Thực đơn
trang chủExcel

Phương pháp đánh giá rủi ro an toàn thông tin. Vấn đề quản lý rủi ro an toàn thông tin

Lịch sử đã nhiều lần chứng minh rằng sự ổn định, dù thoạt nhìn có vẻ lý tưởng và tốt đẹp đến đâu, cũng sẽ dẫn đến suy thoái. Không thể phát triển nếu không có rủi ro. Toàn bộ cuộc sống của chúng ta được tạo thành từ những xác suất, những đánh giá về khả năng và những quyết định dẫn đến thành công hay thất bại. Nhưng rất nhiều điều phụ thuộc vào chúng tôi. Cuộc nhảy dù sẽ kết thúc an toàn? Phụ thuộc vào việc nó có được đặt đúng cách hay không, liệu bạn có biết quy trình nhảy hay không, v.v. Rủi ro bây giờ có bằng không không? Không, nhưng thông qua hành động của mình, bạn đã có thể giảm thiểu nó một cách đáng kể. Ngoài những rủi ro cá nhân, còn có những rủi ro xã hội, công nghệ và nhiều rủi ro khác. Chúng tôi sẽ tập trung vào các rủi ro bảo mật thông tin và cách quản lý chúng.

Anton Makarychev
Trưởng phòng An toàn thông tin, Tập đoàn Compulink

Tiêu chuẩn quản lý rủi ro ISO 31000:2009 định nghĩa rủi ro là kết quả của sự không chắc chắn về mục tiêu, trong đó kết quả là sự sai lệch so với kết quả dự kiến ​​(tích cực hoặc tiêu cực) và sự không chắc chắn là tình trạng thiếu thông tin liên quan đến sự hiểu biết hoặc kiến ​​thức về một sự kiện, hậu quả hoặc xác suất của nó. Xét rằng hầu hết các rủi ro không thể giảm xuống 0, quản lý rủi ro được đặt lên hàng đầu cả trên toàn cầu và địa phương. Thật không may, trong trường hợp hành động xảy ra trước khi phân tích (và đây là tình huống điển hình của nhiều công ty Nga), hiệu quả của các biện pháp được thực hiện cũng tùy thuộc vào cơ hội. Nó giống như việc sử dụng cưa máy làm rìu mà không thèm đọc hướng dẫn sử dụng. Đó là lý do tại sao, trước khi thực hiện quản lý rủi ro bảo mật thông tin, bạn nên hiểu rõ những phát triển và tiêu chuẩn hiện có trong lĩnh vực này.


Từ chung đến cụ thể

Khi xem xét quản lý rủi ro thông qua trọng tâm bảo mật thông tin, việc hiểu rõ các tài liệu sau sẽ rất hữu ích:

  • tiêu chuẩn quốc tế ISO 31000:2009;
  • Ủy ban các tổ chức tài trợ của Khung quản lý rủi ro tổ chức của Ủy ban Treadway (COSO ERM);
  • tiêu chuẩn quản lý rủi ro của Viện Quản lý Rủi ro (IRM) thuộc Hiệp hội Quản lý Rủi ro và Bảo hiểm (AIRMIC), cũng như Diễn đàn Quốc gia về Quản lý Rủi ro trong Khu vực Công của Vương quốc Anh.

Ngày nay, quá trình thông tin hóa xã hội, cùng với việc tự động hóa các quy trình, đang phát triển nhanh chóng đến mức việc bỏ qua những rủi ro ngày càng tăng trong lĩnh vực công nghệ thông tin là điều không thể chấp nhận được.

ISO 31000:2009 là tiêu chuẩn quốc tế cơ bản về quản lý rủi ro cho các tổ chức và cung cấp các định nghĩa và nguyên tắc cơ bản hướng dẫn tổ chức khi tổ chức quyết định triển khai hệ thống quản lý rủi ro. Tài liệu này có thể được sử dụng làm hướng dẫn cho các bước đầu tiên vì nó mô tả chính xác việc quản lý rủi ro, tức là kiến ​​trúc.

Hướng dẫn chi tiết hơn được cung cấp trong Khung quản lý rủi ro tổ chức của Ủy ban Treadway của Ủy ban Treadway. Đặc biệt, ngoài bản thân tài liệu, các tài liệu bổ sung do Ủy ban COSO ban hành đều mang lại lợi ích thiết thực:

  • Đánh giá rủi ro ERM trong thực tế (thực hành tiến hành đánh giá rủi ro trong hệ thống quản lý rủi ro);
  • Quản lý rủi ro doanh nghiệp cho C
  • oud Computing (quản lý rủi ro cho hệ thống điện toán đám mây);
  • Quản lý rủi ro doanh nghiệp – ​​Hiểu và truyền đạt khẩu vị rủi ro (hiểu và truyền đạt khẩu vị rủi ro trong hệ thống quản lý rủi ro);
  • Nắm bắt quản lý rủi ro doanh nghiệp: Thực hành
  • Các phương pháp tiếp cận để bắt đầu (các phương pháp thực tế để bắt đầu triển khai hệ thống quản lý rủi ro), v.v.

Mục tiêu của họ là tiết lộ chi tiết tất cả các khía cạnh được nêu trong khuôn khổ khái niệm, điều này cuối cùng giúp đưa các nguyên tắc được mô tả vào cơ sở thực tế.

Tuy nhiên, điều đáng nói là một sắc thái quan trọng có thể dẫn đến một số nhầm lẫn khi cố gắng kết hợp các tiêu chuẩn được mô tả ở trên - sự khác biệt trong định nghĩa. Ví dụ, định nghĩa về “rủi ro” trong tiêu chuẩn ISO là xác suất xảy ra cả hậu quả tích cực và tiêu cực, trong tiêu chuẩn COSO nó chỉ là xác suất xảy ra hậu quả tiêu cực, đối với hậu quả tích cực thì có một thuật ngữ riêng - cơ hội. Tuy nhiên, với sự phát triển lâu dài của tiêu chuẩn, nó xứng đáng nhận được sự quan tâm sâu sắc nhất.

Một tài liệu hữu ích khác là tiêu chuẩn quản lý rủi ro của Viện Quản lý Rủi ro (IRM) thuộc Hiệp hội Quản lý Rủi ro và Bảo hiểm (AIRMIC), cũng như Diễn đàn Quốc gia về Quản lý Rủi ro trong Khu vực Công của Vương quốc Anh. Lấy thuật ngữ ISO làm cơ sở, tiêu chuẩn này thể hiện quy trình quản lý rủi ro một cách chi tiết hơn (Hình 2).


Nó sẽ cực kỳ hữu ích cho các doanh nghiệp vừa và nhỏ vì nó có thể hoạt động như một tài liệu duy nhất để triển khai hệ thống quản lý rủi ro chất lượng cao.

Vì vậy, trước khi chuyển sang các vấn đề cụ thể về quản lý rủi ro an toàn thông tin, chúng ta có thể rút ra kết luận trung gian về các tiêu chuẩn được xem xét:

  • ISO 31000:2009 phù hợp làm cơ sở cho mọi tổ chức;
  • AIRMIC được định hướng thực hành và phù hợp làm tài liệu cốt lõi cho các doanh nghiệp vừa và nhỏ, đồng thời là điểm khởi đầu cho các công ty lớn;
  • COSO ERM đóng vai trò là tài liệu chính để triển khai thực tế hệ thống quản lý rủi ro trong bất kỳ tổ chức nào, nhưng ban đầu hướng tới các doanh nghiệp lớn.

Quản lý rủi ro an ninh thông tin

Ngày nay, quá trình thông tin hóa xã hội, cùng với việc tự động hóa các quy trình, đang phát triển nhanh chóng đến mức việc bỏ qua những rủi ro ngày càng tăng trong lĩnh vực công nghệ thông tin là điều không thể chấp nhận được. Tính khả dụng của trung tâm dữ liệu được đo bằng năm và sáu chín, và những lỗi trong hệ thống thông tin của các công ty lớn trở thành tin tức toàn cầu.

Do đó, các tổ chức đang thành lập các bộ phận riêng biệt về bảo mật thông tin và rủi ro CNTT, có nhiệm vụ xác định và quản lý rủi ro trong lĩnh vực này.


Cầu tạo ra cung. Như vậy, tổ chức quốc tế ISO đã ban hành tiêu chuẩn quản lý rủi ro an toàn thông tin trong một tổ chức – ISO 27005:2008 “Công nghệ thông tin - kỹ thuật bảo mật - quản lý rủi ro an toàn thông tin”. Tuy nhiên, ngoài nó ra còn có những tài liệu khác cũng hữu ích không kém, ví dụ:

  • môi trường làm việc để quản lý rủi ro CNTT (Khung công nghệ thông tin rủi ro) và hướng dẫn sử dụng rủi ro CNTT (Hướng dẫn người thực hành công nghệ thông tin rủi ro), dựa trên tiêu chuẩn Cobit của tổ chức ISACA;
  • phương pháp quản lý rủi ro hệ thống thông tin của tác giả Ken Jaworski.

Chúng ta hãy xem xét từng người trong số họ chi tiết hơn.

ISO 27005:2008 định nghĩa rủi ro bảo mật thông tin là khả năng một mối đe dọa nhất định sẽ khai thác lỗ hổng của một tài sản hoặc một nhóm tài sản và do đó gây tổn hại cho tổ chức.

Theo tiêu chuẩn, quy trình quản lý rủi ro bảo mật thông tin cho phép bạn tổ chức những việc sau:

  • xác định rủi ro;
  • đánh giá rủi ro về mặt hậu quả kinh doanh và khả năng xảy ra của chúng;
  • truyền thông và nhận thức về khả năng xảy ra cũng như hậu quả của rủi ro;
  • thiết lập thứ tự ưu tiên xử lý rủi ro;
  • ưu tiên các hành động để giảm thiểu khả năng xảy ra rủi ro;
  • thu hút các bên liên quan tham gia vào quá trình ra quyết định quản lý rủi ro và truyền đạt tình trạng của quá trình quản lý rủi ro;
  • giám sát hiệu quả xử lý rủi ro;
  • thường xuyên theo dõi, xem xét rủi ro và quy trình quản lý rủi ro;
  • xác định thông tin để cải thiện phương pháp quản lý rủi ro;
  • đào tạo người quản lý và nhân viên về rủi ro và hành động để giảm thiểu chúng.

Có một số tiến bộ trong lĩnh vực quản lý rủi ro an toàn thông tin, cho phép các chuyên gia quan tâm chuyển từ mô tả lý thuyết sang hành động thực tế. Do đó, tiêu chuẩn quốc tế ISO 27005:2008 đóng vai trò là điểm khởi đầu về mặt lý thuyết, từ đó con đường thực tiễn tiếp theo, dù mỗi tổ chức có cách tiếp cận riêng, vẫn có thể được thực hiện một cách hiệu quả bằng cách sử dụng ít nhất hai phương pháp.

Đáng chú ý là sơ đồ quy trình quản lý rủi ro bảo mật thông tin giống hệt với sơ đồ tiêu chuẩn 31000 được trình bày trước đó, điều này khẳng định thêm cách tiếp cận tương tự đối với quản lý rủi ro trong loạt tiêu chuẩn ISO. Tiêu chuẩn này mang tính chất lý thuyết nhưng sẽ hữu ích làm cơ sở cho việc triển khai sâu hơn hệ thống quản lý rủi ro.

Khung CNTT về rủi ro, dựa trên tiêu chuẩn ISACA Cobit, bao gồm khung lý thuyết, hướng dẫn sử dụng - phương pháp và ví dụ thực tế.

Tài liệu này định nghĩa rủi ro CNTT là rủi ro kinh doanh, cụ thể là rủi ro kinh doanh liên quan đến việc sử dụng, quyền sở hữu, vận hành, sự tham gia, ảnh hưởng hoặc điều chỉnh CNTT trong một tổ chức.

