در عصر ما، اطلاعات یکی از موقعیتهای کلیدی را در تمام حوزههای زندگی بشری به خود اختصاص داده است. این به دلیل گذار تدریجی جامعه از دوران صنعتی به دوران فراصنعتی است. در نتیجه استفاده، در اختیار داشتن و انتقال اطلاعات مختلف، خطرات اطلاعاتی ممکن است ایجاد شود که می تواند کل حوزه اقتصاد را تحت تأثیر قرار دهد.
کدام صنایع سریعتر رشد می کنند؟
رشد در جریان اطلاعات هر سال بیشتر و بیشتر قابل توجه است، زیرا گسترش نوآوری های فنی، انتقال سریع اطلاعات مربوط به انطباق فناوری های جدید را به یک نیاز فوری تبدیل می کند. در زمان ما، صنایعی مانند صنعت، تجارت، آموزش و امور مالی به سرعت در حال توسعه هستند. در طول انتقال داده ها است که خطرات اطلاعاتی در آنها ایجاد می شود.
اطلاعات در حال تبدیل شدن به یکی از با ارزش ترین انواع محصولات است که هزینه کل آن به زودی از قیمت تمام محصولات تولیدی فراتر خواهد رفت. این اتفاق خواهد افتاد زیرا برایبه منظور حصول اطمینان از ایجاد صرفه جویی در منابع برای کلیه کالاها و خدمات مادی، لازم است روشی اساساً جدید برای انتقال اطلاعات ارائه شود که احتمال خطرات اطلاعاتی را حذف کند.
تعریف
در زمان ما هیچ تعریف روشنی از ریسک اطلاعات وجود ندارد. بسیاری از کارشناسان این اصطلاح را به عنوان رویدادی که تأثیر مستقیم بر اطلاعات مختلف دارد تعبیر می کنند. این ممکن است نقض محرمانه بودن، تحریف و حتی حذف باشد. برای بسیاری، منطقه خطر محدود به سیستمهای رایانهای است که تمرکز اصلی هستند.
اغلب، هنگام مطالعه این موضوع، بسیاری از جنبه های واقعا مهم در نظر گرفته نمی شوند. اینها شامل پردازش مستقیم اطلاعات و مدیریت ریسک اطلاعات است. از این گذشته ، خطرات مرتبط با داده ها ، به عنوان یک قاعده ، در مرحله به دست آوردن ایجاد می شود ، زیرا احتمال درک و پردازش نادرست اطلاعات زیاد است. اغلب، توجه لازم به خطراتی که باعث خرابی الگوریتمهای پردازش دادهها میشوند، و همچنین نقص در برنامههای مورد استفاده برای بهینهسازی مدیریت نمیشود.
بسیاری خطرات مربوط به پردازش اطلاعات را صرفاً از جنبه اقتصادی در نظر می گیرند. برای آنها، این در درجه اول یک خطر مرتبط با اجرا و استفاده نادرست از فناوری اطلاعات است. این بدان معناست که مدیریت ریسک اطلاعات فرآیندهایی مانند ایجاد، انتقال، ذخیره و استفاده از اطلاعات را مشروط به استفاده از رسانه ها و وسایل ارتباطی مختلف پوشش می دهد.
تحلیل وطبقه بندی ریسک های فناوری اطلاعات
خطرات مرتبط با دریافت، پردازش و انتقال اطلاعات چیست؟ از چه نظر با هم تفاوت دارند؟ گروههای مختلفی از ارزیابی کمی و کیفی ریسکهای اطلاعاتی بر اساس معیارهای زیر وجود دارد:
- بر اساس منابع داخلی و خارجی وقوع؛
- عمداً و ناخواسته;
- مستقیم یا غیر مستقیم؛
- بر اساس نوع نقض اطلاعات: قابلیت اطمینان، مرتبط بودن، کامل بودن، محرمانه بودن داده ها و غیره؛
- بر اساس روش تأثیر، خطرات به شرح زیر است: فورس ماژور و بلایای طبیعی، خطای متخصصان، حوادث و غیره.
