Ақпараттық жүйелер көбінесе әртүрлі қауіп-қатерлерге ұшырайды, бұл әр түрлі шығындарға және де айтарлықтай қаржылық шығындарға әкеп соғуы мүмкін. Ақпараттық қауіпсіздікке келтірілген залал аз шығындардан бастап, ақпараттық жүйенің толық жойылуына дейін болуы мүмкін. Әр түрлі қауіптердің салдары айтарлықтай ерекшеленеді: кейбіреулері деректердің құпиялылығына немесе тұтастығына, ал басқалары жүйенің қол жетімділігіне әсер етеді. Бұл мақалада ақпараттық жүйелердің қауіпсіздік тәуекелдерін жіктеу және бағалаудың әртүрлі критерийлері қарастырылады.
Түйін сөздер: ақпараттық қауіпсіздік, ақпараттық тәуекелдер, қауіптерді жіктеу, тәуекелдерді бағалау.
Информационные системы часто подвергаются различным видам угроз, которые могут привести к различным видам ущерба, что может привести к значительным финансовым потерям. Ущерб информационной безопасности может варьироваться от небольших потерь до полного разрушения информационной системы. Последствия различных угроз существенно различаются: одни из них влияют на конфиденциальность или целостность данных, а другие на доступность системы. В данной статье рассматриваются различные критерии классификации и оценка рисков безопасности информационных систем.
Ключевые слова: информационная безопасность, информационные риски, классификация угроз, оценка риска.
I. Кіріспе
Ақпараттық қауіпсіздік ұйымдарда маңызды функция болып табылады, ал ақпараттық қауіпсіздікті бұзу айтарлықтай экономикалық шығындарға әкелуі мүмкін. Ақпараттық жүйелер ұзақ уақыт бойы зиянды әрекеттерге, пайдаланушылардың байқаусызда қателіктеріне, табиғи апаттарға және басқа да күтпеген қолайсыз оқиғаларға қауіп төндірді.
Соңғы жылдары жүйелер бұл қауіп-қатерлерге компьютерлік желілердің өзара байланысының артуына байланысты өте сезімтал болды және осылайша өзара тәуелді және көптеген адамдарға қол жетімді болды. Интернеттегі алаяқтық — бұл өсіп келе жатқан жаһандық проблема.
Ақпараттық тәуекел-бұл рұқсат етілмеген пайдаланушының жинайтын, жіберетін немесе сақтайтын деректердің құпиялылығына, тұтастығына және қол жетімділігіне теріс әсер ету ықтималдығына негізделген есептеу. Ақпараттық қауіпсіздікке байланысты тәуекелдерді азайтудың негізгі құралы ақпараттық активтерді жария етуден қорғау немесе жария ету туындаған жағдайда ұйымның залалын шектеу үшін қауіпсіздікті бақылаудың алдын алу, детективтік және түзетуші құралдарын таңдау, енгізу, қолдау және үздіксіз мониторингтеу болып табылады.
1.1 Ақпараттық тәуекелдердің жіктелуі
Қауіптерді жіктеу өте маңызды, себебі олар жүйенің активтерін қорғау үшін қауіптердің сипаттамаларын және олардың қайнар көздерін анықтауға және түсінуге мүмкіндік береді. Сонымен қатар, ол осы жүйелерге қауіп төндіретін қауіпсіздік тәуекелдерін анық көрсетеді және қауіпсіздік шешімдерінің мүмкіндіктері мен таңдауын түсінуге көмектеседі.Осылайша, қауіп-қатерлерді жіктеу тәсілдерін екі негізгі классқа бөлуге болады:
− шабуыл әдістеріне негізделген жіктеу әдістері
− қауіптердің әсеріне негізделген жіктеу әдістері
Ақпараттық қауіпсіздік тәуекелі — бұл ұйымға немесе жеке адамға зиян тигізетін жағымсыз оқиғаның пайда болу ықтималдығы. Ақпараттық қауіпсіздік саласына қатысты келесі салдарлар ажыратылады:
− Ұйымда құпия деректердің ағуы
− Компанияның ақпараттық жүйелеріне сыртқы шабуылдар
− Сенімсіз қызметкерлердің іс-әрекеттері (адами факторы)
− Сыртқы желідегі ықтимал қауіпті нысандарға қол жеткізу
− Техникалық құралдардың көмегімен ақпарат алу
− Зиянды бағдарламалар (трояндар, блокаторлар, шифрлаушылар және т. б.)
− Лицензияланбаған бағдарламалық шешімдерді қолдану, көбінесе жарияланбайтын мүмкіндіктер
Барлық ақпараттық тәуекелдерді бірнеше критерийлер негізінде әртүрлі топтарға жіктеуге болады:
- Ақпарат көздері бойынша ақпараттық тәуекелдер ішкі және сыртқы болып бөлінеді;
- Сипаты бойынша-қасақана және абайсызда;
- Түрі бойынша-тікелей немесе жанама;
- Әсер ету механизміне сәйкес: табиғи апаттар, авариялар, мамандардың қателіктері және т. б.