Mô hình quy trình của môi trường này bao gồm ba miền:

  • quản lý rủi ro (Risk Governance);
  • Đánh giá rủi ro;
  • Phản hồi rủi ro.

Mô hình ba miền này được mổ xẻ kỹ lưỡng trong bài báo. Tất cả các định nghĩa cần thiết đều được đưa ra, mô hình vai trò cho các quy trình được liệt kê cũng như quy trình thực hiện sẽ được phân tích.

Hướng dẫn dành cho người thực hành CNTT về rủi ro là sự tiếp nối hợp lý của môi trường làm việc, tập trung vào việc triển khai thực tế mô hình ba lĩnh vực trong tổ chức. Tài liệu này cung cấp các mẫu, bảng biểu và tài liệu khác cần thiết có thể được sửa đổi nếu cần và được sử dụng trong hệ thống quản lý rủi ro của tổ chức bạn. Phần mô tả về các phương pháp thực hành tốt nhất để triển khai hệ thống rủi ro CNTT cũng được đưa ra.

Phương pháp quản lý rủi ro hệ thống thông tin của Ken Jaworski dựa trên tiêu chuẩn ISO và tập trung vào các khía cạnh thực tế của việc triển khai hệ thống quản lý rủi ro, đồng thời chứa các mẫu và phương pháp cần thiết để tính toán tác động của rủi ro đối với hoạt động của tổ chức.

Tóm lại, chúng ta có thể kết luận rằng trong lĩnh vực quản lý rủi ro an toàn thông tin đã có một số tiến bộ cho phép các chuyên gia quan tâm chuyển từ mô tả lý thuyết sang hành động thực tế. Do đó, tiêu chuẩn quốc tế ISO 27005:2008 đóng vai trò là điểm khởi đầu về mặt lý thuyết, từ đó con đường thực tiễn tiếp theo, dù mỗi tổ chức có cách tiếp cận riêng, vẫn có thể được thực hiện một cách hiệu quả bằng cách sử dụng ít nhất hai phương pháp.

Phần kết luận

Hệ thống quản lý rủi ro như một phần của quản trị doanh nghiệp đã cho thấy tính hiệu quả của nó ở những công ty mà hệ thống này đang bắt đầu hoặc đã được triển khai. Do tình trạng khủng hoảng hiện tại của nền kinh tế toàn cầu, có thể giả định rằng các hệ thống tương tự sẽ lan rộng trong tương lai trong khu vực công. Điều này thậm chí còn có thể thực hiện được cho đến ngày nay vì đã có các tiêu chuẩn và tài liệu khác về hệ thống quản lý rủi ro cho phép triển khai hệ thống này với chất lượng cao và trong thời gian tương đối ngắn. Điểm cơ bản là ngoài các tài liệu “chung”, còn có các tiêu chuẩn ngành về quản lý rủi ro, đặc biệt là quản lý rủi ro CNTT/IS. Tuy nhiên, do đặc thù của nền kinh tế Nga, nhiều tổ chức phụ thuộc nhiều hơn vào sự hỗ trợ của nhà nước hay còn gọi là nguồn lực hành chính, đặc biệt là chưa quan tâm đúng mức đến hệ thống quản trị doanh nghiệp và quản lý rủi ro. Kết quả là, ở nước ta, xu hướng phá sản lớn hơn ở nước ta ngày càng tăng so với ở Hoa Kỳ. Nhưng không hành động khó có thể giúp giải quyết vấn đề.

Vào tháng 1 năm 2018, Báo cáo Rủi ro Toàn cầu đối với Nhân loại năm 2018 đã được trình bày tại Diễn đàn Kinh tế Thế giới ở Davos. Theo báo cáo, tầm quan trọng của rủi ro bảo mật thông tin đang gia tăng cả do sự gia tăng số lượng các cuộc tấn công được thực hiện và tính đến khả năng phá hoại của chúng.

Một số kỹ thuật quản lý rủi ro bảo mật thông tin phổ biến nhất trên thế giới là CRAMM, COBIT for Risk, FRAP, Octave và Microsoft. Cùng với những ưu điểm nhất định, chúng cũng có những hạn chế. Đặc biệt, các phương pháp nêu trên của nước ngoài có thể được các công ty thương mại sử dụng hiệu quả, trong khi các tổ chức chính phủ khi đánh giá và quản lý rủi ro an toàn thông tin phải tuân theo các quy định trong quy định của FSTEC của Nga. Ví dụ, đối với hệ thống điều khiển tự động cho các quy trình sản xuất và công nghệ tại các cơ sở quan trọng cần thực hiện theo Lệnh số 31 của FSTEC của Nga ngày 14 tháng 3 năm 2014. Đồng thời, tài liệu này cũng có thể được sử dụng làm tài liệu bổ sung. bởi các cơ quan điều hành liên bang.

Rủi ro an toàn thông tin trong xã hội hiện đại

Gần đây, số vụ tấn công vào các tổ chức đã tăng gấp đôi. Các cuộc tấn công gây thiệt hại đặc biệt đang trở nên phổ biến. Tổn thất tài chính từ các cuộc tấn công ngày càng gia tăng và một số tổn thất lớn nhất có liên quan đến các cuộc tấn công bằng ransomware. Một ví dụ nổi bật về điều này là các cuộc tấn công của virus ransomware WannaCry và NotPetya, đã ảnh hưởng đến hơn 300 nghìn máy tính ở 150 quốc gia và dẫn đến thiệt hại tài chính hơn 300 triệu USD.

Một xu hướng khác là sự gia tăng số lượng các cuộc tấn công vào cơ sở hạ tầng quan trọng và các cơ sở công nghiệp chiến lược, có thể dẫn đến mất khả năng hoạt động của các hệ thống hỗ trợ sự sống của nhân loại bởi những kẻ tấn công và xảy ra thảm họa nhân tạo toàn cầu.

Như vậy, rủi ro an toàn thông tin được xếp vào top 3 rủi ro dễ xảy ra nhất (cùng với rủi ro thiên tai, thời tiết khắc nghiệt) và nằm trong danh sách 6 rủi ro nghiêm trọng nhất về khả năng thiệt hại (cùng với rủi ro sử dụng vũ khí). hủy diệt hàng loạt, thiên tai, thời tiết bất thường và thiếu nước uống). Vì vậy, quản lý rủi ro an toàn thông tin là một trong những lĩnh vực ưu tiên phát triển của các tổ chức trên toàn thế giới và thực sự cần thiết cho hoạt động tiếp theo của các tổ chức này.

Mục tiêu và cách tiếp cận quản lý rủi ro an toàn thông tin

Mục tiêu của bất kỳ tổ chức nào là đạt được các chỉ số nhất định đặc trưng cho kết quả hoạt động của tổ chức đó. Ví dụ, đối với các công ty thương mại, điều này mang lại lợi nhuận, tăng vốn hóa, thị phần hoặc doanh thu, còn đối với các tổ chức chính phủ, điều này mang lại lợi nhuận cho người dân và giải quyết các vấn đề quản lý. Trong mọi trường hợp, bất kể mục đích hoạt động của tổ chức là gì, việc thực hiện các rủi ro bảo mật thông tin có thể cản trở việc đạt được mục tiêu này. Đồng thời, mỗi tổ chức đánh giá rủi ro và khả năng đầu tư vào việc giảm thiểu rủi ro theo cách riêng của mình.

Vì vậy, mục tiêu của quản lý rủi ro an toàn thông tin là duy trì chúng ở mức có thể chấp nhận được đối với tổ chức. Để giải quyết vấn đề này, các tổ chức tạo ra hệ thống bảo mật thông tin toàn diện (ISS).

Khi tạo các hệ thống như vậy, câu hỏi đặt ra là chọn các công cụ bảo mật đảm bảo giảm rủi ro bảo mật thông tin được xác định trong quá trình phân tích mà không tốn quá nhiều chi phí cho việc triển khai và hỗ trợ các công cụ này. Phân tích rủi ro bảo mật thông tin cho phép chúng tôi xác định bộ phương tiện bảo mật thông tin cần và đủ, cũng như các biện pháp tổ chức nhằm giảm rủi ro bảo mật thông tin và phát triển kiến ​​trúc ISS của tổ chức hiệu quả nhất cho các hoạt động cụ thể của nó và nhằm mục đích giảm thiểu rủi ro. chính xác là rủi ro bảo mật thông tin của nó.

Tất cả các rủi ro, bao gồm cả rủi ro bảo mật thông tin, được đặc trưng bởi hai thông số: thiệt hại tiềm ẩn đối với tổ chức và khả năng thực hiện. Việc sử dụng kết hợp hai đặc điểm này để phân tích rủi ro cho phép bạn so sánh rủi ro với các mức độ thiệt hại và xác suất khác nhau, đưa chúng đến một biểu thức chung dễ hiểu đối với những người ra quyết định liên quan đến việc giảm thiểu rủi ro trong tổ chức. Đồng thời, quy trình quản lý rủi ro bao gồm các giai đoạn hợp lý sau, thành phần và nội dung của chúng phụ thuộc vào phương pháp được sử dụng để đánh giá và quản lý rủi ro:

  1. Xác định mức độ rủi ro có thể chấp nhận được đối với tổ chức (khẩu vị rủi ro) - một tiêu chí được sử dụng khi quyết định chấp nhận hay xử lý rủi ro. Dựa trên tiêu chí này, người ta xác định những rủi ro nào được xác định trong tương lai sẽ được chấp nhận và loại trừ vô điều kiện khỏi việc xem xét thêm, và những rủi ro nào sẽ được phân tích sâu hơn và đưa vào kế hoạch ứng phó rủi ro.
  2. Xác định, phân tích và đánh giá rủi ro. Để đưa ra quyết định liên quan đến rủi ro, chúng phải được xác định và đánh giá rõ ràng về mặt thiệt hại do rủi ro gây ra và khả năng thực hiện rủi ro đó. Đánh giá thiệt hại xác định mức độ tác động của rủi ro đối với tài sản CNTT của tổ chức và các quy trình kinh doanh mà chúng hỗ trợ. Khi đánh giá xác suất, một phân tích được thực hiện về khả năng xảy ra rủi ro. Việc đánh giá các tham số này có thể dựa trên việc xác định và phân tích các lỗ hổng vốn có trong tài sản CNTT có thể bị ảnh hưởng bởi rủi ro và các mối đe dọa có thể được nhận ra thông qua việc khai thác các lỗ hổng này. Ngoài ra, tùy thuộc vào phương pháp đánh giá rủi ro được sử dụng, mô hình của kẻ tấn công, thông tin về quy trình kinh doanh của tổ chức và các yếu tố khác liên quan đến việc thực hiện rủi ro, chẳng hạn như tình hình chính trị, kinh tế, thị trường hoặc xã hội trong môi trường hoạt động của tổ chức, có thể được sử dụng. làm dữ liệu ban đầu để đánh giá chúng. Khi đánh giá rủi ro, có thể sử dụng cách tiếp cận định tính, định lượng hoặc hỗn hợp để đánh giá rủi ro. Ưu điểm của phương pháp định tính là tính đơn giản, giảm thiểu thời gian và chi phí lao động để thực hiện đánh giá rủi ro, hạn chế là không đủ tầm nhìn và độ phức tạp trong việc sử dụng kết quả phân tích rủi ro để biện minh về mặt kinh tế và đánh giá tính khả thi của việc đầu tư vào các biện pháp ứng phó rủi ro. Ưu điểm của phương pháp định lượng là tính chính xác của việc đánh giá rủi ro, kết quả rõ ràng và khả năng so sánh giá trị của rủi ro, được biểu thị bằng tiền, với số tiền đầu tư cần thiết để ứng phó với rủi ro này. cường độ lao động cao và thời gian thực hiện.
  3. Xếp hạng rủi ro. Để xác định mức độ ưu tiên trong việc ứng phó với rủi ro và sau đó xây dựng kế hoạch ứng phó, tất cả các rủi ro phải được xếp hạng. Khi xếp hạng rủi ro, tùy thuộc vào phương pháp được sử dụng, tiêu chí xác định mức độ nghiêm trọng có thể được áp dụng, chẳng hạn như thiệt hại do việc hiện thực hóa rủi ro, xác suất thực hiện, tài sản CNTT và quy trình kinh doanh bị ảnh hưởng bởi rủi ro, sự phản đối kịch liệt của công chúng và thiệt hại về danh tiếng do việc hiện thực hóa rủi ro. rủi ro, v.v.
  4. Đưa ra quyết định về rủi ro và xây dựng kế hoạch ứng phó với rủi ro. Để xác định tập hợp các biện pháp ứng phó rủi ro, cần phân tích các rủi ro đã được xác định và đánh giá để đưa ra một trong các quyết định sau đối với từng rủi ro:
    • Tránh rủi ro;
    • Chấp nhận rủi ro;
    • Chuyển giao rủi ro;
    • Giảm rủi ro.
    Quyết định đưa ra cho từng rủi ro phải được ghi lại trong kế hoạch ứng phó rủi ro. Ngoài ra, kế hoạch này có thể chứa, tùy thuộc vào phương pháp được sử dụng, các thông tin cần thiết sau đây để ứng phó với rủi ro:
    • Chịu trách nhiệm trả lời;
    • Mô tả các biện pháp ứng phó;
    • Đánh giá mức đầu tư cần thiết cho các biện pháp ứng phó;
    • Thời gian thực hiện các biện pháp này.
  5. Triển khai các biện pháp ứng phó với rủi ro. Để thực hiện các biện pháp ứng phó rủi ro, người có trách nhiệm tổ chức thực hiện các hành động được mô tả trong kế hoạch ứng phó rủi ro trong khung thời gian yêu cầu.
  6. Đánh giá hiệu quả của các biện pháp đã thực hiện. Để đạt được sự tin cậy rằng các biện pháp được áp dụng theo kế hoạch ứng phó là có hiệu quả và mức độ rủi ro có thể chấp nhận được đối với tổ chức, hiệu quả của từng biện pháp ứng phó rủi ro đã thực hiện đều được đánh giá, cũng như các rủi ro của tổ chức thường xuyên được xác định, phân tích và đánh giá. .
Hãy xem xét các phương pháp quản lý rủi ro bảo mật thông tin nổi tiếng nhất: CRAMM, COBIT for Risk, FRAP, Octave, Microsoft.