تحلیل ریسک اطلاعات فرآیند ارزیابی جهانی سطح حفاظت از سیستم های اطلاعاتی با تعیین کمیت (منابع نقدی) و کیفیت (ریسک کم، متوسط، بالا) ریسک های مختلف است. فرآیند تحلیل را می توان با استفاده از روش ها و ابزارهای مختلف برای ایجاد راه هایی برای محافظت از اطلاعات انجام داد. بر اساس نتایج چنین تحلیلی، می توان بالاترین خطراتی را تعیین کرد که ممکن است یک تهدید فوری و انگیزه ای برای اتخاذ فوری اقدامات اضافی باشد که به حفاظت از منابع اطلاعاتی کمک می کند.
روش تعیین خطرات فناوری اطلاعات
در حال حاضر، هیچ روش پذیرفته شده ای وجود ندارد که به طور قابل اعتماد خطرات خاص فناوری اطلاعات را تعیین کند. این به دلیل این واقعیت است که داده های آماری کافی وجود ندارد که بتواند اطلاعات دقیق تری در مورد آن ارائه دهدخطرات مشترک نقش مهمی نیز با این واقعیت ایفا می کند که تعیین دقیق ارزش یک منبع اطلاعاتی خاص دشوار است، زیرا یک سازنده یا صاحب یک شرکت می تواند هزینه رسانه های اطلاعاتی را با دقت مطلق نامگذاری کند، اما برای او دشوار است هزینه اطلاعات موجود در آنها را بیان کنید. به همین دلیل است که در حال حاضر بهترین گزینه برای تعیین هزینه ریسک های فناوری اطلاعات یک ارزیابی کیفی است که به لطف آن عوامل خطر مختلف و همچنین حوزه های تأثیر آنها و عواقب آن برای کل شرکت به طور دقیق شناسایی می شود.
روش CRAMM که در بریتانیا استفاده می شود قدرتمندترین راه برای شناسایی ریسک های کمی است. اهداف اصلی این تکنیک عبارتند از:
- فرآیند مدیریت ریسک را خودکار کنید؛
- بهینه سازی هزینه های مدیریت نقدی؛
- بهره وری سیستم های امنیتی شرکت؛
- تعهد به تداوم کسب و کار.
روش تحلیل ریسک خبره
کارشناسان فاکتورهای تحلیل ریسک امنیت اطلاعات زیر را در نظر می گیرند:
1. هزینه منابع این مقدار نشان دهنده ارزش منبع اطلاعاتی است. یک سیستم ارزیابی ریسک کیفی در مقیاسی وجود دارد که 1 حداقل، 2 مقدار متوسط و 3 حداکثر است. اگر منابع فناوری اطلاعات محیط بانکی را در نظر بگیریم، سرور خودکار آن دارای مقدار 3 و یک پایانه اطلاعات جداگانه خواهد بود - 1.
2. میزان آسیب پذیری منبع این بزرگی تهدید و احتمال آسیب به یک منبع فناوری اطلاعات را نشان می دهد. اگر در مورد یک سازمان بانکی صحبت کنیم، سرور سیستم بانکی خودکار تا حد امکان در دسترس خواهد بود، بنابراین حملات هکری بزرگترین تهدید برای آن است. همچنین یک مقیاس رتبه بندی از 1 تا 3 وجود دارد که در آن 1 یک تأثیر جزئی است، 2 احتمال بازیابی منابع زیاد است، 3 نیاز به جایگزینی کامل منبع پس از خنثی شدن خطر است.
3. ارزیابی احتمال تهدید این احتمال وجود یک تهدید خاص برای یک منبع اطلاعاتی را برای یک دوره زمانی مشروط (اغلب - برای یک سال) تعیین می کند و مانند عوامل قبلی، می تواند در مقیاس 1 تا 3 (کم، متوسط، زیاد) ارزیابی شود..
