Анализ информационных рисков
Получение наиболее полных характеристик тех информационных рисков, которые могут нанести существенный вред предприятию и вероятность наступления которых не позволяет пренебречь ими. Проведение исследования классификаций угроз безопасности информации.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | статья |
| Язык | русский |
| Дата добавления | 24.08.2020 |
| Размер файла | 18,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Анализ информационных рисков
Завгородний В.И.
Понятие информационного риска
Понятие "информационный риск" появилось недавно - в середине 90-х годов прошлого столетия. Пока еще не сложилось общепринятого толкования категории "информационный риск". Опуская анализ подходов современных специалистов к понятию "информационный риск", представим его следующее определение: информационный риск - это возможность наступления случайного события в информационной системе предприятия, приводящего к нарушению ее функционирования, снижению качества информации, в результате которых наносится ущерб предприятию.
Понятие "информационная система" включает в себя все ресурсы предприятия, в том числе и сотрудников, которые используются для получения, хранения, обработки, передачи и применения информации, независимо от формы ее представления. Поэтому понятие "информационный риск" включает в себя все возможные события, которые могут воздействовать на любые ресурсы информационной системы и вызывать ущерб или убытки предприятия.
Такой подход к пониманию сущности информационных рисков позволяет руководству предприятия рассматривать проблему противодействия рискам как проблему системную. Решение ее возможно с привлечением специалистов всех уровней управления при непосредственном участии первых лиц предприятия.
Понятие "информационный риск" можно трактовать и в более широком смысле. Приведенное выше определение информационного риска не затрагивает негативных явлений, которые непосредственно не связаны с информационной системой предприятия и происходят во внешней среде. То есть, к информационным рискам следует относить также события, связанные с незаконным использованием информации или искажением во внешней среде информации, относящейся к предприятию. Такие события наносят ущерб предприятию в результате изменений, которые происходят во внешней среде под воздействием этих событий.
Тогда информационный риск - это возможность наступления случайного события, приводящего к нарушениям функционирования и снижению качества информации в информационной системе предприятия, а также к неправомерному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию. Информационные риски приводят к ущербам и убыткам предприятия. Поэтому они с полным правом могут быть отнесены к экономическим рискам.
Информационные риски, по виду вызываемого ими ущерба, будем делить на прямые и косвенные. Прямые риски приводят к ущербу, непосредственно связанному с необходимостью восстановления работоспособности объектов информационной системы и восстановления информационных ресурсов. К таким рискам относятся повреждение помещений и оборудования, отказы программных и технических средств, требующих ремонта, замены и восстановления утраченной информации.
Косвенные информационные риски вызывают ущерб вследствие использования в основных бизнес-процессах предприятия информации низкого качества. Информация недостоверная, неполная, недоступная в течение времени, превышающего допустимое, информация, утратившая актуальность или конфиденциальность вызывает убытки предприятия.
К косвенным информационным рискам будем относить также риски, наносящие ущерб предприятию в результате изменений внешней среды, которые произошли вследствие реализации информационных рисков в информационной системе.
Анализ сущности информационных рисков и других экономических рисков позволяет сделать заключение о том, что любой экономический риск включает в себя информационную составляющую, то есть является и информационным риском. Соотношение информационного и собственно экономического риска для разных рисков различно и определяется значением информации для определенных видов экономической деятельности предприятий и особенностями бизнес-процессов.
АНАЛИЗ ИНФОРМАЦИОННЫХ РИСКОВ
Целью проведения анализа информационных рисков является получение по возможности наиболее полных характеристик тех информационных рисков, которые могут нанести существенный вред предприятию и вероятность наступления которых не позволяет пренебречь ими. Такие риски назовем значимыми.