Tổng quan về kỹ thuật CRAMM

CRAMM (Phương pháp quản lý và phân tích rủi ro CCTA), được Cơ quan An ninh Vương quốc Anh phát triển vào năm 1985, dựa trên loạt tiêu chuẩn quản lý bảo mật thông tin BS7799 (hiện đã được sửa đổi thành ISO 27000) và mô tả cách tiếp cận để đánh giá rủi ro định tính. Trong trường hợp này, việc chuyển đổi sang thang giá trị của các chỉ số định tính xảy ra với sự trợ giúp của các bảng đặc biệt xác định sự tương ứng giữa các chỉ số định tính và định lượng. Đánh giá rủi ro dựa trên phân tích giá trị của tài sản CNTT đối với doanh nghiệp, các lỗ hổng, mối đe dọa và khả năng triển khai chúng.

Quy trình quản lý rủi ro sử dụng phương pháp CRAMM bao gồm các giai đoạn sau:

  1. Bắt đầu. Ở giai đoạn này, một loạt cuộc phỏng vấn được thực hiện với những người quan tâm đến quy trình phân tích rủi ro an toàn thông tin, bao gồm cả những người chịu trách nhiệm vận hành, quản trị, bảo mật và sử dụng tài sản CNTT mà việc phân tích rủi ro được thực hiện. Kết quả là, một mô tả chính thức về khu vực để nghiên cứu sâu hơn, ranh giới của nó được đưa ra và thành phần của những người tham gia phân tích rủi ro được xác định.
  2. Xác định và định giá tài sản. Danh sách các tài sản CNTT được tổ chức sử dụng trong lĩnh vực nghiên cứu đã xác định trước đó được xác định. Theo phương pháp CRAMM, tài sản CNTT có thể là một trong các loại sau:
    • Dữ liệu;
    • Phần mềm;
    • Tài sản vật chất.
    Đối với mỗi tài sản, mức độ quan trọng của nó đối với các hoạt động của tổ chức sẽ được xác định và cùng với đại diện của các bộ phận sử dụng tài sản CNTT để giải quyết các vấn đề được áp dụng, hậu quả đối với các hoạt động của tổ chức do vi phạm tính bảo mật, tính toàn vẹn và tính sẵn sàng của tài sản đó sẽ được đánh giá.
  3. Đánh giá mối đe dọa và tính dễ bị tổn thương. Ngoài việc đánh giá mức độ quan trọng của tài sản CNTT, một phần quan trọng của phương pháp CRAMM là đánh giá khả năng xảy ra các mối đe dọa và lỗ hổng của tài sản CNTT. Phương pháp CRAMM chứa các bảng mô tả sự tương ứng giữa các lỗ hổng tài sản CNTT và các mối đe dọa có thể ảnh hưởng đến tài sản CNTT thông qua các lỗ hổng này. Ngoài ra còn có các bảng mô tả thiệt hại đối với tài sản CNTT nếu những mối đe dọa này xảy ra. Giai đoạn này chỉ được thực hiện đối với các tài sản CNTT quan trọng nhất mà việc triển khai một bộ biện pháp bảo mật thông tin cơ bản là chưa đủ. Các lỗ hổng và mối đe dọa hiện tại được xác định bằng cách phỏng vấn những người chịu trách nhiệm quản lý và vận hành tài sản CNTT. Đối với các tài sản CNTT khác, phương pháp CRAMM bao gồm một tập hợp các biện pháp cơ bản cần thiết để đảm bảo an ninh thông tin.
  4. Tính toán rủi ro. Rủi ro được tính theo công thức: Rủi ro = P (thực hiện) * Thiệt hại. Trong trường hợp này, xác suất xảy ra rủi ro được tính theo công thức: P (thực hiện) = P (mối đe dọa) * P (khả năng dễ bị tổn thương). Ở giai đoạn tính toán rủi ro cho từng tài sản CNTT, yêu cầu về bộ biện pháp đảm bảo an toàn thông tin cho tài sản đó được xác định theo thang điểm từ “1” đến “7”, trong đó giá trị “1” tương ứng với bộ yêu cầu tối thiểu biện pháp đảm bảo an toàn thông tin và giá trị “7” – tối đa.
  5. Quản lý rủi ro. Dựa trên kết quả tính toán rủi ro, phương pháp CRAMM xác định bộ biện pháp cần thiết để đảm bảo an ninh thông tin. Với mục đích này, một danh mục đặc biệt được sử dụng, bao gồm khoảng 4 nghìn thước đo. Tập hợp các biện pháp được phương pháp CRAMM đề xuất được so sánh với các biện pháp đã được tổ chức thực hiện. Do đó, các khu vực cần chú ý thêm về việc áp dụng các biện pháp bảo vệ và các khu vực có các biện pháp bảo vệ dự phòng sẽ được xác định. Thông tin này được sử dụng để xây dựng kế hoạch hành động nhằm thay đổi thành phần của các biện pháp bảo vệ được sử dụng trong tổ chức - nhằm đưa mức độ rủi ro về mức yêu cầu.
Từ quan điểm ứng dụng thực tế, có thể nhận thấy những ưu điểm sau của kỹ thuật CRAMM:
  • Một phương pháp đã được thử nghiệm nhiều lần và tích lũy được nhiều kinh nghiệm cũng như năng lực chuyên môn; kết quả sử dụng CRAMM được các tổ chức quốc tế công nhận;
  • Sự hiện diện của một mô tả rõ ràng, chính thức về phương pháp luận sẽ giảm thiểu khả năng xảy ra sai sót khi thực hiện các quy trình quản lý và phân tích rủi ro;
  • Sự hiện diện của các công cụ tự động hóa để phân tích rủi ro cho phép bạn giảm thiểu chi phí lao động và thời gian cần thiết để thực hiện các hoạt động quản lý và phân tích rủi ro;
  • Danh mục các mối đe dọa, lỗ hổng, hậu quả và biện pháp bảo mật thông tin đơn giản hóa các yêu cầu về kiến ​​thức và năng lực đặc biệt của những người trực tiếp tham gia vào các hoạt động quản lý và phân tích rủi ro.
Tuy nhiên, phương pháp CRAMM có những nhược điểm sau:
  • Độ phức tạp và cường độ lao động cao trong việc thu thập dữ liệu ban đầu, đòi hỏi nguồn lực đáng kể từ bên trong tổ chức hoặc từ bên ngoài;
  • Chi phí lớn về nguồn lực và thời gian để thực hiện các quy trình phân tích và quản lý rủi ro an toàn thông tin;
  • Sự tham gia của một số lượng lớn các bên liên quan đòi hỏi chi phí đáng kể cho việc tổ chức hợp tác, liên lạc trong nhóm dự án và điều phối kết quả;
  • Việc không thể đánh giá rủi ro bằng tiền gây khó khăn cho việc sử dụng kết quả đánh giá rủi ro bảo mật thông tin trong nghiên cứu khả thi về các khoản đầu tư cần thiết để triển khai các công cụ và phương pháp bảo mật thông tin.
CRAMM được sử dụng rộng rãi trong cả các tổ chức chính phủ và thương mại trên toàn thế giới, là tiêu chuẩn thực tế để quản lý rủi ro an ninh thông tin ở Anh. Phương pháp này có thể được áp dụng thành công trong các tổ chức lớn tập trung vào tương tác quốc tế và tuân thủ các tiêu chuẩn quản lý quốc tế, tiến hành triển khai ban đầu các quy trình quản lý rủi ro bảo mật thông tin trên toàn bộ tổ chức cùng một lúc. Tuy nhiên, các tổ chức phải có khả năng dành nguồn lực và thời gian đáng kể để áp dụng CRAMM.

Tổng quan về phương pháp COBIT cho rủi ro

Phương pháp COBIT cho Rủi ro được ISACA (Hiệp hội Kiểm toán và Kiểm soát Hệ thống Thông tin) phát triển vào năm 2013 và dựa trên các phương pháp quản lý rủi ro tốt nhất (COSO ERM, ISO 31000, ISO\IEC 27xxx, v.v.). Phương pháp này xem xét các rủi ro bảo mật thông tin liên quan đến rủi ro trong các hoạt động cốt lõi của tổ chức, mô tả các cách tiếp cận để triển khai chức năng quản lý rủi ro bảo mật thông tin trong tổ chức và các quy trình phân tích định tính rủi ro bảo mật thông tin và quản lý chúng.

    Khi triển khai chức năng và quy trình quản lý rủi ro trong một tổ chức, phương pháp này xác định các thành phần sau ảnh hưởng đến cả rủi ro bảo mật thông tin và quy trình quản lý chúng:
    • Nguyên tắc, chính sách, thủ tục của tổ chức;
    • Quy trình;
    • Cơ cấu tổ chức;
    • Văn hóa doanh nghiệp, đạo đức và quy tắc ứng xử;
    • Thông tin;
    • Dịch vụ CNTT, hạ tầng và ứng dụng CNTT;
    • Con người, kinh nghiệm và năng lực của họ.

