Bilgi güvenliği risk yönetimi sorunları. Bilgi güvenliği risk yönetimi

Açık şu an riskler bilgi Güvenliği birçok işletme ve kurumun normal işleyişine büyük bir tehdit oluşturmaktadır. Bizim çağımızda Bilişim Teknolojileri herhangi bir veriyi elde etmek pratikte zor değildir. Bu bir yandan elbette pek çok olumlu yönü de beraberinde getiriyor ama birçok firmanın yüzü ve markası açısından sorun haline geliyor.

İşletmelerdeki bilgilerin korunması artık neredeyse bir öncelik haline geliyor. Uzmanlar, yalnızca belirli bir bilinçli eylem dizisi geliştirerek bu hedefe ulaşılabileceğine inanıyor. Bu durumda yalnızca güvenilir gerçeklere göre hareket etmek ve ileri analitik yöntemler kullanmak mümkündür. İşletmede bu birimden sorumlu uzmanın sezgisinin gelişmesi ve deneyimi ile belli bir katkı sağlanır.

Bu materyal, bir ekonomik varlığın bilgi güvenliği risklerinin yönetimini anlatacaktır.

Bilgi ortamında ne tür olası tehditler mevcuttur?

Pek çok tehdit türü vardır. Kurumsal bilgi güvenliği risk analizi, olası tüm potansiyel tehditlerin değerlendirilmesiyle başlar. Bu öngörülemeyen durumlarda doğrulama yöntemlerinin belirlenmesi ve uygun koruma sisteminin oluşturulması için bu gereklidir. Bilgi güvenliği riskleri çeşitli sınıflandırma özelliklerine bağlı olarak belirli kategorilere ayrılmaktadır. Bunlar aşağıdaki türlerdendir:

• fiziksel kaynaklar;
• bir bilgisayar ağının ve World Wide Web'in uygunsuz kullanımı;
• kapalı kaynaklardan sızıntı;
• teknik yollarla sızıntı;
• izinsiz giriş;
• bilgi varlıklarına saldırı;
• veri değişikliği bütünlüğünün ihlali;
• acil durumlar;
• Yasal ihlaller.

"Bilgi güvenliğine yönelik fiziksel tehditler" kavramına neler dahildir?

Bilgi güvenliği risklerinin türleri, oluşma kaynaklarına, yasa dışı müdahalenin uygulanma yöntemine ve amacına bağlı olarak belirlenir. Teknik olarak en basit ama yine de profesyonel uygulama gerektiren tehditler fiziksel tehditlerdir. Kapalı kaynaklara yetkisiz erişimi temsil ederler. Yani bu süreç aslında sıradan bir hırsızlıktır. Bilgi kişisel olarak, kendi elleriyle, teknik donanıma, belgelere ve diğer bilgi taşıyıcılarına erişim sağlamak için kurumun bölgesini işgal ederek, ofislere, arşivlere girerek elde edilebilir.

Hırsızlık verinin kendisinde bile olmayabilir, ancak depolandığı yerde, yani doğrudan bilgisayar ekipmanı. Saldırganlar, kuruluşun normal faaliyetlerini aksatmak amacıyla, depolama ortamının veya teknik ekipmanın çalışmasında arızaya neden olabilirler.

Fiziksel izinsiz girişin amacı, bilgilerin korunmasının bağlı olduğu sisteme erişim sağlamak da olabilir. Saldırgan, yasa dışı yöntemlerin uygulanmasını daha da kolaylaştırmak amacıyla bilgi güvenliğinden sorumlu ağın ayarlarını değiştirebilir.

Kamuya açıklanmayan gizli bilgilere erişimi olan çeşitli grupların üyeleri tarafından da fiziksel tehdit olasılığı sağlanabilmektedir. Amaçları değerli belgelerdir. Bu tür kişilere içerdekiler denir.

Dış kötü niyetli kişilerin faaliyetleri aynı nesneye yönlendirilebilir.

İşletmenin çalışanları nasıl tehdit oluşturabilir?

Bilgi güvenliği riskleri sıklıkla internetin ve şirket içi bilgisayar sisteminin çalışanlar tarafından uygunsuz kullanımından kaynaklanmaktadır. Kötü niyetli kişiler, bazı kişilerin bilgi güvenliği konusundaki deneyimsizliğinden, dikkatsizliğinden ve bilgisizliğinden mükemmel bir şekilde yararlanıyor. Bu gizli veri çalma seçeneğini ortadan kaldırmak için birçok kuruluşun yönetimi, personeli arasında özel bir politikaya sahiptir. Amacı insanları ağların nasıl davranılacağı ve kullanılacağı konusunda eğitmektir. Bu şekilde ortaya çıkan tehditler oldukça yaygın olduğundan bu oldukça yaygın bir uygulamadır. İşletme çalışanları tarafından bilgi güvenliği becerilerinin edinilmesine yönelik programlar aşağıdaki noktaları içerir:

• denetim araçlarının verimsiz kullanımının üstesinden gelinmesi;
• insan sömürüsünün derecesinin azaltılması özel araçlar veri işleme için;
• kaynak ve varlık kullanımının azaltılması;
• ağ tesislerine yalnızca yerleşik yöntemlerle erişmeye alışmak;
• etki bölgelerinin tahsisi ve sorumluluk bölgesinin belirlenmesi.

Her çalışan, kurumun kaderinin kendisine verilen görevlerin sorumlu bir şekilde yerine getirilmesine bağlı olduğunu anladığında tüm kurallara uymaya çalışır. İnsanlardan önce belirli görevlerin belirlenmesi ve elde edilen sonuçların gerekçelendirilmesi gerekir.

Gizlilik koşulları nasıl ihlal edilir?

Bilgi güvenliğine yönelik riskler ve tehditler büyük ölçüde mevcut olmaması gereken bilgilerin yasadışı olarak elde edilmesiyle ilişkilidir. yabancılar. İlk ve en yaygın sızıntı kanallarının tümü olası yollar bağlantılar ve iletişim. Görünüşe göre kişisel yazışmalar yalnızca iki tarafın erişimine açıkken, ilgili taraflarca ele geçiriliyor. Her ne kadar makul insanlar son derece önemli ve gizli bir şeyi başka şekillerde aktarmanın gerekli olduğunu anlasa da.

Artık pek çok bilgi taşınabilir medyada depolandığından, saldırganlar aktif olarak bilgileri ele geçiriyor ve bu bilgileri ele geçiriyor. bu tür teknoloji. İletişim kanallarını dinlemek çok popüler, ancak artık teknik dehaların tüm çabaları akıllı telefonların koruyucu duvarlarını kırmayı hedefliyor.

Gizli bilgiler, kuruluş çalışanları tarafından istemeden ifşa edilebilir. Tüm "görünümleri ve şifreleri" doğrudan vermeyebilirler, ancak yalnızca saldırganı doğru yola yönlendirebilirler. Örneğin insanlar bilmeden önemli belgelerin yeri hakkındaki bilgileri rapor ederler.

Yalnızca astlar her zaman savunmasız değildir. Yükleniciler ortaklıklar sırasında da gizli bilgiler verebilirler.

Bilgi güvenliği teknik etki araçlarıyla nasıl ihlal edilir?

Bilgi güvenliğinin sağlanması büyük ölçüde güvenilir bilgilerin kullanılmasından kaynaklanmaktadır. teknik araçlar koruma. Destek sistemi, en azından ekipmanın kendisinde verimli ve etkiliyse, bu zaten başarının yarısıdır.

Temel olarak çeşitli sinyallerin kontrol edilmesiyle bilgi sızıntısı sağlanır. Bu tür yöntemler, özel radyo emisyonu veya sinyalleri kaynaklarının oluşturulmasını içerir. İkincisi elektriksel, akustik veya titreşimli olabilir.

Çoğu zaman, ekranlardan ve monitörlerden bilgilerin okunmasını sağlayan optik cihazlar kullanılır.

Cihazların çeşitliliği, davetsiz misafirler tarafından bilgi girişi ve çıkarılması için geniş bir yöntem yelpazesini belirler. Yukarıdaki yöntemlere ek olarak televizyon, fotoğraf ve görsel zeka da bulunmaktadır.

Bu kadar geniş fırsatlar nedeniyle, bilgi güvenliği denetimi öncelikle gizli verilerin korunmasına yönelik teknik araçların işleyişinin kontrol edilmesini ve analiz edilmesini içerir.

Şirket bilgilerine izinsiz erişim nedir?

Yetkisiz erişim tehditleri engellenmeden bilgi güvenliği risk yönetimi mümkün değildir.

Başkasının güvenlik sistemini hacklemeye yönelik bu yöntemin en belirgin temsilcilerinden biri, kullanıcı kimliğinin atanmasıdır. Bu yönteme "Maskeli Balo" denir. Bu durumda yetkisiz erişim, kimlik doğrulama verilerinin kullanılmasından oluşur. Yani, ihlalcinin amacı şifreyi veya başka bir tanımlayıcıyı ele geçirmektir.

Kötü niyetli kişiler nesnenin içinden veya dışından etkilenebilir. İhtiyaç duydukları bilgileri denetim günlüğü veya denetim araçları gibi kaynaklardan alabilirler.

Çoğu zaman saldırgan enjeksiyon politikasını uygulamaya ve görünüşte yasal yöntemler kullanmaya çalışır.

Yetkisiz erişim aşağıdaki bilgi kaynakları için geçerlidir:

• web sitesi ve harici ana bilgisayarlar;
• kurumsal kablosuz ağ;
• veri yedeklemeleri.

Yetkisiz erişim yolları ve yöntemleri sayısızdır. Saldırganlar yazılımın yapılandırmasında ve mimarisinde yanlış hesaplamalar ve boşluklar arıyor. Yazılımı değiştirerek veri alırlar. İhlal edenler, dikkati etkisiz hale getirmek ve sakinleştirmek için kötü amaçlı yazılım ve mantık bombaları fırlatır.

Şirketin bilgi güvenliğine yönelik yasal tehditler nelerdir?

Bilgi güvenliği risk yönetimi çeşitli alanlarda çalışır, çünkü asıl amacı kurumun üçüncü taraf izinsiz girişlerine karşı kapsamlı ve bütünsel olarak korunmasını sağlamaktır.

Teknik yönden daha az önemli olan hukuki olandır. Böylece, tam tersine çıkarları savunması gereken görünen, çok faydalı bilgiler elde edildiği ortaya çıkıyor.

Hukuki tarafa ilişkin ihlaller mülkiyet hakları, telif hakkı ve patent haklarıyla ilgili olabilir. Bu kategori aynı zamanda ithalat ve ihracat da dahil olmak üzere yazılımın yasa dışı kullanımını da içerir. Yasal düzenlemelerin ihlali ancak sözleşme şartlarına uyulmaması veya Yasama çerçevesi genel olarak.

Bilgi güvenliği hedefleri nasıl belirlenir?

Bilgi güvenliğinin sağlanması, koruma alanının oluşturulmasıyla başlar. Neyin kimden korunması gerektiğinin açıkça tanımlanması gerekir. Bunu yapmak için, potansiyel bir suçlunun portresinin yanı sıra olası bilgisayar korsanlığı ve sızma yöntemleri de belirlenir. Hedefleri belirlemek için ilk adım yönetimle konuşmaktır. Koruma için öncelikli alanlar önerecektir.

Bu andan itibaren bilgi güvenliği denetimi başlar. Teknolojik yöntemlerin ve iş yöntemlerinin ne oranda uygulanması gerektiğini belirlemenizi sağlar. Bu sürecin sonucu, yetkisiz izinsiz girişlere karşı koruma sağlamak için birimin karşı karşıya olduğu hedefleri birleştiren nihai bir faaliyet listesidir. Denetim prosedürü, işletmenin normal işleyişine ve gelişimine müdahale eden sistemin kritik anlarını ve zayıf noktalarını belirlemeyi amaçlamaktadır.

Hedefler belirlendikten sonra bunların uygulanmasına yönelik bir mekanizma da geliştirilir. Risklerin kontrol altına alınmasına ve en aza indirilmesine yönelik araçlar oluşturulmaktadır.

Varlıkların risk analizinde rolü nedir?

Bir kuruluşun bilgi güvenliği riskleri, işletmenin varlıklarını doğrudan etkiler. Sonuçta saldırganların amacı değerli bilgiler elde etmektir. Kaybolması veya ifşa edilmesi kaçınılmaz olarak kayıplara yol açacaktır. Yetkisiz bir izinsiz girişin neden olduğu zararın doğrudan etkisi olabilir veya yalnızca dolaylı olarak olabilir. Yani kuruluşa yönelik yasa dışı eylemler, işletme üzerindeki kontrolün tamamen kaybedilmesine yol açabilir.

Hasarın miktarı kuruluşun tasarrufundaki varlıklara göre tahmin edilmektedir. Etkilenen kaynaklar, yönetim hedeflerine ulaşılmasına herhangi bir şekilde katkıda bulunan kaynakların tamamıdır. İşletmenin varlıkları altında, gelir getiren ve elde edilmesine yardımcı olan tüm maddi ve manevi değerler anlamına gelir.

Varlıklar birkaç türdedir:

• malzeme;
• insan;
• bilgilendirici;
• parasal;
• süreçler;
• marka ve prestij.

