IT-riski

Tietotekniikkariski tai IT-riski ( englanniksi  IT risk ) mikä tahansa tietotekniikan käyttöön liittyvä riski .

Tieto on aina ollut arvokas ja tärkeä resurssi, mutta nyt, tietotalouden ja digitaalisen vallankumouksen aikakaudella , organisaatiot ovat yhä riippuvaisempia tiedosta, sen käsittelystä ja erityisesti tietotekniikasta . Tältä osin tapahtumat, jotka vaikuttavat tietotekniikkaan jollakin tavalla, voivat vaikuttaa haitallisesti liiketoimintaprosesseihin [1] . Erilaisten tapahtumien uskottavuuden arvioiminen ja niiden mahdollisten seurausten laskeminen on yleinen tapa arvioida ja mitata IT-riskiä [2] . Vaihtoehtoiset menetelmät IT-riskien mittaamiseksi sisältävät yleensä vaikuttavien tekijöiden, kuten uhkien, haavoittuvuuksien ja omaisuuden, arvioinnin.

Määritelmät

ISO

Todennäköisyys, että tietty uhka käyttää hyväkseen omaisuuden tai arvoomaisuuden ryhmän haavoittuvuutta ja aiheuttaa siten vahinkoa organisaatiolle. Huomautus: Tämä mittaus on tapahtuman todennäköisyyden ja sen seurausten yhdistelmä [3] .

NIST

IT-riski [7]
  1. Todennäköisyys, että tietty uhka hyödyntää (vahingossa tai tarkoituksella) tiettyä järjestelmän haavoittuvuutta
  2. Tämän vaikutuksen tulos. IT-riskit johtuvat mahdollisista menetyksistä tai oikeudellisesta vastuusta, joka johtuu:
    1. Tietojen luvaton (haitallinen tai tahaton) paljastaminen, muuttaminen tai tuhoaminen
    2. Tahattomia virheitä tai puutteita
    3. Luonnonkatastrofeista tai ihmisen aiheuttamista katastrofeista johtuvat tekniset viat
    4. Huomion puute IT-järjestelmän toteutuksessa ja toiminnassa.

IT-riskien hallinta

On olemassa tapoja hallita riskejä, mukaan lukien riskien tunnistaminen, riskinarviointiprosessi ja toimenpiteiden toteuttaminen, joilla pyritään vähentämään riski hyväksyttävälle tasolle. Ennakoiva riskinarviointi ja toimenpiteiden toteuttaminen sen vähentämiseksi antaa IT-päälliköille mahdollisuuden tasapainottaa suojatoimenpiteiden operatiiviset ja taloudelliset kustannukset varmistaakseen organisaation menestyksen ja tavoitteen saavuttamisen kannalta kriittisen datan turvallisuuden. Tämä prosessi on yleinen ilmiö IT-alalla ja havaitsemme sitä usein jokapäiväisessä elämässä. Esimerkkinä kodin turvallisuus. Monet ihmiset haluavat asentaa kodin turvajärjestelmät ja maksaa kuukausimaksun niiden ylläpidosta vastineeksi yksityisomaisuutensa turvallisuudesta. Ilmeisesti omistajat punnisivat turvajärjestelmän asennuksen ja ylläpidon kustannuksia perheen turvallisuuteen ja omaisuutensa menettämisestä mahdollisesti aiheutuviin vahinkoihin. [8] [9]

Riskienhallintaprosessien käyttöönoton tarkoituksena on mahdollistaa organisaation tehtävien suorittaminen [10] :

  1. Tietoa tallentavien, käsittelevien tai siirtävien IT-järjestelmien turvallisuuden parantaminen organisaation sisällä ja sen ulkopuolella
  2. Johdon tietoisuuden lisääminen ja tietoisuuden lisääminen riskinhallintapäätöksistä, jotta saataisiin kohtuulliset kustannukset, joista tulisi olla olennainen osa IT-budjettia
  3. Johdon avustaminen IT-järjestelmiensä valtuutuksessa (tai akkreditoinnissa) riskienhallintaprosessien toteutuksen tulosten dokumentoidun tuen perusteella.
Riskin minimointi

