• Bilgi güvenliğinin uygulanmasında risklerin analizi ve yönetimi. Rusya'da bilgi güvenliği risk yönetimi

    Bir kuruluşta bir bilgi güvenliği yönetim sistemi (BGYS) uygularken temel tökezleyen noktalardan biri genellikle risk yönetimi sistemidir. Risk yönetimine ilişkin tartışmalar bilgi Güvenliği UFO problemine benzer. Bir yandan bunu etrafta kimse görmemiş gibi görünüyor ve olayın kendisi pek olası görünmüyor, diğer yandan pek çok kanıt var, yüzlerce kitap yazıldı, hatta konuyla ilgili bilimsel disiplinler ve uzman dernekleri var. Bu araştırma sürecinde ve her zamanki gibi istihbarat servislerinin bu alanda özel gizli bilgileri var.

    Alexander Astakhov, CISA, 2006

    giriiş

    Bilgi güvenliği uzmanları arasında risk yönetimi konularında fikir birliği yoktur. Birisi risk değerlendirmesinin niceliksel yöntemlerini reddeder, birisi niteliksel yöntemleri reddeder, birisi genel olarak risk değerlendirmesinin fizibilitesini ve olasılığını reddeder, birisi kuruluşun yönetimini emniyet konularının önemi konusunda yetersiz farkındalıkla suçlar veya bir hedefe ulaşmayla ilgili zorluklardan şikayet eder kuruluşun itibarı gibi belirli varlıkların değerinin değerlendirilmesi. Güvenlik maliyetlerini haklı çıkarma olasılığını görmeyen diğerleri, bunu bir tür hijyenik prosedür olarak ele almayı ve bu prosedüre yazık olmayan veya bütçede kalan kadar para harcamayı öneriyor.

    Bilgi güvenliği risk yönetimi konusunda hangi görüşler mevcut olursa olsun ve bu riskleri nasıl ele alırsak alalım, bir şey açıktır ki; bu konu Bilgi güvenliği uzmanlarının çok yönlü faaliyetinin özünde, onu doğrudan iş ile ilişkilendirerek, ona makul bir anlam ve uygunluk vererek yatmaktadır. Bu makale, risk yönetimine yönelik olası bir yaklaşımı özetlemekte ve farklı kuruluşların bilgi güvenliği risklerini neden farklı şekilde görüntülediği ve yönettiği sorusunu yanıtlamaktadır.

    Sabit ve yardımcı varlıklar

    İş riskleri dediğimizde belli bir olasılıkla belli bir zarara uğrama olasılığını kastediyoruz. Bu kadar düz olabilir malzeme hasarı, dolaylı zararın yanı sıra, örneğin işten çıkışa kadar kar kaybı olarak ifade edilen, çünkü risk yönetilmezse iş kaybedilebilir.

    Aslında sorunun özü, kuruluşun faaliyetlerinin sonuçlarına (iş hedeflerine) ulaşmak için birkaç ana kaynak kategorisine sahip olması ve bunları kullanmasıdır (bundan sonra doğrudan işle ilgili varlık kavramını kullanacağız). Varlık, bir kuruluş için değeri olan ve gelirini sağlayan herhangi bir şeydir (başka bir deyişle, olumlu bir finansal akış yaratan veya para tasarrufu sağlayan bir şeydir).

    Maddi, finansal, insan ve bilgi varlıkları vardır. Modern uluslararası standartlar aynı zamanda başka bir varlık kategorisi olan süreçleri de tanımlar. Süreç, iş hedeflerine ulaşmak için diğer tüm şirket varlıklarını çalıştıran toplu bir varlıktır. Şirketin imajı ve itibarı da en önemli varlıklardan biri olarak kabul edilmektedir. Herhangi bir kuruluş için bu temel varlıklar, özel türdeki bilgi varlıklarından başka bir şey değildir; çünkü bir şirketin imajı ve itibarı, onun hakkında açık ve geniş çapta yayılan bilgilerin içeriğinden başka bir şey değildir. Bilgi güvenliği, kuruluşun güvenliğiyle ilgili sorunların yanı sıra gizli bilgilerin sızmasının imaj üzerinde son derece olumsuz bir etkiye sahip olması nedeniyle imaj sorunlarıyla ilgilenir.

    İş sonuçları çeşitli dış ve iç faktörler Risk kategorisine aittir. Bu etki, kuruluşun bir veya aynı anda birkaç varlık grubu üzerinde olumsuz bir etki olarak ifade edilir. Örneğin, bir sunucu arızası, üzerinde depolanan bilgi ve uygulamaların kullanılabilirliğini etkiler ve onarımı insan kaynaklarının dikkatini dağıtır, belirli bir çalışma alanında eksiklik yaratır ve iş süreçlerinin düzensizliğine neden olurken, istemcinin geçici olarak kullanılamaması Hizmetler şirketin imajını olumsuz etkileyebilir.

    Tanım gereği her türlü varlık bir kuruluş için önemlidir. Ancak her kuruluşun hayati önem taşıyan temel varlıkları ve destekleyici varlıkları vardır. Hangi varlıkların ana varlıklar olduğunu belirlemek çok kolaydır çünkü... Bunlar, kuruluşun işinin etrafında inşa edildiği varlıklardır. Böylece, bir kuruluşun işi maddi varlıkların (örneğin arazi, gayrimenkul, ekipman, madenler) mülkiyeti ve kullanımına dayanabilir; iş aynı zamanda finansal varlıkların (kredi faaliyetleri, sigorta, vb.) yönetimine de dayanabilir. yatırım), işletme belirli uzmanların yetkinliğine ve yetkisine (danışmanlık, denetim, eğitim, yüksek teknoloji ve bilgi yoğun endüstriler) dayalı olabilir veya bir işletme bilgi varlıkları (yazılım geliştirme, bilgi ürünleri, e-ticaret) etrafında dönebilir. , İnternet işi). Sabit varlıkların riskleri, iş kaybı ve kuruluş için onarılamaz kayıplarla doludur, bu nedenle işletme sahiplerinin dikkati öncelikle bu risklere odaklanır ve kuruluşun yönetimi bunlarla kişisel olarak ilgilenir. Destekleyici varlıklara yönelik riskler genellikle telafi edilebilir hasarlarla sonuçlanır ve kuruluşun yönetim sisteminde önemli bir öncelik değildir. Genellikle bu tür riskler özel olarak atanan kişiler tarafından yönetilir veya bu riskler devredilir. üçüncü taraf organizasyonuörneğin bir taşeron firmaya veya bir sigorta şirketine. Bir kuruluş için bu, hayatta kalmaktan çok yönetim verimliliği meselesidir.

    Risk yönetimine yönelik mevcut yaklaşımlar

    Bilgi güvenliği riskleri tüm kuruluşlar için temel riskler olmadığından, bu riskleri yönetmek için derinlik ve biçimsellik düzeyi açısından farklılık gösteren üç ana yaklaşım uygulanmaktadır.

    Kritik olmayan sistemler için, bilgi varlıkları yardımcı olduğunda ve bilgi düzeyi yüksek olmadığında, ki bu çoğu modern Rus şirketi için tipiktir, risk değerlendirmesine minimum düzeyde ihtiyaç vardır. Bu tür organizasyonlarda mevcut düzenleme ve standartların belirlediği belli bir temel düzeyde bilgi güvenliğinden bahsetmemiz gerekir, en iyi uygulamalar, deneyim ve diğer birçok kuruluşta bunun yapılma şekli. Bununla birlikte, bazılarını açıklayan mevcut standartlar temel set Gereksinimler ve güvenlik mekanizmaları her zaman, belirli bir kuruluşta geçerli olan genel gereksinimler ve mekanizmalar dizisinden seçim yapmak amacıyla belirli kontrol mekanizmalarının kullanılmasının risklerini ve ekonomik fizibilitesini değerlendirme ihtiyacını şart koşar.

    Bilgi varlıklarının asıl olmadığı ancak iş süreçlerinin bilişim düzeyinin çok yüksek olduğu kritik sistemler için ve bilgi riskleri Temel iş süreçlerini önemli ölçüde etkileyebiliyorsa risk değerlendirmesi uygulanmalıdır, ancak bu durumda En kritik sistemlere özel önem vererek, bu sorunu çözmeye yönelik resmi olmayan niteliksel yaklaşımlarla kendimizi sınırlamamız tavsiye edilir.

    Bir kuruluşun işi bilgi varlıkları üzerine kurulduğunda ve bilgi güvenliği riskleri ana riskler olduğunda, bu riskleri değerlendirmek için resmi bir yaklaşım ve niceliksel yöntemler kullanılmalıdır.

