Оцінка інформаційних ризиків

Поняття інформаційного ризику

Поняття інформаційного ризику не має чіткого і сталого визначення, на сьогоднішній день в теорії і на практиці поки не вироблено єдиного підходу до їх дефініції. Умовно можна виділити наступні підходи до трактування терміна «інформаційний ризик»:

Інформаційний ризик є тотожним загрозу безпеці інформації і трактується як потенційне подія, внаслідок якого може бути видалена або викривлена ​​інформація, порушена її доступність або конфіденційність. Управління інформаційними ризиками в даному випадку еквівалентно інформаційної безпеки.

Інформаційний ризик має на увазі можливість настання для організації шкоди або збитків. Кожен з двох підходів спирається на негативний характер ризику, його зв’язок виключно з негативними наслідками. У той же час не можна говорити про наявність протиріч описаних підходів між собою.

Інформаційний ризик – це, з одного боку, ймовірність псування інформації як специфічного об’єкта і, з іншого боку, шкода, що заподіюється специфічними засобами (інформацією).

Класифікація інформаційних ризиків

Як параметр для класифікації інформаційних ризиків можна використовувати суб’єкт або об’єкт ризику, алгоритм ризикової поведінки, причини та сферу появи ризиків, їх потенційні наслідки.

Виходячи із сутності інформаційних послуг, можна виділити кілька великих груп інформаційних ризиків:

  • ризики, пов’язані з інформаційною безпекою;
  • ризики якості управління інформаційними послугами;
  • проектні ризики.

Інформаційні ризики слід враховувати на кожному етапі життєвого циклу інформаційної системи.

Вимоги до системи управління інформаційними ризиками

Основним завданням системи управління інформаційними ризиками можна назвати створення методики з інформаційних ризиків інструментарію, який може бути використаний співробітниками організації на практиці. Типовими вимогами, висунутими організацією до цього інструментарію, є наступні:

  • гнучкість, налаштування і цілісність інформаційного середовища для безперервної реєстрації операційних втрат і подій, включаючи збір даних від окремих елементів інформаційної інфраструктури.
  • можливість аналізу і прогнозування можливих збитків;
  • можливість імпорту та експорту даних, а також порівняння даних в розрізі окремих галузей і т.д .;
  • гнучкість виділення і аналізу загроз з можливістю класифікації джерел загроз і втрат;
  • мінімальне втручання людини на етапі збору первинних даних;
  • ризик-менеджмент повинен виступати в якості деякої основи для миттєвого прийняття управлінських рішень;
  • можливість кількісної оцінки ризиків.

Проблемні аспекти оцінки інформаційних ризиків

Основні проблемні моменти при проведенні оцінки інформаційних ризиків:

  • інвентаризація інформаційних ресурсів і розрахунок їх реальної вартості;
  • виявлення загроз і оцінка ймовірності реалізації загроз, визначення уразливості системи;
  • визначення уразливості системи і можливості реалізації загрози.

Першу проблему досить легко вирішити за допомогою сучасних програмних засобів при наявності тісної взаємодії з власником ІТ-ресурсів. Друга проблема може бути вирішена шляхом побудови єдиної зведеної таблиці інформаційних загроз з урахуванням накопичених знань, стандартів і кращих практик. Третя проблема має на увазі оцінку ймовірності реалізації конкретної загрози. Для вирішення даного завдання доцільно використовувати статистику відповідних інцидентів з урахуванням експертної оцінки впроваджених інструментів контролю і т.д.

Посилання на основну публікацію