Оценка рисков на различных этапах Жизненного цикла ИС
Актуальность моей работы состоит в том, что понятие «информационного риска» сегодня нашло достаточно широкое применение. Отмечу, что появление данной концепции в середине 90-х годов XX века можно объяснить необходимостью использования совершенно нового подхода к решению вопросов, касающихся обеспечения информационной безопасности.
Организации в настоящее время вследствие роста цифровой революции все больше зависимы от различных событий или инцидентов, ставящие определенным образом под угрозу информационные технологии, в частности информационные системы, а также оказывающие отрицательное воздействие на все бизнес-процессы или миссию организации [3, с. 52].
Подчеркну, что, несмотря на все существующие нюансы оценки информационных рисков в различных областях деятельности, такая оценка является упорядоченным процессом, который состоит из одних и тех же этапов, каждый из которых требует своих определенных методов и средств.
В связи с чем необходимо, прежде всего, обращать внимание на эффективность методов на том или ином этапе, а также возможностям их сочетаний и комбинаций, способам перехода от одного к другому методу, который бы обеспечивал корректную интерпретацию результатов, а не только на результативность методов в целом [1, с. 49].
Соответственно, управление рисками информационных систем состоит из следующего перечня необходимых мер: своевременное реагирование на возникающие ситуации, управление рисками, оценка их угрозы и поддержка осведомленности о них.
Отмечу, что ИТ-риски можно разделить на три категории. Во-первых, риски, которые вызваны действиями персонала. В данную категорию отнести управление доступом к ресурсам, обеспечение его в строгом соответствии с функциями, которые выполняются сотрудником функциями, а также контроль использования ресурсов.
Во-вторых, технологические риски, другими словами, это сбои или отказы оборудования. Отмечу, что в рамках управления данным видом рисков необходимо в первую очередь обеспечить непрерывность предоставления пользователям ИТ-сервисов надлежащего качества.
В-третьих, риски, которые связаны с применением нелегального программного обеспечения. В рамках управления данными рисками необходимо обеспечить оптимизацию применения программного обеспечения, а также предотвратить как юридические, так и технологические и деловые риски.
Резюмируя вышесказанное, отмечу, что процесс управления рисками информационных систем состоит в выработке системы действий: периодической идентификации, оценке рисков и выработке мероприятий по их снижению. Так, учитывая рекомендации NIST (National Institute of Standards and Technology), в частности NIST SP800-30 Risk Management Guide for Information Technology Systems, выделю следующие этапы управления ИТ-рисками:
- Инвентаризация информационных активов и оценка их критичности;
- Идентификация угроз и уязвимостей;
- Определение вероятностей и воздействий;
- Анализ угроз и уязвимостей;
- Определение рисков;
- Анализ рисков;
- Выбор приоритетных для защиты активов и утверждение плана мероприятий по их защите;
- Оценка и контроль рисков.
Таким образом, подчеркну, что анализ рисков представляет собой неотъемлемый элемент управления ИТ-рисками, в процессе которого происходит оценка уязвимостей информационной системы, их критичность, а также вероятность ущерба, разрабатываются мероприятия по снижению рисков до допустимого уровня.
Важно то, что на всем протяжении жизненного цикла информационных систем существуют риски. К примеру, прежде всего, есть риск описать требования к информационной системе не достаточно корректно. В свою очередь, это влечет затраты на переработку технического задания или самой информационной системы в целом. Безусловно, этого можно избежать, если перепроверить техническое задание или привлечь лицо, которое не участвует в разработке.
Далее, на стадии эксплуатации возможны изменения в квалификации сотрудников, которые используют информационную систему, а также риски неполноты проверки функциональных возможностей и, безусловно, пропуск ошибки. Это, в свою очередь, ведет к весьма непредвидимым последствиям, таким как: вывод из строя информационной системы, оборудования и т.д. Соответственно, данный риск можно избежать посредством контроля уровня знаний сотрудников, которые непосредственно приступают к взаимодействию с информационной системой.
Наконец, во время разработки информационной системы может возникнуть риск с неописанными свойствами программы, а также языка программирования. Это, как результат, ведет к временным затратам. Этот риск избежать нельзя.
Отмечу далее, что сегодня существует множество методик оценки рисков. К примеру, достаточно мощный и, что весьма важно, универсальный инструмент, который позволяет, помимо анализа рисков также решать ряд других задач в области аудита, включая [2, с. 283]:
- проведение обследования информационной системы, а также выпуск сопроводительной документации на всех этапах его проведения;
- проведение аудита согласно требований Британского правительства, а также стандарта BS 7799:1995 «Code of Practice for Information Security Management»;
- разработка политики безопасности и плана обеспечения непрерывности бизнеса.
Подчеркну, что основой метода CRAMM является комплексный подход к оценке рисков в сочетании количественных и качественных методов анализа. При этом данный метод универсален и, соответственно, подходит не только для больших, но и мелких организаций.
Так, на первом этапе производится идентификация, а также определение ценности защищаемых ресурсов. Далее, второй этап позволяет идентифицировать и оценить угрозы в сфере информационной безопасности, а также производится поиск и оценка уязвимостей защищаемой системы. Наконец, на третьей стадии CRAMM генерирует варианты мер противодействия выявленным рискам.
В заключение остается лишь подчеркнуть, что в настоящее время можно применять любые удобные инструментальные средства. Однако нужно четко осознавать, что основа системы информационной безопасности - анализ информационных рисков проверена и обоснована. Таким образом, анализ и управление информационными рисками является основным фактором построения эффективной защиты информационной системы.
Список использованных источников
1. Миков, Д.А. Анализ методов и средств, используемых на различных этапах оценки рисков информационной безопасности / Д.А. Миков // Вопросы кибербезопасности. – 2014. - № 4(7). – С. 49-54.
2. Староверова, Н.А. Анализ существующих методов оценки рисков корпоративных информационных систем / Н.А. Староверова, З. Фадхкал // Вестник Казанского технологического университета. – 2013. - № 9. – С. 282-287.
3. Фисун, В.А. Информационная система «Оценка рисков проекта» / В.А. Фисун // Молодой ученый. - 2019. - № 1. - С. 52-55.
- Основы оценки стоимости предприятия
- Угрозы имущественной безопасности современной организации со стороны ее нелояльных сотрудников
- Управление процессом профессионального выгорания молодых специалистов на предприятии
- Развитие цифровой экономики России
- Предмет науки права социального
- Пенсионный фонд Российской Федерации в системе обязательного пенсионного страхования РФ
- Социальное предпринимательство.
- Демотивация труда и способы ее снижения
- Корпоративная культура организации как мотивирующий фактор
- RELAX AND BEGIN “EXPERIENCE”
- Актуальность темы «CRM-маркетинг как фактор развития бизнеса»
- Is marketing good or bad?