    Birçok şirkette, örneğin iş çeşitlendirildiğinde veya şirket bilgi ürünlerinin yaratılmasıyla meşgul olduğunda, çeşitli varlık türleri aynı anda hayati önem taşıyabilir ve hem insan hem de bilgi kaynakları onun için eşit derecede önemli olabilir. Bu durumda akılcı yaklaşım, hangi sistemlerin yüksek düzeyde riske maruz kaldığını ve hangilerinin iş operasyonları açısından kritik olduğunu belirlemek için üst düzey bir risk değerlendirmesi yapmak ve ardından belirlenen sistemlerin ayrıntılı bir risk değerlendirmesi yapmaktır. Kritik olmayan tüm diğer sistemler için, kendinizi temel bir yaklaşımla sınırlamanız, mevcut deneyime, uzman görüşlerine ve en iyi uygulamalara dayanarak risk yönetimi kararları vermeniz tavsiye edilir.

    Olgunluk seviyeleri

    Bir kuruluşta risk değerlendirme yaklaşımının seçimi, işin doğası ve iş süreçlerinin bilgi düzeyine ek olarak olgunluk düzeyinden de etkilenir. Bilgi güvenliği risk yönetimi, bir kuruluşun bilgi güvenliği sorunlarına ilişkin farkındalığı ve farkındalık derecesi nedeniyle yönetimi tarafından başlatılan, anlamı işletmeyi mevcut gerçek bilgi güvenliği tehditlerinden korumak olan bir iş görevidir. Farkındalık derecesine göre, kuruluşların çeşitli olgunluk düzeyleri izlenebilir; bunlar, COBIT ve diğer standartlarda tanımlanan olgunluk düzeyleriyle bir dereceye kadar ilişkilidir:

    1. Açık giriş seviyesiÖyle bir farkındalık yok, kurum bilgi güvenliğinin sağlanmasına yönelik, kendi sorumluluğunda BT uzmanları tarafından başlatılan ve uygulanan parçalı önlemler alıyor.
    2. İkinci seviyede, kuruluş bilgi güvenliği sorumluluğunu tanımlar; merkezi yönetim ile entegre çözümlerin kullanılması ve ayrı bilgi güvenliği yönetimi süreçlerinin uygulanması için girişimlerde bulunulur.
    3. Üçüncü seviye, standartlarda tanımlanan bilgi güvenliği yönetimine süreç yaklaşımının uygulanmasıyla karakterize edilir. Bilgi güvenliği yönetim sistemi kuruluş için o kadar önemli hale gelir ki, kuruluşun yönetim sisteminin gerekli bir bileşeni olarak kabul edilir. Fakat tam teşekküllü sistem IS yönetimi henüz mevcut değil çünkü bu sistemin temel unsuru olan risk yönetimi süreçleri eksiktir.
    4. Bilgi güvenliği sorunları konusunda en yüksek düzeyde farkındalığa sahip kuruluşlar, planlama, uygulama, izleme ve iyileştirme için belgelenmiş süreçlerin varlığıyla karakterize edilen, bilgi güvenliği risk yönetimine resmileştirilmiş bir yaklaşımın kullanılmasıyla karakterize edilir.

    Risk yönetimi süreç modeli

    Bu yılın Mart ayında, yeni bir İngiliz standardı olan BS 7799 Bölüm 3 – Bilgi güvenliği yönetim sistemleri – Bilgi güvenliği risk yönetimi uygulaması kabul edildi. ISO, bu belgenin 2007 yılı sonuna kadar Uluslararası Standart olarak onaylanmasını beklemektedir. BS 7799-3, risk değerlendirmesi ve yönetim süreçlerini, diğer yönetim standartlarıyla aynı süreç modelini kullanarak bir kuruluşun yönetim sisteminin ayrılmaz bir öğesi olarak tanımlar; bu süreç dört süreç grubunu içerir: planla, yap, gözden geçir, harekete geç (PDA), bu standartı yansıtır herhangi bir yönetim sürecinin döngüsü. ISO 27001 genel uçtan uca güvenlik yönetimi döngüsünü açıklarken, BS 7799-3 bunu bilgi güvenliği risk yönetimi süreçlerine kadar genişletir.

    Bilgi güvenliği risk yönetimi sisteminde, Planlama aşamasında, risk yönetimine ilişkin politika ve metodoloji belirlenerek varlıkların envanterinin çıkarılması, tehdit ve zafiyet profillerinin derlenmesi, karşı önlemlerin etkinliğinin değerlendirilmesini içeren bir risk değerlendirmesi gerçekleştirilir. ve potansiyel hasar ve kalan risklerin kabul edilebilir seviyesinin belirlenmesi.

    Uygulama aşamasında riskler işlenir ve bunları en aza indirecek kontrol mekanizmaları devreye alınır. Kuruluşun yönetimi tanımlanan her risk için dört karardan birini alır: görmezden gelme, kaçınma, harici bir tarafa devretme veya en aza indirme. Bundan sonra bir risk tedavi planı geliştirilir ve uygulanır.

    Doğrulama aşamasında kontrol mekanizmalarının işleyişi takip edilmekte, risk faktörlerindeki (varlıklar, tehditler, zafiyetler) değişimler takip edilmekte, denetimler yapılmakta ve çeşitli kontrol prosedürleri gerçekleştirilir.

    Eylem aşamasında, sürekli izleme ve devam eden denetimlerin sonuçlarına dayanarak, özellikle risklerin büyüklüğünün yeniden değerlendirilmesi, risk yönetimi politikası ve metodolojisinde ayarlamalar yapılması da dahil olmak üzere gerekli düzeltici eylemler gerçekleştirilir. Risk tedavi planı olarak.

    Risk faktörleri

    Herhangi bir risk yönetimi yaklaşımının özü, risk faktörlerini analiz etmek ve riskleri tedavi etmek için yeterli kararları almaktır. Risk faktörleri, riskleri değerlendirirken kullandığımız temel parametrelerdir. Bu tür yalnızca yedi parametre vardır:

    • Varlık
    • Hasar (Zarar)
    • Tehdit
    • Güvenlik Açığı
    • Kontrol mekanizması
    • Ortalama yıllık kayıp (ALE)
    • Yatırım Getirisi (ROI)

    Bu parametrelerin nasıl analiz edilip değerlendirileceği, kuruluşta kullanılan risk değerlendirme metodolojisi tarafından belirlenir. Aynı zamanda, hangi metodoloji kullanılırsa kullanılsın, genel yaklaşım ve akıl yürütme şekli yaklaşık olarak aynıdır. Risk değerlendirme süreci iki aşamadan oluşmaktadır. Standartlarda risk analizi olarak tanımlanan ilk aşamada aşağıdaki soruların yanıtlanması gerekmektedir:

    • Şirketin ana varlığı nedir?
    • Bu varlığın gerçek değeri nedir?
    • Bu varlığa yönelik hangi tehditler mevcut?
    • Bu tehditlerin sonuçları ve işletmeye verdiği zararlar nelerdir?
    • Bu tehditlerin olasılığı ne kadar?
    • İşletmeniz bu tehditlere karşı ne kadar savunmasız?
    • Beklenen ortalama yıllık kayıp nedir?

    Standartların risk değerlendirmesi olarak tanımladığı ikinci aşamada şu soruya cevap vermek gerekir: Kuruluş için hangi risk seviyesi (ortalama yıllık kayıp miktarı) kabul edilebilir ve buna göre hangi riskler bu seviyeyi aşar? seviye.

    Böylece, risk değerlendirmesinin sonuçlarına dayanarak, kabul edilebilir seviyeyi aşan risklerin bir tanımını ve bu risklerin büyüklüğünün ortalama yıllık kayıpların büyüklüğüne göre belirlenen bir değerlendirmesini elde ediyoruz. Daha sonra, risk tedavisine ilişkin bir karar vermeniz gerekir; aşağıdaki soruları yanıtlayın:

    • Hangi risk tedavisi seçeneğini seçeceğiz?
    • Riski en aza indirmeye yönelik bir karar alınırsa hangi kontrol mekanizmaları kullanılmalıdır?
    • Bu kontroller ne kadar etkili ve ne kadar yatırım getirisi sağlayacak?

    Çıkışta bu süreç Risklerin nasıl ele alınacağını, karşı önlemlerin maliyetini ve karşı önlemlerin uygulanmasının zamanlamasını ve sorumluluğunu tanımlayan bir risk iyileştirme planı ortaya çıkar.

    Risk Tedavisine Karar Vermek

    Risk tedavisine karar vermek, risk yönetimi sürecinde en önemli ve en kritik andır. Yönetimin doğru kararı verebilmesi için organizasyondaki risk yönetiminden sorumlu kişinin kendisine gerekli bilgileri sağlaması gerekir. Bu tür bilgilerin sunulma şekli, dört ana noktayı içeren standart iş iletişimi algoritması tarafından belirlenir:

    • Sorun raporlama: İşletmeye yönelik tehdit nedir (kaynak, nesne, uygulama yöntemi) ve varlığının nedeni nedir?
    • Sorunun ciddiyeti: Bu, kuruluşu, yönetimini ve hissedarlarını nasıl tehdit ediyor?
    • Önerilen çözüm: Durumu düzeltmek için ne yapılması öneriliyor, maliyeti ne kadar olacak, kim yapmalı ve doğrudan yönetimden ne isteniyor?
    • Alternatif çözümler: Sorunu çözmenin başka yolları nelerdir (her zaman alternatifler vardır ve yönetimin seçim yapma fırsatı olmalıdır).