    Về mặt tổ chức chức năng quản lý rủi ro an toàn thông tin, phương pháp luận xác định và mô tả các yêu cầu đối với các thành phần sau:
    • Quá trình cần thiết;
    • Luồng thông tin;
    • Cơ cấu tổ chức;
    • Con người và năng lực.
    Yếu tố chính của việc phân tích và quản lý rủi ro bảo mật thông tin theo phương pháp này là các kịch bản rủi ro. Mỗi kịch bản là “mô tả về một sự kiện mà nếu nó xảy ra có thể dẫn đến tác động không chắc chắn (tích cực hoặc tiêu cực) đến việc đạt được các mục tiêu của tổ chức”. Phương pháp này chứa hơn 100 kịch bản rủi ro bao gồm các loại tác động sau:
    • Tạo và duy trì danh mục dự án CNTT;
    • Quản lý vòng đời chương trình/dự án;
    • Đầu tư vào CNTT;
    • Chuyên môn và kỹ năng của nhân viên CNTT;
    • Hoạt động nhân sự;
    • Thông tin;
    • Ngành kiến ​​​​trúc;
    • Cơ sở hạ tầng CNTT;
    • Phần mềm;
    • Sử dụng CNTT không hiệu quả;
    • Lựa chọn và quản lý các nhà cung cấp CNTT;
    • Tuân thủ quy định;
    • Địa chính trị;
    • Trộm cắp các yếu tố cơ sở hạ tầng;
    • Phần mềm độc hại;
    • Tấn công hợp lý;
    • Tác động công nghệ;
    • Môi trường;
    • Hiện tượng tự nhiên;
    • Sự đổi mới.
    Đối với mỗi kịch bản rủi ro, phương pháp luận sẽ xác định mức độ thuộc về từng loại rủi ro:
    • Rủi ro chiến lược – rủi ro liên quan đến việc bỏ lỡ cơ hội sử dụng CNTT để phát triển và nâng cao hiệu quả các hoạt động cốt lõi của tổ chức;
    • Rủi ro dự án – rủi ro liên quan đến ảnh hưởng của CNTT đến việc tạo ra hoặc phát triển các quy trình hiện có của tổ chức;
    • Rủi ro trong quản lý CNTT và cung cấp dịch vụ CNTT là những rủi ro liên quan đến việc đảm bảo tính sẵn sàng, ổn định và cung cấp dịch vụ CNTT cho người dùng với mức chất lượng theo yêu cầu, các vấn đề có thể dẫn đến thiệt hại cho các hoạt động cốt lõi của tổ chức.
    Mỗi kịch bản rủi ro chứa các thông tin sau:
    • Loại nguồn đe dọa - bên trong/bên ngoài.
    • Loại mối đe dọa - hành động nguy hiểm, hiện tượng tự nhiên, lỗi, v.v.
    • Mô tả sự kiện - truy cập thông tin, phá hủy, sửa đổi, tiết lộ thông tin, trộm cắp, v.v.
    • Các loại tài sản (thành phần) của tổ chức bị ảnh hưởng bởi sự kiện - con người, quy trình, cơ sở hạ tầng CNTT, v.v.
    • Thời gian sự kiện.
    Nếu một kịch bản rủi ro xảy ra, tổ chức sẽ bị thiệt hại. Do đó, khi phân tích rủi ro bảo mật thông tin theo phương pháp COBIT for Risk, các kịch bản rủi ro liên quan đến tổ chức sẽ được xác định và các biện pháp giảm thiểu rủi ro nhằm mục đích giảm khả năng xảy ra các tình huống này. Đối với mỗi rủi ro đã xác định, việc phân tích mức độ tuân thủ khẩu vị rủi ro của tổ chức sẽ được thực hiện, sau đó đưa ra một trong các quyết định sau:
    • Tránh rủi ro;
    • Chấp nhận rủi ro;
    • Chuyển giao rủi ro;
    • Giảm rủi ro.
    Quản lý rủi ro hơn nữa được thực hiện bằng cách phân tích mức độ rủi ro còn lại và quyết định sự cần thiết phải thực hiện các biện pháp giảm thiểu rủi ro bổ sung. Phương pháp này bao gồm các khuyến nghị để thực hiện các biện pháp giảm thiểu rủi ro cho từng loại thành phần tổ chức.

    Từ quan điểm ứng dụng thực tế, có thể nêu bật những ưu điểm sau của phương pháp COBIT cho Rủi ro:
    • Kết nối với thư viện chung COBIT và khả năng sử dụng các phương pháp tiếp cận và “kiểm soát CNTT” (giảm thiểu rủi ro) từ các lĩnh vực liên quan để xem xét các rủi ro và biện pháp giảm nhẹ bảo mật thông tin liên quan đến tác động của rủi ro đối với quy trình kinh doanh của tổ chức;
    • Một phương pháp được thử nghiệm nhiều lần, trong đó kinh nghiệm và năng lực chuyên môn đáng kể đã được tích lũy và kết quả được các tổ chức quốc tế công nhận;
    • Sự hiện diện của một mô tả rõ ràng, chính thức về phương pháp luận cho phép chúng tôi giảm thiểu sai sót trong việc thực hiện các quy trình quản lý và phân tích rủi ro;
    • Danh mục các kịch bản rủi ro và “kiểm soát CNTT” giúp đơn giản hóa các yêu cầu về kiến ​​thức và năng lực đặc biệt của những người trực tiếp tham gia vào các hoạt động quản lý và phân tích rủi ro;
    • Khả năng sử dụng phương pháp này khi tiến hành đánh giá cho phép bạn giảm chi phí lao động và thời gian cần thiết để diễn giải kết quả đánh giá bên ngoài và nội bộ.
    Đồng thời, phương pháp COBIT cho Rủi ro có những nhược điểm và hạn chế sau:
    • Độ phức tạp cao và cường độ lao động của việc thu thập dữ liệu ban đầu đòi hỏi sự tham gia của các nguồn lực quan trọng trong hoặc ngoài tổ chức;
    • Sự tham gia của một số lượng lớn các bên liên quan đòi hỏi chi phí đáng kể cho việc tổ chức hợp tác, phân bổ thời gian của những người liên quan để liên lạc trong nhóm dự án và thống nhất kết quả với tất cả các bên liên quan;
    • Việc thiếu khả năng đánh giá rủi ro về mặt tiền tệ gây khó khăn cho việc sử dụng kết quả đánh giá rủi ro bảo mật thông tin khi biện minh cho các khoản đầu tư cần thiết để triển khai các công cụ và phương pháp bảo mật thông tin.
    Phương pháp này được sử dụng trong cả chính phủ và các tổ chức thương mại trên toàn thế giới. Phương pháp này phù hợp nhất với các tổ chức công nghệ lớn hoặc các tổ chức có mức độ phụ thuộc cao vào hoạt động cốt lõi của họ vào công nghệ thông tin, dành cho những tổ chức đã sử dụng (hoặc có kế hoạch sử dụng) các tiêu chuẩn và phương pháp COBIT để quản lý công nghệ thông tin và có các nguồn lực và điều kiện cần thiết. năng lực cho việc này. Trong trường hợp này, có thể tích hợp hiệu quả các quy trình quản lý rủi ro an toàn thông tin và quy trình quản lý CNTT chung và đạt được hiệu quả tổng hợp giúp tối ưu hóa chi phí thực hiện các quy trình quản lý và phân tích rủi ro an toàn thông tin.

Hiện nay, rủi ro an toàn thông tin đang là mối đe dọa lớn đối với hoạt động bình thường của nhiều doanh nghiệp, tổ chức. Trong thời đại công nghệ thông tin của chúng ta, việc thu thập bất kỳ dữ liệu nào thực tế không khó. Một mặt, điều này tất nhiên mang lại nhiều mặt tích cực nhưng lại trở thành vấn đề đối với bộ mặt và thương hiệu của nhiều công ty.

Bảo vệ thông tin trong doanh nghiệp hiện nay gần như trở thành ưu tiên hàng đầu. Các chuyên gia tin rằng chỉ bằng cách phát triển một chuỗi hành động có ý thức nhất định thì mục tiêu này mới có thể đạt được. Trong trường hợp này, chỉ có thể được hướng dẫn bởi các sự kiện đáng tin cậy và sử dụng các phương pháp phân tích tiên tiến. Sự phát triển trực giác và kinh nghiệm của chuyên gia chịu trách nhiệm về bộ phận này trong doanh nghiệp đã đóng góp nhất định.

Tài liệu này sẽ cho bạn biết về việc quản lý rủi ro bảo mật thông tin của một thực thể kinh doanh.

Những loại mối đe dọa có thể tồn tại trong môi trường thông tin?

Có thể có nhiều loại mối đe dọa. Phân tích rủi ro bảo mật thông tin doanh nghiệp bắt đầu bằng việc xem xét tất cả các mối đe dọa tiềm ẩn có thể xảy ra. Điều này là cần thiết để quyết định các phương pháp xác minh trong trường hợp xảy ra những tình huống không lường trước được, cũng như để tạo ra một hệ thống bảo vệ thích hợp. Rủi ro bảo mật thông tin được chia thành các loại nhất định tùy thuộc vào các tiêu chí phân loại khác nhau. Chúng có các loại sau:

  • nguồn vật chất;
  • việc sử dụng mạng máy tính và World Wide Web không phù hợp;
  • rò rỉ từ các nguồn kín;
  • rò rỉ bằng biện pháp kỹ thuật;
  • xâm nhập trái phép;
  • tấn công tài sản thông tin;
  • vi phạm tính toàn vẹn của việc sửa đổi dữ liệu;
  • trường hợp khẩn cấp;
  • vi phạm pháp luật.

Khái niệm “mối đe dọa vật lý đối với an ninh thông tin” bao gồm những gì?

Các loại rủi ro bảo mật thông tin được xác định tùy thuộc vào nguồn phát sinh, phương pháp thực hiện hành vi xâm nhập bất hợp pháp và mục đích. Đơn giản nhất về mặt kỹ thuật nhưng vẫn yêu cầu thực hiện chuyên nghiệp là các mối đe dọa vật lý. Chúng thể hiện sự truy cập trái phép vào các nguồn đóng. Đó là, quá trình này trên thực tế là một hành vi trộm cắp thông thường. Thông tin có thể được lấy một cách cá nhân, bằng chính đôi tay của bạn, chỉ bằng cách xâm chiếm lãnh thổ của tổ chức, văn phòng, cơ quan lưu trữ để có quyền truy cập vào thiết bị kỹ thuật, tài liệu và các phương tiện thông tin khác.

Hành vi trộm cắp thậm chí có thể không liên quan đến bản thân dữ liệu mà là nơi lưu trữ dữ liệu, tức là chính thiết bị máy tính. Để làm gián đoạn các hoạt động bình thường của một tổ chức, kẻ tấn công có thể chỉ cần khiến phương tiện lưu trữ hoặc thiết bị kỹ thuật gặp trục trặc.

Mục đích của việc xâm nhập vật lý cũng có thể là để giành quyền truy cập vào một hệ thống cần bảo vệ thông tin. Kẻ tấn công có thể thay đổi các tùy chọn mạng chịu trách nhiệm về bảo mật thông tin để tạo điều kiện thuận lợi hơn nữa cho việc thực hiện các phương pháp bất hợp pháp.

Khả năng xảy ra mối đe dọa vật lý cũng có thể được cung cấp bởi các thành viên của nhiều nhóm khác nhau, những người có quyền truy cập vào thông tin mật chưa được công khai. Mục tiêu của họ là tài liệu có giá trị. Những người như vậy được gọi là người trong cuộc.

Hoạt động của những kẻ tấn công bên ngoài có thể hướng vào cùng một đối tượng.

Làm thế nào chính nhân viên công ty có thể trở thành nguyên nhân của các mối đe dọa?

