Современные
информационные технологии/ 4. Информационная безопасность.
К.т.н.
Панаско О.М., к.т.н. Савельєва Т.В.
Черкаський державний технологічний університет, Україна
Управління інформаційними ризиками в контексті
інформаційної безпеки підприємства
В сучасних умовах інформаційна безпека підприємства є важливим фактором
забезпечення стійкого розвитку та економічної безпеки підприємства, хоча зазвичай
в ході своєї діяльності підприємства зустрічаються з ризиками різної природи,
зокрема, маркетинговими, ризиками неплатоспроможності, законодавчими,
інфляційними тощо. В даній роботі окрема увага приділяється саме інформаційним
ризикам, оскільки інформація в значній мірі впливає на діяльність підприємств, а
такі її риси, як ефективність та своєчасність підвищують конкурентоспроможність
підприємств, їхню рентабельність та адаптацію до суворих конкурентних умов.
Поняття «інформаційні ризики» можна розглядати з точки
зору властивостей інформації як об’єкту захисту та загальновідомої моделі СІА (Confidential-Integrity-Availability). Негативні впливи на інформаційні ресурси підприємства –
їх конфіденційність, цілісність, доступність здатні привести до вельми
негативних наслідків, внаслідок збоїв у функціонуванні систем управління
технологічними процесами, розголошення відомостей, що становлять комерційну або
інших видів таємниць, порушення фінансової документації тощо. Внаслідок зазначених
чинників зазвичай погіршуються ділові відносин з партнерами, зриваються
перемовини або втрачаються вигідні контракти, не виконуються договірні
зобов’язання, виникає необхідність у проведенні додаткових маркетингових
досліджень, настають фінансові витрати, що обумовлені новими розробками.
В
даній роботі пропонується підхід щодо забезпечення інформаційної безпеки підприємства
з урахуванням аналізу та управління інформаційними ризиками. За оцінками фахівців, лише більше 5%
підприємств використовують методики аналізу ризиків, що дозволяють виконувати
кількісний аналіз та оптимізацію підсистеми інформаційної безпеки, в той час як
питання оцінки ризиків є в значній мірі актуальними для підприємств, оскільки
вони повинні забезпечувати захист своїх інформаційних ресурсів. Заходи, які
мають вживати підприємства, повинні диференціюватися і відповідати певним
загрозам.
Зазвичай, процес зменшення інформаційних ризиків полягає
у комплексному підході, оскільки досягти поставленої мети можна на різних
рівнях, зокрема організаційному, програмно-технічному (табл.1).
Управління ризиками на підприємстві узгоджується із
загальним алгоритмом дій, що представлено на рис.1.
Рис.1 – Загальний алгоритм управління ризиками на
підприємстві
Напрямки зменшення інформаційних ризиків в контексті
інформаційної безпеки підприємства
Таблиця 1
|
Рівень
забезпечення інформаційної безпеки |
Заходи та засоби
забезпечення відповідного рівня |
|
Організаційний |
-
розробка та
дотримання в подальшому виконання розділів інструкцій для персоналу,
присвячених інформаційній безпеці; -
забезпечення
фізичного захисту |
|
Програмно-технічний |
-
застосування
апробованих і сертифікованих рішень; -
резервне
копіювання критичних масивів даних; -
забезпечення
антивірусного захисту; -
парольний захист; -
застосування
технологій міжмережевого екранування; -
шифрування даних
та ін. |
В ряді стандартів і специфікацій визначаються такі
загрози, які з практичної точки зору є найбільш ймовірними. Вони формують
типовий набір, до складу якого відносяться збої в роботі устаткування, віруси,
несанкціонований доступ тощо. Незалежно від імовірності здійснення зазначених
подій необхідно обов’язково забезпечити відповідні контрзаходи для
нейтралізації цих загроз. Якщо забезпечувати підвищені вимоги до інформаційної
безпеки підприємства недоцільно, аналіз ризиків проводиться на базовому рівні,
внаслідок чого отримуються типові проектні рішення.
У випадку підвищених вимог в області інформаційної
безпеки підприємства використовується повний варіант аналізу ризиків, який
відрізняється від базового наявністю етапу оцінки цінності ресурсів (рис.2).
Для визначення оцінки цінності ресурсів доцільно вибрати
прийнятну множину критеріїв, які відповідають можливим збиткам, внаслідок
порушення конфіденційності, цілісності, доступності в контексті інформаційної
безпеки підприємства. Цінність ресурсів пов’язана з природою ресурсу, зокрема,
оцінка фізичних ресурсів проводиться на основі їх вартості. Оцінка програмних ресурсів
здійснюється на основі визначення витрат на їх придбання чи відновлення.
Рис.2 – Сутність повного аналізу ризиків
Окрім критеріїв, що відповідають фінансовим втратам підприємства
доцільно враховувати і інші аспекти, зокрема, збиток від дезорганізації роботи підприємства,
втрату його репутації. Крім зазначених можуть розглядатися і інші критерії
залежно від діяльності підприємства.
Література:
1. Міжнародний стандарт. ISO/IEC 27005:2011 Інформаційні технології. Методи
і засоби забезпечення безпеки. Менеджмент ризиків інформаційної безпеки.
2. Міжнародний стандарт. ISO/IEC 31000:2011 Менеджмент ризиків
інформаційних систем.
3. Хорошко В.А., Чекатков А.А. Методы и средства защиты информации,- К.:
Издательство Юниор, 2003,- 504с.