    Özel duruma bağlı olarak 1. ve 2. noktaların yanı sıra 3. ve 4. noktalar da değiştirilebilir.

    Risk yönetimi yöntemleri

    Yeterli sayıda kanıtlanmış ve yaygın olarak kullanılan risk değerlendirme ve yönetim yöntemleri vardır. Bu yöntemlerden biri Carnegie Melon Üniversitesi'nde geliştirilen OCTAVE'dir. İç kullanım Organizasyonda. OCTAVE – Operasyonel Olarak Kritik Tehdit, Varlık ve Güvenlik Açığı Değerlendirmesi (Operasyonel Olarak Kritik Tehdit, Varlık ve Güvenlik Açığı Değerlendirmesi), kuruluşlar için tasarlanmış bir dizi değişikliğe sahiptir farklı boyutlar ve faaliyet alanları. Bu yöntemin özü, riskleri değerlendirmek için uygun şekilde organize edilmiş bir dizi dahili çalıştayın kullanılmasıdır. Risk değerlendirmesi üç aşamada gerçekleştirilir; bu aşamadan önce çalıştay programı üzerinde anlaşmaya varılması, rollerin atanması, planlama ve proje ekibi üyelerinin eylemlerinin koordine edilmesi de dahil olmak üzere bir dizi hazırlık faaliyeti gelir.

    İlk aşamada, uygulamalı çalıştaylar sırasında, varlıkların değerinin envanteri ve değerlendirilmesi, geçerli yasal gerekliliklerin belirlenmesi ve düzenleyici yapı tehditlerin belirlenmesi ve olasılıklarının değerlendirilmesi ve ayrıca bilgi güvenliği rejimini sürdürmek için kurumsal önlemler sisteminin belirlenmesi.

    İkinci aşamada, kuruluşun bilgi sistemlerindeki mevcut güvenlik açıklarının tanımlanmasını ve bunların büyüklüğünün değerlendirilmesini içeren, önceki aşamada profilleri geliştirilen tehditlerle ilgili olarak kuruluşun bilgi sistemlerindeki güvenlik açıklarının teknik bir analizi gerçekleştirilir. .

    Üçüncü aşamada, önceki aşamalarda tespit edilen güvenlik açıkları kullanılarak güvenlik tehditleri sonucunda zarara yol açmanın büyüklüğünün ve olasılığının belirlenmesi, koruma stratejisinin belirlenmesi, seçeneklerin ve kararların belirlenmesini içeren bilgi güvenliği riskleri değerlendirilir ve işlenir. Risk tedavisine ilişkin kararlar almak. Riskin büyüklüğü, güvenlik tehditlerinin uygulanması sonucunda kuruluşun ortalama yıllık kaybı olarak tanımlanmaktadır.

    Benzer bir yaklaşım, bir zamanlar İngiliz hükümetinin emriyle geliştirilen, iyi bilinen CRMM risk değerlendirme yönteminde de kullanılıyor. CRAMM'in birincil risk değerlendirme yöntemi, ayrıntılı anketler kullanılarak dikkatle planlanmış görüşmelerdir. CRAMM, diğer şeylerin yanı sıra, riskler hakkında bilgi tabanı ve bunları en aza indirecek mekanizmalar içeren son derece gelişmiş yazılım araçlarının, bilgi toplama, rapor oluşturma ve ayrıca algoritma uygulama araçlarının varlığı sayesinde dünya çapında binlerce kuruluşta kullanılmaktadır. Risklerin büyüklüğünü hesaplamak için.

    OCTAVE yönteminden farklı olarak CRAMM, risklerin büyüklüğünü belirlemek için biraz farklı bir dizi eylem ve yöntem kullanır. Öncelikle risklerin genel olarak değerlendirilmesinin fizibilitesi belirlenir ve kuruluşun bilgi sistemi yeterince kritik değilse, uluslararası standartlarda açıklanan ve CRAMM bilgi tabanında yer alan standart bir dizi kontrol mekanizması ona uygulanacaktır.

    İlk aşamada, CRAMM yöntemi bilgi, yazılım ve teknik kaynaklar arasındaki ilişkileri tanımlayan bir bilgi sistemi kaynakları modeli oluşturur ve aynı zamanda kaynakların değerini, bunların uzlaşması sonucunda bir kuruluşun uğrayabileceği olası zarara göre değerlendirir. .

    İkinci aşamada, tehdit olasılığının belirlenmesi ve değerlendirilmesi, güvenlik açıklarının büyüklüğünün değerlendirilmesi ve her üçlü için risklerin hesaplanmasını içeren bir risk değerlendirmesi gerçekleştirilir: kaynak - tehdit - güvenlik açığı. CRAMM, sistemde uygulanan kontrol mekanizmalarından bağımsız olarak “saf” riskleri değerlendirir. Risk değerlendirmesi aşamasında herhangi bir karşı önlemin uygulanmadığı varsayılır ve bu varsayıma dayanarak riskleri en aza indirecek bir dizi önerilen karşı önlem oluşturulur.

    Son aşamada, CRAMM araç seti, belirlenen riskleri en aza indirmek için bir dizi karşı önlem oluşturur ve önerilen ve mevcut karşı önlemleri karşılaştırır ve ardından bir risk iyileştirme planı oluşturulur.

    Risk Yönetimi Araç Seti

    Risk değerlendirmesi sürecinde, belirli aralıklarla önceki aşamalara geri dönen bir dizi ardışık aşamadan geçeriz; örneğin, belirli bir riski en aza indirmek için belirli bir karşı önlemi seçtikten sonra yeniden değerlendirmek. Her aşamada anketlerin, tehdit ve zayıf nokta listelerinin, kaynak ve risk kayıtlarının, dokümantasyonun, toplantı tutanaklarının, standartların ve yönergelerin hazır bulundurulması gerekir. Bu bakımdan bu çeşitli verilerle çalışacak bir çeşit programlanmış algoritmaya, veritabanına ve arayüze ihtiyacımız var.

    Bilgi güvenliği risklerini yönetmek için örneğin CRAMM yöntemindeki veya RA2 (şekilde gösterilen) gibi araçları kullanabilirsiniz, ancak bu zorunlu değildir. BS 7799-3 standardı da hemen hemen aynısını söylüyor. Araç setini kullanmanın faydası, deneyimsiz bir uzmanın işini kolaylaştıran, risk değerlendirmesi ve risk yönetimi iş akışı için programlanmış bir algoritma içermesinde yatabilir.

    Araçların kullanımı, diğer uzmanlar tarafından gerçekleştirilse bile, metodolojiyi birleştirmenize ve riskleri yeniden değerlendirmek için sonuçların kullanımını basitleştirmenize olanak tanır. Araçların kullanımı sayesinde veri depolamayı kolaylaştırmak ve kaynak modelleri, tehdit profilleri, güvenlik açıkları ve risk listeleriyle çalışmak mümkündür.

    Yazılım araçları, risk değerlendirme ve yönetim araçlarına ek olarak, BGYS'nin belgelenmesi, standart gereksinimlerle tutarsızlıkların analiz edilmesi, bir kaynak kaydının geliştirilmesi ve ayrıca BGYS'nin uygulanması ve işletilmesi için gerekli diğer araçlar için ek araçlar da içerebilir.

    sonuçlar

    Risk değerlendirmesine yönelik niteliksel veya niceliksel yaklaşımların seçimi, kuruluşun işinin niteliğine ve bilgi düzeyine göre belirlenir; bilgi varlıklarının kendisi için önemi ve kuruluşun olgunluk düzeyi.

    Bir kuruluşta risk yönetimine resmi bir yaklaşım uygularken, öncelikle sağduyuya, mevcut standartlara (örneğin BS 7799-3) ve köklü metodolojilere (örneğin OCTAVE veya CRAMM) güvenmek gerekir. Bu amaçlar için uygun metodolojileri uygulayan ve standartların gerekliliklerini mümkün olan en üst düzeyde karşılayan yazılım araçlarının (örneğin RA2) kullanılması yararlı olabilir.

    Bilgi güvenliği risk yönetimi sürecinin etkinliği, risk faktörlerinin analizinin ve değerlendirilmesinin doğruluğu ve eksiksizliği ile kuruluşta yönetim kararları almak ve bunların uygulanmasını izlemek için kullanılan mekanizmaların etkinliği ile belirlenir.

    Bağlantılar

    • Astakhov A.M., “BS 7799 standardının tarihi”, http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
    • Astakhov A.M., “Bilgi güvenliği yönetim sistemi nasıl kurulur ve sertifikalandırılır?”,

    "Hiçbir şey insanları sağduyudan ve plana göre gitmekten daha fazla şaşırtmaz."