Rủi ro bảo mật thông tin thường phát sinh do nhân viên sử dụng Internet và hệ thống máy tính nội bộ không phù hợp. Những kẻ tấn công rất giỏi lợi dụng sự thiếu kinh nghiệm, bất cẩn và thiếu hiểu biết của một số người về bảo mật thông tin. Để loại trừ tùy chọn đánh cắp dữ liệu bí mật này, ban quản lý của nhiều tổ chức áp dụng chính sách đặc biệt đối với nhân viên của họ. Mục tiêu của nó là dạy cho mọi người các quy tắc ứng xử và sử dụng mạng. Đây là một thực tế khá phổ biến vì các mối đe dọa phát sinh theo cách này khá phổ biến. Các chương trình rèn luyện kỹ năng bảo mật thông tin cho nhân viên doanh nghiệp bao gồm:

  • khắc phục tình trạng sử dụng kém hiệu quả các công cụ kiểm toán;
  • giảm mức độ mọi người sử dụng các công cụ đặc biệt để xử lý dữ liệu;
  • giảm việc sử dụng các nguồn lực và tài sản;
  • đào tạo cách tiếp cận các công cụ mạng chỉ bằng các phương pháp đã được thiết lập;
  • xác định các vùng ảnh hưởng và chỉ định lãnh thổ chịu trách nhiệm.

Khi mỗi nhân viên hiểu rằng số phận của tổ chức phụ thuộc vào việc thực hiện có trách nhiệm các nhiệm vụ được giao, thì anh ta sẽ cố gắng tuân thủ mọi quy tắc. Cần đặt ra nhiệm vụ cụ thể cho mọi người và chứng minh kết quả đạt được.

Các điều khoản bảo mật bị vi phạm như thế nào?

Rủi ro và mối đe dọa đối với an ninh thông tin phần lớn liên quan đến việc thu thập thông tin bất hợp pháp mà những người không có thẩm quyền không được phép tiếp cận. Kênh rò rỉ đầu tiên và phổ biến nhất là tất cả các loại phương thức liên lạc và liên lạc. Vào thời điểm mà dường như thư từ cá nhân chỉ được cung cấp cho hai bên thì nó lại bị các bên quan tâm chặn lại. Mặc dù những người hợp lý hiểu rằng cần phải truyền đạt một điều gì đó cực kỳ quan trọng và bí mật theo những cách khác.

Vì hiện nay rất nhiều thông tin được lưu trữ trên phương tiện di động nên những kẻ tấn công đang tích cực làm chủ việc chặn thông tin thông qua loại công nghệ này. Nghe các kênh liên lạc rất phổ biến, chỉ có điều bây giờ mọi nỗ lực của các thiên tài công nghệ đều nhằm mục đích phá vỡ hàng rào bảo vệ của smartphone.

Thông tin bí mật có thể bị tiết lộ một cách vô ý bởi nhân viên của một tổ chức. Họ không thể trực tiếp tiết lộ tất cả “diện mạo và mật khẩu” mà chỉ hướng dẫn kẻ tấn công đi đúng hướng. Ví dụ, mọi người cung cấp thông tin về vị trí của tài liệu quan trọng mà không hề biết.

Không phải lúc nào cũng chỉ có cấp dưới mới dễ bị tổn thương. Các nhà thầu cũng có thể cung cấp thông tin bí mật trong quá trình hợp tác.

Vi phạm an toàn thông tin bằng phương tiện kỹ thuật như thế nào?

Việc đảm bảo an ninh thông tin phần lớn nhờ vào việc sử dụng các phương tiện bảo vệ kỹ thuật đáng tin cậy. Nếu hệ thống hỗ trợ hiệu quả và hiệu quả, ít nhất là ở bản thân thiết bị, thì đây đã là một nửa thành công.

Về cơ bản, rò rỉ thông tin đạt được bằng cách kiểm soát các tín hiệu khác nhau. Các phương pháp tương tự bao gồm việc tạo ra các nguồn phát sóng hoặc tín hiệu vô tuyến chuyên dụng. Cái sau có thể là điện, âm thanh hoặc rung.

Khá thường xuyên, các dụng cụ quang học được sử dụng cho phép đọc thông tin từ màn hình và màn hình.

Sự đa dạng của các thiết bị cung cấp nhiều phương pháp khác nhau để kẻ tấn công xâm nhập và trích xuất thông tin. Ngoài các phương pháp trên còn có trinh sát truyền hình, chụp ảnh và trực quan.

Do khả năng rộng rãi như vậy, kiểm toán an ninh thông tin chủ yếu bao gồm việc kiểm tra và phân tích hoạt động của các phương tiện kỹ thuật để bảo vệ dữ liệu bí mật.

Điều gì được coi là truy cập trái phép vào thông tin doanh nghiệp?

Không thể quản lý rủi ro bảo mật thông tin nếu không ngăn chặn các mối đe dọa truy cập trái phép.

Một trong những đại diện nổi bật nhất của phương pháp hack hệ thống bảo mật của người khác này là việc gán ID người dùng. Phương pháp này được gọi là “Masquerade”. Truy cập trái phép trong trường hợp này liên quan đến việc sử dụng dữ liệu xác thực. Nghĩa là, mục tiêu của kẻ xâm nhập là lấy được mật khẩu hoặc bất kỳ mã định danh nào khác.

Những kẻ tấn công có thể gây ảnh hưởng từ bên trong đối tượng hoặc từ bên ngoài. Họ có thể lấy thông tin họ cần từ các nguồn như nhật ký kiểm tra hoặc công cụ kiểm tra.

Thông thường, người phạm tội cố gắng áp dụng chính sách thực thi và sử dụng các phương pháp tưởng chừng như hoàn toàn hợp pháp.

Truy cập trái phép áp dụng cho các nguồn thông tin sau:

  • trang web và máy chủ bên ngoài;
  • mạng không dây doanh nghiệp;
  • sao lưu dữ liệu.

Có vô số cách và phương pháp truy cập trái phép. Những kẻ tấn công tìm kiếm những sai sót và lỗ hổng trong cấu hình và kiến ​​trúc phần mềm. Họ thu được dữ liệu bằng cách sửa đổi phần mềm. Để vô hiệu hóa và ru ngủ sự cảnh giác, những kẻ vi phạm khởi động phần mềm độc hại và bom logic.

Các mối đe dọa pháp lý đối với an ninh thông tin của công ty là gì?

Quản lý rủi ro bảo mật thông tin hoạt động theo nhiều hướng khác nhau, vì mục tiêu chính của nó là đảm bảo sự bảo vệ toàn diện và toàn diện cho doanh nghiệp khỏi sự xâm nhập từ bên ngoài.

Không kém phần quan trọng so với định hướng kỹ thuật là định hướng pháp lý. Bằng cách này, ngược lại, có vẻ như sẽ bảo vệ lợi ích, hóa ra lại thu được thông tin rất hữu ích.

Vi phạm về mặt pháp lý có thể liên quan đến quyền sở hữu, bản quyền và quyền sáng chế. Việc sử dụng phần mềm bất hợp pháp, bao gồm cả xuất nhập khẩu, cũng thuộc loại này. Bạn chỉ có thể vi phạm các yêu cầu pháp lý nếu không tuân thủ các điều khoản của hợp đồng hoặc khuôn khổ pháp lý nói chung.

Làm thế nào để đặt mục tiêu bảo mật thông tin?

Đảm bảo an ninh thông tin bắt đầu từ việc thiết lập khu vực bảo vệ. Cần xác định rõ cái gì cần được bảo vệ và khỏi ai. Để làm điều này, chân dung của một tên tội phạm tiềm năng cũng như các phương pháp hack và xâm nhập có thể được xác định. Để đặt mục tiêu, trước tiên bạn cần nói chuyện với quản lý. Nó sẽ đề xuất các khu vực ưu tiên bảo vệ.

Từ thời điểm này, quá trình kiểm tra bảo mật thông tin bắt đầu. Nó cho phép bạn xác định tỷ lệ cần thiết để áp dụng các kỹ thuật công nghệ và phương pháp kinh doanh. Kết quả của quá trình này là danh sách các hoạt động cuối cùng, trong đó đặt ra các mục tiêu mà đơn vị phải đối mặt để đảm bảo bảo vệ khỏi sự xâm nhập trái phép. Thủ tục kiểm toán nhằm mục đích xác định các điểm quan trọng và điểm yếu của hệ thống cản trở hoạt động và phát triển bình thường của doanh nghiệp.

Sau khi thiết lập mục tiêu, một cơ chế thực hiện chúng sẽ được phát triển. Các công cụ giám sát và giảm thiểu rủi ro đang được phát triển.

Tài sản đóng vai trò gì trong phân tích rủi ro?

Rủi ro bảo mật thông tin tổ chức ảnh hưởng trực tiếp đến tài sản doanh nghiệp. Suy cho cùng, mục tiêu của những kẻ tấn công là lấy được thông tin có giá trị. Sự mất mát hoặc tiết lộ của nó chắc chắn sẽ dẫn đến thua lỗ. Thiệt hại do sự xâm nhập trái phép có thể có tác động trực tiếp hoặc chỉ có thể có tác động gián tiếp. Nghĩa là, các hành động trái pháp luật chống lại một tổ chức có thể dẫn đến mất hoàn toàn quyền kiểm soát doanh nghiệp.

Mức độ thiệt hại được đánh giá theo tài sản sẵn có của tổ chức. Nguồn lực chủ đề là tất cả các nguồn lực đóng góp vào việc thực hiện các mục tiêu quản lý theo bất kỳ cách nào. Tài sản của doanh nghiệp là tất cả các tài sản hữu hình và vô hình tạo ra và giúp tạo ra thu nhập.

Có một số loại tài sản:

  • vật liệu;
  • nhân loại;
  • thông tin;
  • tài chính;
  • quá trình;
  • thương hiệu và quyền lực.

Loại tài sản cuối cùng bị ảnh hưởng nhiều nhất từ ​​sự xâm nhập trái phép. Điều này là do thực tế là bất kỳ rủi ro bảo mật thông tin thực sự nào cũng ảnh hưởng đến hình ảnh. Các vấn đề trong lĩnh vực này sẽ tự động làm giảm sự tôn trọng và tin tưởng đối với một doanh nghiệp như vậy, vì không ai muốn thông tin bí mật của mình bị lộ ra ngoài. Mọi tổ chức có lòng tự trọng đều quan tâm đến việc bảo vệ nguồn thông tin của chính mình.

Các yếu tố khác nhau ảnh hưởng đến mức độ và tài sản nào sẽ bị ảnh hưởng. Chúng được chia thành bên ngoài và bên trong. Tác động phức tạp của chúng, như một quy luật, đồng thời ảnh hưởng đến một số nhóm tài nguyên có giá trị.

Toàn bộ hoạt động kinh doanh của doanh nghiệp được xây dựng trên tài sản. Họ hiện diện ở một mức độ nào đó trong hoạt động của bất kỳ tổ chức nào. Chỉ là đối với một số người, một số nhóm quan trọng hơn và những nhóm khác ít quan trọng hơn. Tùy thuộc vào loại tài sản mà kẻ tấn công có thể tác động, kết quả, tức là thiệt hại gây ra, sẽ phụ thuộc.

Đánh giá rủi ro bảo mật thông tin cho phép bạn xác định rõ ràng các tài sản chính và nếu chúng bị ảnh hưởng, điều này sẽ gây ra những tổn thất không thể khắc phục cho doanh nghiệp. Bản thân ban quản lý nên chú ý đến những nhóm tài nguyên có giá trị này vì sự an toàn của chúng chính là vì lợi ích của chủ sở hữu.

Khu vực ưu tiên dành cho bộ phận an ninh thông tin được chiếm giữ bởi các tài sản phụ trợ. Một người đặc biệt chịu trách nhiệm bảo vệ họ. Những rủi ro liên quan đến chúng không nghiêm trọng và chỉ ảnh hưởng đến hệ thống quản lý.

Các yếu tố bảo mật thông tin là gì?

Tính toán rủi ro an toàn thông tin bao gồm việc xây dựng một mô hình chuyên biệt. Nó đại diện cho các nút được kết nối với nhau bằng các kết nối chức năng. Các nút là những tài sản tương tự. Mô hình sử dụng các tài nguyên có giá trị sau:

  • Mọi người;
  • chiến lược;
  • công nghệ;
  • quá trình.

