Информационная безпеку як процес управління ризиками

Информационная безпеку як процес управління ризиками

Е.В. Комлева, Кольський науковий центр РАН, Д. В. Баранов.

Введение

Большинство підприємств витрачають на безпеку продукту своєї діяльності певний фіксований відсоток прибутку. Частина вкладених на безпеку засобів у цей продукт не повертається у вигляді прибутку. Можна бачити, що національна безпека це продукт, а процес. Тож вирішення подібного проблеми можна оцінити безпеку як у управління ризиками. Мета управління ризиками залежить від балансі ризиків для діяльності підприємства, знижуючи потенційні загрози. Необхідність в методі управління ризиками, який би саме і надійно вимірювати параметри безпеки продукту і реально отримувати максимальну віддачу коштів, вкладених з його безпеку, як і велика [1].

Компоненты інформаційної безопасности.

Информационная безпеки включає три компонента: вимоги, політику й механізми. Вимоги визначають мети безпеки. Вони питанням, — «Що ви очікуєте від вашої безпеки?». Політика визначає значення безпеки. Вона відповідає питанням, — «Які кроки ви мусить зробити у досягненні мети поставлених вище?». Механізми визначають політику. Вони питанням, — «Які інструменти, процедури та інші шляху ви використовуєте, щоб гарантувати те, що кроки визначені вище обіцяє?» [2].

Управление ризиками Багато лідируючі підприємства міста і індустріальні сектора бачать управління ризиками як підхід до управління інформаційної безпекою. Управління ризиками має допомогти їм у кількісному визначенні ймовірності небезпеки, оцінити рівень можливих збитків і зважити видатки безпеку проти їх очікуваної ефективності [3].

Управление ризиками має з відповіддю ми такі вопросы:

1 Наскільки поліпшилася безпеку підприємства у поточному году?

2 Що підприємство одержала гроші, витрачені на безопасность?

3 Та на якій рівень безпеки підприємство має ориентироваться?

Для відповіді опікується цими питаннями потрібно суворе визначення параметрів безпеки і структури управління рисками.

Можно виділити чотири найважливіших моменту у управлінні ризиками предприятия:

1 Недовговічність інформаційного активу. Підприємства більшість промислових галузей розуміють, що ефективність його роботи залежить від інформації. Кожен відомий випадок критичного спотворення, ушкодження чи руйнації інформації посилює їх побоювання з цьому пункту.

2 Доказуемая безпеку. Оскільки параметри безпеки який завжди мають оцінку, підприємства неспроможні виміряти стабільність чи ефективність під час виборів різних коштів безпеки. Отже, кількість засобів, яке можна витратити на поліпшення безпеки не известно.

3 Обгрунтування вартості. Підвищення вартості прийняття рішень та коштів безпеки призводить до того, що проекти інформаційну безпеку конкурують із іншими інфраструктурними проектами підприємства. Прибыльно-стоимостной аналіз стану та розрахунок коштів які повернуться на інвестиції стають стандартними вимогами для будь-яких проектів із інформаційної безопасности.

4 Відповідальність. Зі збільшенням підприємств відповідає їхній залежність від ризиків інформаційної безпеки зростає. Необхідний надійного механізму керувати цими ризиками. Для оцінювання інформаційну безпеку прибыльно-стоимостного аналізу та розрахунку 58 коштів які повернуться на інвестиції недостатньо. До цих пір немає методу, що дозволяє найбільш достовірно статистично уявити параметри інформаційної безопасности.

A. Що вимірювати У рішеннях потребують балансу вартості контрзаходів проти вартості ризику, важливим моментом є точність пунктів будь-яких зроблених вимірів [4].

Любой керівник підприємства у оцінюванні безпеки бажає одержати відповіді такі питання как:

• Наскільки підприємство інформаційно безопасно?

• Одержало чи прибуток підприємство після запровадження системи оцінювання ризиків цьому року порівняно з прошлым?