    Ralph Emerson, Amerikalı yazar

    Risk tedavisi kararları alındıktan sonra, bu kararların uygulanmasına yönelik eylemler belirlenmeli ve planlanmalıdır. Her bir faaliyet açıkça tanımlanmalı ve sorumlulukları açıkça atamak, kaynak tahsisi gereksinimlerini değerlendirmek, kilometre taşlarını belirlemek ve gerekli önlemleri almak için gerektiği kadar faaliyete bölünmelidir. kontrol noktaları Hedeflere ulaşmak ve ilerlemeyi izlemek için kriterlerin tanımlanması.

    Risk tedavisine ilişkin yönetim kararları bir “Risk Tedavi Planı” şeklinde belgelenir. Bu belge "Kayıt Ol" belgesinden alınmıştır. bilgi riskleri”, her bir tehdit ve güvenlik açığı grubu için, belirli bir tehdit grubu için maksimum risk düzeyini kuruluş tarafından kabul edilebilir artık risk düzeyine düşürmeyi mümkün kılan risk iyileştirme önlemlerinin bir listesini tanımlar. Risk iyileştirme planı aynı zamanda uygulama zaman çizelgesini, tahsis edilen kaynakları ve sorumlu uygulayıcıları da belirler.

    Planlama süreci, varlıkların ve iş süreçlerinin kilit sahiplerinin belirlenmesini, risk iyileştirme planının uygulanması için zaman, mali ve diğer kaynakların tahsisi konusunda onlarla istişarede bulunulmasını ve kaynakların kullanımı için uygun yönetim seviyesinin onayını almayı içermelidir.

    ___________________________________

    Bir risk iyileştirme planının geliştirilmesi ve uygulanması aşağıdaki önlemleri içerir:

    • uygulama faaliyetlerinin sırasının belirlenmesi alınan kararlar risk tedavisi hakkında;
    • risk iyileştirme faaliyetlerinin detaylandırılması ve önceliklendirilmesi;
    • sorumluluğun sanatçılar arasında dağılımı;
    • gerekli kaynakların tahsisi;
    • kilometre taşlarının ve kontrol noktalarının tanımlanması;
    • hedeflere ulaşmak için kriterlerin tanımlanması;
    • ilerleme izleme.

    ______________________________________

    Risk iyileştirme önlemlerinin uygulanmasına uygun şekilde öncelik verilmelidir. Her bir eylemin gerçekleştirilebileceği zaman, diğer eylemlere göre mutlak önceliğine, kaynakların mevcudiyetine (finansal ve insan kaynakları dahil) ve süreç başlatılmadan önce tamamlanması gereken faaliyetlere bağlıdır. Risk tedavi planı diğer iş planlarıyla koordine edilmelidir. Bu planlar arasındaki bağımlılıklar tanımlanmalıdır.

    Risk iyileştirme önlemleri aşağıdaki şekilde önceliklendirilebilir:

    1. Tüm karşı önlemler, azaltmayı amaçladıkları risk düzeyine göre gruplara ayrılır. En büyük öncelik, en büyük riskleri azaltan karşı önlemlere verilir.

    2. Her grupta ilk sırayı uygulaması daha hızlı ve kolay olan ve en hızlı etkiyi veren tedbirlere verir.

    3. Yatırım ROI'sinden en yüksek getiriyi sağlayacak karşı önlemlerin önceliği artırılır.

    4. Diğer karşı önlemlerin başarısının bağlı olduğu birincil karşı önlemlere daha yüksek öncelik verilir.

    5. Diğer planlarla ilişkiler, belirli kaynakların mevcudiyeti, siyasi, ekonomik ve diğer hususlar da dahil olmak üzere, karşı önlemlerin uygulanmasını etkileyebilecek diğer tüm hususlar dikkate alınır.

    Bu sürecin çıktısında, daha detaylı planlama, kaynak tahsisi ve risk yönetimi kararlarının uygulanmasının gerçekleştirildiği risk iyileştirme tedbirlerinin öncelik listesini elde ederiz.

    Risk işleme planının uygulanmasına yönelik tüm adımların koordinasyonu (güvenlik mekanizmalarının edinilmesi, uygulanması, test edilmesi, sigorta ve dış kaynak kullanımı anlaşmalarının imzalanması vb. dahil), bilgi güvenliği yöneticisi veya risk yöneticisi tarafından gerçekleştirilir ve bu kişinin uygulanmasını kontrol etmesi gerekir. Faaliyetlerin plana uygun olarak yürütülmesi, uygun kalite ve tahsis edilen mali, zaman ve insan kaynakları dahilinde. Bir bilgi sistemine karşı önlemler uygulanırken, uygulanan güvenlik mekanizmalarının güvenilirliğini ve performansını doğrulamak ve bunların işleyişinin etkinliğini ölçmek için testler yapılmalıdır.

    • Yorum yazmak için lütfen giriş yapın veya kayıt olun

    Açık şu an Bilgi güvenliği riskleri birçok işletme ve kurumun normal operasyonları için büyük bir tehdit oluşturmaktadır. Bizim çağımızda Bilişim Teknolojileri Herhangi bir veriyi elde etmek pratikte zor değildir. Bu bir yandan elbette pek çok olumlu yönü de beraberinde getiriyor ama birçok firmanın yüzü ve markası için sorun haline geliyor.

    İşletmelerdeki bilgilerin korunması artık neredeyse en önemli öncelik haline geliyor. Uzmanlar, yalnızca belirli bir bilinçli eylem dizisi geliştirerek bu hedefe ulaşılabileceğine inanıyor. Bu durumda yalnızca güvenilir gerçeklere göre hareket etmek ve ileri analitik yöntemler kullanmak mümkündür. İşletmede bu bölümden sorumlu uzmanın sezgi ve deneyiminin gelişmesi belli bir katkı sağlar.

    Bu materyal size bir ticari kuruluşun bilgi güvenliği risklerinin yönetilmesi hakkında bilgi verecektir.

    Bilgi ortamında ne tür olası tehditler mevcuttur?

    Pek çok tehdit türü olabilir. Kurumsal bilgi güvenliği risklerinin analizi, olası tüm potansiyel tehditlerin değerlendirilmesiyle başlar. Bu öngörülemeyen durumlarda doğrulama yöntemlerine karar vermek ve uygun koruma sistemini oluşturmak için bu gereklidir. Bilgi güvenliği riskleri çeşitli faktörlere bağlı olarak belirli kategorilere ayrılmaktadır. sınıflandırma özellikleri. Bunlar aşağıdaki türlerdendir:

    • fiziksel kaynaklar;
    • bilgisayar ağının ve World Wide Web'in uygunsuz kullanımı;
    • kapalı kaynaklardan sızıntı;
    • teknik yollarla sızıntı;
    • izinsiz giriş;
    • bilgi varlıklarına saldırı;
    • veri değişikliğinin bütünlüğünün ihlali;
    • acil durumlar;
    • Yasal ihlaller.

    “Bilgi güvenliğine yönelik fiziksel tehditler” kavramının kapsamına neler giriyor?

    Bilgi güvenliği risklerinin türleri, oluşma kaynaklarına, yasa dışı saldırının uygulanma yöntemine ve amacına bağlı olarak belirlenir. Teknik olarak en basit ama yine de profesyonel uygulama gerektiren tehditler fiziksel tehditlerdir. Kapalı kaynaklara yetkisiz erişimi temsil ederler. Yani bu süreç aslında sıradan bir hırsızlıktır. Teknik donanıma, belgelere ve diğer bilgi ortamlarına erişim sağlamak için kurumun topraklarını, ofislerini, arşivlerini işgal ederek kişisel olarak kendi ellerinizle bilgi elde edilebilir.

    Hırsızlık verinin kendisini bile kapsamıyor olabilir, ancak saklandığı yer yani verinin kendisi de söz konusu olabilir. bilgisayar ekipmanı. Saldırganlar, bir kuruluşun normal faaliyetlerini aksatmak amacıyla depolama ortamının veya teknik ekipmanın arızalanmasına neden olabilir.

    Fiziksel bir izinsiz girişin amacı, bilgi korumasının bağlı olduğu bir sisteme erişim sağlamak da olabilir. Saldırgan, yasa dışı yöntemlerin uygulanmasını daha da kolaylaştırmak amacıyla bilgi güvenliğinden sorumlu ağ seçeneklerini değiştirebilir.

    Kamuya açıklanmayan gizli bilgilere erişimi olan çeşitli grupların üyeleri tarafından da fiziksel tehdit olasılığı sağlanabilmektedir. Amaçları değerli belgelerdir. Bu tür kişilere içerdekiler denir.

    Dışarıdan saldırganların faaliyetleri aynı nesneye yönelik olabilir.

    Şirket çalışanları nasıl tehditlerin kaynağı haline gelebilir?