Những xương sườn nối chúng lại chính là yếu tố nguy hiểm nhất. Để xác định các mối đe dọa có thể xảy ra, tốt nhất bạn nên liên hệ trực tiếp với bộ phận hoặc chuyên gia làm việc với những tài sản này. Bất kỳ yếu tố rủi ro tiềm ẩn nào cũng có thể là điều kiện tiên quyết để hình thành vấn đề. Mô hình nêu bật những mối đe dọa chính có thể phát sinh.

Về đội ngũ, vấn đề nằm ở trình độ học vấn thấp, thiếu nhân sự và thiếu động lực.

Rủi ro quy trình bao gồm biến đổi môi trường, tự động hóa sản xuất kém và phân chia trách nhiệm không rõ ràng.

Công nghệ có thể bị ảnh hưởng bởi phần mềm lỗi thời và thiếu khả năng kiểm soát người dùng. Các vấn đề với bối cảnh công nghệ thông tin không đồng nhất cũng có thể là nguyên nhân.

Ưu điểm của mô hình này là các giá trị ngưỡng của rủi ro bảo mật thông tin không được thiết lập rõ ràng, do vấn đề được nhìn nhận từ nhiều góc độ khác nhau.

Kiểm toán an ninh thông tin là gì?

Một thủ tục quan trọng trong lĩnh vực bảo mật thông tin doanh nghiệp là kiểm toán. Đó là kiểm tra trạng thái hiện tại của hệ thống bảo vệ chống lại sự xâm nhập trái phép. Quá trình kiểm toán xác định mức độ tuân thủ các yêu cầu đã thiết lập. Việc thực hiện nó là bắt buộc đối với một số loại tổ chức; đối với một số loại tổ chức khác, nó mang tính chất tư vấn. Việc kiểm tra được thực hiện liên quan đến hồ sơ tài liệu của bộ phận kế toán, thuế, thiết bị kỹ thuật và bộ phận kinh tế tài chính.

Việc kiểm tra là cần thiết để hiểu mức độ bảo mật và trong trường hợp không tuân thủ, hãy tối ưu hóa trở lại bình thường. Quy trình này cũng cho phép bạn đánh giá tính khả thi của việc đầu tư tài chính vào bảo mật thông tin. Cuối cùng, chuyên gia sẽ đưa ra khuyến nghị về tỷ lệ chi tiêu tài chính để đạt được hiệu quả tối đa. Việc kiểm tra cho phép bạn điều chỉnh các biện pháp kiểm soát.

Giám định an toàn thông tin được chia thành nhiều giai đoạn:

  1. Đặt ra mục tiêu và cách thức để đạt được chúng.
  2. Phân tích thông tin cần thiết để đưa ra phán quyết.
  3. Xử lý dữ liệu thu thập được.
  4. Ý kiến ​​và khuyến nghị của chuyên gia.

Cuối cùng, chuyên gia sẽ đưa ra quyết định của mình. Các khuyến nghị của ủy ban thường nhằm mục đích thay đổi cấu hình của thiết bị kỹ thuật cũng như máy chủ. Thông thường, một doanh nghiệp gặp khó khăn sẽ được yêu cầu chọn một phương pháp bảo mật khác. Có lẽ, để tăng cường thêm, các chuyên gia sẽ quy định một loạt các biện pháp bảo vệ.

Công việc sau khi nhận được kết quả đánh giá nhằm mục đích thông báo cho nhóm về các vấn đề. Nếu điều này là cần thiết thì nên tiến hành đào tạo bổ sung để tăng cường giáo dục nhân viên về việc bảo vệ tài nguyên thông tin doanh nghiệp.

Cách đánh giá chính xác rủi ro bảo mật thông tin - công thức của chúng tôi

Nhiệm vụ đánh giá rủi ro bảo mật thông tin ngày nay được cộng đồng chuyên gia nhìn nhận một cách mơ hồ và có một số lý do giải thích cho điều này. Thứ nhất, không có tiêu chuẩn vàng hay cách tiếp cận nào được chấp nhận rộng rãi. Nhiều tiêu chuẩn và phương pháp, mặc dù giống nhau về mặt tổng quát, nhưng lại khác nhau đáng kể về chi tiết. Việc sử dụng một kỹ thuật cụ thể phụ thuộc vào lĩnh vực và đối tượng đánh giá. Nhưng việc lựa chọn phương pháp thích hợp có thể trở thành một vấn đề nếu những người tham gia quá trình đánh giá có cách hiểu khác nhau về nó và kết quả của nó.

Thứ hai, đánh giá rủi ro an ninh thông tin là một nhiệm vụ thuần túy của chuyên gia. Phân tích các yếu tố rủi ro (như thiệt hại, mối đe dọa, lỗ hổng, v.v.) được thực hiện bởi các chuyên gia khác nhau thường cho kết quả khác nhau. Việc thiếu khả năng tái tạo của các kết quả đánh giá đặt ra câu hỏi về độ tin cậy và tính hữu ích của dữ liệu thu được. Bản chất con người là những đánh giá trừu tượng, đặc biệt là những đánh giá liên quan đến đơn vị đo lường xác suất, được mọi người nhìn nhận một cách khác nhau. Các lý thuyết ứng dụng hiện tại được thiết kế để tính đến thước đo nhận thức chủ quan của một người (ví dụ: lý thuyết triển vọng) làm phức tạp thêm phương pháp phân tích rủi ro vốn đã phức tạp và không góp phần phổ biến nó.

Thứ ba, bản thân quy trình đánh giá rủi ro theo nghĩa cổ điển của nó, với việc phân tách và kiểm kê tài sản, là một công việc tốn rất nhiều công sức. Việc cố gắng thực hiện phân tích theo cách thủ công bằng các công cụ văn phòng thông thường (chẳng hạn như bảng tính) chắc chắn sẽ khiến bạn chìm đắm trong biển thông tin. Các công cụ phần mềm chuyên dụng được thiết kế để đơn giản hóa các giai đoạn phân tích rủi ro riêng lẻ tạo điều kiện thuận lợi cho việc lập mô hình ở một mức độ nào đó, nhưng hoàn toàn không đơn giản hóa việc thu thập và hệ thống hóa dữ liệu.

Cuối cùng, định nghĩa về rủi ro trong bối cảnh vấn đề an toàn thông tin vẫn chưa được thiết lập. Chỉ cần nhìn vào những thay đổi về thuật ngữ của ISO Guide 73:2009 so với phiên bản 2002. Nếu trước đây rủi ro được định nghĩa là khả năng gây thiệt hại do một mối đe dọa nào đó khai thác lỗ hổng thì bây giờ nó là tác động của sai lệch so với kết quả mong đợi. Những thay đổi khái niệm tương tự đã xảy ra trong phiên bản mới của tiêu chuẩn ISO/IEC 27001:2013.

Vì những lý do này, cũng như một số lý do khác, việc đánh giá rủi ro bảo mật thông tin tốt nhất nên được xử lý một cách thận trọng và tệ nhất là có sự nghi ngờ lớn. Điều này làm mất uy tín của chính ý tưởng quản lý rủi ro, cuối cùng dẫn đến việc ban quản lý phá hoại quá trình này và kết quả là xảy ra nhiều sự cố tràn ngập các báo cáo phân tích hàng năm.

Xét những điều trên, nên tiếp cận nhiệm vụ đánh giá rủi ro an toàn thông tin từ phía nào tốt hơn?

Một cái nhìn mới mẻ

Bảo mật thông tin ngày nay ngày càng tập trung vào mục tiêu kinh doanh và được tích hợp vào các quy trình kinh doanh. Những biến thái tương tự xảy ra với việc đánh giá rủi ro - nó có được bối cảnh kinh doanh cần thiết. Phương pháp đánh giá rủi ro bảo mật thông tin hiện đại cần đáp ứng những tiêu chí nào? Rõ ràng, nó phải đủ đơn giản và phổ quát để kết quả áp dụng của nó đáng tin cậy và hữu ích cho tất cả những người tham gia vào quá trình này. Chúng ta hãy nêu bật một số nguyên tắc làm cơ sở cho phương pháp luận như vậy:

  1. tránh chi tiết quá mức;
  2. dựa vào ý kiến ​​kinh doanh;
  3. sử dụng ví dụ;
  4. xem xét các nguồn thông tin bên ngoài.

Bản chất của phương pháp đề xuất được thể hiện rõ nhất bằng một ví dụ thực tế. Hãy xem xét nhiệm vụ đánh giá rủi ro bảo mật thông tin trong một công ty thương mại và sản xuất. Nó thường bắt đầu từ đâu? Từ việc xác định ranh giới của việc đánh giá. Nếu đánh giá rủi ro được thực hiện lần đầu tiên, ranh giới của nó phải bao gồm các quy trình kinh doanh chính tạo ra doanh thu cũng như các quy trình phục vụ chúng.

Nếu các quy trình kinh doanh không được ghi lại, bạn có thể có được ý tưởng chung về chúng bằng cách nghiên cứu cơ cấu tổ chức và các quy định đối với các bộ phận có mô tả về mục tiêu và mục đích.

Sau khi xác định được ranh giới của việc đánh giá, hãy chuyển sang việc xác định tài sản. Theo quy định trên, chúng tôi sẽ coi các quy trình kinh doanh chính là tài sản mở rộng, hoãn việc kiểm kê tài nguyên thông tin sang các giai đoạn sau (quy tắc 1). Điều này là do thực tế là phương pháp này liên quan đến sự chuyển đổi dần dần từ cái chung sang cái cụ thể và ở mức độ chi tiết này, dữ liệu này đơn giản là không cần thiết.

Các yếu tố rủi ro

Chúng ta sẽ giả định rằng chúng ta đã quyết định được thành phần của tài sản được định giá. Tiếp theo, bạn cần xác định các mối đe dọa và lỗ hổng liên quan đến chúng. Tuy nhiên, cách tiếp cận này chỉ có thể áp dụng khi thực hiện phân tích rủi ro chi tiết, trong đó đối tượng của môi trường tài sản thông tin là đối tượng đánh giá. Trong phiên bản mới của tiêu chuẩn ISO/IEC 27001:2013, trọng tâm đánh giá rủi ro đã chuyển từ tài sản CNTT truyền thống sang thông tin và quá trình xử lý thông tin. Vì ở mức độ chi tiết hiện tại, chúng tôi đang xem xét các quy trình kinh doanh mở rộng của công ty nên chỉ cần xác định các yếu tố rủi ro cấp độ cao vốn có trong đó là đủ.

Yếu tố rủi ro là một đặc điểm cụ thể của một đối tượng, công nghệ hoặc quy trình là nguồn gốc của các vấn đề trong tương lai. Đồng thời, chúng ta chỉ có thể nói về sự hiện diện của rủi ro nếu vấn đề đó ảnh hưởng tiêu cực đến hiệu quả hoạt động của công ty. Một chuỗi logic được xây dựng:

Do đó, nhiệm vụ xác định các yếu tố rủi ro bắt nguồn từ việc xác định các thuộc tính và đặc điểm không thành công của các quy trình nhằm xác định các kịch bản rủi ro có thể xảy ra có tác động tiêu cực đến doanh nghiệp. Để đơn giản hóa giải pháp, chúng tôi sẽ sử dụng mô hình kinh doanh bảo mật thông tin do hiệp hội ISACA phát triển (xem Hình 1):

Cơm. 1. Mô hình kinh doanh bảo mật thông tin

Các nút của mô hình chỉ ra các động lực cơ bản của bất kỳ tổ chức nào: chiến lược, quy trình, con người và công nghệ, đồng thời các cạnh của nó thể hiện các kết nối chức năng giữa chúng. Các yếu tố nguy cơ chính chủ yếu tập trung ở những xương sườn này. Như bạn có thể dễ dàng nhận thấy, rủi ro không chỉ liên quan đến công nghệ thông tin.

