hạng rủi ro nằm trong khoảng từ 1 đến 18, thì phạm vi rủi ro thấp là từ 1 đến 7, rủi ro trung bình từ 8 đến 13 và rủi ro cao từ 14 đến 18. Bản chất của doanh nghiệp. quản lý rủi ro thông tin là giảm rủi ro trung bình và rủi ro cao xuống giá trị thấp nhất để mức độ chấp nhận của chúng là tối ưu và có thể.
Phương pháp giảm thiểu rủi ro của CORAS
Phương pháp CORAS là một phần của chương trình Công nghệ Xã hội Thông tin. Ý nghĩa của nó nằm ở việc điều chỉnh, cụ thể hóa và kết hợp các phương pháp hiệu quả để tiến hành phân tích các ví dụ về rủi ro thông tin.
Phương pháp CORAS sử dụng các quy trình phân tích rủi ro sau:
- biện pháp chuẩn bị cho việc tìm kiếm và hệ thống hóa thông tin về đối tượng được đề cập;
- do khách hàng cung cấp dữ liệu khách quan và chính xác về đối tượng được đề cập;
- mô tả đầy đủ về phân tích sắp tới, có tính đến tất cả các giai đoạn;
- phân tích các tài liệu đã gửi về tính xác thực và đúng đắn để phân tích khách quan hơn;
- thực hiện các hoạt động để xác định các rủi ro có thể xảy ra;
- đánh giá tất cả các hậu quả của các mối đe dọa thông tin mới nổi;
- nêu bật những rủi ro mà công ty có thể chấp nhận và những rủi rocần được giảm bớt hoặc chuyển hướng càng sớm càng tốt;
- biện pháp để loại bỏ các mối đe dọa có thể xảy ra.
Điều quan trọng cần lưu ý là các biện pháp được liệt kê không đòi hỏi nỗ lực và nguồn lực đáng kể để thực hiện và thực hiện tiếp theo. Phương pháp CORAS khá đơn giản để sử dụng và không cần đào tạo nhiều để bắt đầu sử dụng nó. Hạn chế duy nhất của bộ công cụ này là thiếu tính định kỳ trong việc đánh giá.
phương pháp OCTAVE
Phương pháp đánh giá rủi ro OCTAVE ngụ ý mức độ tham gia nhất định của chủ sở hữu thông tin vào phân tích. Bạn cần biết rằng nó được sử dụng để nhanh chóng đánh giá các mối đe dọa quan trọng, xác định tài sản và xác định các điểm yếu trong hệ thống bảo mật thông tin. OCTAVE cung cấp việc tạo ra một nhóm phân tích, bảo mật có năng lực, bao gồm nhân viên của công ty sử dụng hệ thống và nhân viên của bộ phận thông tin. OCTAVE bao gồm ba giai đoạn:
Đầu tiên, tổ chức được đánh giá, tức là, nhóm phân tích xác định các tiêu chí để đánh giá thiệt hại và sau đó là các rủi ro. Các nguồn lực quan trọng nhất của tổ chức được xác định, trạng thái chung của quá trình duy trì bảo mật CNTT trong công ty được đánh giá. Bước cuối cùng là xác định các yêu cầu bảo mật và xác định danh sách các rủi ro
- Giai đoạn thứ hai là phân tích toàn diện cơ sở hạ tầng thông tin của công ty. Nhấn mạnh vào sự tương tác nhanh chóng và phối hợp giữa các nhân viên và các bộ phận chịu trách nhiệm về việc nàycơ sở hạ tầng.
- Ở giai đoạn thứ ba, việc phát triển các chiến thuật bảo mật được thực hiện, một kế hoạch được tạo ra để giảm thiểu rủi ro có thể xảy ra và bảo vệ tài nguyên thông tin. Các thiệt hại có thể xảy ra và khả năng thực hiện các mối đe dọa cũng được đánh giá, cũng như các tiêu chí để đánh giá chúng.
Phương pháp phân tích rủi ro theo ma trận
Phương pháp phân tích này tập hợp các mối đe dọa, lỗ hổng bảo mật, tài sản và các biện pháp kiểm soát bảo mật thông tin và xác định tầm quan trọng của chúng đối với tài sản tương ứng của tổ chức. Tài sản của một tổ chức là các vật thể hữu hình và vô hình có ý nghĩa quan trọng về mặt công dụng. Điều quan trọng cần biết là phương pháp ma trận bao gồm ba phần: ma trận mối đe dọa, ma trận tính dễ bị tổn thương và ma trận kiểm soát. Kết quả của cả ba phần của phương pháp này được sử dụng để phân tích rủi ro.
Cần xem xét mối quan hệ của tất cả các ma trận trong quá trình phân tích. Vì vậy, ví dụ, ma trận lỗ hổng là liên kết giữa tài sản và các lỗ hổng hiện có, ma trận mối đe dọa là tập hợp các lỗ hổng và mối đe dọa, và ma trận kiểm soát liên kết các khái niệm như mối đe dọa và kiểm soát. Mỗi ô của ma trận phản ánh tỷ lệ của phần tử cột và hàng. Hệ thống phân loại cao, trung bình và thấp được sử dụng.
Để tạo bảng, bạn cần tạo danh sách các mối đe dọa, lỗ hổng bảo mật, quyền kiểm soát và nội dung. Dữ liệu được thêm vào về sự tương tác của nội dung của cột ma trận với nội dung của hàng. Sau đó, dữ liệu ma trận lỗ hổng được chuyển sang ma trận mối đe dọa và sau đó, theo nguyên tắc tương tự, thông tin từ ma trận mối đe dọa được chuyển sang ma trận kiểm soát.
Kết
Vai trò của dữ liệutăng lên đáng kể với sự chuyển đổi của một số nước sang nền kinh tế thị trường. Nếu không nhận được thông tin cần thiết kịp thời, hoạt động bình thường của công ty đơn giản là không thể.
Cùng với sự phát triển của công nghệ thông tin, cái gọi là rủi ro thông tin đã nảy sinh đe dọa đến hoạt động của các công ty. Đó là lý do tại sao chúng cần được xác định, phân tích và đánh giá để tiếp tục cắt giảm, chuyển giao hoặc thải bỏ. Việc hình thành và thực hiện chính sách bảo mật sẽ không hiệu quả nếu các quy tắc hiện hành không được sử dụng đúng cách do nhân viên không đủ năng lực hoặc thiếu ý thức. Điều quan trọng là phải phát triển một tổ hợp tuân thủ bảo mật thông tin.
Quản lý rủi ro là một khâu chủ quan, phức tạp nhưng đồng thời cũng là một khâu quan trọng trong hoạt động của công ty. Sự chú trọng lớn nhất đến tính bảo mật của dữ liệu của họ nên được thực hiện bởi một công ty làm việc với lượng lớn thông tin hoặc sở hữu dữ liệu bí mật.
Có rất nhiều phương pháp hiệu quả để tính toán và phân tích rủi ro liên quan đến thông tin cho phép bạn nhanh chóng thông báo cho công ty và cho phép công ty tuân thủ các quy tắc cạnh tranh trên thị trường, cũng như duy trì tính bảo mật và tính liên tục của hoạt động kinh doanh.