    Bilgi güvenliği riskleri çoğunlukla İnternet'in ve kurum içi çalışanların uygunsuz kullanımı nedeniyle ortaya çıkar. bilgisayar sistemi. Saldırganlar, bazı kişilerin bilgi güvenliği konusundaki deneyimsizliğinden, dikkatsizliğinden ve eğitim eksikliğinden faydalanma konusunda oldukça başarılıdır. Bu gizli veri çalma seçeneğini dışlamak için birçok kuruluşun yönetimi, personeli arasında özel bir politika izlemektedir. Amacı insanlara ağların davranış ve kullanım kurallarını öğretmektir. Bu şekilde ortaya çıkan tehditler oldukça yaygın olduğundan bu oldukça yaygın bir uygulamadır. Kurumsal çalışanlar için bilgi güvenliği becerilerinin edinilmesine yönelik programlar aşağıdakileri içerir:

    • denetim araçlarının etkin olmayan kullanımının üstesinden gelinmesi;
    • insan kullanımında azalma özel araçlar veri işleme için;
    • kaynak ve varlık kullanımının azaltılması;
    • erişim sağlanması konusunda eğitim ağ araçları yalnızca yerleşik yöntemlerle;
    • etki bölgelerinin belirlenmesi ve sorumluluk bölgesinin belirlenmesi.

    Her çalışan, kurumun kaderinin kendisine verilen görevlerin sorumlu bir şekilde yerine getirilmesine bağlı olduğunu anladığında tüm kurallara uymaya çalışır. İnsanlara özel görevler belirlemek ve elde edilen sonuçları haklı çıkarmak gerekir.

    Gizlilik koşulları nasıl ihlal edilir?

    Bilgi güvenliğine yönelik riskler ve tehditler, büyük ölçüde, mevcut olmaması gereken bilgilerin yasadışı olarak edinilmesiyle ilişkilidir. yabancılara. İlk ve en yaygın sızıntı kanalı olası yollar bağlantı ve iletişim. Kişisel yazışmaların yalnızca iki tarafa açık olduğu düşünülürken, bu yazışmalar ilgili taraflarca ele geçiriliyor. Her ne kadar makul insanlar son derece önemli ve gizli bir şeyi başka şekillerde aktarmanın gerekli olduğunu anlasa da.

    Artık çok fazla bilgi taşınabilir medyada depolandığından, saldırganlar bu tür teknolojiler aracılığıyla bilgilerin ele geçirilmesinde aktif olarak ustalaşıyorlar. İletişim kanallarını dinlemek çok popüler, ancak artık teknik dehaların tüm çabaları akıllı telefonların koruyucu duvarlarını kırmayı hedefliyor.

    Gizli bilgiler bir kuruluşun çalışanları tarafından kasıtsız olarak ifşa edilebilir. Tüm “oturum açma bilgilerini ve şifreleri” doğrudan açığa çıkaramazlar, ancak yalnızca saldırganın Doğru yol. Örneğin insanlar farkında olmadan önemli belgelerin yeri hakkında bilgi verirler.

    Savunmasız olanlar her zaman yalnızca astlar değildir. Yükleniciler ortaklıklar sırasında da gizli bilgiler verebilir.

    Bilgi güvenliği teknik yollarla nasıl ihlal edilir?

    Bilgi güvenliğinin sağlanması büyük ölçüde güvenilir teknik koruma araçlarının kullanılmasından kaynaklanmaktadır. Destek sistemi, en azından ekipmanın kendisinde verimli ve etkiliyse, bu zaten başarının yarısıdır.

    Temel olarak bilgi sızıntısı çeşitli sinyallerin kontrol edilmesiyle sağlanır. Benzer yöntemler, özel radyo emisyonu veya sinyalleri kaynaklarının oluşturulmasını içerir. İkincisi elektriksel, akustik veya titreşimli olabilir.

    Çoğu zaman, ekranlardan ve monitörlerden bilgilerin okunmasını sağlayan optik aletler kullanılır.

    Cihazların çeşitliliği, saldırganlar tarafından bilgilerin sızması ve çıkarılması için geniş bir yöntem yelpazesi sağlar. Yukarıdaki yöntemlere ek olarak televizyon, fotoğraf ve görsel keşif de vardır.

    Bu kadar geniş olasılıklar nedeniyle, bir bilgi güvenliği denetimi öncelikle gizli verileri korumaya yönelik teknik araçların işleyişinin kontrol edilmesini ve analiz edilmesini içerir.

    Kurumsal bilgilere yetkisiz erişim olarak kabul edilen şey nedir?

    Yetkisiz erişim tehditlerini engellemeden bilgi güvenliği risk yönetimi mümkün değildir.

    En iyilerinden biri önde gelen temsilciler Başka birinin güvenlik sistemini hacklemenin bu yöntemi, bir kullanıcı kimliği atamaktır. Bu yönteme “Maskeli Balo” denir. Yetkisiz Erişim bu durumda kimlik doğrulama verilerinin uygulanması gerekir. Yani davetsiz misafirin amacı bir şifre veya başka bir tanımlayıcı elde etmektir.

    Saldırganlar nesnenin içinden veya dışarıdan etki uygulayabilir. İhtiyaç duydukları bilgileri denetim günlüğü veya denetim araçları gibi kaynaklardan elde edebilirler.

    Fail sıklıkla uygulama politikasını uygulamaya ve tamamen yasal görünen yöntemleri kullanmaya çalışır.

    Yetkisiz erişim aşağıdaki bilgi kaynakları için geçerlidir:

    • web sitesi ve harici ana bilgisayarlar;
    • kurumsal kablosuz ağ;
    • veri yedeklemeleri.

    Yetkisiz erişimin sayısız yolu ve yöntemi vardır. Saldırganlar konfigürasyon ve mimarideki kusurları ve boşlukları ararlar yazılım. Yazılımı değiştirerek veri elde ederler. Tetiktiyi etkisiz hale getirmek ve susturmak için ihlalciler harekete geçiyor kötü amaçlı yazılım ve mantık bombaları.

    Bir şirketin bilgi güvenliğine yönelik yasal tehditler nelerdir?

    Bilgi güvenliği risk yönetimi çeşitli yönlerde çalışır, çünkü asıl amacı işletmenin dışarıdan müdahaleye karşı kapsamlı ve bütünsel olarak korunmasını sağlamaktır.

    Daha az önemli değil teknik yön, yasaldır. Tam tersine çıkarları savunması gereken bu şekilde, çok faydalı bilgiler elde edildiği ortaya çıkıyor.

    Yasal taraftaki ihlaller mülkiyet hakları, telif hakkı ve patent haklarıyla ilgili olabilir. İthalat ve ihracat da dahil olmak üzere yazılımın yasa dışı kullanımı da bu kategoriye girer. Yasal gereklilikleri ancak sözleşme şartlarına veya bir bütün olarak yasal çerçeveye uymayarak ihlal edebilirsiniz.

    Bilgi güvenliği hedefleri nasıl belirlenir?

    Bilgi güvenliğinin sağlanması, koruma alanının oluşturulmasıyla başlar. Neyin kimden korunması gerektiğinin açıkça tanımlanması gerekir. Bunu yapmak için, potansiyel bir suçlunun portresinin yanı sıra olası bilgisayar korsanlığı ve sızma yöntemleri de belirlenir. Hedefleri belirlemek için öncelikle yönetimle konuşmanız gerekir. Öncelikli koruma alanlarını önerecektir.

    Bu andan itibaren bilgi güvenliği denetimi başlar. Teknolojik tekniklerin ve iş yöntemlerinin hangi oranda uygulanması gerektiğini belirlemenizi sağlar. Bu sürecin sonucu, yetkisiz izinsiz girişlere karşı koruma sağlamak için birimin karşı karşıya olduğu hedefleri ortaya koyan faaliyetlerin nihai bir listesidir. Denetim prosedürü, sistemin normal faaliyetlerine ve işletmenin gelişimine müdahale eden kritik anları ve zayıflıkları tespit etmeyi amaçlamaktadır.

    Hedefler belirlendikten sonra bunların uygulanmasına yönelik bir mekanizma geliştirilir. Risklerin izlenmesi ve en aza indirilmesine yönelik araçlar geliştirilmektedir.

    Varlıkların risk analizinde rolü nedir?

    Organizasyonel bilgi güvenliği riskleri kurumsal varlıkları doğrudan etkiler. Sonuçta saldırganların amacı değerli bilgiler elde etmektir. Kaybolması veya ifşa edilmesi kesinlikle kayıplara yol açacaktır. Yetkisiz girişin neden olduğu zararın doğrudan etkisi olabilir veya yalnızca dolaylı etkisi olabilir. Yani, bir kuruluşa karşı yapılan yasa dışı eylemler aşağıdaki sonuçlara yol açabilir: tam kayıp iş üzerinde kontrol.

    Hasarın miktarı kuruluşun elinde bulunan varlıklara göre belirlenir. Konu kaynakları, yönetim hedeflerinin uygulanmasına herhangi bir şekilde katkıda bulunan kaynakların tamamıdır. Bir işletmenin varlıkları, gelir üreten ve elde edilmesine yardımcı olan tüm maddi ve manevi varlıkları ifade eder.