Làm thế nào để xác định các yếu tố rủi ro dựa trên mô hình trên? Doanh nghiệp cần phải tham gia vào việc này (quy tắc 2). Các đơn vị kinh doanh thường hiểu rõ những vấn đề họ gặp phải trong hoạt động của mình. Kinh nghiệm của các đồng nghiệp trong ngành thường được nhắc lại. Bạn có thể có được thông tin này bằng cách đặt những câu hỏi phù hợp. Nên giải quyết các câu hỏi liên quan đến nhân sự cho dịch vụ nhân sự, các câu hỏi về công nghệ cho dịch vụ tự động hóa (IT) và các câu hỏi liên quan đến quy trình kinh doanh cho các đơn vị kinh doanh liên quan.

Trong nhiệm vụ xác định các yếu tố rủi ro, sẽ thuận tiện hơn khi bắt đầu từ các vấn đề. Một khi bạn đã xác định được một vấn đề, bạn cần xác định nguyên nhân của nó. Kết quả là, một yếu tố rủi ro mới có thể được xác định. Khó khăn chính ở đây là tránh trượt nói riêng. Ví dụ: nếu sự cố xảy ra do hành động trái pháp luật của nhân viên, yếu tố rủi ro sẽ không phải là nhân viên đó đã vi phạm điều khoản của một số quy định mà là bản thân hành động đó đã có thể thực hiện được. Yếu tố rủi ro luôn là điều kiện tiên quyết để một vấn đề phát sinh.

Để nhân viên hiểu rõ hơn chính xác họ đang được hỏi về vấn đề gì, nên kèm theo các câu hỏi bằng ví dụ (quy tắc 3). Sau đây là ví dụ về một số yếu tố rủi ro cấp cao có thể phổ biến đối với nhiều quy trình kinh doanh:

Nhân viên:

  • Không đủ trình độ (Yếu tố con người ở Hình 1)
  • Thiếu hụt nhân sự (Sườn mới nổi)
  • Động lực thấp (Văn hóa biên)

Quy trình:

  • Những thay đổi thường xuyên về yêu cầu bên ngoài (Cơ quan quản lý)
  • Tự động hóa quy trình chưa được phát triển (Biên kích hoạt & hỗ trợ)
  • Sự kết hợp vai trò của người biểu diễn (Emergence edge)

Công nghệ:

  • Phần mềm kế thừa (Biên kích hoạt và hỗ trợ)
  • Trách nhiệm giải trình của người dùng thấp (Yếu tố con người)
  • Cảnh quan CNTT không đồng nhất (Cạnh kiến ​​trúc)

Ưu điểm quan trọng của phương pháp đánh giá được đề xuất là khả năng phân tích chéo, trong đó hai bộ phận khác nhau xem xét cùng một vấn đề từ các góc độ khác nhau. Với thực tế này, sẽ rất hữu ích khi hỏi người được phỏng vấn những câu hỏi như: “Bạn nghĩ gì về những vấn đề mà đồng nghiệp của bạn đã xác định?” Đây là một cách tuyệt vời để có thêm điểm, cũng như sửa những điểm hiện có. Để làm rõ kết quả, có thể thực hiện nhiều vòng đánh giá như vậy.

Tác động đến kinh doanh

Như sau định nghĩa về rủi ro, nó được đặc trưng bởi mức độ ảnh hưởng của nó đến hiệu quả kinh doanh của một tổ chức. Một công cụ tiện lợi cho phép bạn xác định bản chất tác động của các tình huống rủi ro đối với doanh nghiệp là hệ thống Thẻ điểm cân bằng. Không đi sâu vào chi tiết, chúng tôi lưu ý rằng Thẻ điểm cân bằng xác định 4 triển vọng kinh doanh cho bất kỳ công ty nào, được kết nối theo cách phân cấp (xem Hình 2).

Cơm. 2. Bốn khía cạnh kinh doanh của Thẻ điểm cân bằng

Liên quan đến phương pháp đang được xem xét, một rủi ro có thể được coi là đáng kể nếu nó ảnh hưởng tiêu cực đến ít nhất một trong ba triển vọng kinh doanh sau: tài chính, khách hàng và/hoặc quy trình (xem Hình 3).

Cơm. 3. Các chỉ số kinh doanh chính

Ví dụ: yếu tố rủi ro “Trách nhiệm của người dùng thấp” có thể dẫn đến tình huống “Rò rỉ thông tin khách hàng”. Ngược lại, điều này sẽ ảnh hưởng đến chỉ số kinh doanh “Số lượng khách hàng”.

Nếu công ty đã phát triển các thước đo kinh doanh, điều này sẽ đơn giản hóa tình hình rất nhiều. Bất cứ khi nào có thể theo dõi tác động của một kịch bản rủi ro cụ thể đối với một hoặc nhiều chỉ số kinh doanh, yếu tố rủi ro tương ứng có thể được coi là đáng kể và kết quả đánh giá của nó phải được ghi lại trong bảng câu hỏi. Tác động của một kịch bản được theo dõi càng ở cấp cao hơn trong hệ thống phân cấp của các số liệu kinh doanh thì tác động tiềm tàng đối với doanh nghiệp càng lớn.

Nhiệm vụ phân tích những hậu quả này là của chuyên gia nên cần được giải quyết với sự tham gia của các đơn vị nghiệp vụ chuyên môn (quy tắc 2). Để kiểm soát bổ sung các ước tính thu được, sẽ rất hữu ích khi sử dụng các nguồn thông tin bên ngoài chứa dữ liệu thống kê về số lượng tổn thất do sự cố xảy ra (quy tắc 4), ví dụ: báo cáo “Nghiên cứu chi phí vi phạm dữ liệu” hàng năm .

Ước tính xác suất

Ở giai đoạn phân tích cuối cùng, đối với từng yếu tố rủi ro được xác định, tác động của yếu tố đó đến doanh nghiệp đã được xác định, cần đánh giá khả năng thực hiện các kịch bản liên quan. Việc đánh giá này phụ thuộc vào điều gì? Ở mức độ lớn, nó phụ thuộc vào tính đầy đủ của các biện pháp bảo vệ được thực hiện trong công ty.

Có một giả định nhỏ ở đây. Thật hợp lý khi cho rằng vì vấn đề đã được xác định nên điều đó có nghĩa là nó vẫn có liên quan. Đồng thời, các biện pháp được thực hiện rất có thể chưa đủ để hóa giải các điều kiện tiên quyết cho sự xuất hiện của nó. Tính đầy đủ của các biện pháp đối phó được xác định bằng kết quả đánh giá tính hiệu quả của việc áp dụng chúng, chẳng hạn như sử dụng hệ thống số liệu.

Để đánh giá, bạn có thể sử dụng thang đo 3 cấp độ đơn giản, trong đó:

3 - các biện pháp đối phó được thực hiện nhìn chung là đủ;

2 - các biện pháp đối phó chưa được thực hiện đầy đủ;

1 - không có biện pháp đối phó.

Khi tham khảo mô tả các biện pháp đối phó, bạn có thể sử dụng các tiêu chuẩn và hướng dẫn chuyên ngành, ví dụ CobiT 5, ISO/IEC 27002, v.v. Mỗi biện pháp đối phó phải gắn liền với một yếu tố rủi ro cụ thể.

Điều quan trọng cần nhớ là chúng tôi phân tích các rủi ro không chỉ liên quan đến việc sử dụng CNTT mà còn liên quan đến việc tổ chức các quy trình thông tin nội bộ trong công ty. Vì vậy, các biện pháp đối phó cần được xem xét rộng rãi hơn. Không phải vô cớ mà phiên bản mới của ISO/IEC 27001:2013 có một điều khoản rằng khi lựa chọn các biện pháp đối phó, cần phải sử dụng bất kỳ nguồn bên ngoài nào (quy tắc 4), chứ không chỉ Phụ lục A, có trong tiêu chuẩn dành cho mục đích tham khảo.

Mức độ rủi ro

Để xác định mức độ rủi ro cuối cùng, bạn có thể sử dụng một bảng đơn giản (xem Bảng 1).

Bàn 1. Ma trận đánh giá rủi ro

Trong trường hợp một yếu tố rủi ro ảnh hưởng đến một số triển vọng kinh doanh, chẳng hạn như “Khách hàng” và “Tài chính”, các chỉ số của chúng sẽ được tổng hợp. Quy mô của thang đo cũng như mức độ rủi ro an toàn thông tin có thể chấp nhận được có thể được xác định theo bất kỳ cách thuận tiện nào. Trong ví dụ trên, rủi ro ở cấp độ 2 và 3 được coi là cao.

Tại thời điểm này, giai đoạn đầu tiên của đánh giá rủi ro có thể được coi là hoàn thành. Giá trị cuối cùng của rủi ro liên quan đến quy trình kinh doanh được đánh giá được xác định bằng tổng các giá trị tổng hợp của tất cả các yếu tố được xác định. Chủ sở hữu rủi ro có thể được coi là người chịu trách nhiệm trong công ty đối với đối tượng được đánh giá.

Con số thu được không cho chúng ta biết tổ chức có nguy cơ mất bao nhiêu tiền. Thay vào đó, nó chỉ ra khu vực tập trung rủi ro và bản chất tác động của chúng đến hiệu quả kinh doanh. Thông tin này là cần thiết để tập trung hơn nữa vào các chi tiết quan trọng nhất.

Đánh giá chi tiết

Ưu điểm chính của phương pháp đang được xem xét là nó cho phép bạn thực hiện phân tích rủi ro bảo mật thông tin với mức độ chi tiết mong muốn. Nếu cần, bạn có thể “rơi vào” các thành phần của mô hình bảo mật thông tin (Hình 1) và xem xét chúng chi tiết hơn. Ví dụ: bằng cách xác định mức độ tập trung rủi ro cao nhất ở các lĩnh vực liên quan đến CNTT, bạn có thể tăng mức độ chi tiết trong nút Công nghệ. Nếu trước đây một quy trình kinh doanh riêng biệt đóng vai trò là đối tượng đánh giá rủi ro thì bây giờ trọng tâm sẽ chuyển sang một hệ thống thông tin cụ thể và các quy trình sử dụng nó. Để cung cấp mức độ chi tiết cần thiết, có thể cần phải tiến hành kiểm kê các nguồn thông tin.

Tất cả điều này áp dụng cho các lĩnh vực đánh giá khác. Khi bạn thay đổi chi tiết của nút Mọi người, vai trò nhân sự hoặc thậm chí từng nhân viên có thể trở thành đối tượng đánh giá. Đối với nút “Quy trình”, đây có thể là các quy định và quy trình làm việc cụ thể.

Việc thay đổi mức độ chi tiết sẽ tự động thay đổi không chỉ các yếu tố rủi ro mà cả các biện pháp đối phó được áp dụng. Cả hai sẽ trở nên cụ thể hơn đối với đối tượng được đánh giá. Tuy nhiên, cách tiếp cận chung để thực hiện đánh giá yếu tố rủi ro sẽ không thay đổi. Đối với mỗi yếu tố được xác định cần phải đánh giá:

  • mức độ ảnh hưởng của rủi ro đến triển vọng kinh doanh;
  • đầy đủ các biện pháp đối phó.

Hội chứng Nga

Việc ban hành tiêu chuẩn ISO/IEC 27001:2013 đã đẩy nhiều công ty Nga vào thế khó. Một mặt, họ đã phát triển một cách tiếp cận nhất định để đánh giá rủi ro bảo mật thông tin, dựa trên việc phân loại tài sản thông tin, đánh giá các mối đe dọa và lỗ hổng. Các cơ quan quản lý quốc gia đã cố gắng ban hành một số quy định hỗ trợ phương pháp này, ví dụ như tiêu chuẩn của Ngân hàng Nga, lệnh FSTEC. Mặt khác, nhiệm vụ đánh giá rủi ro đã quá hạn để thay đổi và hiện nay cần phải sửa đổi quy trình đã thiết lập để đáp ứng cả yêu cầu cũ và mới. Có, ngày nay vẫn có thể đạt được chứng nhận theo tiêu chuẩn GOST R ISO/IEC 27001:2006, giống hệt với phiên bản ISO/IEC 27001 trước đó, nhưng điều này sẽ không tồn tại lâu.