Son varlık türü, yetkisiz izinsiz girişlerden en çok zarar görür. Bunun nedeni, herhangi bir gerçek bilgi güvenliği riskinin görüntüyü etkilemesidir. Kimse gizli bilgilerinin kamuya açıklanmasını istemediğinden, bu alandaki sorunlar otomatik olarak böyle bir kuruluşa olan saygıyı ve güveni azaltır. Kendine saygısı olan her kuruluş, kendi bilgi kaynaklarını korumaya özen gösterir.

Çeşitli faktörler, hangi varlıkların ne kadar zarar göreceğini etkiler. Dış ve iç olarak ayrılırlar. Bunların karmaşık etkileri, kural olarak, aynı anda birden fazla değerli kaynak grubunu ilgilendirmektedir.

İşletmenin tüm işi varlıklar üzerine kuruludur. Herhangi bir kurumun faaliyetlerinde herhangi bir hacimde bulunurlar. Sadece bazıları için bazı gruplar daha önemli, bazıları ise daha az önemli. Saldırganların ne tür varlıkları etkilemeyi başardığına bağlı olarak sonuç, yani verilen hasara bağlıdır.

Bilgi güvenliği risk değerlendirmesi, ana varlıkları açıkça tanımlamanıza olanak tanır ve eğer etkilendiyse, bu durum işletme için onarılamaz kayıplarla doludur. Yönetimin kendisi bu değerli kaynak gruplarına dikkat etmelidir çünkü bunların güvenliği mal sahiplerinin çıkarınadır.

Bilgi güvenliği bölümünün öncelik alanı yardımcı varlıklar tarafından işgal edilmektedir. Bunların korunmasından özel bir kişi sorumludur. Bunlarla ilgili riskler kritik değildir ve sadece yönetim sistemini etkiler.

Bilgi güvenliği faktörleri nelerdir?

Bilgi güvenliği risklerinin hesaplanması, özel bir modelin oluşturulmasını içerir. Birbirine işlevsel bağlantılarla bağlanan düğümleri temsil eder. Düğümler varlıkların ta kendisidir. Model aşağıdaki değerli kaynakları kullanır:

• İnsanlar;
• strateji;
• teknolojiler;
• süreçler.

Onları bağlayan kaburgalar asıl risk faktörleridir. Olası tehditleri belirlemek için bu varlıklarla ilgilenen departman veya uzmanla doğrudan iletişime geçmek en iyisidir. Herhangi bir potansiyel risk faktörü, problemin oluşması için ön koşul olabilir. Model, ortaya çıkabilecek ana tehditleri vurgulamaktadır.

Takıma gelince sorun eğitim seviyesinin düşük olması, personel eksikliği, motivasyon anının olmayışı.

Süreçlerin riskleri arasında dış ortamın değişkenliği, üretimin zayıf otomasyonu ve belirsiz görevler ayrımı yer alır.

Teknolojiler, güncel olmayan yazılımlardan ve kullanıcılar üzerinde kontrol eksikliğinden zarar görebilir. Heterojen bilgi teknolojisi ortamındaki sorunlar da bunun nedeni olabilir.

Bu modelin avantajı, sorun farklı açılardan ele alındığından bilgi güvenliği risklerinin eşik değerlerinin net olarak belirlenmemesidir.

Bilgi güvenliği denetimi nedir?

Bir işletmenin bilgi güvenliği alanında önemli bir prosedür denetimdir. Saldırıya karşı koruma sisteminin mevcut durumunun kontrolüdür. Denetim süreci, belirlenen gerekliliklere uygunluk derecesini belirler. Bazı kurum türleri için zorunludur, diğerleri için ise doğası gereği tavsiye niteliğindedir. İnceleme, muhasebe ve vergi departmanlarının dokümantasyonu, teknik imkanlar ve mali ve ekonomik kısımla ilgili olarak gerçekleştirilir.

Güvenlik düzeyini anlamak ve tutarsızlık durumunda optimizasyonu normale döndürmek için bir denetim gereklidir. Bu prosedür aynı zamanda bilgi güvenliğine yapılacak finansal yatırımların fizibilitesini değerlendirmenize de olanak tanır. Sonuçta uzman, verimliliği en üst düzeye çıkarmak için finansal harcamaların oranı hakkında önerilerde bulunacaktır. Denetim, kontrolleri ayarlamanıza olanak tanır.

Bilgi güvenliğine ilişkin uzmanlık birkaç aşamaya ayrılmıştır:

1. Hedefleri ve onlara ulaşmanın yollarını belirlemek.
2. Bir karara varmak için gereken bilgilerin analizi.
3. Toplanan verilerin işlenmesi.
4. Uzman görüşü ve öneriler.

Sonuçta uzman kararını verecektir. Komisyonun önerileri çoğunlukla donanımın ve sunucuların yapılandırmalarını değiştirmeyi amaçlamaktadır. Genellikle sorunlu bir işletmenin farklı bir güvenlik yöntemi seçmesi istenir. Belki ek güçlendirme için uzmanlar bir dizi koruyucu önlem atayacaktır.

Denetim sonrası çalışma, ekibin sorunlar hakkında bilgilendirilmesine yöneliktir. Gerektiğinde işletmenin bilgi kaynaklarının korunması konusunda çalışanların eğitimini artırmak amacıyla ek bilgilendirme yapılmasında yarar vardır.

Bilgi güvenliği risk yönetiminin temel ilkeleri

Farklı operasyonlara, ürünlere ve hizmetlere rağmen kuruluşlar bilgi güvenliği risk yönetiminin beş ilkesini kullanır:

Riski değerlendirin ve ihtiyaçları belirleyin

· Merkezi yönetimi ayarlayın

Gerekli politikaları ve uygun kontrolleri uygulayın

Çalışan farkındalığını teşvik edin

Politika ve kontrollerin etkinliğini izleyin ve değerlendirin

Bu ilkelerin etkili bir şekilde uygulanmasındaki önemli bir faktör, bilgi güvenliği yönetiminin sürekli olarak mevcut risklere odaklanmasını sağlamak için faaliyetler arasında köprü oluşturmasıdır. Kuruluşun üst yönetiminin, bilgi sistemlerinin güvenliğiyle ilişkili iş süreci kesintisi risklerinin farkında olması önemlidir. Politikaların ve seçimlerin geliştirilmesi ve uygulanmasının temeli gerekli fonlar kontrol, bireysel iş uygulamalarının risk değerlendirmesidir. Atılan adımlar, kullanıcıların riskler ve ilgili politikalar konusundaki farkındalığını artıracaktır. Kontrollerin etkinliği çeşitli çalışma ve denetimlerle değerlendirmeye tabi tutulmaktadır. Elde edilen sonuçlar daha sonraki risk değerlendirmesine yönelik bir yaklaşım sağlar ve politika ve kontrollerde gerekli değişiklikleri belirler. Tüm bu eylemler, güvenlik servisi veya danışmanlardan, iş birimlerinin temsilcilerinden ve kuruluşun yönetiminden oluşan uzman bir kadro tarafından merkezi olarak koordine edilir.

Risk değerlendirmesi bir bilgi güvenliği programının uygulanmasının ilk adımıdır. Güvenlik "tek başına" değil, iş süreçlerini güvence altına almak ve ilgili riskleri azaltmak için tasarlanmış bir dizi politika ve ilgili kontrol olarak görülür. Dolayısıyla bilgi güvenliği ile ilişkili iş risklerinin belirlenmesi risk (bilgi güvenliği) yönetimi döngüsünün başlangıç ​​noktasıdır.

Bilgi güvenliği risklerinin kuruluş yönetimi tarafından tanınması ve bu riskleri tanımlamayı ve yönetmeyi amaçlayan bir dizi önlem, bir bilgi güvenliği programının geliştirilmesinde önemli bir faktördür. Bu yönetim yaklaşımı, bilgi güvenliğinin kuruluşun alt organizasyon seviyelerinde ciddiye alınmasını ve bilgi güvenliği profesyonellerine, programın etkin bir şekilde uygulanması için gerekli kaynakların sağlanmasını sağlayacaktır.

Riskin gayri resmi olarak tartışılmasından, özel yazılım araçlarının kullanımını içeren oldukça karmaşık yöntemlere kadar değişen çeşitli risk değerlendirme metodolojileri vardır. Bununla birlikte, başarılı risk yönetimi prosedürlerine ilişkin dünya deneyimi, finansal kurumların çeşitli departmanlarının iş süreçleri bilgisine sahip uzmanların, teknik uzmanların ve bilgi güvenliği uzmanlarının katılımıyla katılımını içeren nispeten basit bir süreci tanımlamaktadır. Riskleri anlamanın, bir olayın olasılığı veya hasarın maliyeti de dahil olmak üzere, risklerin kesin olarak ölçülmesini sağlamadığını vurgulamakta fayda var. Kayıplar tespit edilemeyebileceği ve yönetime bilgi verilemeyebileceği için bu tür veriler mevcut değildir. Ayrıca, zayıf güvenlik kontrollerinin neden olduğu hasarın onarılmasının tam maliyetleri ve bu mekanizmaların (kontrollerin) işletme maliyetleri hakkında da sınırlı veri bulunmaktadır. Saldırganların kullanabileceği yazılım araçları ve araçlarının yanı sıra teknolojideki sürekli değişiklikler nedeniyle, önceki yıllarda toplanan istatistiklerin uygulanması sorgulanabilir. Sonuç olarak, hangi kontrolün en uygun maliyetli olduğunu belirlemek için kontrollerin maliyetini kayıp riskiyle doğru bir şekilde karşılaştırmak zordur. Her durumda, iş birimi yöneticileri ve bilgi güvenliği profesyonelleri, gerekli kontrollerin (yöntemlerin) seçimine karar verirken ellerinde bulunan en iyi bilgilere güvenmelidir.

İş birimi yöneticileri, iş süreçlerini destekleyen bilgi kaynaklarının güvenlik (gizlilik) düzeyinin belirlenmesinden öncelikli olarak sorumlu olmalıdır. Bilgi kaynaklarının hangisinin en kritik olduğunu ve bütünlüğünün, gizliliğinin veya kullanılabilirliğinin ihlal edilmesi durumunda iş üzerindeki olası etkisini en iyi şekilde belirleyebilecek olanlar iş birimi yöneticileridir. Ayrıca iş birimi yöneticileri iş süreçlerine zarar verebilecek kontrollere dikkat çekebilir. Böylece kontrollerin seçimine onları da dahil ederek kontrollerin gereklilikleri karşılaması ve başarıyla uygulanması sağlanabilir.

Kontrollerin yeterliliğini ve etkinliğini sağlamak için bilgi güvenliğine sürekli dikkat gösterilmelidir. Modern bilgi ve ilgili teknolojilerin yanı sıra bilgi güvenliğine ilişkin faktörler de sürekli değişmektedir. Bu faktörler arasında tehditler, teknolojiler ve sistem yapılandırmaları, bilinen güvenlik açıkları yer alır. yazılım, güvenilirlik düzeyi otomatik sistemler ve elektronik veriler, verilerin ve operasyonların kritikliği. Yönlendirme grubu öncelikle iş birimlerine danışman veya danışman olarak hareket eder ve bilgi güvenliği yöntemlerini (araçlarını) empoze edemez. Genel olarak yönlendirme grubu (1) bilgi güvenliği risklerinin sürekli olarak dikkate alınmasını sağlayan sürecin katalizörü (hızlandırıcısı) olmalıdır; (2) kurumsal birimler için merkezi bir danışmanlık kaynağı; (3) bilgi güvenliğinin durumu ve alınan önlemler hakkında kuruluşun yönetimine bilgi iletmenin bir yolu. Ayrıca yönlendirme grubu, atanan görevleri merkezi olarak yönetmenize olanak tanır, aksi takdirde bu görevler kuruluşun çeşitli departmanları tarafından çoğaltılabilir. Kuruluşun çalışanları bilgi güvenliği programının çeşitli yönlerine dahil edilmeli ve uygun beceri ve bilgiye sahip olmalıdır. Çalışanların gerekli profesyonellik düzeyi, hem kuruluş uzmanları hem de dış danışmanlar tarafından gerçekleştirilebilecek eğitimlerle sağlanabilir.

Bilgi güvenliği alanındaki politikalar, belirli prosedürlerin benimsenmesinin ve kontrol (yönetim) araçlarının (mekanizmalarının) seçiminin temelini oluşturur. Politika, yönetimin görüş ve gereksinimlerini çalışanlara, müşterilere ve iş ortaklarına ilettiği temel mekanizmadır. Bilgi güvenliği ve diğer iç kontrol alanları için politikaların gereklilikleri doğrudan risk değerlendirmesinin sonuçlarına bağlıdır. Kullanıcıların erişebileceği ve anlayabileceği kapsamlı, yeterli politikalar dizisi, bir bilgi güvenliği programı oluşturmanın ilk adımlarından biridir. Belirlenen risklere ve olası anlaşmazlıklara zamanında yanıt verilmesi için politikaların sürekli olarak sürdürülmesinin (ayarlanmasının) önemini vurgulamakta fayda var.

Kullanıcıların yetkinliği, başarılı bilgi güvenliğinin ön koşuludur ve aynı zamanda kontrollerin düzgün çalışmasını sağlamaya da yardımcı olur. Kullanıcılar bilmediği, anlamadığı bir politikayı takip edemez. Bir kuruluşun bilgi kaynaklarıyla ilgili risklerin farkında olmadıklarından, riskleri azaltmak için tasarlanmış politikaları uygulama ihtiyacını göremeyebilirler.