    Birkaç tür varlık vardır:

    • malzeme;
    • insan;
    • bilgilendirici;
    • parasal;
    • süreçler;
    • marka ve otorite.

    Son varlık türü, yetkisiz izinsiz girişlerden en fazla zarar gören varlık türüdür. Bunun nedeni herhangi bir gerçek riskler Bilgi güvenliği görüntüyü etkiler. Bu alandaki sorunlar, böyle bir kuruluşa duyulan saygıyı ve güveni otomatik olarak azaltır, çünkü kimse bunu istemez. kesin bilgi kamuoyunun bilgisi haline geldi. Kendine saygısı olan her kuruluş kendi varlığını korumaya önem verir. bilgi kaynakları.

    Çeşitli faktörler, hangi varlıkların ne kadar zarar göreceğini etkiler. Dış ve iç olarak ayrılırlar. Karmaşık etkileri, kural olarak, birkaç değerli kaynak grubunu aynı anda etkiler.

    İşletmenin tüm işi varlıklar üzerine kuruludur. Herhangi bir kurumun faaliyetlerinde bir dereceye kadar bulunurlar. Sadece bazı insanlar için bazı gruplar daha önemli, bazıları ise daha az önemlidir. Saldırganların ne tür varlıkları etkileyebildiğine bağlı olarak sonuç, yani verilen hasar değişir.

    Bilgi güvenliği risklerinin değerlendirilmesi, ana varlıkları açıkça tanımlamanıza olanak tanır ve eğer etkilendiyse, bu durum kuruluş için telafisi mümkün olmayan kayıplarla doludur. Yönetimin kendisi bu değerli kaynak gruplarına dikkat etmelidir çünkü bunların güvenliği mal sahiplerinin çıkarınadır.

    Bilgi güvenliği departmanının öncelik alanı yardımcı varlıklar tarafından işgal edilmektedir. Onların korunmasından sorumlu özel kişi. Bunlarla ilgili riskler kritik değildir ve sadece yönetim sistemini etkiler.

    Bilgi güvenliğini etkileyen faktörler nelerdir?

    Bilgi güvenliği risklerinin hesaplanması, özel bir modelin oluşturulmasını içerir. Birbirine işlevsel bağlantılarla bağlanan düğümleri temsil eder. Düğümler aynı varlıklardır. Model aşağıdaki değerli kaynakları kullanır:

    • İnsanlar;
    • strateji;
    • teknolojiler;
    • süreçler.

    Onları birbirine bağlayan kaburgalar asıl risk faktörleridir. Belirlemek için olası tehditler, bu varlıklarla çalışmaya dahil olan departman veya uzmanla doğrudan iletişime geçmek en iyisidir. Herhangi bir potansiyel risk faktörü, problemin oluşması için ön koşul olabilir. Model, ortaya çıkabilecek ana tehditleri vurgulamaktadır.

    Ekip açısından bakıldığında sorun eğitim seviyesinin düşük olması, personel eksikliği ve motivasyon eksikliğinden kaynaklanıyor.

    Süreç riskleri arasında çevresel değişkenlik, zayıf üretim otomasyonu ve belirsiz sorumluluk paylaşımı yer alır.

    Teknolojiler, güncel olmayan yazılımlardan ve kullanıcılar üzerinde kontrol eksikliğinden zarar görebilir. Heterojen bilgi teknolojisi ortamındaki sorunlar da bunun nedeni olabilir.

    Bu modelin avantajı, soruna farklı açılardan bakıldığı için bilgi güvenliği risklerinin eşik değerlerinin net olarak belirlenmemesidir.

    Bilgi güvenliği denetimi nedir?

    Kurumsal bilgi güvenliği alanında önemli bir prosedür denetimdir. Yetkisiz müdahalelere karşı koruma sisteminin mevcut durumunun kontrolüdür. Denetim süreci, belirlenen gereksinimlere uygunluk derecesini belirler. Bazı kurum türleri için uygulanması zorunludur; diğerleri için ise tavsiye niteliğindedir. İnceleme, muhasebe ve vergi departmanlarının dokümantasyonu, teknik donanımı ile mali ve ekonomik kısımlarına ilişkin olarak gerçekleştirilir.

    Güvenlik düzeyini anlamak ve uyumsuzluk durumunda optimizasyonu normale döndürmek için bir denetim gereklidir. Bu prosedür aynı zamanda bilgi güvenliğine yapılacak finansal yatırımların fizibilitesini değerlendirmenize de olanak tanır. Sonuçta uzman, maksimum verimliliği elde etmek için finansal harcamaların oranı konusunda önerilerde bulunacaktır. Denetim, kontrolleri ayarlamanıza olanak tanır.

    Bilgi güvenliği uzmanlığı birkaç aşamaya ayrılmıştır:

    1. Hedefleri ve onlara ulaşmanın yollarını belirlemek.
    2. Bir karara varmak için gerekli bilgilerin analizi.
    3. Toplanan verilerin işlenmesi.
    4. Uzman görüşü ve öneriler.

    Sonuçta uzman kararını verecektir. Komisyonun tavsiyeleri çoğunlukla teknik ekipmanın ve sunucuların yapılandırmalarını değiştirmeyi amaçlıyor. Genellikle sorunlu bir kuruluştan farklı bir güvenlik yöntemi seçmesi istenir. Belki ek güçlendirme için uzmanlar bir dizi koruyucu önlem önerecektir.

    Denetim sonuçları alındıktan sonra yapılan çalışma, ekibin sorunlar hakkında bilgilendirilmesine yöneliktir. Eğer gerekliyse, çalışanların kurumsal bilgi kaynaklarının korunmasına ilişkin eğitimini artırmak için ek eğitimler verilmesi faydalı olacaktır.

    Bilgi güvenliği riskleri nasıl doğru şekilde değerlendirilir - tarifimiz

    Günümüzde bilgi güvenliği risklerini değerlendirme görevi uzman topluluk tarafından belirsiz bir şekilde algılanmaktadır ve bunun çeşitli nedenleri bulunmaktadır. Birincisi, altın standart veya genel kabul görmüş bir yaklaşım yoktur. Çok sayıda standart ve yöntem, genel hatlarıyla benzer olsa da ayrıntılarda önemli ölçüde farklılık göstermektedir. Belirli bir tekniğin kullanımı değerlendirme alanına ve nesnesine bağlıdır. Ancak değerlendirme sürecindeki katılımcıların yöntem ve sonuçları hakkında farklı anlayışları varsa, uygun yöntemin seçilmesi sorun haline gelebilir.

    İkinci olarak, bilgi güvenliği risklerinin değerlendirilmesi tamamen uzmanlık işidir. Risk faktörlerinin (hasar, tehdit, güvenlik açığı vb.) farklı uzmanlar tarafından analiz edilmesi çoğu zaman farklı sonuçlar verir. Değerlendirme sonuçlarının tekrarlanabilirliğinin olmaması, elde edilen verilerin güvenilirliği ve kullanışlılığı hakkında soruları gündeme getirmektedir. İnsan doğası öyledir ki soyut değerlendirmeler, özellikle olasılıksal ölçü birimleriyle ilgili olanlar, insanlar tarafından farklı algılanır. Bir kişinin öznel algısının ölçüsünü dikkate almak üzere tasarlanan mevcut uygulamalı teoriler (örneğin, beklenti teorisi), zaten karmaşık olan risk analizi metodolojisini karmaşık hale getirir ve popülerleşmesine katkıda bulunmaz.

    Üçüncüsü, varlıkların ayrıştırılması ve envanteri ile klasik anlamda risk değerlendirme prosedürünün kendisi oldukça emek yoğun bir iştir. Genel ofis araçlarını (elektronik tablolar gibi) kullanarak manuel olarak analiz yapmaya çalışmak sizi kaçınılmaz olarak bilgi denizinde boğulmaya bırakır. Risk analizinin bireysel aşamalarını basitleştirmek için tasarlanan özel yazılım araçları, modellemeyi bir dereceye kadar kolaylaştırır, ancak verilerin toplanmasını ve sistemleştirilmesini hiçbir şekilde basitleştirmez.

    Son olarak, bilgi güvenliği sorunu bağlamında riskin tanımı henüz oluşturulmamıştır. ISO Guide 73:2009'un terminolojisinde 2002 versiyonuyla karşılaştırıldığında yapılan değişikliklere bakın. Daha önce risk, bir güvenlik açığının bir tehdit tarafından istismar edilmesi nedeniyle ortaya çıkabilecek hasar potansiyeli olarak tanımlandıysa, artık beklenen sonuçlardan sapmanın etkisi olarak tanımlanıyor. ISO/IEC 27001:2013 standardının yeni baskısında da benzer kavramsal değişiklikler meydana geldi.

