IT-risk

Informationsteknikrisk , eller IT-risk ( engelska  IT-risk ), alla risker som är förknippade med användningen av informationsteknologi .

Medan information alltid har varit en värdefull och viktig resurs, blir organisationer nu, i en tid präglad av kunskapsekonomin och den digitala revolutionen , allt mer beroende av information, dess bearbetning och i synnerhet av informationsteknologi . I detta avseende kan händelser som påverkar IT på något sätt påverka affärsprocesser negativt [1] . Att uppskatta sannolikheten för olika typer av händelser med en beräkning av deras eventuella konsekvenser är ett vanligt sätt att bedöma och mäta IT-risk [2] . Alternativa metoder för att mäta IT-risk innebär vanligtvis att bedöma bidragande faktorer som hot, sårbarheter och tillgångar.

Definitioner

ISO

Sannolikheten för att ett givet hot kommer att utnyttja en sårbarhet i en tillgång eller grupp av värdefulla fastigheter och därigenom orsaka skada för organisationen. Notera: Detta mått är i termer av en kombination av sannolikheten för en händelse och dess konsekvenser [3] .

NIST

IT-risk [7]
  1. Sannolikhet för att ett givet hot utnyttjar (oavsiktligt eller avsiktligt) en specifik sårbarhet i systemet
  2. Resultatet av denna påverkan. IT-risker uppstår från möjliga förluster eller juridiskt ansvar på grund av:
    1. Obehörigt (uppsåtligt eller oavsiktligt) avslöjande, ändring eller förstörelse av information
    2. Oavsiktliga fel eller utelämnanden
    3. Tekniska fel på grund av naturkatastrofer eller katastrofer orsakade av människor
    4. Bristande uppmärksamhet vid implementering och drift av IT-systemet.

IT-riskhantering

Det finns sätt att hantera risker, inklusive riskidentifiering, riskbedömningsprocessen och processen för att implementera åtgärder som syftar till att minska risken till en acceptabel nivå. Genom att proaktivt bedöma risker och vidta åtgärder för att minska den kan IT-chefer balansera de operativa och ekonomiska kostnaderna för skyddsåtgärder för att säkerställa framgången för organisationen och säkerheten för data som är avgörande för att uppnå målet. Denna process är ett vanligt fenomen inom IT-området och vi observerar det ofta i vardagen. Ett exempel är hemsäkerhet. Många väljer att installera hemsäkerhetssystem och betala månadsavgifter för deras underhåll i utbyte mot säkerheten för sin privata egendom. Tydligen vägde ägarna kostnaden för att installera och underhålla ett säkerhetssystem mot familjens säkerhet och den potentiella skadan från att förlora sin egendom. [8] [9]

Syftet med att implementera riskhanteringsprocesser är att göra det möjligt för organisationen att uppfylla sina uppdrag eller uppdrag genom att [10] :

  1. Förbättra säkerheten för IT-system som lagrar, bearbetar eller överför information inom och utanför organisationen
  2. Öka ledningens medvetenhet och medvetenhet om de riskhanteringsbeslut som fattas för att erhålla rimliga kostnader som bör bli en integrerad del av den övergripande IT-budgeten
  3. Hjälpa ledningen med att auktorisera (eller ackreditera) sina IT-system baserat på dokumenterat stöd för de resultat som är ett resultat av implementeringen av riskhanteringsprocesser.
Riskminimering

Riskminimering - vidta åtgärder för att minska den totala risken för organisationen. Detta inkluderar ofta valet av motåtgärder som minskar sannolikheten för att ett hot uppstår och/eller minskar skadan. De kan vara tekniska eller operativa och kan innefatta förändringar av den fysiska infrastrukturen. Risken för dataförlust på grund av till exempel maskininfektion kan minskas genom att installera antivirusprogram. När man utvärderar potentialen för en åtgärd bör man överväga hur den fungerar: som en åtgärd som förhindrar eller upptäcker försök att implementera hot. Den del av risken som återstår efter att åtgärder eller motåtgärder har vidtagits, ofta benämnd restrisk, kan hanteras separat av organisationen.