Для полного и всестороннего анализа информационных рисков необходимо использовать методологию системного исследования явлений. Данный подход применительно к исследованию информационных рисков может быть представлен в виде следующей последовательности действий:
идентификация информационных рисков;
определение механизма воздействия информационных рисков на информационную систему предприятия;
выявление источников, факторов рисков и причин их порождающих;
определение взаимосвязи информационных рисков;
классификация рисков;
выбор показателей оценки рисков;
выбор методов и средств оценки рисков;
оценка рисков;
определение тенденций развития информационных рисков.
Проведение анализа информационных рисков необходимо начинать с построения информационной модели предприятия. Модель должна включать по возможности подробный перечень информационных объектов, выполняемых этими объектами функций, а также связей объектов. В нее необходимо включать также сведения о внутренних и внешних информационных потоках, об особенностях информации, степени ее важности.
В модели должны быть сведения о взаимодействии информационной системы (ИС) с внешними системами и с бизнес-процессами предприятия. Информационная модель предприятия должна отражать особенности всех режимов функционирования ИС, возможные изменения внешней среды, в том числе смежных систем.
Идентификация рисков заключается в определении тех информационных рисков, которые возможны в исследуемой ИС. Составление полного перечня возможных информационных рисков предполагает выполнение следующего комплекса мероприятий. В информационной модели выделяются типовые информационные объекты, такие как рабочее место специалиста, телефонная сеть, технические средства хранения информации, специалист конкретного профиля и уровня компетентности и так далее.
Структурируются информационные процессы информационной системы по стадиям получения, обработки, хранения и передачи информации, по уровням иерархии, по важности информации.
Специалист-аналитик включает в список возможных информационных рисков предприятия те из них, которые потенциально могут иметь место в конкретной ИС для каждого типового информационного объекта и процесса. Полные списки всех возможных информационных рисков специалист получает по результатам собственных исследований и обследований, из научно-технической литературы, стандартов, методических рекомендаций и тому подобного. информационный риск безопасность угроза
Под механизмом воздействия информационного риска на ИС понимаются физический принцип, лежащий в основе явлений и процессов, которые могут привести к реализации риска, алгоритмы, методы и средства реализации риска, а также последствия реализации риска для информационных объектов и процессов. При анализе механизма воздействия информационного риска учитывается зависимость возможного наступления негативного события от режимов функционирования объектов, временных рамок информационных процессов.
Одной из основных задач анализа рисков является установление причинно-следственных связей, лежащих в основе информационных рисков. Исследователи при изучении природы такого явления как экономический риск оперируют следующими понятиями: причины риска, факторы риска и собственно риск.
Во многих работах [1, 2] для детального анализа источника риска предлагается создавать его модель. В зависимости от целей исследования и источника рисков выбирается способ моделирования и уровень детализации объектов и процессов.
При анализе информационных рисков используют их классификацию и данные анализа информационной модели предприятия. Применение классификации позволяет упростить процесс анализа рисков, использовать стандартные методологии управления рисками определенных классов. Классификация позволяет в дальнейшем избежать неоправданного дублирования защитных механизмов.
Нам не известны классификации информационных рисков в том понимании этого термина, которое представлено в данной работе. В то же время специалистами в области защиты информации создано значительное количество различных классификаций угроз безопасности информации [1,2].
Анализ существующих более простых классификаций угроз безопасности информации показывает, что полную классификацию информационных рисков для научно-практических целей в виде плоской схемы создать невозможно. Предлагаемые трехмерные классификации [1] обладают малой наглядностью и практической значимостью.
Чтобы выполнить приведенные требования к построению классификации информационных рисков, предлагается использовать индексированную схему классификации и таблицу. Схема, представленная на рисунке, показывает разделение информационных рисков на группы по одному из пяти классификационных признаков. Каждой группе присваивается свой индекс. В таблицу (представлен только ее фрагмент) сведены все основные риски. С помощью индексов для каждого информационного риска можно определить его место в классификации по всем классификационным признакам.
Классификация информационных рисков
В таблице информационные риски сгруппированы по механизму воздействия риска. Табличная форма позволяет указывать с помощью индексов на свойства рисков, которые являются альтернативными. Так для определенного риска может быть указано, что его источником может быть как внутренняя, так и внешняя среда.