    Bunlar ve diğer birçok nedenden ötürü, bilgi güvenliği risk değerlendirmelerine en iyi ihtimalle ihtiyatlı, en kötü ihtimalle ise büyük bir güvensizlikle yaklaşılır. Bu, sonuçta bu sürecin yönetim tarafından sabote edilmesine ve bunun sonucunda yıllık analitik raporlarla dolu çok sayıda olayın ortaya çıkmasına yol açan risk yönetimi fikrinin itibarını zedeler.

    Yukarıdakiler göz önüne alındığında, bilgi güvenliği risklerini değerlendirme görevine hangi açıdan yaklaşmak daha iyidir?

    Taze bir görünüm

    Günümüzde bilgi güvenliği giderek daha fazla iş hedeflerine odaklanıyor ve iş süreçlerine entegre ediliyor. Risk değerlendirmesinde de benzer dönüşümler meydana gelir; gerekli iş bağlamını kazanır. Modern bir bilgi güvenliği risk değerlendirme metodolojisi hangi kriterleri karşılamalıdır? Açıkçası, uygulama sonuçlarının süreçteki tüm katılımcılar için güvenilir ve yararlı olmasını sağlayacak kadar basit ve evrensel olmalıdır. Böyle bir metodolojinin dayanması gereken bazı ilkeleri vurgulayalım:

    1. aşırı ayrıntıdan kaçının;
    2. iş fikrine güvenmek;
    3. örnekleri kullanın;
    4. Dış bilgi kaynaklarını dikkate alın.

    Önerilen metodolojinin özü en iyi şekilde pratik bir örnekle gösterilmiştir. Bir ticaret ve üretim şirketindeki bilgi güvenliği risklerini değerlendirme görevini ele alalım. Genellikle nerede başlar? Değerlendirmenin sınırlarını tanımlamaktan. Risk değerlendirmesi ilk kez yapılıyorsa, sınırları gelir üreten ana iş süreçlerinin yanı sıra bunlara hizmet eden süreçleri de içermelidir.

    İş süreçleri belgelenmemişse, amaç ve hedeflerin tanımını içeren departmanların organizasyon yapısı ve düzenlemeleri incelenerek bunlara ilişkin genel bir fikir edinilebilir.

    Değerlendirmenin sınırlarını belirledikten sonra varlıkların belirlenmesine geçelim. Yukarıdakilere uygun olarak, bilgi kaynaklarının envanterini sonraki aşamalara erteleyerek ana iş süreçlerini genişletilmiş varlıklar olarak ele alacağız (kural 1). Bunun nedeni, metodolojinin genelden özele kademeli bir geçişi içermesidir ve bu seviye Bu verilere ayrıntı için ihtiyaç duyulmaz.

    Risk faktörleri

    Değerlemesi yapılan varlıkların bileşimine karar verdiğimizi varsayacağız. Daha sonra, bunlarla ilişkili tehditleri ve güvenlik açıklarını tanımlamanız gerekir. Ancak bu yaklaşım yalnızca bilgi varlığı ortamının nesnelerinin değerlendirme nesnesi olduğu ayrıntılı bir risk analizi gerçekleştirilirken uygulanabilir. İÇİNDE Yeni sürüm ISO/IEC 27001:2013 standardı, risk değerlendirmesinin odağını geleneksel BT varlıklarından bilgi ve bilgilerin işlenmesine kaydırmıştır. Şirketin genişletilmiş iş süreçlerini mevcut ayrıntı düzeyinde ele aldığımızdan, yalnızca bunların doğasında olan yüksek düzeydeki risk faktörlerini belirlemek yeterlidir.

    Risk faktörü, gelecekteki sorunların kaynağı olan bir nesnenin, teknolojinin veya sürecin belirli bir özelliğidir. Aynı zamanda ancak sorunların şirketin performansını olumsuz etkilemesi durumunda riskin varlığından bahsedebiliriz. Mantıksal bir zincir oluşturulur:

    Bu nedenle, risk faktörlerini belirleme görevi, başarısız özelliklerin ve süreç üzerinde etkisi olan olası risk senaryolarını belirleyen süreçlerin özelliklerinin belirlenmesine indirgenmektedir. Negatif etki iş için. Çözümünü basitleştirmek için ISACA birliği tarafından geliştirilen bilgi güvenliği iş modelini kullanacağız (bkz. Şekil 1):

    Pirinç. 1. Bilgi güvenliği iş modeli

    Modelin düğümleri herhangi bir organizasyonun temel itici güçlerini gösterir: strateji, süreçler, insanlar ve teknoloji; kenarları ise bunlar arasındaki işlevsel bağlantıları temsil eder. Ana risk faktörleri esas olarak bu kaburgalarda yoğunlaşmıştır. Kolayca görebileceğiniz gibi riskler yalnızca bilgi teknolojisiyle ilişkili değildir.

    Yukarıdaki modele dayanarak risk faktörleri nasıl belirlenir? İş dünyasının buna dahil olması gerekir (kural 2). İş birimleri genellikle operasyonlarında karşılaştıkları sorunları iyi anlarlar. Sektördeki meslektaşlarımızın deneyimleri sıklıkla hatırlanıyor. Bu bilgiye doğru soruları sorarak ulaşabilirsiniz. Personel ile ilgili soruların İK servisine, teknolojik soruların otomasyon servisine (BT), iş süreçlerine ilişkin soruların ilgili iş birimlerine yöneltilmesi tavsiye edilir.

    Risk faktörlerini belirleme görevine sorunlardan başlamak daha uygundur. Sorunu belirledikten sonra nedenini belirlemeniz gerekir. Sonuç olarak yeni bir risk faktörü belirlenebilir. Buradaki asıl zorluk özellikle kaymayı önlemektir. Örneğin, bir çalışanın hukuka aykırı eylemi sonucu bir olay meydana gelmişse, risk faktörü çalışanın bazı düzenleme hükümlerini ihlal etmesi değil, eylemin kendisinin mümkün hale gelmesi olacaktır. Risk faktörü her zaman bir problemin ortaya çıkması için bir önkoşuldur.

    Personelin tam olarak ne sorulduğunu daha iyi anlayabilmesi için soruların örneklerle desteklenmesi tavsiye edilir (kural 3). Aşağıda birçok iş sürecinde ortak olabilecek çeşitli üst düzey risk faktörlerinin örnekleri verilmiştir:

    Kadro:

    • Yetersiz nitelikler (Şekil 1'deki İnsan Faktörleri kenarı)
    • Personel sıkıntısı (Ortaya çıkma kaburga)
    • Düşük motivasyon (kenar kültür)

    Süreçler:

    • Dış gereksinimlerde sık sık değişiklik yapılması (Yönetim standardı)
    • Geliştirilmemiş süreç otomasyonu (Etkinleştirme ve Destek kenarı)
    • Rollerin sanatçılara göre kombinasyonu (Ortaya Çıkış)

    Teknolojiler:

    • Eski Yazılım (Etkinleştirme ve Destek kenarı)
    • Düşük kullanıcı sorumluluğu (İnsan Faktörleri avantajı)
    • Heterojen BT ortamı (Mimari uç)

    Önerilen değerlendirme yönteminin önemli bir avantajı, iki farklı departmanın aynı soruna farklı açılardan baktığı çapraz analiz olanağıdır. Bu gerçek göz önüne alındığında, görüşme yapılan kişilere şu tür sorular sormak çok faydalıdır: “Meslektaşlarınızın tespit ettiği sorunlar hakkında ne düşünüyorsunuz?” Bu, ek puan almanın yanı sıra mevcut olanları düzeltmenin de harika bir yoludur. Sonucu açıklığa kavuşturmak için, bu tür değerlendirmenin birkaç turu gerçekleştirilebilir.

    İş üzerindeki etkisi

    Risk tanımından da anlaşılacağı gibi, bir kuruluşun iş performansı üzerindeki etkisinin derecesi ile karakterize edilir. Kullanışlı bir araç Risk senaryolarının iş üzerindeki etkisinin niteliğini belirlememizi sağlayan Dengeli Puan Kartları sistemidir. Ayrıntılara girmeden, Dengeli Puan Kartlarının herhangi bir şirket için hiyerarşik bir şekilde birbirine bağlanan 4 iş olasılığını tanımladığını not ediyoruz (bkz. Şekil 2).

    Pirinç. 2. Dengeli Puan Kartının Dört İş Perspektifi

    Göz önünde bulundurulan metodolojiyle ilgili olarak, bir risk şu üç iş beklentisinden en az birini olumsuz etkiliyorsa önemli kabul edilebilir: finans, müşteriler ve/veya süreçler (bkz. Şekil 3).

    Pirinç. 3. Temel iş göstergeleri

    Örneğin, "Düşük kullanıcı sorumluluğu" risk faktörü, "Müşteri bilgilerinin sızması" senaryosuna yol açabilir. Bu da “Müşteri Sayısı” iş göstergesini etkileyecektir.