En annan utväg är om organisationen delar sin risk med tredje parts motparter genom försäkringsbolag och/eller tjänsteleverantörer. Försäkring är en kompensationsmekanism efter händelsen, som minskar bördan av förlust när en händelse inträffar. Risköverföring är förskjutningen av risk från en part till en annan. Till exempel, när pappersdokument flyttas utanför organisationen till en lagringstjänst, överförs ansvaret och kostnaden för att skydda informationen till tjänsteleverantören. Kostnaden för lagring kan innefatta en skyldighet att betala ersättning vid skada, förlust eller stöld av handlingar.

En mekanism för att eliminera en risk genom att vägra starta eller fortsätta aktiviteter där risken kan realiseras. Till exempel kan en organisation besluta att överge en affärsprocess för att undvika en situation där organisationen utsätts för risker. [elva]

Vanligtvis ser riskminimeringsprocessen ut så här [7] :

  1. Identifiera möjliga problem och sedan hitta lösningar
  2. Fastställande av tidpunkten för integrationen av ny teknik
  3. Optimering av organisationens affärsprocesser .
  4. Säkerställa skydd av information (både kunder och organisationen själv)
  5. Utveckling av ett förfarande för åtgärder vid force majeure.
  6. Fastställande av de faktiska behoven av informationsresurser.
Restriktioner för att minska risken

Riskminskning kan och bör uppnås genom val av säkerhetskontroller så att den kvarvarande risken uppfattas som acceptabel. Men valet av dessa kontroller kan vara ganska svårt, eftersom det finns sådana begränsningar [12] :

  1. Temporär
  2. Finansiell
  3. Teknisk
  4. Operativ
  5. Kulturellt
    Det som kan vara möjligt i en region ( Europa ), som att checka in väskor, är inte möjligt i en annan ( Mellanöstern ).
  6. Etik
    Olika idéer om tillgången till information om privatlivet, beroende på regionens etik, regeringen. Det är också skillnad på branscher som industri eller sjukvård.
  7. Miljö
    Vanligtvis förknippas med klimatet och naturrisker i en viss region.
  8. Rättslig
  9. Användarvänlighet och kvalificerad personal.
Sårbarhetsidentifiering

En sårbarhet är inte skadlig i sig, det måste finnas ett hot som gör det möjligt att utnyttja denna sårbarhet. En sårbarhet utan hot om exploatering kanske inte kräver kontroll, men den måste hittas och övervakas för ändringar. Tvärtom, ett hot utan dess medföljande sårbarheter kanske inte leder till risk. Sårbarheter kan identifieras inom följande områden: personal, organisation, processer och procedurer, konfiguration av informationssystem , hårdvara, mjukvara , kommunikationsutrustning. [13]

Exempel på sårbarheter
Hårdvara
Sårbarheter Hot
Mottaglighet för fukt och damm Damm, korrosion, isbildning
Oskyddad lagring Stöld av media eller dokument
Okontrollerad kopiering Stöld av media eller dokument
Slarv i förstörelsen Stöld av media eller dokument
Otillräckligt underhåll Ej reparerbart IT-system
Mottaglighet för spänningsförändringar Strömförsörjningsfel
Personal
Sårbarheter Hot
Otillräcklig säkerhetsutbildning Fel vid användning
Brist på övervakningsmekanismer Olaglig databehandling
Oövervakat arbete av extern personal Stöld av media eller dokument
Bristerna i korrekt åtskillnad av informationssäkerhetsansvar Åtgärdsförnekelse
Netto
Sårbarheter Hot
Dålig lösenordshantering Förfalskning av rättigheter
Onödiga tjänster startade Olaglig databehandling
Oavslutad eller ny programvara Programvarufel
Osäkrade kommunikationslinjer Lyssnande
Farlig nätverksarkitektur Fjärrspionering
Skicka lösenord i vanlig text Fjärrspionering
Osäkra offentliga nätverksanslutningar Otillåten användning av utrustning
Sårbarheter Hot
Otillräcklig mjukvarutestning Missbruk av rättigheter
Ingen "logga ut" när du lämnar arbetsstationen Missbruk av rättigheter
Få revideringar Missbruk av rättigheter
Felaktig fördelning av åtkomsträttigheter Missbruk av rättigheter
Utbredd programvara Datakorruption
Fel dokumentation Fel vid användning
Felaktiga datum Fel vid användning
Tillvägagångssätt för riskbedömning av informationssäkerhet