Her türlü faaliyet gibi, bilgi güvenliği de politikaların ve kontrol araçlarının (yöntemlerinin) belirlenen hedeflere yeterliliğini (uyumluluğunu) sağlamak için kontrole ve periyodik olarak yeniden değerlendirmeye tabidir.

Kontroller öncelikle (1) kontrollerin ve yöntemlerin mevcudiyetine ve bunların riskleri azaltmak için kullanımına ve (2) kullanıcıların anlayışını geliştiren ve olayları azaltan bilgi güvenliği programı ve politikalarının etkinliğinin değerlendirilmesine odaklanmalıdır. Bu tür kontroller, kontrol araçlarının (yöntemlerinin) test edilmesini, bunların kuruluşun politikalarına uygunluğunun değerlendirilmesini, güvenlik olaylarının analiz edilmesini ve ayrıca bilgi güvenliği programının etkinliğinin diğer göstergelerini içerir. Yönlendirme grubunun performansı, örneğin aşağıdaki göstergelere (ancak bunlarla sınırlı olmamak üzere) dayalı olarak değerlendirilebilir:

düzenlenen eğitim ve toplantıların sayısı;

gerçekleştirilen risk değerlendirmesinin/değerlendirmelerinin sayısı;

sertifikalı uzmanların sayısı;

kuruluş çalışanlarının çalışmasını engelleyen olayların olmaması;

· bilgi güvenliği sorunları nedeniyle gecikmeli olarak hayata geçirilen yeni proje sayısında azalma;

minimum bilgi güvenliği gerekliliklerine tam uyum veya mutabakata varılan ve kaydedilen sapmalar;

· Yetkisiz erişim, bilgilerin kaybı veya çarpıtılmasıyla ilgili olayların sayısında azalma.

İzleme kesinlikle bir kuruluşu kabul edilen bilgi güvenliği politikalarına uygun hale getirir, ancak sonuçlar bilgi güvenliği programını iyileştirmek için kullanılmadıkça izlemenin tüm yararları elde edilemeyecektir. Kontrol sonuçlarının analizi, bilgi güvenliği uzmanlarına ve iş birimi yöneticilerine (1) önceden tanımlanmış riskleri yeniden değerlendirme, (2) yeni sorunlu alanları belirleme, (3) mevcut kontrollerin ve risk önleme yöntemlerinin yeterliliğini ve uygunluğunu yeniden değerlendirme araçları sağlar. bilgi güvenliğini sağlamaya yönelik kontrol (yönetim) ve eylemler, (4) yeni kontrol araç ve mekanizmalarına olan ihtiyacın belirlenmesi, (5) kontrol çabalarının yeniden yönlendirilmesi (kontrol eylemleri). Ayrıca sonuçlar, iş birimleri genelinde riskin anlaşılmasından ve azaltılmasından sorumlu işletme yöneticilerinin performansını değerlendirmek için de kullanılabilir.
(1) bilgi güvenliği profesyonellerinin yöntem ve araçların (uygulamaların) gelişimini takip etmesinin ve bilgi sistemleri ve uygulamalarının zafiyetleri hakkında en son bilgilere sahip olmasının, (2) üst yönetimin gerekli kaynaklara sahip olmasını sağlamasının sağlanması önemlidir. bunun için.

Analiz Yöntemleri

PEST dört İngilizce kelimenin kısaltmasıdır: P - Siyasi-yasal - politik ve hukuki, E - Esopomis - ekonomik, S - Sosyokültürel - sosyokültürel, T - Teknolojik güçler - teknolojik faktörler.

PEST analizi, makro çevre faktörlerinin işletmenin mevcut ve gelecekteki faaliyetlerinin sonuçları üzerindeki etkisinin belirlenmesi ve değerlendirilmesinden oluşur. .

İşletmenin stratejisi için en önemli olan dört grup faktör vardır:

Siyasi ve hukuki;

Ekonomik;

Sosyokültürel;

Teknolojik.

PEST analizinin amacı dört temel alanda makro ortamdaki değişiklikleri takip etmek (izlemek) ve işletmenin kontrolünde olmayan ancak alınan stratejik kararların sonuçlarını etkileyen trendleri ve olayları tespit etmektir.

Tablo 1. PEST analizi

Siyasi faktör Kamu otoritelerinin toplumun kalkınmasına ilişkin niyetleri ve devletin politikalarını uygulamayı planladığı araçlar hakkında net bir fikre sahip olmak için öncelikle dış çevre incelenir.

Analiz ekonomik yön dış çevre, ekonomik kaynakların devlet düzeyinde nasıl oluştuğunu ve dağıtıldığını anlamamızı sağlar. Çoğu işletme için bu, ticari faaliyetlerinin en önemli koşuludur.

Ders çalışıyor sosyal bileşen Dış çevrenin değerlendirilmesi, insanların yaşam kalitesine karşı tutumu, insanların hareketliliği, tüketici faaliyetleri vb. gibi sosyal olayların iş üzerindeki etkisini anlamayı ve değerlendirmeyi amaçlamaktadır.

Analiz teknolojik bileşen bilim ve teknolojinin gelişmesiyle ilgili fırsatları öngörmeyi, teknolojik açıdan gelecek vaat eden bir ürünün üretimine ve satışına zamanında uyum sağlamayı, kullanılan teknolojinin terk edilme anını tahmin etmeyi mümkün kılar.

PE5T analizi yapma prosedürü.

Tahsis Et sonraki adımlar Dış analiz:

1. Uygulama olasılığı yüksek ve işletmenin işleyişi üzerinde etkisi olan dış stratejik faktörlerin bir listesi geliştirilmektedir.

2. Belirli bir kuruluş için her olayın önemi (uygulanma olasılığı), ona birden (en önemli) ila sıfıra (önemsiz) kadar belirli bir ağırlık atanarak değerlendirilir. Ağırlıkların toplamının bire eşit olması gerekir ki bu da normalizasyonla sağlanır.

3. Her faktör-olayın şirketin stratejisi üzerindeki etki derecesi 5 puanlık bir ölçekte değerlendirilir: "beş" - güçlü etki, ciddi tehlike; "birim" - etkinin olmaması, tehdit.

4. Ağırlıklı tahminler, faktörün ağırlığının etki gücüyle çarpılmasıyla belirlenir ve söz konusu işletme için toplam ağırlıklı tahmin hesaplanır.

Toplam puan, işletmenin mevcut ve öngörülen çevresel faktörlere yanıt vermeye hazır olma derecesini gösterir.

Tablo 2. Dış stratejik faktörlerin analizinin sonuçları

Bu durumda 3,05 puan, şirketin stratejik çevresel faktörlere tepkisinin ortalama düzeyde olduğunu göstermektedir.

Çevresel analiz için kullanılan SWOT yöntemi, dış ve iç çevrenin ortak çalışmasına olanak tanıyan, yaygın olarak tanınan bir yaklaşımdır.

SWOT analizi yöntemini uygulayarak organizasyonun doğasında var olan güçlü ve zayıf yönler ile dış tehditler ve fırsatlar arasında bağlantılar kurmak mümkündür. Metodoloji ilk olarak tanımlamayı içerir. güçlülükler ve zayıflıklar, Ve tehditler ve fırsatlar ve daha sonra bunlar arasında daha sonra organizasyonun stratejisini formüle etmek için kullanılabilecek bağlantı zincirlerinin kurulması.

Thompson ve Strickland, aşağıdaki yaklaşık özellikler dizisini önerdiler; bunun sonucu olarak, kuruluşun zayıf ve güçlü yönlerinin bir listesinin yanı sıra, dış ortamda tamamlanan tehditler ve fırsatların bir listesine izin verilmesi gerekir.

Güçlü:

Üstün Yetkinlik;

Yeterli mali kaynaklar;

Yüksek yeterlilik;

Alıcılar arasında iyi bir itibar;

Tanınmış pazar lideri;

Organizasyonun fonksiyonel alanlarında yaratıcı strateji uzmanı;

Üretim hacminin büyümesinden tasarruf elde etme imkanı;

Güçlü rekabet baskısına karşı güvenlik (en azından bir yerde);

Uygun teknoloji;

Maliyet avantajları;

Rekabet alanındaki avantajlar;

Yenilikçi yeteneklerin varlığı ve bunların uygulanma olasılığı;

Kanıtlanmış yönetim.

Zayıf yönleri:

Açık bir stratejik yön yoktur;

Rekabetçi konumun bozulması;

eski ekipman;

Daha düşük karlılık çünkü…;

Yönetsel yetenek eksikliği ve sorun yönetiminin derinliği;

Belirli türdeki temel niteliklerin ve yeterliliklerin eksikliği;

Strateji uygulama sürecinin zayıf takibi;

İç üretim sorunlarından duyulan acı;

Rekabet baskısına karşı kırılganlık;

Araştırma ve geliştirmede birikim;

Çok dar üretim hattı;

Pazarın yeterince anlaşılmaması;

Rekabet dezavantajları;

Ortalamanın altında pazarlama yeteneği;

Stratejide gerekli değişikliklerin finanse edilememesi.

Olasılıklar:

Yeni pazarlara veya pazar bölümlerine girmek;

Üretim hattının genişletilmesi;

İlgili ürünlerde artış, çeşitlilik;

İlgili ürünlerin eklenmesi;

Dikey entegrasyon;

Daha iyi bir stratejiye sahip bir gruba geçme yeteneği;

Rakip firmalar arasındaki kayıtsızlık;

Pazar büyümesinin hızlanması.

Yeni rakiplerin olasılığı;

İkame ürünün satışlarındaki artış;

Pazar büyümesinde yavaşlama;

Olumsuz hükümet politikası;

Artan rekabet baskısı;

Durgunluk ve iş döngüsünün zayıflaması;

Alıcıların ve tedarikçilerin pazarlık gücünün arttırılması;

Müşterilerin değişen ihtiyaçları ve zevkleri;

Olumsuz demografik değişiklikler.

Alt başlık: Analiz yürütme ve SWOT analizi matrisi oluşturma metodolojisi

Kuruluş, listenin dört bölümünün her birini, içinde bulunduğu özel durumu yansıtan dış ve iç çevrenin özellikleriyle tamamlayabilir.

Kuruluşun güçlü ve zayıf yönlerinin yanı sıra tehdit ve fırsatlara ilişkin spesifik bir liste hazırlandıktan sonra bunlar arasında bağlantı kurma aşamasına geçilir. Bu bağlantıları kurmak için aşağıdaki forma sahip bir SWOT matrisi derlenir (Şekil 1).

Pirinç. 1. SWOT Analizi Matrisi

Solda, sırasıyla analizin ilk aşamasında belirlenen organizasyonun tüm taraflarının yazıldığı iki blok (güçlü yönler, zayıf yönler) vardır.

Matrisin üst kısmında ayrıca belirlenen tüm fırsat ve tehditlerin yazıldığı iki blok (fırsatlar ve tehditler) bulunmaktadır. Blokların kesişim noktasında dört alan oluşuyor:

SIV (güç ve fırsatlar); SIS (güç ve tehditler); WLS (zayıf yönler ve fırsatlar); SLN (zayıflık ve tehditler). Araştırmacı, alanların her birinde olası tüm ikili kombinasyonları dikkate almalı ve bir organizasyonun davranış stratejisini geliştirirken dikkate alınması gerekenleri vurgulamalıdır.

SIV alanından seçilen çiftler için, dış ortamda ortaya çıkan fırsatlardan geri dönüş alabilmek için kurumun güçlü yönlerini kullanmaya yönelik bir strateji geliştirilmelidir.

Kendilerini SLV alanında bulan çiftler için strateji, ortaya çıkan fırsatlar nedeniyle organizasyondaki zayıflıkların üstesinden gelmeye çalışacak şekilde oluşturulmalıdır.

Çift SIS alanındaysa, strateji tehdidi ortadan kaldırmak için organizasyonun gücünün kullanılmasını içermelidir.

Son olarak SLN alanında çiftler için organizasyonun hem zayıflıktan kurtulmasını sağlayacak hem de üzerine gelen tehdidi engellemeye çalışacak bir strateji geliştirmesi gerekiyor.

Stratejiler geliştirilirken fırsatların ve tehditlerin tam tersine dönüşebileceği unutulmamalıdır. Bu nedenle, değerlendirilmemiş bir fırsat, bir rakibin bunu istismar etmesi durumunda bir tehdit haline gelebilir. Veya tam tersi, başarıyla önlenen bir tehdit bir organizasyonun önünü açabilir Ek özellikler Rakiplerin aynı tehdidi ortadan kaldıramaması durumunda.

Alt başlık: Bir Fırsatlar Matrisi Oluşturmak

SWOT analizi yöntemini kullanarak kuruluş ortamının başarılı bir analizi için, yalnızca tehditleri ve fırsatları ortaya çıkarabilmek değil, aynı zamanda bunları kuruluşun stratejisi üzerindeki önemleri ve etki dereceleri açısından değerlendirebilmek de önemlidir.

Fırsatları değerlendirmek için, her bir özel fırsatı fırsat matrisine yerleştirme yöntemi kullanılır (Şekil 2).

Pirinç. 2. Fırsat Matrisi

Matris şu şekilde oluşturulmuştur:

- yukarıdan yatay olarak, fırsatın kuruluşun faaliyetleri üzerindeki etkisinin derecesi ertelenir (güçlü, orta, küçük);

- dikey olarak solda, kuruluşun fırsatı yakalayabilme olasılığı ertelenir (yüksek, orta, düşük).