مدیریت خطرات امنیت اطلاعات در زمان وقوع
گزینه های زیر برای حل مشکلات با خطرات نوظهور وجود دارد:
- پذیرفتن ریسک و پذیرفتن مسئولیت ضررهای خود؛
- کاهش ریسک، یعنی به حداقل رساندن زیان های مرتبط با وقوع آن؛
- انتقال، یعنی تحمیل هزینه جبران خسارت به شرکت بیمه، یا تبدیل از طریق مکانیسم های خاص به ریسک با کمترین سطح خطر.
سپس، ریسکهای پشتیبانی اطلاعاتی به منظور شناسایی ریسکهای اولیه، بر اساس رتبه توزیع میشوند. برای مدیریت چنین خطراتی، باید آنها را کاهش داد، و گاهی اوقات - آنها را به شرکت بیمه منتقل کرد. انتقال احتمالی و کاهش ریسک های بالا وسطح متوسط با شرایط یکسان، و ریسکهای سطح پایینتر اغلب پذیرفته میشوند و در تجزیه و تحلیل بیشتر لحاظ نمیشوند.
این نکته قابل تامل است که رتبه بندی ریسک ها در سیستم های اطلاعاتی بر اساس محاسبه و تعیین ارزش کیفی آنها تعیین می شود. یعنی اگر فاصله رتبه بندی ریسک در محدوده 1 تا 18 باشد، دامنه ریسک های کم از 1 تا 7، ریسک های متوسط از 8 تا 13 و ریسک های بالا از 14 تا 18 است. جوهر شرکت مدیریت ریسک اطلاعات عبارت است از کاهش ریسک های متوسط و بالا به کمترین مقدار، به طوری که پذیرش آنها تا حد امکان بهینه و ممکن باشد.
روش کاهش ریسک CORAS
روش CORAS بخشی از برنامه فناوری های جامعه اطلاعاتی است. معنای آن در انطباق، دقیقسازی و ترکیب روشهای مؤثر برای انجام تحلیل نمونههایی از ریسکهای اطلاعاتی نهفته است.
روششناسی CORAS از روشهای تحلیل ریسک زیر استفاده میکند:
- اقدامات برای آماده سازی جستجو و سیستم سازی اطلاعات در مورد شی مورد نظر؛
- ارائه داده های عینی و صحیح در مورد شی مورد نظر توسط مشتری؛
- شرح کامل تحلیل آینده با در نظر گرفتن تمام مراحل؛
- تحلیل اسناد ارسالی برای صحت و صحت برای تحلیل عینی تر؛
- انجام فعالیت برای شناسایی خطرات احتمالی؛
- ارزیابی همه پیامدهای تهدیدات اطلاعاتی در حال ظهور؛
- برجسته کردن ریسکهایی که شرکت میتواند متحمل شود و ریسکهای آنباید در اسرع وقت کاهش یا هدایت شود؛
- اقدامات برای از بین بردن تهدیدهای احتمالی.
لازم به ذکر است که اقدامات ذکر شده به تلاش و منابع قابل توجهی برای اجرا و اجرای بعدی نیاز ندارد. استفاده از متدولوژی CORAS بسیار ساده است و برای شروع استفاده از آن به آموزش زیادی نیاز ندارد. تنها اشکال این جعبه ابزار عدم تناوب در ارزیابی است.
روش OCTAVE
روش ارزیابی ریسک OCTAVE دلالت بر درجه خاصی از دخالت صاحب اطلاعات در تجزیه و تحلیل دارد. باید بدانید که برای ارزیابی سریع تهدیدات حیاتی، شناسایی دارایی ها و شناسایی نقاط ضعف در سیستم امنیت اطلاعات استفاده می شود. OCTAVE ایجاد یک تجزیه و تحلیل و گروه امنیتی صالح را فراهم می کند که شامل کارکنان شرکت با استفاده از سیستم و کارمندان بخش اطلاعات است. OCTAVE از سه مرحله تشکیل شده است:
ابتدا سازمان مورد ارزیابی قرار می گیرد، یعنی گروه تحلیل معیارهای ارزیابی خسارت و متعاقباً خطرات را تعیین می کند. مهمترین منابع سازمان شناسایی شده، وضعیت کلی فرآیند حفظ امنیت فناوری اطلاعات در شرکت ارزیابی می شود. آخرین مرحله شناسایی الزامات امنیتی و تعریف لیستی از خطرات است
- مرحله دوم تحلیل جامع زیرساخت اطلاعاتی شرکت است. تاکید بر تعامل سریع و هماهنگ بین کارمندان و بخش های مسئول این امر استزیرساخت.