Практически все информационные риски ухудшают несколько показателей качества информации. При необходимости такая таблица может быть дополнена еще одним столбцом. В него можно было бы помещать индексы тех информационных рисков, наступлению которых способствует соответствующий риск из первого столбца.
Таблица 1 - Фрагмент классификационной таблицы информационных рисков
|
Информационный риск |
Индекс |
|||||
|
Механизм воздействия |
Источник риска |
Характер риска |
Вид ущерба |
Результат воздействия |
||
|
Пожары |
1 |
A B |
c |
€ $ |
б в г щ |
|
|
Наводнения |
1 |
B |
c |
€ $ |
б в г щ |
|
|
Землетрясения |
1 |
B |
c |
€ $ |
б в г щ |
|
|
Ураганы |
1 |
B |
c |
€ $ |
б в г щ |
|
|
Взрывы |
2 |
A B |
c d |
€ $ |
б в г щ |
|
|
Аварии в системе электропитания, водоснабжения, отопления |
2 |
A B |
c d |
€ $ |
б в г щ |
|
|
… |
… |
… |
… |
… |
… |
Данная классификация обладает еще одним достоинством. Таблицу легко можно дополнять вычисленными значениями вероятности информационного риска, величинами ущерба и другими показателями риска, которые получаются в результате анализа информационных рисков. То есть, таблица классификации, дополненная столбцами с вычисленными показателями отобранных значимых рисков, является таблицей результатов анализа информационных рисков. При желании таблица может включать и другие результаты анализа, например, сведения о причинах, факторах рисков и другую информацию. Размерность таблиц ограничивается лишь соображениями удобства работы с ней.
Приведенная таблица классификации может включать большее или меньшее число информационных рисков. Для предприятий одного профиля могут быть разработаны типовые классификации, которые при необходимости корректируются с учетом специфики конкретного предприятия. Более детальное представление информационных рисков возможно, если ввести разделение рисков в группах на подгруппы.
Таким образом, данный подход позволяет создавать гибкую классификацию информационных рисков, обеспечивая требуемую полноту и удобство практического использования. Формализованное табличное представление результатов позволяет выполнять автоматизированную обработку полученных результатов и получать необходимые сведения для управления информационными рисками. Классификация информационных рисков является завершающим этапом первой части алгоритма анализа информационных рисков.
Литература
1. Герасименко В.А. Защита информации в автоматизированных системах обработки данных: В 2 кн. М.: Энергоатомиздат, 1994.
2. Завгородний В.И. Комплексная защита информации в компьютерных системах: Учебное пособие. - М.: Логос, 2001. - 264 с.
Размещено на Allbest.ru
...Подобные документы
Основы защиты компьютерной информации: основные понятия и определения. Классификация угроз безопасности информации. Формы и источники атак на объекты информационных систем. Анализ угроз и каналов утечки информации. Анализ рисков и управление ими.
курс лекций [60,3 K], добавлен 31.10.2009Сущность и способы оценки информационной безопасности. Цели ее проведения. Методы анализа информационно-технологических рисков. Показатели и алгоритм расчета рисков по угрозе ИБ. Расчет информационных рисков на примере сервера Web торговой компании.
курсовая работа [190,1 K], добавлен 25.11.2013Цели информационной безопасности. Источники основных информационных угроз для России. Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц. Методы защиты информации от преднамеренных информационных угроз.
презентация [200,6 K], добавлен 27.12.2010Методы оценивания информационных рисков, их характеристика и отличительные особенности, оценка преимуществ и недостатков. Разработка методики оценки рисков на примере методики Microsoft, модели оценки рисков по безопасности корпоративной информации.
дипломная работа [207,4 K], добавлен 02.08.2012Основные аспекты обеспечения информационной безопасности, конфиденциальности и целостности информации. Примеры угроз, которые являются нарушением целостности и доступности информации. Субъекты, объекты и операции в информационных системах, права доступа.