Matris içindeki dokuz yetenek alanının organizasyon için farklı anlamları vardır.

BC, B, Y ve CC alanlarına düşen fırsatlar büyük önem organizasyon için ve bunların kullanılması gerekir.

SM, NU ve NM alanlarına giren fırsatlar pratikte organizasyonun dikkatini hak etmiyor.

Alt başlık: Bir "tehdit" matrisi oluşturmak

Tehlike değerlendirmesi için benzer bir matris derlenmiştir (Şekil 3):

- yukarıdan yatay olarak yatırılır Olası sonuçlar Tehdidin uygulanmasına yol açabilecek organizasyon için (yıkım, kritik durum, ciddi durum, "hafif morluklar").

- Tehdidin gerçekleşme olasılığı (yüksek, orta, düşük) sola doğru dikey olarak işaretlenmiştir.

Pirinç. 3. Tehdit Matrisi

BP, VC ve SR'nin alanına giren bu tehditler organizasyon için çok büyük bir tehlike oluşturuyor ve derhal ve zorunlu olarak ortadan kaldırılmasını gerektiriyor.

BT, NC ve NR'nin alanına giren tehditlerin üst yönetimin de görüş alanına girmesi ve öncelikli olarak ortadan kaldırılması gerekiyor.

NK, ST ve VL alanlarında yer alan tehditlere gelince, bunların ortadan kaldırılması için dikkatli ve sorumlu bir yaklaşım gerekmektedir. Her ne kadar bu onların birincil ortadan kaldırılması görevini belirlemese de. Geriye kalan alanlara düşen tehditler de örgütün liderliğinin gözünden kaçmamalı. Gelişimleri dikkatle takip edilmelidir.

Alt başlık: Ortam profili oluşturma

Kuruluşun tehditlerini, fırsatlarını, güçlü ve zayıf yönlerini inceleme yöntemlerinin yanı sıra, profilini derleme yöntemi de çevreyi analiz etmek için kullanılabilir. Bu yöntemin makro ortam, yakın çevre ve iç ortamdan ayrı ayrı bir profil derlemek için uygulanması uygundur. Çevresel profilleme yöntemini kullanarak, bireysel çevresel faktörlerin organizasyonunun göreceli önemini değerlendirmek mümkündür.

Ortam profili oluşturma yöntemi aşağıdaki gibidir. Bireysel çevresel faktörler, çevre profili tablosunda listelenmiştir (Şekil 4). Faktörlerin her biri uzman bir şekilde değerlendirilir:

Sektör açısından önemi: 3 - büyük, 2 - orta, 1 - zayıf;

Kuruluş üzerindeki etki ölçeğine göre: 3 - güçlü, 2 - orta, 1 - zayıf, 0 - etki yok;

Ölçek üzerindeki etki yönleri: +1 - pozitif, -1 - negatif.

Pirinç. 4. Ortam profili tablosu

Ayrıca, her üç uzman değerlendirmesi de çarpılır ve faktörün organizasyon için önem derecesini gösteren bütünsel bir değerlendirme elde edilir. Bu değerlendirmeden yönetim, çevresel faktörlerden hangisinin kendi kuruluşu için nispeten daha önemli olduğu ve dolayısıyla en ciddi ilgiyi hak ettiği ve hangi faktörlerin daha az ilgiyi hak ettiği sonucuna varabilir.

Çevre analizi, bir kuruluşun stratejisini geliştirmek için çok önemli ve çok karmaşık bir süreçtir; çevrede meydana gelen süreçlerin dikkatli bir şekilde izlenmesini, faktörlerin değerlendirilmesini ve faktörler ile kuruluşun güçlü ve zayıf yönleri arasında bir bağlantı kurulmasını ve aynı zamanda çevrenin korunmasını gerektiren çok önemli ve çok karmaşık bir süreçtir. Dış çevrede bulunan fırsatlar ve tehditler.

Açıkçası çevreyi tanımadan örgütün var olması mümkün olmayacaktır. Ancak dümeni, küreği, yelkeni olmayan bir tekne gibi yüzemez. Kuruluş, hedeflerine doğru başarılı bir şekilde ilerlemesini sağlamak için çevreyi inceler. Bu nedenle stratejik yönetim sürecinin yapısında çevre analizini, kuruluşun misyonunun ve hedeflerinin oluşturulması takip eder.

9.3. Ürün/Hizmet Yaşam Döngüsü

Herhangi bir ürün (hizmet), başlangıcından (piyasaya çıkışından) sona ermesine (son numunenin piyasaya sürülmesi) kadar yaşam döngüsünden geçer.

Yaşam döngüsünün aşağıdaki ana aşamaları ayırt edilebilir (Şekil 5):

Pirinç. 5. Bir ürünün zaman içindeki yaşam döngüsünün olağan grafiği

BCG matrisi

Bir şirketin pazardaki konumunu analiz etmenin en popüler prosedürü portföy matrislerinin oluşturulmasıdır. Tipik olarak bu tür matrisler, endüstri büyüme oranı, pazar büyüklüğü, endüstrinin uzun vadeli çekiciliği, rekabet durumu vb. gibi stratejik açıdan önemli birkaç değişken temelinde oluşturulur. Bu tür iki boyutlu matrisler nispeten basittir ve açık pazar ortamı. En yaygın kullanılan matrisler BCG (BCG - Boston Consulting Group) ve General Electric'tir.

Boston Matrisi, bir ürünün gelişiminde dört aşamadan geçtiği bir ürün yaşam döngüsü modeline dayanmaktadır: pazara giriş (bir ürün bir "vahşi kedidir"), büyüme (bir ürün bir "yıldız") , olgunluk (bir ürün “nakit ineğidir”) ve durgunluk (ürün “köpektir”).

Belirli iş türlerinin rekabet gücünü değerlendirmek için iki kriter kullanılır: endüstri pazarının büyüme hızı; göreceli pazar payı.

Pazar büyüme oranı şu şekilde tanımlanır: ağırlıklı ortalamaİşletmenin faaliyet gösterdiği çeşitli pazar bölümlerinin büyüme oranları veya gayri safi milli hasılanın büyüme oranına eşit olarak alınır. Yüzde 10 ve üzeri sektör büyüme oranları yüksek kabul ediliyor.

Göreli pazar payı, söz konusu işletmenin pazar payının en büyük rakibin pazar payına bölünmesiyle belirlenir.

Pirinç. 6. Varsayımsal bir firma için BCG matrisi

1 pazar payı değeri, ürünleri (pazar liderlerini) takipçilerden ayırır. Böylece iş türlerinin (bireysel ürünler) dört farklı gruba ayrılması gerçekleştirilir (Şekil 6).

BCG matrisi iki varsayıma dayanmaktadır:

1. Önemli bir pazar payına sahip olan işletme, bu etki sonucunda üretim maliyetleri açısından rekabet avantajı elde etmektedir. Buradan en büyük rakibin piyasa fiyatlarından satış yaparken en yüksek kârlılığa ve onun için maksimum finansal akışa sahip olduğu sonucu çıkmaktadır.

2. Büyüyen bir pazardaki varlık, gelişimi için finansal kaynaklara olan ihtiyacın artması anlamına gelir; üretimin yenilenmesi ve genişletilmesi, yoğun reklam vb. Olgun bir pazar gibi pazar büyüme oranı düşükse, o zaman ürünün önemli bir finansmana ihtiyacı yoktur.

Her iki hipotezin de karşılanması durumunda, farklı öncelikli stratejik hedeflere ve finansal ihtiyaçlara karşılık gelen dört grup ürün pazarı ayırt edilebilir:

Yabani Kediler (hızlı büyüme/düşük pay): Bu ürün grubu, pazar genişledikçe oldukça umut verici olabilir ancak büyümeyi sürdürmek için önemli miktarda sermaye gerektirir. Bu ürün grubuyla ilgili olarak bu ürünlerin pazar payının artırılmasına mı yoksa finansmanının durdurulmasına mı karar verilmesi gerekiyor.

Yıldızlar (hızlı büyüme/yüksek pay) pazar liderleridir. Rekabet güçleri nedeniyle önemli karlar elde ediyorlar, ancak aynı zamanda dinamik bir pazarda yüksek bir paya sahip olabilmek için finansmana da ihtiyaç duyuyorlar.

Nakit İnekler (Yavaş Büyüme/Yüksek Pay): Büyümelerini sürdürmek için gerekenden daha fazla kar elde etme kapasitesine sahip ürünler. Çeşitlendirme için ana fon kaynağıdırlar ve bilimsel araştırma. Öncelikli stratejik hedef “hasat”tır.

"Köpekler" (yavaş büyüme/düşük oran), Dezavantajlı maliyetler açısından ve büyüme için yer yok. Bu tür malların korunması önemli finansal giderler iyileşme şansı çok az. Öncelikli strateji yatırımdan vazgeçme ve mütevazı bir varoluştur.

İdeal olarak bir işletmenin dengeli bir ürün portföyü şunları içermelidir:

2-3 inek, 1-2 yıldız, önde birkaç kedi ve belki az sayıda köpek. Eskiyen malların (“köpekler”) fazlalığı, işletmenin mevcut performansı nispeten iyi olsa bile, gerileme tehlikesine işaret eder. Yeni ürünlerin fazlalığı mali sıkıntıya yol açabilir.

Dinamik bir kurumsal portföyde aşağıdaki gelişim yörüngeleri (senaryolar) ayırt edilir (Şekil 7).

Pirinç. 7. Ana geliştirme senaryoları

"Ürün yörüngesi". Şirket, "nakit ineklerden" alınan Ar-Ge fonlarına yatırım yaparak, bir yıldızın yerini alan temelde yeni bir ürünle pazara giriyor.

"Takipçinin Yörüngesi". "Nakit ineklerden" elde edilen fonlar, pazarı liderin hakim olduğu "kedi" ürününe yatırılıyor. Şirket, pazar payını artırmaya yönelik agresif bir strateji izliyor ve "kedi" ürünü bir "yıldız"a dönüşüyor.

"Başarısızlığın Yörüngesi". Yetersiz yatırım nedeniyle yıldız ürün pazardaki lider konumunu kaybederek “kedi” ürünü haline gelir.

"Sıradanlığın yörüngesi". Ürün - "kedi" pazar payını artırmayı başaramaz ve bir sonraki aşamaya girer (ürün - "köpek").

Bir kuruluşta bir bilgi güvenliği yönetim sistemi (ISMS) uygularken, ana engellerden biri genellikle risk yönetimi sistemidir. Bilgi güvenliği risk yönetimine ilişkin akıl yürütme UFO sorununa benzer. Bir yandan bunu etrafta kimse görmemiş gibi görünüyor ve olayın kendisi pek olası görünmüyor, diğer yandan pek çok kanıt var, yüzlerce kitap yazıldı, hatta konuyla ilgili bilimsel disiplinler ve uzman dernekleri var. Bu araştırma sürecinde ve her zamanki gibi özel servislerin bu alanda özel gizli bilgileri var.

Alexander Astakhov, CISA, 2006

giriiş

Risk yönetimi konularında bilgi güvenliği uzmanları arasında fikir birliği yoktur. Birisi inkar ediyor Nicel yöntemler Risk değerlendirmesi, birisi nitelliği reddeder, birisi genel olarak risk değerlendirmesinin fizibilitesini ve olasılığını reddeder, birisi kuruluşun yönetimini güvenlik konularının önemi konusunda yetersiz farkındalıkla suçlar veya belirli risklerin değerinin objektif bir değerlendirmesini elde etmenin getirdiği zorluklardan şikayet eder. kuruluşun itibarı gibi varlıklar. Güvenliğin maliyetini haklı çıkarmanın hiçbir yolunu görmeyen diğerleri, bunu bir tür hijyenik prosedür olarak ele almayı ve bu prosedüre üzüldüğünüz kadar veya bütçede kalan kadar para harcamayı öneriyor.

Bilgi güvenliği risk yönetimi konusunda hangi görüşler mevcut olursa olsun ve bu riskleri nasıl ele alırsak alalım, bir şey açıktır ki; bu konu Bilgi güvenliği uzmanlarının çok yönlü faaliyetinin özünde, onu doğrudan işle ilişkilendirerek, ona makul bir anlam ve uygunluk kazandırarak yatmaktadır. Bu makale, risk yönetimine olası bir yaklaşımı özetlemekte ve farklı kuruluşların bilgi güvenliği risklerini neden farklı şekilde ele aldığı ve yönettiği sorusunu yanıtlamaktadır.

Ana ve yardımcı varlıklar

İş risklerinden bahsederken, belirli bir olasılıkla belirli bir zarara uğrama olasılığını kastediyoruz. Bu hem doğrudan maddi hasar hem de dolaylı hasar olabilir, örneğin işten çıkışa kadar kar kaybı olarak ifade edilebilir, çünkü risk yönetilmezse iş kaybedilebilir.

Aslında sorunun özü, kuruluşun faaliyetlerinin sonuçlarına (iş hedeflerine) ulaşmak için birkaç ana kaynak kategorisine sahip olması ve bunları kullanması gerçeğinde yatmaktadır (işle doğrudan ilgili varlık kavramını kullanacağız). Varlık, bir kuruluş için değerli olan ve gelirini sağlayan herhangi bir şeydir (başka bir deyişle, pozitif nakit akışı yaratan veya para tasarrufu sağlayan bir şeydir).