En ytlig riskbedömning låter dig bestämma prioritet för att stänga sårbarheter. På grund av riskreducerande begränsningar är det ofta inte möjligt att stänga alla sårbarheter, då behöver bara de viktigaste åtgärdas. Källor kan delas in i tre kategorier: [14] [15]

  1. Hög
    Hotkällan är mycket aktiv och har hög kapacitet, medan förhindrande av exploatering är ineffektivt. Kan resultera i allvarlig förlust av tillgångar, strida mot organisationens uppdrag.
  2. Medium
    Hotkällan är aktiv och kapabel, men kontrollerna för att förhindra exploatering av sårbarheten är effektiva. Det finns en möjlighet för förlust av materiella tillgångar, skada på organisationens rykte, störa dess arbete.
  3. Låg
    Källan till hot har ingen motivation att utföra hot och motåtgärder är effektiva. Kan leda till mindre resursbortfall och störa organisationens arbete.

Anteckningar

  1. Guide för att genomföra riskbedömningar   = Guide för att genomföra riskbedömningar // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Utgåva. 1 . - C. E1-E8 .
  2. "Risk är en kombination av sannolikheten för en händelse av en farlig händelse eller exponering(er) och svårighetsgraden av skada eller ohälsa som kan orsakas av händelsen eller exponeringen(erna)" (OHSAS 18001:2007)
  3. Informationsteknologi -- Säkerhetstekniker-Riskhantering för informationssäkerhet  (engelska)  // Brittiska standarder BS ISO/IEC 27005:2008. - 2008. - 15 juni ( nummer 1 ). - S. 1 . Arkiverad från originalet den 17 februari 2017.
  4. Gary Stoneburner, Alice Goguen och Alexis Feringa. Risk Management Guide for Information Technology Systems  // National Institute of Standards and Technology NIST Special Publication 800-30  . - 2002. - Utgåva. 1 . - S. 8 .
  5. FIPS PUB 200 PUBLICERING AV FEDERAL INFORMATIONSBEHANDLINGSTANDARDER . Hämtad 16 februari 2017. Arkiverad från originalet 21 februari 2017.
  6. Minimisäkerhetskrav för federala informations- och informationssystem  (engelska)  // National Institute of Standards and Technology FEDERAL INFORMATIONSBEHANDLINGSTANDARDER PUBLIKATION 200. - 2006. - Utgåva. 1 . - S. 8 .
  7. 1 2 Isaev I.V. IT-RISKER OCH INFORMATIONSSÄKERHET  (rus.)  // Modern vetenskapsintensiv teknik. - 2014. - Utgåva. 1 , nr 7-1 . - S. 184 .
  8. Guide för att genomföra riskbedömningar   = Guide för att genomföra riskbedömningar // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Utgåva. 1 . - S. 4-5 .
  9. Gary Stoneburner, Alice Goguen och Alexis Feringa. Risk Management Guide for Information Technology Systems  (engelska)  = Risk Management Guide for Information Technology Systems // National Institute of Standards and Technology NIST Special Publication 800-30. - 2002. - Utgåva. 1 . - S. 4 .
  10. Guide för att genomföra riskbedömningar   = Guide för att genomföra riskbedömningar // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Utgåva. 1 . - S. 4-6 .
  11. Guide för att genomföra riskbedömningar   = Guide för att genomföra riskbedömningar // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Utgåva. 1 . - S. 29-39 .
  12. Informationsteknologi -- Säkerhetstekniker-Riskhantering för informationssäkerhet  (engelska)  // Brittiska standarder BS ISO/IEC 27005:2008. - 2008. - 15 juni ( nummer 1 ). - S. 53-54 . Arkiverad från originalet den 17 februari 2017.
  13. Informationsteknologi -- Säkerhetstekniker-Riskhantering för informationssäkerhet  (engelska)  // Brittiska standarder BS ISO/IEC 27005:2008. - 2008. - 15 juni ( nummer 1 ). - S. 50-53 . Arkiverad från originalet den 17 februari 2017.
  14. Informationsteknologi -- Säkerhetstekniker-Riskhantering för informationssäkerhet  (engelska)  // Brittiska standarder BS ISO/IEC 27005:2008. - 2008. - 15 juni ( nummer 1 ). - S. 47-53 . Arkiverad från originalet den 17 februari 2017.
  15. Guide för att genomföra riskbedömningar   = Guide för att genomföra riskbedömningar // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Utgåva. 1 . - S. 5-6 .