    Şirket iş metrikleri geliştirmişse, bu durumu büyük ölçüde basitleştirir. Belirli bir risk senaryosunun bir veya daha fazla iş göstergesi üzerindeki etkisini izlemek mümkün olduğunda, karşılık gelen risk faktörü önemli kabul edilebilir ve değerlendirmenin sonuçları anketlere kaydedilmelidir. Bir senaryonun etkisi iş ölçümleri hiyerarşisinde ne kadar yüksekte takip edilirse, iş üzerindeki potansiyel etkisi de o kadar büyük olur.

    Bu sonuçları analiz etme görevi uzmanlık gerektiren bir görevdir, bu nedenle uzman iş birimlerinin katılımıyla çözülmelidir (kural 2). Elde edilen tahminlerin ek kontrolü için, meydana gelen olaylar sonucunda kayıpların miktarına ilişkin istatistiksel veriler içeren harici bilgi kaynaklarının (örneğin, yıllık "Veri İhlalinin Maliyeti Araştırması" raporu) kullanılması yararlı olacaktır (kural 4). .

    Olasılık Tahmini

    Analizin son aşamasında, işletmeye etkisi belirlenen, belirlenen her risk faktörü için ilgili senaryoların gerçekleşme ihtimalinin değerlendirilmesi gerekmektedir. Bu değerlendirme neye bağlı? Bu büyük ölçüde şirkette uygulanan koruyucu tedbirlerin yeterliliğine bağlıdır.

    Burada küçük bir varsayım var. Sorun tanımlandığına göre bunun hâlâ geçerli olduğu anlamına geldiğini varsaymak mantıklıdır. Aynı zamanda, uygulanan önlemler büyük olasılıkla bunun oluşmasına yönelik ön koşulları etkisiz hale getirmek için yeterli değildir. Karşı önlemlerin yeterliliği, örneğin bir ölçüm sistemi kullanılarak, uygulamalarının etkinliğinin değerlendirilmesinin sonuçlarına göre belirlenir.

    Değerlendirme için 3 seviyeli basit bir ölçek kullanabilirsiniz; burada:

    3 - uygulanan karşı önlemler genellikle yeterlidir;

    2 - karşı önlemler yeterince uygulanmamıştır;

    1 - karşı önlem yok.

    Karşı önlemleri açıklayan referans kitapları olarak CobiT 5, ISO/IEC 27002 vb. gibi özel standartlar ve yönergeleri kullanabilirsiniz. Her karşı önlem belirli bir risk faktörüyle ilişkilendirilmelidir.

    Yalnızca BT kullanımıyla değil, aynı zamanda iç denetimin organizasyonuyla da ilgili riskleri analiz ettiğimizi unutmamak önemlidir. bilgi süreçlerişirkette. Bu nedenle karşı önlemlerin daha geniş düşünülmesi gerekiyor. ISO/IEC 27001:2013'ün yeni versiyonunun, karşı önlemleri seçerken yalnızca standartta mevcut olan Ek A'yı değil, herhangi bir dış kaynağı (kural 4) kullanmanın gerekli olduğuna dair bir madde içermesi boşuna değildir. referans amaçlı.

    Riskin büyüklüğü

    Nihai risk miktarını belirlemek için basit bir tablo kullanabilirsiniz (bkz. Tablo 1).

    Masa 1. Risk değerlendirme matrisi

    Bir risk faktörünün, örneğin "Müşteriler" ve "Finans" gibi birden fazla iş olanağını etkilemesi durumunda, bunların göstergeleri özetlenir. Ölçeğin boyutu ve bilgi güvenliği risklerinin kabul edilebilir seviyeleri herhangi bir şekilde belirlenebilir. uygun bir şekilde. Yukarıdaki örnekte 2. ve 3. seviyedeki riskler yüksek kabul edilmektedir.

    Bu noktada risk değerlendirmesinin ilk aşaması tamamlanmış sayılabilir. Değerlendirilen iş süreciyle ilişkili riskin nihai değeri, belirlenen tüm faktörlerin bileşik değerlerinin toplamı olarak belirlenir. Riskin sahibi, değerlendirilen nesneden şirkette sorumlu olan kişi olarak kabul edilebilir.

    Ortaya çıkan rakam bize kuruluşun ne kadar para kaybetme riskiyle karşı karşıya olduğunu söylemiyor. Bunun yerine risklerin yoğunlaştığı alanı ve bunların iş performansı üzerindeki etkisinin niteliğini gösterir. Bu bilgi, en önemli ayrıntılara daha fazla odaklanmak için gereklidir.

    Detaylı değerlendirme

    Söz konusu metodolojinin temel avantajı, bilgi güvenliği risk analizini istenilen düzeyde ayrıntıyla gerçekleştirmenize olanak sağlamasıdır. Gerekirse bilgi güvenliği modelinin unsurlarına (Şekil 1) "girebilir" ve bunları daha ayrıntılı olarak değerlendirebilirsiniz. Örneğin, BT ile ilgili uçlardaki en yüksek risk konsantrasyonunu belirleyerek Teknoloji düğümündeki ayrıntı düzeyini artırabilirsiniz. Daha önce risk değerlendirmesinin amacı ayrı bir iş süreci olarak görülüyordu, artık odak noktası belirli bir bilgi sistemine ve onun kullanım süreçlerine kayacak. Gerekli düzeyde ayrıntıyı sağlamak için bilgi kaynaklarının bir envanterinin yapılması gerekli olabilir.

    Bütün bunlar diğer değerlendirme alanları için de geçerlidir. Kişiler düğümünün ayrıntılarını değiştirdiğinizde, personel rolleri ve hatta bireysel çalışanlar değerlendirme nesneleri haline gelebilir. "Süreç" düğümü için bunlar belirli çalışma düzenlemeleri ve prosedürleri olabilir.

    Ayrıntı düzeyinin değiştirilmesi yalnızca risk faktörlerini değil aynı zamanda uygulanabilir karşı önlemleri de otomatik olarak değiştirecektir. Her ikisi de değerlendirilen nesneye daha spesifik hale gelecektir. Ancak risk faktörü değerlendirmesinin yapılmasına yönelik genel yaklaşım değişmeyecektir. Tanımlanan her faktör için aşağıdakilerin değerlendirilmesi gerekecektir:

    • riskin iş beklentileri üzerindeki etkisinin derecesi;
    • Karşı önlemlerin yeterliliği.

    Rus sendromu

    ISO/IEC 27001:2013 standardının yayımlanması birçok Rus firmasını zor durumda bıraktı. Bir yandan, bilgi varlıklarının sınıflandırılmasına, tehditlerin ve güvenlik açıklarının değerlendirilmesine dayalı olarak bilgi güvenliği risklerinin değerlendirilmesine yönelik belirli bir yaklaşımı zaten geliştirdiler. Ulusal düzenleyiciler, Rusya Merkez Bankası standardı, FSTEC emirleri gibi bu yaklaşımı destekleyen bir dizi düzenleme çıkarmayı başardılar. Öte yandan, risk değerlendirmesi görevinin değişmesi için çok geç kalınmıştır ve artık hem eski hem de yeni gereklilikleri karşılayacak şekilde yerleşik prosedürün değiştirilmesi gerekmektedir. Evet, bugün hala aynı GOST R ISO/IEC 27001:2006 standardına göre sertifika almak mümkündür. önceki versiyon ISO/IEC 27001, ancak uzun sürmeyecek.

    Yukarıda tartışılan risk analizi metodolojisi bu sorunu çözmektedir. Bir değerlendirme gerçekleştirirken ayrıntı düzeyini kontrol ederek, varlıkları ve riskleri iş süreçlerinden bireysel süreçlere kadar isteğe bağlı bir ölçekte değerlendirebilirsiniz. bilgi akışları. Bu yaklaşım aynı zamanda kullanışlıdır çünkü hiçbir şeyi kaçırmadan tüm üst düzey riskleri karşılamanıza olanak tanır. Aynı zamanda şirket, daha fazla analiz için işçilik maliyetlerini önemli ölçüde azaltacak ve önemsiz risklerin ayrıntılı bir değerlendirmesiyle zaman kaybetmeyecektir.

    Değerlendirme alanının ayrıntısı ne kadar yüksek olursa, uzmanlara verilen sorumluluk ve gerekli yeterlilik de o kadar büyük olur; çünkü analizin derinliği değiştiğinde yalnızca risk faktörleri değil, aynı zamanda uygulanabilir karşı önlemlerin kapsamı da değişir. .

    Tüm basitleştirme girişimlerine rağmen, bilgi güvenliği risk analizi hala zaman alıcı ve karmaşıktır. Bu sürecin liderinin özel bir sorumluluğu vardır. Pek çok şey, yaklaşımını ne kadar yetkin bir şekilde oluşturduğuna ve bilgi güvenliği için bütçe ayırmaktan iş sürdürülebilirliğine kadar eldeki görevle ne kadar ustalıkla başa çıktığına bağlı olacaktır.

    Devamını oku: