À notre époque, l'information occupe l'une des positions clés dans toutes les sphères de la vie humaine. Cela est dû à la transition progressive de la société de l'ère industrielle à l'ère post-industrielle. L'utilisation, la possession et le transfert de diverses informations peuvent entraîner des risques informationnels pouvant affecter l'ensemble de la sphère économique.
Quels sont les secteurs qui connaissent la croissance la plus rapide ?
La croissance des flux d'informations devient de plus en plus perceptible chaque année, car l'expansion de l'innovation technique rend le transfert rapide d'informations liées à l'adaptation des nouvelles technologies un besoin urgent. À notre époque, des secteurs tels que l'industrie, le commerce, l'éducation et la finance se développent instantanément. C'est lors du transfert des données que les risques informationnels surgissent en celles-ci.
L'information devient l'un des types de produits les plus précieux, dont le coût total dépassera bientôt le prix de tous les produits de production. Cela arrivera parce que pourAfin d'assurer la création économe en ressources de tous les biens et services matériels, il est nécessaire de fournir une manière fondamentalement nouvelle de transmettre l'information qui exclut la possibilité de risques d'information.
Définition
À notre époque, il n'existe pas de définition univoque du risque informationnel. De nombreux experts interprètent ce terme comme un événement qui a un impact direct sur diverses informations. Il peut s'agir d'une violation de la confidentialité, d'une distorsion et même d'une suppression. Pour beaucoup, la zone à risque se limite aux systèmes informatiques, qui sont l'objectif principal.
Souvent, lors de l'étude de ce sujet, de nombreux aspects vraiment importants ne sont pas pris en compte. Il s'agit notamment du traitement direct de l'information et de la gestion des risques liés à l'information. Après tout, les risques associés aux données surviennent, en règle générale, au stade de l'obtention, car il existe une forte probabilité de perception et de traitement incorrects des informations. Souvent, l'attention requise n'est pas portée aux risques qui entraînent des défaillances dans les algorithmes de traitement des données, ainsi que des dysfonctionnements dans les programmes utilisés pour optimiser la gestion.
Beaucoup considèrent les risques associés au traitement de l'information, uniquement du côté économique. Pour eux, il s'agit principalement d'un risque lié à la mise en œuvre et à l'utilisation incorrectes des technologies de l'information. Cela signifie que la gestion des risques liés à l'information couvre des processus tels que la création, le transfert, le stockage et l'utilisation d'informations, sous réserve de l'utilisation de divers médias et moyens de communication.
Analyse etclassification des risques informatiques
Quels sont les risques associés à la réception, au traitement et à la transmission d'informations ? En quoi diffèrent-ils ? Il existe plusieurs groupes d'évaluation qualitative et quantitative des risques informationnels selon les critères suivants:
- selon les sources d'occurrence internes et externes;
- intentionnellement et involontairement;
- directement ou indirectement;
- par type de violation des informations: fiabilité, pertinence, exhaustivité, confidentialité des données, etc.;
- selon la méthode d'impact, les risques sont les suivants: force majeure et catastrophes naturelles, erreurs de spécialistes, accidents, etc.
L'analyse des risques informationnels est un processus d'évaluation globale du niveau de protection des systèmes d'information avec la détermination de la quantité (ressources de trésorerie) et de la qualité (risque faible, moyen, élevé) des différents risques. Le processus d'analyse peut être effectué à l'aide de diverses méthodes et outils pour créer des moyens de protéger les informations. Sur la base des résultats d'une telle analyse, il est possible de déterminer les risques les plus élevés pouvant constituer une menace immédiate et une incitation à l'adoption immédiate de mesures supplémentaires contribuant à la protection des ressources d'information.
Méthodologie de détermination des risques informatiques
Actuellement, il n'existe aucune méthode généralement acceptée qui détermine de manière fiable les risques spécifiques des technologies de l'information. Cela est dû au fait qu'il n'y a pas suffisamment de données statistiques qui fourniraient des informations plus précises surrisques communs. Un rôle important est également joué par le fait qu'il est difficile de déterminer avec précision la valeur d'une ressource d'information particulière, car le fabricant ou le propriétaire d'une entreprise peut nommer le coût des supports d'information avec une précision absolue, mais il aura du mal à exprimer le coût des informations qui s'y trouvent. C'est pourquoi, à l'heure actuelle, la meilleure option pour déterminer le coût des risques informatiques est une évaluation qualitative, grâce à laquelle les différents facteurs de risque sont précisément identifiés, ainsi que les domaines de leur influence et les conséquences pour l'ensemble de l'entreprise.
