IT-risiko

Informationsteknologirisiko eller IT-risiko ( engelsk  IT-risiko ), enhver risiko forbundet med brugen af ​​informationsteknologi .

Mens information altid har været en værdifuld og vigtig ressource, bliver organisationer nu, i videnøkonomiens og den digitale revolutions æra, i stigende grad afhængige af information, dens behandling og især af informationsteknologi . I denne forbindelse kan begivenheder, der påvirker IT på nogen måde, påvirke forretningsprocesser negativt [1] . At estimere plausibiliteten af ​​forskellige typer hændelser med en beregning af deres mulige konsekvenser er en almindelig måde at vurdere og måle it-risiko på [2] . Alternative metoder til måling af IT-risiko involverer typisk vurdering af medvirkende faktorer som trusler, sårbarheder og aktiver.

Definitioner

ISO

Sandsynligheden for, at en given trussel vil udnytte en sårbarhed i et aktiv eller en gruppe af værdifulde ejendomme og derved forårsage skade på organisationen. Bemærk: Denne måling er i form af en kombination af sandsynligheden for en hændelse og dens konsekvenser [3] .

NIST

IT-risiko [7]
  1. Sandsynlighed for, at en given trussel udnytter (tilfældigt eller bevidst) en specifik systemsårbarhed
  2. Resultatet af denne påvirkning. IT-risici opstår som følge af mulige tab eller juridisk ansvar på grund af:
    1. Uautoriseret (ondsindet eller utilsigtet) videregivelse, ændring eller ødelæggelse af information
    2. Utilsigtede fejl eller udeladelser
    3. Tekniske fejl på grund af naturkatastrofer eller menneskeskabte katastrofer
    4. Manglende opmærksomhed i implementering og drift af IT-systemet.

IT-risikostyring

Der er måder at håndtere risici på, herunder risikoidentifikation, risikovurderingsproces og processen med at implementere foranstaltninger, der sigter mod at reducere risikoen til et acceptabelt niveau. Proaktiv risikovurdering og handling for at afbøde den giver it-ledere mulighed for at balancere de operationelle og økonomiske omkostninger ved beskyttelseshandlinger for at sikre organisationens succes og sikkerheden af ​​data, der er afgørende for at nå målet. Denne proces er et almindeligt fænomen på IT-området, og vi observerer det ofte i hverdagen. Et eksempel er sikkerhed i hjemmet. Mange mennesker vælger at installere hjemmesikringssystemer og betale månedlige gebyrer for deres vedligeholdelse til gengæld for sikkerheden i deres private ejendom. Tilsyneladende vejede ejerne omkostningerne ved at installere og vedligeholde et sikkerhedssystem op mod familiens sikkerhed og den potentielle skade ved at miste deres ejendom. [8] [9]

Formålet med at implementere risikostyringsprocesser er at gøre det muligt for organisationen at opfylde sin mission eller missioner ved [10] :

  1. Forbedring af sikkerheden i it-systemer, der lagrer, behandler eller overfører information i og uden for organisationen
  2. Øge ledelsens bevidsthed og bevidsthed om de risikostyringsbeslutninger, der er truffet for at opnå rimelige omkostninger, der bør blive en integreret del af det samlede IT-budget
  3. Assistere ledelsen med at autorisere (eller akkreditere) deres IT-systemer baseret på dokumenteret understøttelse af resultaterne fra implementering af risikostyringsprocesser.
Risikominimering

Risikominimering - at træffe foranstaltninger for at reducere den samlede risiko for organisationen. Dette inkluderer ofte valget af modforanstaltninger, der vil reducere sandsynligheden for, at en trussel opstår og/eller reducere skaden. De kan være tekniske eller operationelle og kan omfatte ændringer af den fysiske infrastruktur. Risikoen for datatab på grund af maskininfektion kan for eksempel reduceres ved at installere antivirussoftware. Når man vurderer potentialet af en foranstaltning, bør man overveje, hvordan den virker: som en foranstaltning, der forhindrer eller opdager forsøg på at implementere trusler. Den del af risikoen, der er tilbage efter anvendelse af foranstaltninger eller modforanstaltninger, ofte omtalt som restrisiko, kan behandles særskilt af organisationen.