Riskin minimointi - toimenpiteiden toteuttaminen organisaation kokonaisriskin vähentämiseksi. Tähän sisältyy usein sellaisten vastatoimien valinta, jotka vähentävät uhan esiintymisen todennäköisyyttä ja/tai vähentävät vahinkoa. Ne voivat olla teknisiä tai toiminnallisia, ja ne voivat sisältää muutoksia fyysiseen infrastruktuuriin. Tietojen katoamisen riskiä esimerkiksi konetartunnan vuoksi voidaan vähentää asentamalla virustorjuntaohjelmisto. Toimenpiteen potentiaalia arvioitaessa tulee pohtia, miten se toimii: toimenpiteenä, joka ehkäisee tai havaitsee uhkien toteuttamisyritykset. Toimenpiteiden tai vastatoimien käyttöönoton jälkeen jäljelle jäävä riskin osa, jota usein kutsutaan jäännösriskiksi, voidaan organisaatiossa käsitellä erikseen.

Toinen keino on, jos organisaatio jakaa riskinsä kolmansien osapuolien kanssa vakuutusyhtiöiden ja/tai palveluntarjoajien kautta. Vakuutus on tapahtuman jälkeinen korvausmekanismi, joka vähentää vahinkotaakkaa tapahtuman sattuessa. Riskinsiirto on riskin siirtymistä osapuolelta toiselle. Esimerkiksi kun paperiasiakirjat siirretään organisaation ulkopuolelle säilytyspalveluun, vastuu ja kustannukset tietojen suojaamisesta siirtyvät palveluntarjoajalle. Säilytyskustannuksiin voi sisältyä korvausvelvollisuus asiakirjojen vahingoittumisesta, katoamisesta tai varkaudesta.

Mekanismi riskin eliminoimiseksi kieltäytymällä aloittamasta tai jatkamasta toimintaa, jossa riski voidaan toteuttaa. Organisaatio voi esimerkiksi päättää luopua liiketoimintaprosessista välttääkseen tilanteen, jossa organisaatio on alttiina riskeille. [yksitoista]

Tyypillisesti riskien minimointiprosessi näyttää tältä [7] :

  1. Tunnista mahdolliset ongelmat ja etsi sitten ratkaisuja
  2. Uusien teknologioiden integroinnin ajoituksen määrittäminen
  3. Organisaation liiketoimintaprosessien optimointi .
  4. Tietosuojan varmistaminen ( sekä asiakkaat että organisaatio itse)
  5. Menettelyn kehittäminen ylivoimaisen esteen varalta.
  6. Tietoresurssien todellisten tarpeiden määrittäminen.
Rajoitukset riskin vähentämiseksi

Riskien vähentäminen voidaan ja pitääkin saavuttaa valitsemalla turvatoimia siten, että jäännösriski koetaan hyväksyttäväksi. Mutta näiden säätimien valinta voi olla melko vaikeaa, koska on olemassa tällaisia ​​rajoituksia [12] :

  1. Väliaikainen
  2. Taloudellinen
  3. Tekninen
  4. Toiminnassa
  5. Kulttuuri
    Se mikä voi olla mahdollista yhdellä alueella ( Eurooppa ), kuten matkatavarat, ei ole mahdollista toisella ( Lähi-idässä ).
  6. Eettinen
    Erilaisia ​​käsityksiä yksityiselämää koskevan tiedon saatavuudesta riippuen alueen, hallituksen etiikasta. Eroja on myös toimialoilla, kuten teollisuus tai terveydenhuolto.
  7. Ympäristö
    Yleensä liittyy tietyn alueen ilmastoon ja luonnonuhkiin.
  8. Laillinen
  9. Helppokäyttöisyys ja pätevä henkilökunta.
Haavoittuvuuden tunnistaminen