II. Ақпараттық тәуекелдерді талдау және бағалау
Тәуекелді талдау — бұл жобаның жетістігіне немесе мақсатқа жетуіне қауіп төндіретін факторларды анықтау және бағалау үшін қолданылатын әдіс. Бұл процестің тағы бір термині — жобаның әсерін талдау. Бұл процесс шығындар мен пайдаларды талдауды қажет етеді. Шығындар мен пайдаларды бағалау процесі қарастырылып отырған активтің немесе процестің сипаттамалары мен пайдасын қамтуы керек.
Шығындар-бұл сатып алу мен әзірлеуді қамтитын шығындар; құжаттаманы әзірлеу, пайдаланушыларды оқыту және инфрақұрылымды қолдау, мүмкін болатын модернизация сияқты пайдалану және техникалық қызмет көрсету; айырбастау немесе көші-қон шығындары. Тәуекелдерді бағалау-бұл тәуекелдерді басқарудың өмірлік цикліндегі екінші процесс. Ұйымдар белгілі бір актив үшін қандай қауіптер бар екенін және сол қауіптің байланысты тәуекел деңгейін анықтау үшін тәуекелдерді бағалауды қолданады. Қауіптердің басымдықтарын айқындау (тәуекел деңгейін белгілеу) ұйымды қолайлы деңгейге дейін тәуекелді төмендетуге бағытталған бақылаудың тиісті шараларын, кепілдіктерді немесе қарсы шараларды таңдау үшін қажетті ақпаратпен қамтамасыз етеді.
Қауіп-қатерді нөлге дейін төмендету қажеттілігі кері әсер етеді. Ұйымдар өздерінің мүдделерін белгілеп, тәуекелді басшылықпен анықталған деңгейге дейін азайту үшін жеткілікті қарсы шараларды қабылдауы керек. Тәуекелдерді бағалауға арналған тәуекелдерді басқару процесінің бір бөлігін зерттей отырып, біз үш қажетті нәтижені қамтамасыз ететін бес қадамды талқылаймыз. Тәуекел — бұл анықталған қауіптің ықтималдығы, содан кейін бұл қауіптің бизнес-процеске немесе қарастырылып отырған активтің миссиясына тигізетін әсері. Бес кезеңнің әрқайсысы тәуекелдерді бағалау тобынан олардың талаптарын зерделеуді және мүмкіндігінше мұқият болуды талап етеді.
1-қадам: активтерді анықтау
Табысқа жету үшін тәуекелдерді бағалау процесінің алғашқы қадамы мүмкіндігінше мұқият болуы керек. Егер команданың барлық мүшелерінде активтерді қарау көзқарасстары бірдей болмаса, қауіпті дәл бағалау қиын болады. 1-кезеңде тәуекелдерді бағалау тобының жетекшісі және иесі қаралып жатқан процесті, қосымшаны, Жүйені немесе активті анықтауы керек. Мұндағы басты мәселе — қайта қарауға тура келетін нәрселердің шекараларын белгілеу. Сәтсіздікке ұшыраған жобалардың көпшілігі сәтсіздікке ұшырайды, себебі бастапқыда жоба ауқымы нашар анықталған немесе ауқым дұрыс басқарылмаған және бақылаудан шыққанға дейін тексеріп шығуға мүмкіндік берген. Егер сіз тәуекелді бағалауды жоба ретінде басқарғыңыз келсе, онда активтің анықтамасын ауқым туралы есеп ретінде қарастырған жөн. Табысты масштабтау туралы мәлімдеме жазуға кіретін барлық элементтер активті және тәуекелдерді талдау процесінде не күтетінін анықтау үшін қолданылуы керек.
Кез-келген жобадағыдай, активтерді сәйкестендіру кезеңінің түпкілікті нәтижесі меншік иесімен келісім болып табылады, ол бойынша бағалауды және барлық тиісті параметрлерді қайта қарау керек. Мұндағы мақсат — екі элементтен тұратын мүмкіндіктер қаупін бағалау туралы мәлімдеме жазу: жоба туралы мәлімдеме және техникалық шарттар.
2-қадам: қауіпті анықтау
Біз қауіп-қатерді бизнес мақсаттарына немесе кәсіпорындарға әсер етуі мүмкін жағымсыз оқиға ретінде қарастырамыз. Кейбір қауіптер қолданыстағы басқару элементтері дұрыс іске асырылмаған немесе пайдалы болмай қалған кезде пайда болады, енді басқару элементінің болжанған мінез-құлқын айналып өту үшін пайдалануға болатын инфрақұрылымға қауіп төндіреді. Бұл процесс осалдықты пайдалану ретінде белгілі.
Қауіп көзі — қарастырылып отырған активке зиян келтіруі мүмкін кез-келген жағдай немесе оқиға ретінде анықталады. Әдетте, қауіп көздерінің үш негізгі санаты бар:
− Табиғи қауіпті жағдайлар — су тасқыны, жер сілкінісі, қар көшкіні, электр дауылдары және басқа да ұқсас құбылыстар.