Maddi, finansal, insan ve bilgi varlıkları vardır. Modern uluslararası standartlar ayrıca başka bir varlık kategorisini de tanımlar; bunlar süreçlerdir. Süreç, iş hedeflerine ulaşmak için diğer tüm şirket varlıkları üzerinde çalışan toplu bir varlıktır. Şirketin imajı ve itibarı da en önemli varlıklardan biri olarak kabul edilmektedir. Herhangi bir kuruluş için bu temel varlıklar, özel bir tür bilgi varlığından başka bir şey değildir; çünkü bir şirketin imajı ve itibarı, onun hakkında açık ve geniş çapta yayılan bilgilerin içeriğinden başka bir şey değildir. Bilgi güvenliği, kurumsal güvenlik sorunları ve sızıntılar kadar imaj sorunlarıyla da ilgilenir kesin bilgi görüntü üzerinde son derece olumsuz etki.

İş sonuçları, risk kategorisine ilişkin çeşitli dış ve iç faktörlerden etkilenir. Bu etki, kuruluşun varlıklarının bir veya daha fazla grubu üzerinde aynı anda olumsuz etki olarak ifade edilir. Örneğin, bir sunucu arızası, üzerinde depolanan bilgi ve uygulamaların kullanılabilirliğini etkiler ve onarımı insan kaynaklarını başka yöne yönlendirerek belirli bir çalışma alanında eksiklik yaratmasına ve iş süreçlerinin kesintiye uğramasına neden olurken, müşteri hizmetlerinin geçici olarak kullanılamaması olumsuz sonuçlara neden olabilir. şirketin imajını etkiler.

Tanım gereği her türlü varlık bir kuruluş için önemlidir. Ancak her kuruluşun hayati önem taşıyan temel varlıkları ve destekleyici varlıkları vardır. Hangi varlıkların ana varlıklar olduğunu belirlemek çok basittir çünkü. bunlar kuruluşun işinin etrafında inşa edildiği varlıklardır. Dolayısıyla, bir kuruluşun işi maddi varlıkların (örneğin arazi, gayrimenkul, ekipman, madenler) mülkiyeti ve kullanımına dayanabilir ve bir iş aynı zamanda finansal varlıkların (kredi faaliyetleri, sigorta, yatırım) yönetimi üzerine de kurulabilir. Bir işletme, belirli uzmanların (danışmanlık, denetim, eğitim, yüksek teknoloji ve bilgi yoğun endüstriler) yeterliliğine ve otoritesine dayalı olabilir veya işletme, bilgi varlıkları (yazılım geliştirme, bilgi ürünleri, e-ticaret, iş) etrafında dönebilir. internet). Sabit varlıkların riskleri, iş kaybı ve kuruluş için onarılamaz kayıplarla doludur, bu nedenle işletme sahiplerinin dikkati öncelikle bu risklere odaklanır ve kuruluşun yönetimi bunlarla kişisel olarak ilgilenir. Yardımcı varlık riskleri genellikle telafi edilebilir hasarlarla sonuçlanır ve bir kuruluşun yönetim sisteminde birinci öncelik değildir. Genellikle bu riskler özel olarak atanan kişiler tarafından yönetilir veya bu riskler dış kaynak veya sigorta şirketi gibi üçüncü bir tarafa devredilir. Organizasyon için bu, hayatta kalmaktan çok yönetimin etkinliği meselesidir.

Risk yönetimine yönelik mevcut yaklaşımlar

Bilgi güvenliği riskleri tüm kuruluşlar için ana riskler olmaktan uzak olduğundan, bu riskleri yönetmek için derinlik ve biçimsellik düzeyi açısından farklılık gösteren üç ana yaklaşım uygulanmaktadır.

Kritik olmayan sistemler için, bilgi varlıkları yardımcı olduğunda ve çoğu modern Rus şirketi için tipik olan bilişim düzeyi yüksek olmadığında, risk değerlendirmesine minimum düzeyde ihtiyaç vardır. Bu tür kuruluşlarda, mevcut düzenleme ve standartlarla belirlenen bazı temel bilgi güvenliği düzeyleri, en iyi uygulamalar, deneyimler ve diğer birçok kuruluşta bunun nasıl yapıldığı hakkında konuşmalıyız. Bununla birlikte, bazılarını açıklayan mevcut standartlar temel set Gereksinimler ve güvenlik mekanizmaları, her zaman, genel gereksinimler ve mekanizmalar dizisinden belirli bir kuruluşta geçerli olanları seçmek amacıyla belirli kontrol mekanizmalarının uygulanmasının risklerini ve ekonomik fizibilitesini değerlendirme ihtiyacını şart koşar.

Bilgi varlıklarının asıl olmadığı ancak iş süreçlerinin bilişim düzeyinin çok yüksek olduğu ve bilgi risklerinin ana iş süreçlerini önemli ölçüde etkileyebildiği kritik sistemler için risk değerlendirmesi yapılması gerekir ancak bu durumda tavsiye edilir. En kritik sistemlere özel önem vererek, bu sorunu çözmeye yönelik resmi olmayan niteliksel yaklaşımlarla kendimizi sınırlamak.

Bir kuruluşun işi bilgi varlıkları etrafında kurulduğunda ve bilgi güvenliği riskleri ana riskler olduğunda, bu riskleri değerlendirmek için resmi bir yaklaşımın ve niceliksel yöntemlerin uygulanması gerekir.

Pek çok şirkette, örneğin iş çeşitlendirildiğinde veya şirket bilgi ürünlerinin yaratılmasıyla meşgul olduğunda, çeşitli varlık türleri aynı anda hayati öneme sahip olabilir ve hem insan hem de bilgi kaynakları bunun için eşit derecede önemli olabilir. Bu durumda basiretli yaklaşım, hangi sistemlerin yüksek riskli, hangilerinin iş operasyonları açısından kritik olduğunu belirlemek için üst düzey bir risk değerlendirmesi yapmak ve ardından belirlenen sistemler için ayrıntılı bir risk değerlendirmesi yapmaktır. Diğer tüm kritik olmayan sistemler için, temel yaklaşımı uygulamakla, mevcut deneyime, uzman görüşlerine ve en iyi uygulamalara dayanarak risk yönetimi kararları vermekle kendinizi sınırlamanız tavsiye edilir.

olgunluk seviyeleri

Bir kuruluşta risk değerlendirme yaklaşımının seçimi, işin doğası ve iş süreçlerinin bilgi düzeyine ek olarak olgunluk düzeyinden de etkilenir. Bilgi güvenliği risk yönetimi, kuruluşun yönetiminin bilgi güvenliği sorunlarına ilişkin farkındalığı ve farkındalık derecesi nedeniyle başlatılan, anlamı işletmeyi gerçek hayattaki bilgi güvenliği tehditlerinden korumak olan bir iş görevidir. Farkındalık derecesine göre, kuruluşların çeşitli olgunluk düzeyleri izlenebilir; bunlar, bir dereceye kadar COBIT ve diğer standartlarda tanımlanan olgunluk düzeyleriyle ilişkilidir:

1. Başlangıç ​​seviyesinde böyle bir farkındalık yoktur, kuruluş bilgi güvenliğini sağlamak için kendi sorumlulukları altında BT uzmanları tarafından başlatılan ve uygulanan parçalı önlemler alır.
2. İkinci aşamada, kuruluş bilgi güvenliği sorumluluğunu tanımlar, merkezi yönetim ile entegre çözümlerin kullanılması ve ayrı bilgi güvenliği yönetimi süreçlerinin uygulanması için girişimlerde bulunulur.
3. Üçüncü seviye, standartlarda açıklanan bilgi güvenliği yönetimine süreç yaklaşımının uygulanmasıyla karakterize edilir. Bilgi güvenliği yönetim sistemi kuruluş için o kadar önemli hale gelir ki, kuruluşun yönetim sisteminin gerekli bir bileşeni olarak kabul edilir. Fakat komple sistem bilgi güvenliği yönetimi henüz mevcut değil çünkü Bu sistemin temel bir unsuru yoktur; risk yönetimi süreçleri.
4. Bilgi güvenliği sorunları konusunda en yüksek düzeyde farkındalığa sahip kuruluşlar, belgelenmiş planlama, uygulama, izleme ve iyileştirme süreçlerinin varlığıyla ayırt edilen, bilgi güvenliği risk yönetimine resmileştirilmiş bir yaklaşımın kullanılmasıyla karakterize edilir.

Risk yönetiminin süreç modeli

Bu yılın Mart ayında, yeni İngiliz standardı BS 7799 Bölüm 3 - Bilgi Güvenliği Yönetim Sistemleri - Bilgi Güvenliği Risk Yönetimi Uygulamaları kabul edildi. ISO'nun bu belgeyi 2007 yılı sonuna kadar Uluslararası Standart olarak benimsemesi bekleniyor. BS 7799-3, risk değerlendirme ve yönetim süreçlerini, diğer yönetim standartlarıyla aynı süreç modelini kullanan ve dört süreç grubunu içeren bir kuruluşun yönetim sisteminin ayrılmaz bir öğesi olarak tanımlar: planla, uygula, kontrol et, harekete geç (PRAP), bu standartı yansıtır herhangi bir yönetim sürecinin döngüsü. ISO 27001 genel güvenlik yönetimi sürekliliğini açıklarken, BS 7799-3 bilgi güvenliği risk yönetimi süreçlerine ilişkin projeksiyonunu içerir.

Bilgi güvenliği risk yönetimi sisteminde, Planlama aşamasında risk yönetimi politikası ve metodolojisi belirlenerek varlıkların envanterinin çıkarılması, tehdit ve zafiyet profillerinin derlenmesi, karşı önlemlerin etkinliğinin ve olası zararların değerlendirilmesini içeren bir risk değerlendirmesi gerçekleştirilir, ve kalan risklerin kabul edilebilir düzeyinin belirlenmesi.

Uygulama aşamasında riskler ele alınır ve bunları azaltmak için kontroller uygulanır. Kuruluşun yönetimi tanımlanan her risk için dört karardan birini alır: görmezden gelme, kaçınma, harici bir tarafa devretme veya en aza indirme. Bundan sonra bir risk tedavi planı geliştirilir ve uygulanır.

Denetim aşamasında kontrol mekanizmalarının işleyişi izlenmekte, risk faktörlerindeki değişiklikler (varlıklar, tehditler, zafiyetler) kontrol edilmekte, denetimler yapılmakta ve çeşitli kontrol prosedürleri gerçekleştirilir.

Eylemler aşamasında, sürekli izleme ve devam eden denetimlerin sonuçlarına göre, özellikle risklerin büyüklüğünün yeniden değerlendirilmesi, risk yönetimi politikası ve metodolojisinin ayarlanması ve ayrıca risk yönetimi politikasının ve metodolojisinin ayarlanmasını içerebilecek gerekli düzeltici eylemler gerçekleştirilir. risk tedavi planı.

Risk faktörleri

Risk yönetimine yönelik herhangi bir yaklaşımın özü, risk faktörlerinin analizinde ve risk tedavisine ilişkin yeterli kararların alınmasında yatmaktadır. Risk faktörleri, riskleri değerlendirirken kullandığımız temel parametrelerdir. Yalnızca yedi seçenek var:

• Varlık
• Zarar
• Tehdit
• Güvenlik Açığı
• Kontrol mekanizması (Kontrol)
• Ortalama yıllık kayıp (ALE)
• Yatırım getirisi (ROI)

Bu parametrelerin nasıl analiz edilip değerlendirileceği kuruluşun risk değerlendirme metodolojisi tarafından belirlenir. Aynı zamanda, hangi metodoloji kullanılırsa kullanılsın, genel yaklaşım ve akıl yürütme şeması yaklaşık olarak aynıdır. Risk değerlendirme süreci (değerlendirme) iki aşamadan oluşur. Standartlarda risk analizi (analiz) olarak tanımlanan ilk aşamada aşağıdaki soruların yanıtlanması gerekmektedir:

• Şirketin ana varlığı nedir?
• Bu varlığın gerçek değeri nedir?
• Bu varlığa yönelik tehditler nelerdir?
• Bu tehditlerin sonuçları ve işletmeye verdiği zararlar nelerdir?
• Bu tehditlerin olasılığı ne kadar?
• İşletmeniz bu tehditlere karşı ne kadar savunmasız?
• Beklenen ortalama yıllık kayıp nedir?

Standartların risk değerlendirmesi (değerlendirme) olarak tanımladığı ikinci aşamada şu sorunun yanıtlanması gerekmektedir: Kuruluş için hangi düzeyde risk (ortalama yıllık kayıpların büyüklüğü) kabul edilebilir ve buna dayanarak hangi riskler kabul edilebilir? bu seviyeyi aşmayın.

Böylece, risk değerlendirmesinin sonuçlarına dayanarak, izin verilen seviyeyi aşan risklerin bir tanımını ve bu risklerin büyüklüğüne ilişkin ortalama yıllık kayıpların büyüklüğüne göre belirlenen bir tahmin elde ediyoruz. Daha sonra risklerin tedavisine ilişkin bir karar verilmelidir; aşağıdaki soruları yanıtlayın:

• Hangi risk tedavisi seçeneğini seçeceğiz?
• Riskin en aza indirilmesine yönelik bir karar alınırsa hangi kontrol mekanizmaları kullanılmalıdır?
• Bu kontroller ne kadar etkili ve ne kadar yatırım getirisi sağlayacak?

