はじめに
情報セキュリティ(IS)は現在、現代の組織の全体的な経済的セキュリティの最も重要な側面の1つになり、ビジネス環境のセキュリティの状態を特徴づけています。 情報保護は、情報の漏洩、フローの不正な変更、および組織とその関連する経済的要因(顧客、設備サプライヤー、投資家、州など)の安定した運用に悪影響を与えるその他の影響を防ぐための特別な活動です。 これに関して、今日の情報セキュリティの低下または完全な損失のリスクのタイムリーで迅速かつ正確な評価は、あらゆる組織の活動における緊急の問題です。
ISの問題に影響を与える最新の出版物には、情報セキュリティに影響を与える4種類の脅威の原因があります。
•ナチュラル。
•テクノロジー。
•意図的な人間。
•人間の意図しない。
考え
これらのソースの著しい不均一性を考えると、情報セキュリティの低下または完全な損失のリスクを評価するための方法とアルゴリズムの開発は、多くの条件を必要とする情報システムにとってかなり面倒で重要なタスクです。
まず、情報システムの柔軟なモデルを構築し、特定の組織の特性に応じて構成できるソフトウェア、ハードウェアリソース、内部および外部の脅威と脆弱性を考慮して、包括的な方法で説明する必要があります。
第二に、かなりの数のリスク要因を考慮して、情報セキュリティを評価するための数学的モデルは、モデル内の情報を処理するための効果的な数値アルゴリズムの開発を可能にするはずです。
第三に、情報所有者が特定の情報システムへの方法論の適用性と有効性を適切に評価できるように、リスク評価方法論は極めて透明でなければなりません。
ISリスクを評価するには、可能であれば、脅威を実現し、障害または操作性の低下という意味で情報システムに作用するすべてまたは少なくとも主要な脅威と脆弱性を分離し、分析することが重要です。 現在までに、情報セキュリティリスクを評価する方法はいくつかありますが、その主なものは次のとおりです。
1)脅威と脆弱性のモデルの構築に基づくリスク評価方法。
2)情報フローのモデルの構築に基づくリスク評価の方法。
最初の手法は、主に脅威と脆弱性に関する専門家および統計情報の使用に基づいています。 組織の情報システムのリスクを評価するために、各貴重なリソースのセキュリティは、組織の特定のリソースに作用する脅威の確率を評価することによって決定されます(たとえば、従業員の低い資格、ソフトウェアまたはハードウェアの欠如または陳腐化などによる情報セキュリティシステムの誤動作の確率など) n。)、およびこれらの脅威を実装できる脆弱性。 この確率評価により、リスクによって脅威と脆弱性をランク付けできます。
情報セキュリティのリスクは、革新的な側面における組織の有効性を決定する最新の情報技術の使用と密接に関連しているため、さまざまな革新的なリスクに起因する可能性があります。 革新的なリスクを「誤って設定または達成されていない戦略的目標による損失の可能性」と定義し、システム障害のリスクを特徴付ける場合、システムのパフォーマンスを復元するためにコストのレベル(材料またはコスト条件)などの指標を使用することをお勧めします。
各リソースのリスク、脆弱性、およびコストに関する専門家が決定したデータに基づいて、組織の情報システムに関連する脅威と脆弱性のモデルを構築し、障害のリスクを最小限に抑えるか、システムのパフォーマンスを低下させるという観点で情報システムの機能を分析することができます情報セキュリティの基準によるその有効性。
以下は、説明した問題を解決するためのアルゴリズムの段階の簡単な説明です。 最初の段階では、組織の活動の最も重要な領域が特定され、それによって(リーダーシップの観点から)情報セキュリティのレベルが決定されます。 第2段階では、組織の活動の選択された領域で、IS脅威の実現可能性に関する専門家の評価に基づいて、各脅威の重要度が計算され、システムのパフォーマンスを回復するためのコストに関するコストのレベルが推定されます。 次に、システム障害の合計リスクは、各方向のリスクの合計として計算されます。
結果
記述された問題を解決した結果、組織の選択された領域における財源の配分を考慮し、IS基準によるシステムの故障のリスクを最小化します。
おわりに
結論として、情報環境にある多くの中小企業は、情報システムがさらされているさまざまな脅威に注意を払っていないため、財務上の損失のリスクにさらされていることに注意してください。 組織のIS管理のための意思決定支援システムを作成するために、ISリスク分析モデルを開発し、その分析のためのアルゴリズムと方法を作成する必要があるのはそのためです。
アルゴリズムとアルゴリズム自体に関するより詳細な情報は、次の投稿で紹介されます。