− Адами қауіп-қатері — адамдардың кездейсоқ әрекеттері (қателіктер) немесе қасақана әрекеттер (алаяқтық, зиянды бағдарлама, рұқсатсыз кіру) сияқты оқиғалар.
− Статистикаға сәйкес, ақпараттық ресурстарға ең үлкен қауіп-адамның қателіктері.
− Экологиялық қауіптер-электр қуатының үзілуі, қоршаған ортаның ластануы, химиялық заттардың төгілуі, сұйықтықтың ағуы.
3-қадам: пайда болу ықтималдығын анықтаңыз
Қауіптердің тізімі түпкілікті жасалғаннан кейін және топ әр қауіптің анықтамаларымен келіскеннен кейін, осы қауіптің ықтималдығы қаншалықты жоғары екенін анықтау қажет болады. Тәуекелдерді басқару жөніндегі топ жалпы ықтималдылықты алғысы келеді, бұл әлеуетті қауіптің қаралып отырған тәуекелді бағалау активіне қатысты іске асырылуы мүмкін екендігін көрсетеді. Ықтималдық анықтамаларын және басқа да бірқатар негізгі терминдерді анықтау қажет болады.
Төменде қауіптің ықтималдығы немесе пайда болу ықтималдығы туралы анықтама берілген:
Ықтималдық- қауіп-қатер оқиғасының болу ықтималдығы
− Жоғары ықтималдығы — қауіп келесі жылы пайда болуы ықтимал
− Орташа ықтималдылық — келесі жылы қауіп төнуі мүмкін
− Төмен ықтималдылық — келесі жылы қауіптің болуы екіталай
4-қадам: қауіптің әсерін анықтаңыз
Тәуекел деңгейін анықтау процесі тәуекел деңгейін анықтауға мүмкіндік беретін матрицалық кестені және тәуекелдің анықтамасын пайдалануды талап етеді.Төменде жоғарыда сипатталған ықтималдылық анықтамасымен бірге қолдануға болатын әсердің анықтамасы берілген.
Әсер ету — бұл активтің құнына келтірілген залал немесе зиян мөлшерінің өлшемі.
− Жоғары әсер ету — бизнесті, корпоративті имиджді немесе пайданы айтарлықтай жоғалтуға алып келетін маңызды құрылымдық бөлімшенің жабылуы
− Орташа әсер ету — бір құрылымдық бөлімше үшін қаржылық шығындардың азаюына алып келетін маңызды процестің немесе жүйенің қысқа үзілуі
− Төмен әсер ету — қаржылық шығынсыз үзіліс
5-қадам: құжаттама
Тәуекелдерді талдау аяқталғаннан кейін нәтижелер стандартты форматта құжатталып, актив иесіне есеп түрінде ұсынылуы керек. Бұл есеп жоғары басшылыққа және бизнес иесіне саясат, процедуралар, бюджет, жүйелер және басқарудағы өзгерістер туралы шешім қабылдауға көмектеседі. Тәуекелдерді талдау туралы есеп тәуекелдерді жоғары басшылық тәуекелдерді түсінетін және тәуекелдерді қолайлы деңгейге дейін төмендету үшін ресурстар бөлетін етіп бағалайтын жүйелі және аналитикалық түрде ұсынылуы керек.
Қорытынды
Ақпараттық қауіпсіздік жеке тұлғалар мен ұйымдар үшін өте маңызды мәселе болып табылады, өйткені ол үлкен қаржылық шығындарға әкеледі. Ақпарат — бұл компанияның бәсекеге қабілеттілігін сақтай отырып, табысты жұмыс істеуінің кепілі. Ақпаратты кеңінен қолдану тәуекелдің түрін тудырды — компаниялардың дамуы мен жұмысына үлкен қауіп төндіретін ақпараттық тәуекелдер. Сондықтан, ақпараттық тәуекелдерді азайту, пайдалану немесе алмасу үшін жедел анықтау, талдау және бағалау қажет. Қолданыстағы шаблондар мен ережелер қажет болған жағдайда қолданылмаса, мұндай тәуекелдерді жою үшін қауіпсіздік саясатын құру мен жүзеге асыру тиімді болмайтынын есте ұстау керек, бұл қызметкерлердің біліктілігінің төмендеуіне немесе проблеманың маңыздылығын білмеуіне байланысты. Сондықтан ақпараттық қауіпсіздікті қамтамасыз ету жұмыстары жан-жақты болуы керек.
Әдебиет:
- Тәуекел туралы ойлау. Стивен Д.Ганц, Даниэль Р.Филпотт, FISMA және Тәуекелдерді басқару шеңберінде, 2013 ж.
- Ақпараттық қауіпсіздік тәуекелін талдау / Томас Р. Пелтиер 2-ші басылым, 2005 ж.
- Станислав Молчаненко, Елена Остапенко, Т. Г, Гурнович. «Тәуекелдерге анализ жүргізу және бағалау», Кнорус, 2019. -253с.
- https://itglobal.com/ru-kz/company/glossary/risk-info-security/
- https://securityscorecard.com/blog/what-is-information-risk-management/