Bu sürecin çıktısı, risklerin nasıl ele alınacağını, karşı önlemlerin maliyetini ve karşı önlemlerin uygulanmasının zamanlamasını ve sorumluluğunu tanımlayan bir risk iyileştirme planıdır.

Risk tedavisi kararı vermek

Risk yönetimi kararının verilmesi, risk yönetimi sürecinde en önemli ve en kritik andır. Yönetimin doğru kararı verebilmesi için organizasyondaki risk yönetiminden sorumlu kişinin kendisine gerekli bilgileri sağlaması gerekir. Bu tür bilgilerin sunulma şekli, dört ana noktayı içeren standart iş iletişimi algoritması tarafından belirlenir:

• Sorun mesajı: İş tehdidi nedir (kaynak, hedef, uygulama) ve neden var?
• Sorunun ciddiyeti: Bu, kuruluşu, yönetimini ve hissedarlarını nasıl tehdit ediyor?
• Önerilen çözüm: Durumu düzeltmek için ne yapılması öneriliyor, maliyeti ne kadar olacak, kim yapmalı ve doğrudan yönetimden ne isteniyor?
• Alternatif çözümler: Sorunu çözmenin başka yolları nelerdir (her zaman alternatifler vardır ve yönetimin bir seçeneği olmalıdır).

Özel duruma bağlı olarak 1. ve 2. maddelerin yanı sıra 3. ve 4. maddeler de değiştirilebilir.

Risk Yönetimi Yöntemleri

Riskleri değerlendirmek ve yönetmek için yeterli sayıda köklü ve oldukça yaygın olarak kullanılan yöntemler vardır. Böyle bir yöntem, Carnegie Melon Üniversitesi'nde geliştirilen OCTAVE'dir. İç kullanım Organizasyonda. OCTAVE - Operasyonel Kritik Tehdit, Varlık ve Güvenlik Açığı Değerlendirmesi (Operasyonel Kritik Tehdit, Varlık ve Güvenlik Açığı Değerlendirmesi), farklı boyut ve faaliyet alanlarına sahip kuruluşlar için tasarlanmış bir dizi modifikasyona sahiptir. Bu yöntemin özü, risk değerlendirmesi için uygun şekilde organize edilmiş bir dizi dahili seminerin (atölye) kullanılması gerçeğinde yatmaktadır. Risk değerlendirmesi üç aşamada gerçekleştirilir; bu aşamadan önce seminer programı üzerinde anlaşmaya varılması, rollerin atanması, planlama ve proje ekibi üyelerinin eylemlerinin koordine edilmesi dahil olmak üzere bir dizi hazırlık faaliyeti gelir.

İlk aşamada, uygulamalı seminerler sırasında, varlıkların değerinin envanterini ve değerlendirmesini, geçerli yasal ve düzenleyici gerekliliklerin belirlenmesini, tehditlerin tanımlanmasını ve olasılıklarının değerlendirilmesini ve ayrıca belirlenmesini içeren tehdit profilleri geliştirilir. Bilgi güvenliği rejimini sürdürmek için bir organizasyonel önlemler sistemi.

İkinci aşamada, bir önceki aşamada profilleri geliştirilen, kuruluşun bilgi sistemlerinin tehditlere karşı açıklarının teknik analizi gerçekleştirilir; bu, kuruluşun bilgi sistemlerinde mevcut güvenlik açıklarının belirlenmesini ve bunların değerlendirilmesini içerir. büyüklük.

Üçüncü aşamada, önceki aşamalarda tespit edilen güvenlik açıkları kullanılarak güvenlik tehditlerinin uygulanması sonucu oluşacak hasarın büyüklüğü ve olasılığının belirlenmesi, koruma stratejisinin belirlenmesi ve seçimini içeren bilgi güvenliği riskleri değerlendirilir ve işlenir. Seçenekler ve risk tedavisine ilişkin kararlar alma. Risk değeri, güvenlik tehditlerinin uygulanması sonucunda kuruluşun yıllık kayıplarının ortalama değeri olarak tanımlanır.

Benzer bir yaklaşım, o dönemde geliştirilen ve İngiliz hükümeti tarafından görevlendirilen, iyi bilinen CRMM risk değerlendirme yönteminde de kullanılıyor. CRMM'de riski değerlendirmenin ana yolu, ayrıntılı anketlerin kullanıldığı dikkatle planlanmış görüşmelerdir. CRAMM, diğer şeylerin yanı sıra, riskler hakkında bilgi tabanı ve bunları en aza indirecek mekanizmalar, bilgi toplama, rapor oluşturma ve ayrıca algoritma uygulama araçları içeren son derece gelişmiş bir yazılım araç setinin varlığı sayesinde dünya çapında binlerce kuruluşta kullanılmaktadır. Risklerin büyüklüğünü hesaplamak için.

OCTAVE yönteminden farklı olarak CRAMM, risklerin büyüklüğünü belirlemek için biraz farklı bir dizi eylem ve yöntem kullanır. İlk olarak, genel olarak risk değerlendirmesinin fizibilitesi belirlenir ve kuruluşun bilgi sistemi yeterince kritik değilse, uluslararası standartlarda açıklanan ve CRAMM bilgi tabanında yer alan standart bir dizi kontrol mekanizması buna uygulanacaktır.

CRAMM yönteminde ilk aşamada bilgi, yazılım ve teknik kaynaklar arasındaki ilişkiyi açıklayan bir bilgi sistemi kaynak modeli oluşturulmakta ve kaynakların değeri, kuruluşun uğrayabileceği olası zarara göre tahmin edilmektedir. onların uzlaşması.

İkinci aşamada, tehdit olasılığının tanımlanmasını ve değerlendirilmesini, güvenlik açıklarının büyüklüğünün değerlendirilmesini ve her üçlü: kaynak - tehdit - güvenlik açığı için risklerin hesaplanmasını içeren bir risk değerlendirmesi gerçekleştirilir. CRAMM, sistemde uygulanan kontrol mekanizmalarından bağımsız olarak "saf" riskleri değerlendirir. Risk değerlendirmesi aşamasında herhangi bir karşı önlemin uygulanmadığı varsayılır ve bu varsayıma dayanarak riskleri en aza indirecek bir dizi önerilen karşı önlem oluşturulur.

Son aşamada, CRAMM araç seti, belirlenen riskleri en aza indirmek için bir dizi karşı önlem oluşturur ve önerilen ve mevcut karşı önlemleri karşılaştırır ve ardından bir risk iyileştirme planı oluşturulur.

Risk yönetimi araçları

Risk değerlendirmesi sürecinde, bir dizi ardışık aşamadan geçeriz, periyodik olarak önceki aşamalara geri döneriz; örneğin, belirli bir riski en aza indirmek için belirli bir karşı önlemi seçtikten sonra yeniden değerlendiririz. Anketler, tehdit ve güvenlik açıklarının listeleri, kaynak ve risk kayıtları, belgeler, toplantı tutanakları, standartlar ve kılavuzlar her aşamada elinizin altında olmalıdır. Bu bağlamda, bu çeşitli verilerle çalışmak için programlanmış bazı algoritmalara, veritabanına ve arayüzlere ihtiyaç vardır.

Bilgi güvenliği risklerini yönetmek için örneğin CRAMM yöntemindeki veya RA2 (şekilde gösterilen) gibi araçları kullanabilirsiniz, ancak bu zorunlu değildir. Aynı şey BS 7799-3 standardında da söylenmektedir. Araç setini kullanmanın faydası, deneyimsiz bir uzmanın işini kolaylaştıran, önceden programlanmış bir risk değerlendirmesi ve yönetim iş akışı algoritması içermesi gerçeğinde yatabilir.

Araç setinin kullanılması, diğer uzmanlar tarafından gerçekleştirilse bile, metodolojiyi birleştirmenize ve riskin yeniden değerlendirilmesi için sonuçların kullanımını basitleştirmenize olanak tanır. Araçların kullanımı yoluyla veri depolamayı kolaylaştırmak ve kaynak modeli, tehdit profilleri, güvenlik açıkları ve risk listeleriyle çalışmak mümkündür.

Yazılım araç seti, gerçek risk değerlendirmesi ve yönetim araçlarına ek olarak şunları da içerebilir: ek fonlar BGYS'nin belgelenmesi, standartların gereklilikleri ile tutarsızlıkların analiz edilmesi, bir kaynak kaydının geliştirilmesi ve ayrıca BGYS'nin uygulanması ve işletilmesi için gerekli diğer araçlar için.

sonuçlar

Risk değerlendirmesine yönelik niteliksel veya niceliksel yaklaşımların seçimi, kuruluşun işinin niteliğine ve bilgi düzeyine göre belirlenir; bilgi varlıklarının kendisi için önemi ve kuruluşun olgunluk düzeyi.

Bir kuruluşta risk yönetimine resmi bir yaklaşım uygularken öncelikle sağduyuya, mevcut standartlara (örneğin BS 7799-3) ve köklü metodolojilere (örneğin OCTAVE veya CRAMM) güvenmek gerekir. Bu amaçla uygun metodolojileri uygulayan ve standartların gerekliliklerini mümkün olan en üst düzeyde karşılayan bir yazılım aracının (örneğin RA2) kullanılması yararlı olabilir.

Bilgi güvenliği risk yönetimi sürecinin etkinliği, risk faktörlerinin analizinin ve değerlendirilmesinin doğruluğu ve eksiksizliği ile kuruluşta yönetim kararları almak ve bunların uygulanmasını izlemek için kullanılan mekanizmaların etkinliği ile belirlenir.

Bağlantılar

• Astakhov A.M., “BS 7799 standardının tarihi”, http://www.globaltrust.ru/shop/osnov.php?idstat=61&idcatstat=12
• Astakhov A.M., “Bilgi güvenliği yönetim sistemi nasıl kurulur ve sertifikalandırılır?”,

Uygulamada, IS risk değerlendirmesine yönelik niceliksel ve niteliksel yaklaşımlar kullanılmaktadır. Onların farkı nedir?

Sayısal metot

Niceliksel risk değerlendirmesi, incelenen tehditlerin ve ilgili risklerin para, yüzde, zaman, insan kaynakları vb. cinsinden ifade edilen nihai niceliksel değerlerle karşılaştırılabildiği durumlarda kullanılır. Yöntem, bilgi güvenliği tehditlerinin uygulanmasında risk değerlendirme nesnelerinin belirli değerlerinin elde edilmesine olanak tanır.

Niceliksel bir yaklaşımla, risk değerlendirmesinin tüm unsurlarına belirli ve gerçek niceliksel değerler atanır. Bu değerleri elde etmek için kullanılan algoritma açık ve anlaşılır olmalıdır. Değerlendirmenin amacı, bir varlığın parasal değeri, tehdidin gerçekleşme olasılığı, tehdidin gerçekleşmesinden kaynaklanan zarar, koruyucu önlemlerin maliyeti vb. olabilir.

Riskler nasıl ölçülür?

1. Bilgi varlıklarının değerini parasal olarak belirleyin.

2. Her bir bilgi varlığıyla ilgili olarak her tehdidin uygulanmasından kaynaklanan potansiyel hasarı niceliksel olarak tahmin edin.

“Her bir tehdidin uygulanmasından kaynaklanan zararın varlığın değerinin ne kadarı olacaktır?”, “Bu tehdidin uygulanması sırasında tek bir olaydan kaynaklanan zararın parasal olarak maliyeti nedir?” sorularına yanıt almalısınız. bu varlık?”.

3. IS tehditlerinin her birinin uygulanma olasılığını belirleyin.

Bunu yapmak için istatistiksel verileri, çalışanlara ve paydaşlara yönelik anketleri kullanabilirsiniz. Olasılığı belirleme sürecinde, kontrol dönemi için (örneğin bir yıl için) dikkate alınan IS tehdidinin uygulanmasıyla ilgili olayların meydana gelme sıklığını hesaplayın.

4. Kontrol dönemi boyunca (bir yıl boyunca) her bir varlıkla ilgili olarak her bir tehditten kaynaklanan toplam potansiyel hasarı belirleyin.

Değer, tehdidin uygulanmasından kaynaklanan tek seferlik hasarın tehdidin uygulanma sıklığı ile çarpılmasıyla hesaplanır.

5. Her tehdit için alınan hasar verilerini analiz edin.

Her tehdit için bir karar verilmesi gerekir: riski kabul etmek, riski azaltmak veya riski devretmek.

Bir riski kabul etmek, onu tanımak, olasılığını kabul etmek ve eskisi gibi davranmaya devam etmek anlamına gelir. Hasarı ve gerçekleşme olasılığı düşük olan tehditler için geçerlidir.

Riski azaltmak, ek önlemler ve koruma araçları uygulamak, personel eğitimi yapmak vb. anlamına gelir. Yani, riski azaltmak için kasıtlı çalışmalar yürütmek. Aynı zamanda ek önlemlerin ve koruma araçlarının etkinliğinin ölçülmesi de gereklidir. Koruyucu ekipmanın satın alınmasından devreye alınmasına kadar (kurulum, konfigürasyon, eğitim, bakım vb. dahil) kuruluşun üstlendiği tüm maliyetler, tehdidin uygulanmasından kaynaklanan hasar miktarını aşmamalıdır.