La méthode CRAMM utilisée au Royaume-Uni est le moyen le plus puissant d'identifier les risques quantitatifs. Les principaux objectifs de cette technique sont:
- automatiser le processus de gestion des risques;
- optimisation des frais de gestion de trésorerie;
- productivité des systèmes de sécurité d'entreprise;
- engagement envers la continuité des activités.
Méthode experte d'analyse des risques
Les experts prennent en compte les facteurs suivants d'analyse des risques liés à la sécurité de l'information:
1. Coût des ressources. Cette valeur reflète la valeur de la ressource d'information en tant que telle. Il existe un système d'évaluation du risque qualitatif sur une échelle où 1 est le minimum, 2 est la valeur moyenne et 3 est le maximum. Si l'on considère les ressources informatiques de l'environnement bancaire, son serveur automatisé aura une valeur de 3 et un terminal d'information séparé - 1.
2. Le degré de vulnérabilité de la ressource. Il montre l'ampleur de la menace et la probabilité d'endommagement d'une ressource informatique. Si nous parlons d'une organisation bancaire, le serveur du système bancaire automatisé sera aussi accessible que possible, les attaques de pirates sont donc la plus grande menace pour elle. Il existe également une échelle de notation de 1 à 3, où 1 est un impact mineur, 2 est une forte probabilité de récupération des ressources, 3 est la nécessité d'un remplacement complet de la ressource après la neutralisation du danger.
3. Évaluer la possibilité d'une menace. Il détermine la probabilité d'une certaine menace pour une ressource d'information pendant une période de temps conditionnelle (le plus souvent - pendant un an) et, comme les facteurs précédents, peut être évalué sur une échelle de 1 à 3 (faible, moyen, élevé).
Gérer les risques de sécurité de l'information lorsqu'ils surviennent
Il existe les options suivantes pour résoudre les problèmes liés aux risques émergents:
- accepter le risque et assumer la responsabilité de ses pertes;
- réduire le risque, c'est-à-dire minimiser les pertes associées à sa survenance;
- transfert, c'est-à-dire l'imposition du coût de l'indemnisation des dommages à la compagnie d'assurance, ou la transformation par certains mécanismes en un risque présentant le niveau de danger le plus faible.
Ensuite, les risques du support informationnel sont répartis par rang afin d'identifier les principaux. Pour gérer de tels risques, il est nécessaire de les réduire, et parfois - de les transférer à la compagnie d'assurance. Transfert possible et réduction des risques deles risques de niveau moyen dans les mêmes conditions, et les risques de niveau inférieur sont souvent acceptés et ne sont pas inclus dans une analyse plus approfondie.
Il convient de considérer que la hiérarchisation des risques dans les systèmes d'information est déterminée sur la base du calcul et de la détermination de leur valeur qualitative. Autrement dit, si l'intervalle de classement des risques se situe dans la plage de 1 à 18, la plage des risques faibles va de 1 à 7, les risques moyens vont de 8 à 13 et les risques élevés vont de 14 à 18. L'essence de l'entreprise la gestion des risques liés à l'information consiste à réduire les risques moyens et élevés à la valeur la plus faible, afin que leur acceptation soit la plus optimale et la plus possible possible.
Méthode d'atténuation des risques CORAS
La méthode CORAS fait partie du programme Information Society Technologies. Son sens réside dans l'adaptation, la concrétisation et la combinaison de méthodes efficaces pour mener des analyses sur des exemples de risques informationnels.
La méthodologie CORAS utilise les procédures d'analyse de risque suivantes:
- mesures pour préparer la recherche et la systématisation des informations sur l'objet en question;
- fourniture par le client de données objectives et correctes sur l'objet en question;
- description complète de l'analyse à venir, en tenant compte de toutes les étapes;
- analyse des documents soumis pour l'authenticité et l'exactitude pour une analyse plus objective;
- mener des activités pour identifier les risques éventuels;
- évaluation de toutes les conséquences des menaces informatiques émergentes;
- mettre en avant les risques que l'entreprise peut prendre et les risques quedoit être réduit ou redirigé dès que possible;
- mesures pour éliminer les menaces potentielles.