En anden udvej er, hvis organisationen deler sin risiko med tredjepartsmodparter gennem forsikringsselskaber og/eller tjenesteudbydere. Forsikring er en kompensationsmekanisme efter hændelsen, der reducerer tabsbyrden, når en hændelse indtræffer. Risikooverførsel er skift af risiko fra en part til en anden. For eksempel, når papirdokumenter flyttes uden for organisationen til en opbevaringstjeneste, overføres ansvaret og omkostningerne ved at beskytte oplysningerne til tjenesteudbyderen. Udgifterne til opbevaring kan omfatte en forpligtelse til at betale erstatning i tilfælde af beskadigelse, bortkomst eller tyveri af dokumenter.

En mekanisme til at eliminere en risiko ved at nægte at starte eller fortsætte aktiviteter, hvor risikoen kan realiseres. For eksempel kan en organisation beslutte at opgive en forretningsproces for at undgå en situation, hvor organisationen er udsat for risici. [elleve]

Typisk ser risikominimeringsprocessen således ud [7] :

  1. Identificere mulige problemer og derefter finde løsninger
  2. Fastlæggelse af tidspunktet for integrationen af ​​nye teknologier
  3. Optimering af organisationens forretningsprocesser .
  4. Sikring af beskyttelse af information (både kunder og selve organisationen)
  5. Udvikling af en procedure for handling i tilfælde af force majeure.
  6. Fastlæggelse af de faktiske behov for informationsressourcer.
Begrænsninger for at reducere risiko

Risikoreduktion kan og bør opnås gennem valg af sikkerhedskontroller, således at den resterende risiko opfattes som acceptabel. Men valget af disse kontroller kan være ret vanskeligt, da der er sådanne begrænsninger [12] :

  1. Midlertidig
  2. Finansiel
  3. Teknisk
  4. Operationel
  5. Kulturelt
    Hvad der kan være muligt i én region ( Europa ), såsom at tjekke kufferter, er ikke muligt i en anden ( Mellemøsten ).
  6. Etisk
    Forskellige ideer om tilgængeligheden af ​​information om privatlivet, afhængigt af regionens etik, regeringen. Der er også forskel på brancher som industri eller sundhedsvæsen.
  7. Miljø
    Normalt forbundet med klimaet og naturlige farer i en bestemt region.
  8. gyldige
  9. Brugervenlighed og kvalificeret personale.
Sårbarhedsidentifikation

En sårbarhed er ikke skadelig i sig selv, der skal være en trussel, der gør det muligt at udnytte denne sårbarhed. En sårbarhed uden trussel om udnyttelse kræver muligvis ikke kontrol, men den skal findes og overvåges for ændringer. Tværtimod kan en trussel uden dens medfølgende sårbarheder ikke føre til risiko. Sårbarheder kan identificeres inden for følgende områder: personale, organisation, processer og procedurer, konfiguration af informationssystem , hardware, software , kommunikationsudstyr. [13]

Eksempler på sårbarheder
Hardware
Sårbarheder Trusler
Modtagelighed for fugt og støv Støv, korrosion, glasur
Ubeskyttet opbevaring Tyveri af medier eller dokumenter
Ukontrolleret kopiering Tyveri af medier eller dokumenter
Skødesløshed i ødelæggelse Tyveri af medier eller dokumenter
Utilstrækkelig vedligeholdelse IT-system, der ikke kan repareres
Følsomhed over for spændingsændringer Strømforsyningsfejl
Personale
Sårbarheder Trusler
Utilstrækkelig sikkerhedsuddannelse Fejl i brug
Mangel på overvågningsmekanismer Ulovlig databehandling
Uovervåget arbejde af eksternt personale Tyveri af medier eller dokumenter
Fejlene i den korrekte adskillelse af informationssikkerhedsansvar Afvisning af handling
Net
Sårbarheder Trusler
Dårlig adgangskodehåndtering Forfalskning af rettigheder
Unødvendige tjenester startet Ulovlig databehandling
Ufærdig eller ny software Softwarefejl
Usikrede kommunikationslinjer Hører efter
Farlig netværksarkitektur Fjernspionage
Videregivelse af adgangskoder i almindelig tekst Fjernspionage
Usikre offentlige netværksforbindelser Uautoriseret brug af udstyr
Sårbarheder Trusler
Utilstrækkelig softwaretest Misbrug af rettigheder
Ingen 'log ud', når du forlader arbejdsstationen Misbrug af rettigheder
Få revisioner Misbrug af rettigheder
Forkert fordeling af adgangsrettigheder Misbrug af rettigheder
Udbredt software Data korruption
Forkert dokumentation Fejl i brug
Forkerte datoer Fejl i brug
Tilgange til risikovurdering af informationssikkerhed