Riski devretmek, riskin gerçekleşmesinin sonuçlarını örneğin sigorta yardımıyla üçüncü bir tarafa aktarmak anlamına gelir.

Niceliksel risk değerlendirmesi sonucunda aşağıdakilerin belirlenmesi gerekir:

• varlıkların parasal açıdan değeri;
• her tehdit için tek seferlik bir olaydan kaynaklanan hasarla birlikte tüm IS tehditlerinin tam listesi;
• her tehdidin uygulanma sıklığı;
• her tehdidin potansiyel hasarı;
• Her tehdit için önerilen güvenlik kontrolleri, karşı önlemler ve eylemler.

Niceliksel bilgi güvenliği risk analizi (örnek)

Belirli bir ürünü satmak için kullanılan bir kuruluşun web sunucusu örneğindeki tekniği düşünün. Nicel bir kere Sunucu kesintisinden kaynaklanan hasar, ortalama satın alma faturasının ve sunucunun kapalı kalma süresine eşit belirli bir zaman aralığı için ortalama isabet sayısının çarpımı olarak tahmin edilebilir. Diyelim ki doğrudan sunucu arızasından kaynaklanan tek seferlik hasarın maliyeti 100 bin ruble olacak.

Artık böyle bir durumun ne sıklıkta meydana gelebileceğini uzman bir şekilde değerlendirmek gerekir (işletme yoğunluğu, güç kaynağının kalitesi vb. dikkate alınarak). Örneğin uzmanların görüşleri ve istatistiksel bilgileri dikkate aldığımızda bir sunucunun yılda 2 defaya kadar arıza verebileceğini anlıyoruz.

Bu iki değeri çarparsak şunu elde ederiz ortalama yıllık Doğrudan sunucu arızası tehdidinin uygulanmasından kaynaklanan hasar yılda 200 bin ruble.

Bu hesaplamalar koruyucu önlemlerin seçimini haklı çıkarmak için kullanılabilir. Örneğin sistemin uygulanması kesintisiz güç kaynağı ve sistemler Kopyayı rezerve et Yılda toplam 100 bin ruble maliyeti olan sunucu arızası riskini en aza indirecek ve tamamen etkili bir çözüm olacaktır.

Niteliksel Yöntem

Ne yazık ki, büyük belirsizlik nedeniyle, değerlendirme konusunun spesifik bir ifadesini elde etmek her zaman mümkün olmamaktadır. Bir şirket için meydana gelen bir bilgi güvenliği olayıyla ilgili bilgi ortaya çıktığında şirketin itibarına verilen zarar nasıl doğru bir şekilde değerlendirilebilir? Bu durumda niteliksel bir yöntem uygulanır.

Niteliksel yaklaşım, değerlendirmenin amacı için niceliksel veya parasal ifadeler kullanmaz. Bunun yerine, değerlendirme nesnesine üç puanlık (düşük, orta, yüksek), beş puanlık veya on puanlık (0 ... 10) bir ölçekte sıralanan bir gösterge atanır. Niteliksel risk değerlendirmesi için veri toplamak amacıyla hedef grup anketleri, görüşmeler, anketler ve kişisel toplantılar kullanılır.

Tehditlerin değerlendirildiği alanda deneyim ve yetkinliğe sahip çalışanların katılımıyla bilgi güvenliği risklerinin niteliksel analizi yapılmalıdır.

Niteliksel bir risk değerlendirmesi nasıl yapılır:

1. Bilgi varlıklarının değerini belirleyin.

Bir varlığın değeri, bir bilgi varlığının güvenlik özellikleri (gizlilik, bütünlük, kullanılabilirlik) ihlal edildiğinde kritiklik düzeyine (sonuçlara) göre belirlenebilir.

2. Bilgi varlığına ilişkin tehdidin gerçekleşme olasılığını belirleyin.

Bir tehdidin gerçekleşme olasılığını değerlendirmek için üç seviyeli niteliksel bir ölçek (düşük, orta, yüksek) kullanılabilir.

3. Bilgi güvenliğinin mevcut durumunu, uygulanan önlemleri ve koruma araçlarını dikkate alarak tehdidin başarılı bir şekilde uygulanma olasılığının düzeyini belirleyin.

Bir tehdidin gerçekleşme olasılığının düzeyini değerlendirmek için üç seviyeli niteliksel bir ölçek de (düşük, orta, yüksek) kullanılabilir. Tehdit Yeteneği Değeri, tehdidi başarıyla uygulamanın ne kadar mümkün olduğunu gösterir.

4. Bilgi varlığının değerine, tehdidin gerçekleşme olasılığına ve tehdidin gerçekleşme olasılığına göre risk düzeyi hakkında bir sonuca varın.

Risk düzeyini belirlemek için beş puanlık veya on puanlık bir ölçek kullanabilirsiniz. Risk düzeyini belirlerken, hangi gösterge kombinasyonlarının (değer, olasılık, fırsat) hangi düzeyde riske yol açtığını anlamanızı sağlayan referans tablolarını kullanabilirsiniz.

5. Her tehdit için elde edilen verileri ve elde edilen risk düzeyini analiz edin.

Çoğu zaman risk analizi ekibi "kabul edilebilir risk düzeyi" kavramıyla çalışır. Bu, şirketin kabul etmeye istekli olduğu risk düzeyidir (tehdidin risk düzeyi kabul edilebilirden düşük veya buna eşitse ilgili olarak değerlendirilmez). Niteliksel değerlendirmede genel görev, riskleri kabul edilebilir bir düzeye indirmektir.

6. Risk düzeyini azaltmak amacıyla mevcut her tehdide yönelik güvenlik önlemleri, karşı önlemler ve eylemler geliştirin.

Hangi yöntemi seçmeli?

Her iki yöntemin de amacı şirketin bilgi güvenliğinin gerçek risklerini anlamak, mevcut tehditlerin listesini belirlemek ve etkili karşı önlemleri ve koruma araçlarını seçmektir. Her risk değerlendirme yönteminin kendine göre avantaj ve dezavantajları bulunmaktadır.

Niceliksel yöntem, değerlendirme nesnelerinin (hasar, maliyetler) para cinsinden görsel bir temsilini verir, ancak daha zahmetlidir ve bazı durumlarda uygulanabilir değildir.

Niteliksel yöntem, risk değerlendirmesini daha hızlı yapmanıza olanak tanır, ancak değerlendirmeler ve sonuçlar daha özneldir ve CBS uygulamasının zararları, maliyetleri ve yararları konusunda net bir anlayış sağlamaz.

Yöntem seçimi, belirli bir şirketin özelliklerine ve uzmana verilen görevlere göre yapılmalıdır.

Stanislav Şilyaev, SKB Kontur'da Bilgi Güvenliği Proje Yöneticisi

Bilgi güvenliği riskleri nasıl doğru şekilde değerlendirilir - tarifimiz

Günümüzde bilgi güvenliği risklerini değerlendirme görevi uzman topluluk tarafından belirsiz bir şekilde algılanmaktadır ve bunun çeşitli nedenleri bulunmaktadır. Birincisi, altın standart ya da kabul edilmiş bir yaklaşım yoktur. Çok sayıda standart ve metodoloji, genel anlamda benzer olmasına rağmen ayrıntılarda önemli ölçüde farklılık göstermektedir. Bir yöntemin veya diğerinin uygulanması, değerlendirme alanına ve nesnesine bağlıdır. Ancak değerlendirme sürecine katılanların doğru yöntemi seçmesi sorun yaratabilir. farklı performans Bu ve sonuçları hakkında.

İkinci olarak, bilgi güvenliği risk değerlendirmesi tamamen uzmanlık işidir. Risk faktörlerinin (hasar, tehdit, güvenlik açığı vb.) farklı uzmanlar tarafından analiz edilmesi çoğu zaman farklı sonuçlar verir. Değerlendirme sonuçlarının yetersiz tekrarlanabilirliği, elde edilen verilerin güvenilirliği ve kullanışlılığı sorusunu gündeme getirmektedir. İnsan doğası öyledir ki soyut tahminler, özellikle olasılıksal ölçüm birimleriyle ilgili olanlar, insanlar tarafından farklı şekillerde algılanır. Bir kişinin öznel algısının ölçüsünü dikkate almak üzere tasarlanan mevcut uygulamalı teoriler (örneğin, beklenti teorisi), zaten karmaşık olan risk analizi metodolojisini karmaşık hale getirir ve popülerleşmesine katkıda bulunmaz.

Üçüncüsü, varlıkların ayrıştırılması ve envanteri ile klasik anlamda risk değerlendirme prosedürünün kendisi çok zahmetli bir iştir. Yaygın ofis araçlarını (elektronik tablolar gibi) kullanarak manuel analiz yapmaya çalışmak kaçınılmaz olarak bilgi denizinde boğulur. Risk analizinin bireysel aşamalarını basitleştirmek için tasarlanan özel yazılım araçları, modellemeyi bir dereceye kadar kolaylaştırır, ancak verilerin toplanmasını ve sistemleştirilmesini hiçbir şekilde basitleştirmez.

Son olarak, bilgi güvenliği sorunu bağlamında riskin tanımı henüz tam olarak çözülmemiştir. 2002 sürümüyle karşılaştırıldığında ISO Guide 73:2009'daki terminolojideki değişikliklere bakın. Daha önce risk, bir tehdidin bir güvenlik açığından yararlanması nedeniyle ortaya çıkabilecek hasar potansiyeli olarak tanımlanırken, artık beklenen sonuçlardan sapmanın etkisi olarak tanımlanıyor. Benzer kavramsal değişiklikler ISO/IEC 27001:2013'ün yeni baskısında da yer aldı.

Bunlar ve diğer bazı nedenlerden dolayı bilgi güvenliği risk değerlendirmesi şunları içerir: en iyi senaryo dikkatli ve en kötü ihtimalle büyük bir güvensizlikle. Bu, yönetim tarafından bu sürecin sabote edilmesine ve bunun sonucunda yıllık analitik raporlarla dolu çok sayıda olayın ortaya çıkmasına yol açan risk yönetimi fikrinin itibarını zedeliyor.

Yukarıdakiler göz önüne alındığında, bilgi güvenliği risklerini değerlendirme görevine hangi taraftan yaklaşmak daha iyidir?

Taze bir görünüm

Günümüzde bilgi güvenliği giderek daha fazla iş hedeflerine odaklanıyor ve iş süreçlerine dahil ediliyor. Risk değerlendirmesinde de benzer dönüşümler yaşanıyor; gerekli iş bağlamını kazanıyor. Modern bir IS risk değerlendirme metodolojisi hangi kriterleri karşılamalıdır? Açıkçası, uygulama sonuçlarının süreçteki tüm katılımcılar için güvenilir ve yararlı olmasını sağlayacak kadar basit ve evrensel olmalıdır. Böyle bir tekniğin dayanması gereken bir takım ilkeleri seçelim:

1. aşırı ayrıntıdan kaçının;
2. işletmenin görüşüne güvenmek;
3. örnekleri kullanın;
4. dikkate almak dış kaynaklar bilgi.

Önerilen metodolojinin özü en iyi şekilde pratik bir örnekle gösterilmiştir. Bir ticaret ve üretim şirketindeki bilgi güvenliği risklerini değerlendirme görevini düşünün. Genellikle nerede başlar? Değerlendirmenin sınırlarının tanımından. Risk değerlendirmesi ilk kez yapılıyorsa sınırlar, gelir getiren ana iş süreçlerinin yanı sıra bunlara hizmet eden süreçleri de içermelidir.

İş süreçleri belgelenmemişse, amaç ve hedeflerin tanımını içeren organizasyon yapısı ve departmanlara ilişkin düzenlemeler incelenerek bunlara ilişkin genel bir fikir edinilebilir.

Değerlendirmenin sınırlarını belirledikten sonra varlıkların belirlenmesine geçelim. Yukarıda belirtilenlere uygun olarak, bilgi kaynaklarının envanterini sonraki aşamalara erteleyerek ana iş süreçlerini toplu varlıklar olarak ele alacağız (kural 1). Bunun nedeni, metodolojinin genelden özele kademeli bir geçişi içermesidir ve verilen seviye ayrıntılı bilgiye ihtiyaç yoktur.

Risk faktörleri

Değerlemesi yapılan varlıkların bileşimine karar verdiğimizi varsayacağız. Daha sonra, bunlarla ilişkili tehditleri ve güvenlik açıklarını tanımlamanız gerekir. Ancak bu yaklaşım yalnızca bilgi varlığı ortamının nesnelerinin değerlendirme nesnesi olduğu ayrıntılı bir risk analizi gerçekleştirilirken uygulanabilir. İÇİNDE Yeni sürüm ISO/IEC 27001:2013, risk değerlendirmesinin odağını geleneksel BT varlıklarından bilgi ve bilgi işlemeye kaydırmıştır. Mevcut ayrıntı düzeyinde şirketin toplu iş süreçlerini ele aldığımızdan, yalnızca bunların doğasında olan yüksek düzeydeki risk faktörlerini belirlemek yeterlidir.