контрольная работа [19,4 K], добавлен 30.12.2010Факторы угроз сохранности информации в информационных системах. Требования к защите информационных систем. Классификация схем защиты информационных систем. Анализ сохранности информационных систем. Комплексная защита информации в ЭВМ.
курсовая работа [30,8 K], добавлен 04.12.2003Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.
курсовая работа [1,1 M], добавлен 21.04.2015Основные виды угроз безопасности экономических информационных систем. Воздействие вредоносных программ. Шифрование как основной метод защиты информации. Правовые основы обеспечения информационной безопасности. Сущность криптографических методов.
курсовая работа [132,1 K], добавлен 28.07.2015Анализ основных недостатков организации бизнес и информационных процессов. Спецификация и обоснование нефункциональных требований. Календарно-ресурсное планирование проекта, анализ бюджетных ограничений и рисков. Обеспечение информационной безопасности.
курсовая работа [711,6 K], добавлен 29.08.2014Виды угроз безопасности в экономических информационных системах, проблема создания и выбора средств их защиты. Механизмы шифрования и основные виды защиты, используемые в автоматизированных информационных технологиях (АИТ). Признаки современных АИТ.
курсовая работа [50,8 K], добавлен 28.08.2011Модель обеспечения информационной безопасности в сфере обороны РФ. Оценка состояния систем защиты информации в правоохранительной и судебной сферах, рекомендации по их обеспечению. Анализ угроз информационной безопасности России и рисков от их реализации.
курсовая работа [57,4 K], добавлен 13.11.2009Необходимость защиты информации. Виды угроз безопасности ИС. Основные направления аппаратной защиты, используемые в автоматизированных информационных технологиях. Криптографические преобразования: шифрование и кодирование. Прямые каналы утечки данных.
курсовая работа [72,1 K], добавлен 22.05.2015Виды угроз безопасности в экономических информационных системах: цель, источники, средства реализации. Основные пути несанкционированного доступа к информации. Методы и средства защиты, используемые в АИТ маркетинговой деятельности, их классификация.
реферат [30,1 K], добавлен 12.03.2011Понятие компьютерной преступности. Основные понятия защиты информации и информационной безопасности. Классификация возможных угроз информации. Предпосылки появления угроз. Способы и методы защиты информационных ресурсов. Типы антивирусных программ.
курсовая работа [269,7 K], добавлен 28.05.2013Классификация основных рисков, их идентификация. Планирование и оценка рисков информационной системы в организации, принятие мер для устранения рисков. Определение точки безубыточности проекта. Расчет цены потерь и вероятности наступления риска.
лабораторная работа [381,2 K], добавлен 20.01.2016Теоретические основы построения корпоративной сети. Анализ источников угроз и информационных рисков. Организация защиты корпоративной информационной системы Дистанции электроснабжения на основе типовых решений. Современные технологии защиты информации.
дипломная работа [746,7 K], добавлен 09.11.2016Деятельность ученых, с которых начиналась эра информационных технологий. Современные представители сферы информационных технологий, которые посредством новаторских научных разработок внесли в жизнь человека необратимые основы современного существования.
реферат [1,1 M], добавлен 26.02.2016Категории действий, способных нанести вред информационной безопасности, методы её обеспечения. Сфера деятельности фирмы и анализ финансовых показателей. Система информационной безопасности фирмы и разработка комплекса мероприятий по её модернизации.
дипломная работа [1,1 M], добавлен 15.09.2012Развитие новых информационных технологий и всеобщая компьютеризация. Информационная безопасность. Классификация умышленных угроз безопасности информации. Методы и средства защиты информации. Криптографические методы защиты информации.
курсовая работа [25,9 K], добавлен 17.03.2004Осмысление и переработка информационных данных, которые используются для решения управленческих задач. Общая схема информационной системы, ввод данных, их обработка, хранение и распределение полученной информации. Характеристики информационных систем.
контрольная работа [59,8 K], добавлен 03.10.2010