Il est important de noter que les mesures énumérées ne nécessitent pas d'efforts et de ressources importants pour leur mise en œuvre et leur mise en œuvre ultérieure. La méthodologie CORAS est assez simple à utiliser et ne nécessite pas beaucoup de formation pour commencer à l'utiliser. Le seul inconvénient de cette boîte à outils est le manque de périodicité de l'évaluation.
Méthode OCTAVE
La méthode d'évaluation des risques OCTAVE implique un certain degré d'implication du propriétaire de l'information dans l'analyse. Vous devez savoir qu'il est utilisé pour évaluer rapidement les menaces critiques, identifier les actifs et identifier les faiblesses du système de sécurité de l'information. OCTAVE prévoit la création d'un groupe d'analyse et de sécurité compétent, qui comprend des employés de l'entreprise utilisatrice du système et des employés du service de l'information. OCTAVE se compose de trois étapes:
D'abord, l'organisation est évaluée, c'est-à-dire que le groupe d'analyse détermine les critères d'évaluation des dommages, puis les risques. Les ressources les plus importantes de l'organisation sont identifiées, l'état général du processus de maintien de la sécurité informatique dans l'entreprise est évalué. La dernière étape consiste à identifier les exigences de sécurité et à définir une liste de risques
- La deuxième étape est une analyse complète de l'infrastructure d'information de l'entreprise. L'accent est mis sur une interaction rapide et coordonnée entre les employés et les services qui en sont responsables.infrastructures.
- À la troisième étape, le développement de tactiques de sécurité est effectué, un plan est créé pour réduire les risques éventuels et protéger les ressources d'information. Les dommages éventuels et la probabilité de mise en œuvre des menaces sont également évalués, ainsi que les critères de leur évaluation.
Méthode matricielle d'analyse des risques
Cette méthode d'analyse rassemble les menaces, les vulnérabilités, les actifs et les contrôles de sécurité de l'information et détermine leur importance pour les actifs respectifs de l'organisation. Les actifs d'une organisation sont des objets matériels et immatériels qui sont significatifs en termes d'utilité. Il est important de savoir que la méthode matricielle se compose de trois parties: une matrice de menace, une matrice de vulnérabilité et une matrice de contrôle. Les résultats des trois parties de cette méthodologie sont utilisés pour l'analyse des risques.
Il vaut la peine de considérer la relation de toutes les matrices lors de l'analyse. Ainsi, par exemple, une matrice de vulnérabilité est un lien entre les actifs et les vulnérabilités existantes, une matrice des menaces est un ensemble de vulnérabilités et de menaces, et une matrice de contrôle relie des concepts tels que les menaces et les contrôles. Chaque cellule de la matrice reflète le rapport de l'élément de colonne et de ligne. Des systèmes de notation élevés, moyens et bas sont utilisés.
Pour créer un tableau, vous devez créer des listes de menaces, de vulnérabilités, de contrôles et d'actifs. Des données sont ajoutées sur l'interaction du contenu de la colonne de la matrice avec le contenu de la ligne. Plus tard, les données de la matrice de vulnérabilité sont transférées vers la matrice des menaces, puis, selon le même principe, les informations de la matrice des menaces sont transférées vers la matrice de contrôle.
Conclusion
Le rôle des donnéesconsidérablement augmenté avec la transition d'un certain nombre de pays vers une économie de marché. Sans la réception en temps voulu des informations nécessaires, le fonctionnement normal de l'entreprise est tout simplement impossible.
En même temps que le développement des technologies de l'information, des risques dits liés à l'information sont apparus et menacent les activités des entreprises. C'est pourquoi ils doivent être identifiés, analysés et évalués en vue d'une réduction, d'un transfert ou d'une élimination ultérieure. La formation et la mise en œuvre d'une politique de sécurité seront inefficaces si les règles existantes ne sont pas utilisées correctement en raison de l'incompétence ou du manque de sensibilisation des employés. Il est important de développer un complexe pour le respect de la sécurité de l'information.
La gestion des risques est une étape subjective, complexe, mais en même temps importante dans les activités de l'entreprise. L'accent doit être mis sur la sécurité de leurs données par une entreprise qui travaille avec de grandes quantités d'informations ou qui possède des données confidentielles.
Il existe de nombreuses méthodes efficaces de calcul et d'analyse des risques liés à l'information qui permettent d'informer rapidement l'entreprise et lui permettent de se conformer aux règles de compétitivité du marché, ainsi que de maintenir la sécurité et la continuité des activités.