- در مرحله سوم، توسعه تاکتیک های امنیتی انجام می شود، برنامه ای برای کاهش خطرات احتمالی و حفاظت از منابع اطلاعاتی ایجاد می شود. خسارات احتمالی و احتمال اجرای تهدیدات و معیارهای ارزیابی آنها نیز مورد ارزیابی قرار گرفته است.
روش ماتریسی تحلیل ریسک
این روش تحلیل تهدیدها، آسیبپذیریها، داراییها و کنترلهای امنیت اطلاعات را گرد هم میآورد و اهمیت آنها را برای داراییهای مربوطه سازمان تعیین میکند. دارایی های یک سازمان، اشیای مشهود و نامشهود هستند که از نظر مطلوبیت دارای اهمیت هستند. مهم است بدانید که روش ماتریس از سه بخش تشکیل شده است: ماتریس تهدید، ماتریس آسیب پذیری و ماتریس کنترل. نتایج هر سه بخش این روش برای تجزیه و تحلیل ریسک استفاده می شود.
ارزش دارد که رابطه همه ماتریس ها در طول تجزیه و تحلیل در نظر گرفته شود. بنابراین، برای مثال، ماتریس آسیبپذیری پیوندی بین داراییها و آسیبپذیریهای موجود است، ماتریس تهدید مجموعهای از آسیبپذیریها و تهدیدها است و ماتریس کنترل مفاهیمی مانند تهدیدها و کنترلها را به هم پیوند میدهد. هر سلول از ماتریس نسبت عنصر ستون و ردیف را منعکس می کند. از سیستم های درجه بندی بالا، متوسط و پایین استفاده می شود.
برای ایجاد جدول، باید لیستی از تهدیدها، آسیب پذیری ها، کنترل ها و دارایی ها ایجاد کنید. اطلاعات در مورد تعامل محتویات ستون ماتریس با محتویات سطر اضافه می شود. بعداً دادههای ماتریس آسیبپذیری به ماتریس تهدید منتقل میشود و سپس طبق همین اصل، اطلاعات ماتریس تهدید به ماتریس کنترل منتقل میشود.
نتیجه گیری
نقش داده هابا گذار تعدادی از کشورها به اقتصاد بازار به طور قابل توجهی افزایش یافت. بدون دریافت به موقع اطلاعات لازم، عملکرد عادی شرکت به سادگی غیرممکن است.
همراه با توسعه فناوری اطلاعات، به اصطلاح ریسک های اطلاعاتی به وجود آمده است که فعالیت شرکت ها را تهدید می کند. به همین دلیل است که آنها نیاز به شناسایی، تجزیه و تحلیل و ارزیابی برای کاهش، انتقال یا دفع بیشتر دارند. در صورت عدم استفاده صحیح از قوانین موجود به دلیل عدم صلاحیت یا عدم آگاهی کارکنان، تشکیل و اجرای سیاست امنیتی بی اثر خواهد بود. ایجاد مجموعه ای برای رعایت امنیت اطلاعات مهم است.
مدیریت ریسک مرحله ای ذهنی، پیچیده و در عین حال مهم در فعالیت های شرکت است. بیشترین تأکید بر امنیت داده های آنها باید توسط شرکتی صورت گیرد که با حجم زیادی از اطلاعات کار می کند یا دارای داده های محرمانه است.
روشهای مؤثر زیادی برای محاسبه و تجزیه و تحلیل ریسکهای مرتبط با اطلاعات وجود دارد که به شما امکان میدهد به سرعت شرکت را مطلع کنید و به آن اجازه دهید از قوانین رقابت در بازار پیروی کند و همچنین امنیت و تداوم کسب و کار را حفظ کند..