En overfladisk risikovurdering giver dig mulighed for at bestemme prioriteringen af ​​at lukke sårbarheder. På grund af risikobegrænsende begrænsninger er det ofte ikke muligt at lukke alle sårbarheder, i hvilket tilfælde kun de vigtigste skal rettes. Kilder kan opdeles i tre kategorier: [14] [15]

  1. Høj
    Trusselskilden er meget aktiv og har høje kapaciteter, mens forebyggelse af udnyttelse er ineffektiv. Kan resultere i alvorligt tab af aktiver, krænke organisationens mission.
  2. Medium
    Trusselskilden er aktiv og kapabel, men kontrollerne til at forhindre udnyttelse af sårbarheden er effektive. Der er mulighed for tab af materielle aktiver, skade på organisationens omdømme, forstyrre dens arbejde.
  3. Lav
    Kilden til trusler har ingen motivation til at udføre trusler, og modforanstaltninger er effektive. Kan føre til mindre ressourcetab og forstyrre organisationens arbejde.

Noter

  1. Vejledning til at udføre risikovurderinger   = Vejledning til at udføre risikovurderinger // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Udgave. 1 . - C. E1-E8 .
  2. "Risiko er en kombination af sandsynligheden for en forekomst af en farlig hændelse eller eksponering(er) og sværhedsgraden af ​​skade eller dårligt helbred, der kan være forårsaget af hændelsen eller eksponeringen(er)" (OHSAS 18001:2007)
  3. Informationsteknologi -- Sikkerhedsteknikker-Informationssikkerhedsrisikostyring  (engelsk)  // Britiske standarder BS ISO/IEC 27005:2008. - 2008. - 15. juni ( udgave 1 ). - S. 1 . Arkiveret fra originalen den 17. februar 2017.
  4. Gary Stoneburner, Alice Goguen og Alexis Feringa. Risk Management Guide for Information Technology Systems  // National Institute of Standards and Technology NIST Special Publication 800-30  . - 2002. - Udgave. 1 . - S. 8 .
  5. FIPS PUB 200 OFFENTLIGGØRELSE AF FØDERALE STANDARDER FOR INFORMATIONSBEHANDLING . Hentet 16. februar 2017. Arkiveret fra originalen 21. februar 2017.
  6. Minimumssikkerhedskrav for føderale informations- og informationssystemer  (engelsk)  // National Institute of Standards and Technology FEDERAL INFORMATIONSBEHANDLING STANDARDER PUBLICATION 200. - 2006. - Udgave. 1 . - S. 8 .
  7. 1 2 Isaev I.V. IT-RISICI OG INFORMATIONSSIKKERHED  (rus.)  // Moderne videnskabstunge teknologier. - 2014. - Udgave. 1 , nr. 7-1 . - S. 184 .
  8. Vejledning til at udføre risikovurderinger   = Vejledning til at udføre risikovurderinger // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Udgave. 1 . - S. 4-5 .
  9. Gary Stoneburner, Alice Goguen og Alexis Feringa. Risk Management Guide for Information Technology Systems  (engelsk)  = Risk Management Guide for Information Technology Systems // National Institute of Standards and Technology NIST Special Publication 800-30. - 2002. - Udgave. 1 . - S. 4 .
  10. Vejledning til at udføre risikovurderinger   = Vejledning til at udføre risikovurderinger // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Udgave. 1 . - S. 4-6 .
  11. Vejledning til at udføre risikovurderinger   = Vejledning til at udføre risikovurderinger // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Udgave. 1 . - S. 29-39 .
  12. Informationsteknologi -- Sikkerhedsteknikker-Informationssikkerhedsrisikostyring  (engelsk)  // Britiske standarder BS ISO/IEC 27005:2008. - 2008. - 15. juni ( udgave 1 ). - S. 53-54 . Arkiveret fra originalen den 17. februar 2017.
  13. Informationsteknologi -- Sikkerhedsteknikker-Informationssikkerhedsrisikostyring  (engelsk)  // Britiske standarder BS ISO/IEC 27005:2008. - 2008. - 15. juni ( udgave 1 ). - S. 50-53 . Arkiveret fra originalen den 17. februar 2017.
  14. Informationsteknologi -- Sikkerhedsteknikker-Informationssikkerhedsrisikostyring  (engelsk)  // Britiske standarder BS ISO/IEC 27005:2008. - 2008. - 15. juni ( udgave 1 ). - S. 47-53 . Arkiveret fra originalen den 17. februar 2017.
  15. Vejledning til at udføre risikovurderinger   = Vejledning til at udføre risikovurderinger // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Udgave. 1 . - S. 5-6 .