Haavoittuvuus ei sinänsä ole haitallinen, vaan siinä on oltava uhka, joka mahdollistaa tämän haavoittuvuuden hyödyntämisen. Haavoittuvuus ilman hyväksikäytön uhkaa ei välttämättä vaadi hallintaa, mutta se on löydettävä ja sitä on seurattava muutosten varalta. Päinvastoin, uhka ilman siihen liittyviä haavoittuvuuksia ei välttämättä johda riskiin. Haavoittuvuuksia voidaan tunnistaa seuraavilta alueilta: henkilöstö, organisaatio, prosessit ja menettelyt, tietojärjestelmän kokoonpano , laitteistot, ohjelmistot , viestintälaitteet. [13]

Esimerkkejä haavoittuvuuksista
Laitteisto
Haavoittuvuudet Uhat
Herkkyys kosteudelle ja pölylle Pöly, korroosio, jäätyminen
Suojaamaton säilytystila Median tai asiakirjojen varastaminen
Hallitsematon kopiointi Median tai asiakirjojen varastaminen
Huolimattomuus tuhossa Median tai asiakirjojen varastaminen
Riittämätön huolto Korjaamaton IT-järjestelmä
Herkkyys jännitteen muutoksille Virtalähteen vika
Henkilökunta
Haavoittuvuudet Uhat
Riittämätön turvallisuuskoulutus Virhe käytössä
Valvontamekanismien puute Laiton tietojenkäsittely
Ulkopuolisen henkilöstön ohjaamaa työtä Median tai asiakirjojen varastaminen
Puutteita tietoturvavastuiden asianmukaisessa eriyttämisessä Toiminnan kieltäminen
Netto
Haavoittuvuudet Uhat
Huono salasanan hallinta Oikeuksien väärentäminen
Tarpeettomat palvelut alkoivat Laiton tietojenkäsittely
Keskeneräinen tai uusi ohjelmisto Ohjelmistovirhe
Suojaamattomat viestintälinjat Kuunteleminen
Vaarallinen verkkoarkkitehtuuri Etävakoilu
Salasanojen välittäminen pelkkänä tekstinä Etävakoilu
Turvalliset julkiset verkkoyhteydet Laitteiden luvaton käyttö
PÄÄLLÄ
Haavoittuvuudet Uhat
Riittämätön ohjelmistotestaus Oikeuksien väärinkäyttö
Ei "uloskirjautumista" poistuttaessa työasemalta Oikeuksien väärinkäyttö
Vähän tarkistuksia Oikeuksien väärinkäyttö
Käyttöoikeuksien väärä jako Oikeuksien väärinkäyttö
Laajalle levinnyt ohjelmisto Tietojen korruptio
Väärä dokumentaatio Virhe käytössä
Väärät päivämäärät Virhe käytössä
Tietoturvariskien arvioinnin lähestymistavat

Pinnallisen riskinarvioinnin avulla voit määrittää haavoittuvuuksien sulkemisen prioriteetin. Riskienhallintarajoitusten vuoksi kaikkia haavoittuvuuksia ei useinkaan voida sulkea, jolloin vain tärkeimmät tulee korjata. Lähteet voidaan jakaa kolmeen luokkaan: [14] [15]

  1. Korkea
    Uhkalähde on erittäin aktiivinen ja sillä on korkeat ominaisuudet, kun taas hyväksikäytön estäminen on tehotonta. Voi johtaa vakavaan omaisuuden menettämiseen, rikkoa organisaation tehtävää.
  2. Keskitaso
    Uhkalähde on aktiivinen ja toimintakykyinen, mutta haavoittuvuuden hyödyntämisen estävät säädöt ovat tehokkaita. On mahdollista menettää aineellista omaisuutta, vahingoittaa organisaation mainetta, häiritä sen työtä.
  3. Matala
    Uhkien lähteellä ei ole motivaatiota uhkien toteuttamiseen ja vastatoimet ovat tehokkaita. Voi johtaa vähäiseen resurssien menettämiseen ja häiritä organisaation työtä.