Risk faktörü, gelecekte sorun kaynağı olacak bir nesnenin, teknolojinin veya sürecin belirli bir özelliğidir. Aynı zamanda ancak sorunların şirketin performansını olumsuz etkilemesi durumunda riskin varlığından söz edebiliriz. Mantıksal bir zincir oluşturulur:

Böylece, risk faktörlerini belirleme görevi, işletme üzerinde olumsuz etkisi olan olası risk senaryolarını belirleyen süreçlerin başarısız özelliklerinin ve özelliklerinin belirlenmesine indirgenmiştir. Çözümünü basitleştirmek için ISACA birliği tarafından geliştirilen bilgi güvenliği iş modelini kullanacağız (bkz. Şekil 1):

Pirinç. 1. Bilgi güvenliği iş modeli

Modelin düğümleri herhangi bir organizasyonun temel itici güçlerini gösterir: strateji, süreçler, insanlar ve teknoloji; kenarları ise bunlar arasındaki işlevsel bağlantıları temsil eder. Temel olarak ana risk faktörleri bu kaburgalarda yoğunlaşmıştır. Görülmesi kolay olduğu gibi riskler sadece bilgi teknolojisiyle ilişkili değildir.

Yukarıdaki modele dayanarak risk faktörleri nasıl belirlenir? İşi buna dahil etmek gerekir (kural 2). İş birimleri genellikle işlerinde karşılaştıkları sorunların bilincindedir. Sektördeki meslektaşlarımızın deneyimleri sıklıkla hatırlanıyor. Bu bilgiye doğru soruları sorarak ulaşabilirsiniz. Personelle ilgili konular İnsan Kaynaklarına, teknoloji sorunları Otomasyona (BT) ve iş süreci sorunları uygun iş birimlerine yönlendirilmelidir.

Risk faktörlerini belirleme görevine sorunlardan başlamak daha uygundur. Herhangi bir sorunu belirledikten sonra nedenini belirlemek gerekir. Sonuç olarak yeni bir risk faktörü belirlenebilir. Buradaki asıl zorluk özellikle yuvarlanmamak. Örneğin, bir çalışanın hukuka aykırı eylemi sonucu bir olay meydana gelmişse, risk faktörü çalışanın bazı düzenleme hükümlerini ihlal etmesi değil, eylemin kendisinin mümkün hale gelmesi olacaktır. Risk faktörü her zaman bir problemin ortaya çıkması için bir önkoşuldur.

Personelin tam olarak ne sorulduğunu daha iyi anlayabilmesi için soruların örneklerle desteklenmesi tavsiye edilir (kural 3). Aşağıda birçok iş sürecinde ortak olabilecek çeşitli üst düzey risk faktörlerinin örnekleri yer almaktadır:

Kadro:

• Yetersiz nitelikler (Şekil 1'deki İnsan Faktörlerinin sınırı)
• Çalışan sıkıntısı (kaburga ortaya çıkışı)
• Düşük motivasyon (kaburga kültürü)

Süreçler:

• Dış gereksinimlerin sık sık değişmesi (yönetici)
• Az gelişmiş süreç otomasyonu (Etkinleştirme ve Destek kenarı)
• Rollerin sanatçılara göre kombinasyonu (kaburga ortaya çıkışı)

Teknolojiler:

• Eski yazılım (Etkinleştirme ve Destek kenarı)
• Yetersiz kullanıcı sorumluluğu (İnsan Faktörleri avantajı)
• Heterojen BT ortamı (mimari uç)

Önerilen değerlendirme yönteminin önemli bir avantajı, iki farklı departmanın aynı sorunu farklı açılardan ele aldığı çapraz analiz olanağıdır. Bu durum göz önüne alındığında, görüşme yapılan kişilere “Meslektaşlarınızın tespit ettiği sorunlar hakkında ne düşünüyorsunuz?” gibi sorular sormanız oldukça faydalı olacaktır. Bu, ek notlar almanın yanı sıra mevcut notları ayarlamanın harika bir yoludur. Sonucu iyileştirmek için böyle bir değerlendirmenin birkaç turu gerçekleştirilebilir.

İş üzerindeki etkisi

Risk tanımından da anlaşılacağı gibi, kuruluşun iş performansı üzerindeki etki derecesi ile karakterize edilir. Risk uygulama senaryolarının iş üzerindeki etkisinin doğasını belirlemenize olanak tanıyan kullanışlı bir araç Dengeli Puan Kartları sistemidir. Ayrıntılara girmeden, Dengeli Puan Kartlarının herhangi bir şirket için hiyerarşik bir şekilde birbiriyle ilişkili 4 iş olanağını tanımladığını not ediyoruz (bkz. Şekil 2).

Pirinç. 2. Dengeli Puan Kartının Dört İş Perspektifi

Göz önünde bulundurulan metodolojiyle ilgili olarak, bir risk şu üç iş perspektifinden en az birini olumsuz etkiliyorsa önemli kabul edilebilir: finans, müşteriler ve/veya süreçler (bkz. Şekil 3).

Pirinç. 3. Temel iş göstergeleri

Örneğin, "Düşük kullanıcı sorumluluğu" risk faktörü, "Müşteri Bilgi Sızıntısı" senaryosuna yol açabilir. Bu da müşteri sayısı iş ölçütünü etkileyecektir.

Bir şirket iş metrikleri geliştirmişse, bu durumu büyük ölçüde basitleştirir. Belirli bir risk senaryosunun bir veya daha fazla iş göstergesi üzerindeki etkisini izlemek mümkün olduğunda, karşılık gelen risk faktörü önemli olarak değerlendirilebilir ve değerlendirmenin sonuçları anketlere kaydedilmelidir. Bir senaryonun etkisi iş ölçümleri hiyerarşisinde ne kadar yüksek olursa, iş üzerindeki potansiyel etkisi de o kadar büyük olur.

Bu sonuçları analiz etme görevi uzmanlık gerektiren bir görevdir, bu nedenle uzman iş birimlerinin katılımıyla çözülmelidir (kural 2). Elde edilen tahminlerin ek kontrolü için, olayların sonucu olarak ortaya çıkan kayıpların büyüklüğüne ilişkin istatistiksel veriler içeren harici bilgi kaynaklarının (örneğin, yıllık Veri İhlalinin Maliyeti Çalışması raporu) kullanılması yararlı olacaktır (kural 4).

Olasılık puanı

Analizin son aşamasında, belirlenen ve işletmeye etkisi belirlenebilen her risk faktörü için, buna ilişkin senaryoların gerçekleşme olasılığının değerlendirilmesi gerekmektedir. Bu değerlendirme neye bağlı? Büyük ölçüde şirkette uygulanan koruyucu önlemlerin yeterliliğinden.

Burada küçük bir uyarı var. Sorun tanımlandığına göre bunun hâlâ geçerli olduğu anlamına geldiğini varsaymak mantıklıdır. Aynı zamanda, uygulanan önlemler büyük olasılıkla bunun oluşması için önkoşulları dengelemek için yeterli değildir. Karşı önlemlerin yeterliliği, örneğin bir ölçüm sistemi kullanılarak, uygulamalarının etkinliğinin değerlendirilmesinin sonuçlarına göre belirlenir.

Değerlendirme için 3 seviyeli basit bir ölçek kullanabilirsiniz; burada:

3 - uygulanan karşı önlemler genellikle yeterlidir;

2 - karşı önlemler yeterince uygulanmıyor;

1 - karşı önlem yok.

Karşı önlemleri açıklayan referans kitapları olarak CobiT 5, ISO / IEC 27002 vb. gibi özel standartları ve yönergeleri kullanabilirsiniz. Her karşı önlem belirli bir risk faktörüyle ilişkilendirilmelidir.

Yalnızca BT kullanımıyla değil, aynı zamanda iç denetimin organizasyonuyla da ilgili riskleri analiz ettiğimizi unutmamak önemlidir. bilgi süreçlerişirkette. Bu nedenle karşı önlemlerin daha geniş düşünülmesi gerekiyor. ISO/IEC 27001:2013'ün yeni versiyonunun, karşı önlemleri seçerken yalnızca standartta mevcut olan Ek A'yı değil, herhangi bir dış kaynağı (kural 4) kullanmanın gerekli olduğuna dair bir madde içermesi boşuna değildir. referans amaçlı.

Riskin büyüklüğü

Nihai risk değerini belirlemek için basit bir tablo kullanılabilir (bkz. Tablo 1).

Sekme. 1. Risk değerlendirme matrisi

Bir risk faktörünün "Müşteriler" ve "Finans" gibi çeşitli iş perspektiflerini etkilemesi durumunda bunların göstergeleri özetlenir. Ölçeğin boyutu ve kabul edilebilir IS risk seviyeleri herhangi bir uygun yöntemle belirlenebilir. Yukarıdaki örnekte 2. ve 3. seviyedeki riskler yüksek kabul edilmektedir.

Bu noktada risk değerlendirmesinin ilk aşaması tamamlanmış sayılabilir. Değerlendirilen iş süreciyle ilişkili riskin nihai değeri, belirlenen tüm faktörlerin bileşik değerlerinin toplamı olarak belirlenir. Riskin sahibi, değerlendirilen nesneden şirkette sorumlu olan kişi olarak kabul edilebilir.

Ortaya çıkan rakam bize kuruluşun ne kadar para kaybetme riskiyle karşı karşıya olduğunu söylemiyor. Bunun yerine risklerin yoğunlaştığı alanı ve bunların iş performansı üzerindeki etkisinin niteliğini gösterir. Bu bilgi, en önemli ayrıntılara daha fazla odaklanmak için gereklidir.

Detaylı değerlendirme

Bu tekniğin en büyük avantajı bilgi güvenliği risk analizini istenilen detay seviyesinde gerçekleştirmenize olanak sağlamasıdır. Gerekirse bilgi güvenliği modelinin unsurlarına (Şekil 1) "girebilir" ve bunları daha ayrıntılı olarak düşünebilirsiniz. Örneğin, BT ile ilgili uçlardaki en yüksek risk konsantrasyonunu belirleyerek Teknoloji düğümünün ayrıntı düzeyini artırabilirsiniz. Daha önce ayrı bir iş süreci risk değerlendirmesinin bir nesnesi olarak hareket ediyorsa, artık odak noktası belirli bir bilgi sistemine ve onun kullanım süreçlerine kayacaktır. Gerekli düzeyde ayrıntıyı sağlamak için bilgi kaynaklarının bir envanteri gerekli olabilir.

Bütün bunlar diğer değerlendirme alanları için de geçerlidir. Kişiler düğümünün ayrıntısını değiştirdiğinizde değerlendirme nesneleri personel rolleri ve hatta bireysel çalışanlar haline gelebilir. Süreç düğümü için bunlar belirli çalışma politikaları ve prosedürleri olabilir.

Ayrıntı düzeyinin değiştirilmesi yalnızca risk faktörlerini değil aynı zamanda uygulanabilir karşı önlemleri de otomatik olarak değiştirecektir. Her ikisi de değerlendirme nesnesine daha spesifik hale gelecektir. Ancak risk değerlendirmesinin yapılmasına yönelik genel yaklaşım değişmeyecektir. Tanımlanan her faktör için aşağıdakilerin değerlendirilmesi gerekecektir:

• iş beklentileri üzerindeki risk etkisinin derecesi;
• Karşı önlemlerin yeterliliği.

Rus Sendromu

ISO/IEC 27001:2013 standardının yayımlanması birçok Rus firmasını zor durumda bıraktı. Bir yandan, bilgi varlıklarının sınıflandırılmasına, tehditlerin ve güvenlik açıklarının değerlendirilmesine dayalı olarak bilgi güvenliği risklerinin değerlendirilmesine yönelik belirli bir yaklaşımı zaten geliştirmişlerdir. Ulusal düzenleyiciler, bu yaklaşımı destekleyen bir dizi düzenleme yayınlamayı başardılar; örneğin, Rusya Merkez Bankası'nın standardı, FSTEC emirleri. Öte yandan, risk değerlendirmesi görevinin değişmesi için çok geç kalmış durumdayız ve artık hem eski hem de yeni gereksinimleri karşılayacak şekilde yerleşik düzenin değiştirilmesi gerekiyor. Evet, bugün hala GOST R ISO/IEC 27001:2006 standardına göre sertifika almak mümkün. önceki versiyon ISO/IEC 27001, ancak uzun sürmeyecek.

Yukarıda tartışılan risk analizi metodolojisi bu konuyu ele almaktadır. Değerlendirmedeki ayrıntı düzeyini kontrol ederek, iş süreçlerinden bireysel süreçlere kadar her ölçekteki varlık ve riskleri değerlendirebilirsiniz. bilgi akışları. Bu yaklaşım aynı zamanda kullanışlıdır çünkü hiçbir şeyi kaçırmadan tüm üst düzey riskleri karşılamanıza olanak tanır. Aynı zamanda şirket, daha fazla analiz için işçilik maliyetlerini önemli ölçüde azaltacak ve önemsiz risklerin ayrıntılı bir değerlendirmesiyle zaman kaybetmeyecektir.

Değerlendirme alanı ne kadar ayrıntılı olursa uzmanların sorumluluğu da o kadar artar ve gereken yeterlilik de o kadar artar; çünkü analizin derinliği değiştiğinde yalnızca risk faktörleri değil, aynı zamanda uygulanabilir karşı önlemlerin kapsamı da değişir.

Tüm basitleştirme girişimlerine rağmen, bilgi güvenliği risk analizi hala zaman alıcı ve karmaşıktır. Bu sürecin liderinin özel bir sorumluluğu vardır. Pek çok şey, bilgi güvenliği için bütçe tahsisinden iş sürdürülebilirliğine kadar bir yaklaşımı ne kadar yetkin bir şekilde oluşturduğuna ve görevle başa çıktığına bağlı olacaktır.