• Яку вибрати стратегію інформаційної безопасности?

• Правильне чи кількість грошей витрачається на інформаційну безопасность?

• Чи є альтернативи управління рисками?

В на відміну від економічних оцінок, де було є вихідні дані, оцінювання інформаційну безпеку майже завжди доводиться починати з нуля. Це, як правило, слабко структурована завдання з постійно изменяющимися параметрами.

B. Дані для оцінювання Які дані повинні прагнути бути зібрані? Усі дані, які може бути обмірювані або мають якусь размерность.

Список вимірюваних параметрів може включать:

• Небезпечні дефекти додатків, пов’язані з стадією разработки.

• Вразливість мережі, навіть якщо можна знайти лише за скануванні, і навіть • Ставлення числа користувальних сесій до підозрілих действий.

• Зламування пароля з допомогою автоматизованих средств.

• Спроби впровадження інфікованих об'єктів до системи безопасности.

• Оновлення використовуваних чи вартість нових більш захищених приложений.

• Сканування мережі на що входить і що йде информацию.

• Витрати у відмові коштів защиты.

Конечно, це повний перелік. Кожне підприємство має обирати власний власний рівень достатності інформаційну безпеку. І в цьому тлі проводити збір даних задля її подальшого оцінювання. Оскільки реальні загрози майже завжди всередині підприємства, то достатній рівень безпеки зазвичай визначається тим, хто контролює внутрішні інформаційні показатели.

C. Модель даних Рішення, пов’язані питанням оцінювання безпеки, часто приймаються за умов невизначеності. За цих умов завжди існує недолік даних. Стандартним підходом у будівництві моделі є використання експертного думки для доповнення даних. Далі з приходом нових даних ми можемо оновлювати, модернізувати чи калібрувати модель, а також можливо повне заміщення експертного мнения.

D. Звіти по оцінювання інформаційну безпеку Які звіти повинні прагнути бути представлені під час проведення оцінювання інформаційної безопасности?

Некоторые можуть включать:

• Часовий аналіз тенденций.

59 • Уявлення отриманих параметрів і фінансовий анализ.

• Зменшені або прийняті риски.

Основная проблема оцінювання інформаційну безпеку залежить від відсутності повноти даних [5]. Але повнота інформації може складатися з тих фактів, які дають, наприклад, антивірусні програми, файли звітів, системи сканування і звіти за безпеку від працівників. Отже, необхідні критерії оцінювання та художні засоби анализа.

Заключение

З ускладненням інформаційних технологій підприємства зіштовхуються усе з більш складними інформаційними ризиками. Якби можна було знайти й визначити вразливість безпеки під час створення продукту діяльності, то виправданими є будуть видатки розробку таких методов?

Многие підприємства тонуть серед даних. Найчастіше, те що кількість фактів, дає змогу отримувати необхідну інформацію з оцінювання інформаційної безпеки. Та у цьому, що не і хтось може отримувати цю інформацію. Розв’язанням цієї завдання є механізм, що дозволить аналізувати факти і що, виділяючи необхідну інформацію оцінювати її, перетворюючи в знання про безопасности.

Список литературы.

1. Geer D., Hoo K., Jaquith A. Information Security: Why the Future Belongs to the Quants / IEEE Security & Privacy Vol. 1, No. 4; July/August 2003, pp. 24−32.

2. Bishop M. What Is Computer Security? / IEEE Security & Privacy Vol. 1, No. 1; January/February 2003, pp. 67−69.

3. Boehm B., Turner R. Using Risk to Balance Agile and Plan-Driven Methods / IEEE Computer Vol. 36, No. 6; June 2003, pp. 57−66.

4. Geer D. Risk Management Is Still Where the Money Is / IEEE Computer Vol. 36, No. 12; December 2003, pp. 129−131.

5. Gliedman З. Managing IT Risk with Portfolio Management Thinking / CIO (Analyst Corner), internet.

Для підготовки даної роботи було використані матеріали із російського сайту internet.