Muistiinpanot

  1. Ohjaus riskinarviointien suorittamiseen   = Guide for diriging risk assessments // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Ongelma. 1 . - C. E1-E8 .
  2. "Riski on yhdistelmä vaarallisen tapahtuman tai altistumisen todennäköisyydestä ja vamman tai sairauden vakavuudesta, jonka tapahtuma tai altistuminen voi aiheuttaa" (OHSAS 18001:2007)
  3. Tietotekniikka -- Turvatekniikat - Tietoturvariskien hallinta  (englanniksi)  // Brittiläiset standardit BS ISO/IEC 27005:2008. - 2008. - 15. kesäkuuta ( numero 1 ). - S. 1 . Arkistoitu alkuperäisestä 17. helmikuuta 2017.
  4. Gary Stoneburner, Alice Goguen ja Alexis Feringa. Riskienhallintaopas tietotekniikkajärjestelmille  // National Institute of Standards and Technology NIST-erikoisjulkaisu 800-30  . - 2002. - Ongelma. 1 . - S. 8 .
  5. FIPS PUB 200 LIITTOVALTION TIEDONKÄSITTELYSTANDARDIEN JULKAISU . Haettu 16. helmikuuta 2017. Arkistoitu alkuperäisestä 21. helmikuuta 2017.
  6. Vähimmäisturvavaatimukset liittovaltion tieto- ja tietojärjestelmille  (englanniksi)  // National Institute of Standards and Technology FEDERAL INFORMATION PROCESSING STANDARDS JULKAISU 200. - 2006. - Issue. 1 . - S. 8 .
  7. 1 2 Isaev I.V. IT-RISKIT JA TIETOTURVALLISUUS  (rus.)  // Nykyaikaiset tiedeintensiiviset teknologiat. - 2014. - Numero. 1 , nro 7-1 . - S. 184 .
  8. Ohjaus riskinarviointien suorittamiseen   = Guide for diriging risk assessments // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Ongelma. 1 . - S. 4-5 .
  9. Gary Stoneburner, Alice Goguen ja Alexis Feringa. Risk Management Guide for Information Technology Systems  (englanniksi)  = Risk Management Guide for Information Technology Systems // National Institute of Standards and Technology NIST Special Publication 800-30. - 2002. - Ongelma. 1 . - S. 4 .
  10. Ohjaus riskinarviointien suorittamiseen   = Guide for diriging risk assessments // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Ongelma. 1 . - S. 4-6 .
  11. Ohjaus riskinarviointien suorittamiseen   = Guide for diriging risk assessments // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Ongelma. 1 . - S. 29-39 .
  12. Tietotekniikka -- Turvatekniikat - Tietoturvariskien hallinta  (englanniksi)  // Brittiläiset standardit BS ISO/IEC 27005:2008. - 2008. - 15. kesäkuuta ( numero 1 ). - S. 53-54 . Arkistoitu alkuperäisestä 17. helmikuuta 2017.
  13. Tietotekniikka -- Turvatekniikat - Tietoturvariskien hallinta  (englanniksi)  // Brittiläiset standardit BS ISO/IEC 27005:2008. - 2008. - 15. kesäkuuta ( numero 1 ). - S. 50-53 . Arkistoitu alkuperäisestä 17. helmikuuta 2017.
  14. Tietotekniikka -- Turvatekniikat - Tietoturvariskien hallinta  (englanniksi)  // Brittiläiset standardit BS ISO/IEC 27005:2008. - 2008. - 15. kesäkuuta ( numero 1 ). - S. 47-53 . Arkistoitu alkuperäisestä 17. helmikuuta 2017.
  15. Ohjaus riskinarviointien suorittamiseen   = Guide for diriging risk assessments // National Institute of Standards and Technology NIST Special Publication 800-30 . - 2012. - Ongelma. 1 . - S. 5-6 .