Phương pháp phân tích rủi ro được thảo luận ở trên giải quyết được vấn đề này. Bằng cách kiểm soát mức độ chi tiết khi thực hiện đánh giá, bạn có thể xem xét tài sản và rủi ro ở mọi quy mô: từ quy trình kinh doanh đến các luồng thông tin riêng lẻ. Cách tiếp cận này cũng thuận tiện vì nó cho phép bạn giải quyết mọi rủi ro cấp cao mà không bỏ sót bất cứ điều gì. Đồng thời, công ty sẽ giảm đáng kể chi phí nhân công cho việc phân tích sâu hơn và không lãng phí thời gian vào việc đánh giá chi tiết những rủi ro không đáng kể.

Cần lưu ý rằng độ chi tiết của lĩnh vực đánh giá càng cao thì trách nhiệm được giao cho các chuyên gia càng lớn và năng lực cần có càng lớn, bởi vì khi độ sâu phân tích thay đổi, không chỉ các yếu tố rủi ro mà cả bối cảnh của các biện pháp đối phó áp dụng cũng thay đổi. .

Bất chấp mọi nỗ lực đơn giản hóa, việc phân tích rủi ro bảo mật thông tin vẫn tốn thời gian và phức tạp. Người lãnh đạo quá trình này có một trách nhiệm đặc biệt. Nhiều thứ sẽ phụ thuộc vào mức độ thành thạo của anh ta trong việc xây dựng phương pháp tiếp cận của mình và đối phó với nhiệm vụ trước mắt - từ việc phân bổ ngân sách cho bảo mật thông tin đến tính bền vững của doanh nghiệp.

Trong thực tế, các phương pháp định lượng và định tính để đánh giá rủi ro bảo mật thông tin được sử dụng. Có gì khác biệt?

Phương pháp định lượng

Đánh giá rủi ro định lượng được sử dụng trong các tình huống mà các mối đe dọa đang được nghiên cứu và các rủi ro liên quan đến chúng có thể được so sánh với các giá trị định lượng cuối cùng được thể hiện bằng tiền, lãi suất, thời gian, nguồn nhân lực, v.v. Phương pháp này cho phép bạn thu được các giá trị cụ thể của các đối tượng đánh giá rủi ro khi nhận ra các mối đe dọa bảo mật thông tin.

Trong phương pháp định lượng, tất cả các yếu tố đánh giá rủi ro đều được gán các giá trị định lượng cụ thể và thực tế. Thuật toán để có được các giá trị này phải rõ ràng và dễ hiểu. Đối tượng đánh giá có thể là giá trị của tài sản tính bằng tiền, khả năng xảy ra mối đe dọa, thiệt hại do mối đe dọa gây ra, chi phí của các biện pháp bảo vệ, v.v.

Làm thế nào để đánh giá rủi ro một cách định lượng?

1. Xác định giá trị tài sản thông tin bằng tiền.

2. Đánh giá về mặt định lượng thiệt hại tiềm tàng từ việc thực hiện từng mối đe dọa liên quan đến từng tài sản thông tin.

Cần có câu trả lời cho các câu hỏi “Thiệt hại bao nhiêu phần giá trị tài sản khi thực hiện từng mối đe dọa?”, “Chi phí thiệt hại tính bằng tiền do một sự cố trong quá trình thực hiện mối đe dọa này là bao nhiêu?” mối đe dọa đối với tài sản này?

3. Xác định khả năng thực hiện từng mối đe dọa an toàn thông tin.

Để làm được điều này, bạn có thể sử dụng dữ liệu thống kê, khảo sát nhân viên và các bên liên quan. Trong quá trình xác định xác suất, hãy tính toán tần suất xảy ra sự cố liên quan đến việc thực hiện mối đe dọa an toàn thông tin được xem xét trong khoảng thời gian kiểm soát (ví dụ: một năm).

4. Xác định tổng thiệt hại tiềm tàng từ mỗi mối đe dọa liên quan đến từng tài sản trong khoảng thời gian kiểm soát (một năm).

Giá trị được tính bằng cách nhân thiệt hại một lần do mối đe dọa với tần suất của mối đe dọa.

5. Phân tích dữ liệu thiệt hại nhận được cho từng mối đe dọa.

Đối với mỗi mối đe dọa, phải đưa ra quyết định: chấp nhận rủi ro, giảm thiểu rủi ro hoặc chuyển giao rủi ro.

Chấp nhận rủi ro có nghĩa là nhận ra nó, chấp nhận khả năng xảy ra của nó và tiếp tục hành động như trước. Áp dụng cho các mối đe dọa có mức độ sát thương thấp và xác suất xảy ra thấp.

Giảm rủi ro có nghĩa là đưa ra các biện pháp bổ sung và thiết bị bảo hộ, đào tạo nhân viên, v.v. Nghĩa là thực hiện công việc có chủ ý để giảm thiểu rủi ro. Đồng thời, cần đánh giá định lượng hiệu quả của các biện pháp, phương tiện bảo vệ bổ sung. Tất cả các chi phí mà tổ chức phải gánh chịu, từ việc mua thiết bị bảo vệ đến vận hành thử (bao gồm lắp đặt, cấu hình, đào tạo, bảo trì, v.v.), không được vượt quá mức thiệt hại do mối đe dọa gây ra.

Chuyển giao rủi ro có nghĩa là chuyển hậu quả của rủi ro sang bên thứ ba, ví dụ, thông qua bảo hiểm.

Theo kết quả đánh giá rủi ro định lượng, cần xác định những điều sau:

  • giá trị tài sản tính bằng tiền;
  • danh sách đầy đủ tất cả các mối đe dọa an ninh thông tin kèm theo thiệt hại từ một sự cố đối với từng mối đe dọa;
  • tần suất thực hiện từng mối đe dọa;
  • thiệt hại tiềm ẩn từ mỗi mối đe dọa;
  • Các biện pháp bảo mật, biện pháp đối phó và hành động được đề xuất cho từng mối đe dọa.

Phân tích rủi ro bảo mật thông tin định lượng (ví dụ)

Hãy xem xét kỹ thuật sử dụng ví dụ về máy chủ web của một tổ chức, được sử dụng để bán một sản phẩm nhất định. Định lượng một lần thiệt hại do lỗi máy chủ có thể được ước tính bằng tích của biên lai mua hàng trung bình và số lượng yêu cầu trung bình trong một khoảng thời gian nhất định, bằng thời gian ngừng hoạt động của máy chủ. Giả sử chi phí thiệt hại một lần do lỗi máy chủ trực tiếp sẽ là 100 nghìn rúp.

Bây giờ cần phải đánh giá bằng các phương tiện chuyên môn về tần suất xảy ra tình huống như vậy (có tính đến cường độ hoạt động, chất lượng cung cấp điện, v.v.). Ví dụ: khi tính đến ý kiến ​​chuyên gia và thông tin thống kê, chúng tôi hiểu rằng một máy chủ có thể bị lỗi tới 2 lần một năm.

Nhân hai đại lượng này ta được Trung bình hàng năm thiệt hại do nguy cơ hỏng máy chủ trực tiếp lên tới 200 nghìn rúp mỗi năm.

Những tính toán này có thể được sử dụng để biện minh cho việc lựa chọn các biện pháp bảo vệ. Ví dụ, việc triển khai hệ thống cung cấp điện liên tục và hệ thống dự phòng với tổng chi phí 100 nghìn rúp mỗi năm sẽ giảm thiểu nguy cơ hỏng máy chủ và sẽ là giải pháp hoàn toàn hiệu quả.

Phương pháp định tính

Thật không may, không phải lúc nào cũng có thể có được biểu hiện cụ thể của đối tượng đánh giá do độ không chắc chắn lớn. Làm thế nào để đánh giá chính xác mức độ thiệt hại về uy tín của công ty khi xuất hiện thông tin về sự cố an toàn thông tin? Trong trường hợp này, một phương pháp định tính được sử dụng.

Phương pháp định tính không sử dụng các biểu thức định lượng hoặc tiền tệ cho đối tượng được đánh giá. Thay vào đó, đối tượng đánh giá được ấn định một chỉ số xếp theo thang điểm ba (thấp, trung bình, cao), năm điểm hoặc mười điểm (0...10). Để thu thập dữ liệu nhằm đánh giá rủi ro định tính, khảo sát các nhóm mục tiêu, phỏng vấn, bảng câu hỏi và gặp gỡ cá nhân được sử dụng.

Phân tích rủi ro an toàn thông tin bằng phương pháp định tính cần được thực hiện với sự tham gia của nhân viên có kinh nghiệm và năng lực trong lĩnh vực mà các mối đe dọa được xem xét.

Làm thế nào để tiến hành đánh giá rủi ro tốt:

1. Xác định giá trị tài sản thông tin.

Giá trị của tài sản có thể được xác định theo mức độ quan trọng (hậu quả) nếu các đặc điểm bảo mật (bảo mật, tính toàn vẹn, tính khả dụng) của tài sản thông tin bị vi phạm.

2. Xác định khả năng xảy ra mối đe dọa liên quan đến tài sản thông tin.

Để đánh giá khả năng xảy ra mối đe dọa, có thể sử dụng thang đo định tính ba cấp độ (thấp, trung bình, cao).

3. Xác định mức độ khả năng thực hiện thành công mối đe dọa, có tính đến hiện trạng an ninh thông tin, các biện pháp và phương tiện bảo vệ đã thực hiện.

Để đánh giá mức độ khả năng xảy ra mối đe dọa, cũng có thể sử dụng thang đo định tính ba cấp độ (thấp, trung bình, cao). Giá trị khả thi của mối đe dọa cho biết mức độ khả thi để thực hiện thành công mối đe dọa.

4. Đưa ra kết luận về mức độ rủi ro dựa trên giá trị của tài sản thông tin, khả năng xảy ra mối đe dọa và khả năng xảy ra mối đe dọa.

Để xác định mức độ rủi ro, bạn có thể sử dụng thang điểm năm hoặc mười điểm. Khi xác định mức độ rủi ro, bạn có thể sử dụng các bảng tham khảo để hiểu rõ về sự kết hợp của các chỉ số (giá trị, xác suất, cơ hội) dẫn đến mức độ rủi ro nào.

5. Phân tích dữ liệu thu được cho từng mối đe dọa và mức độ rủi ro thu được đối với mối đe dọa đó.

Thông thường, nhóm phân tích rủi ro sử dụng khái niệm “mức độ rủi ro có thể chấp nhận được”. Đây là mức độ rủi ro mà công ty sẵn sàng chấp nhận (nếu mối đe dọa có mức độ rủi ro nhỏ hơn hoặc bằng mức chấp nhận được thì nó được coi là không liên quan). Nhiệm vụ toàn cầu trong đánh giá định tính là giảm thiểu rủi ro đến mức có thể chấp nhận được.

6. Xây dựng các biện pháp an ninh, biện pháp đối phó và hành động đối với từng mối đe dọa hiện tại nhằm giảm mức độ rủi ro.

Bạn nên chọn phương pháp nào?

Mục tiêu của cả hai phương pháp là hiểu những rủi ro thực sự về bảo mật thông tin của công ty, xác định danh sách các mối đe dọa hiện tại và chọn các biện pháp đối phó và phương tiện bảo vệ hiệu quả. Mỗi phương pháp đánh giá rủi ro đều có những ưu điểm và nhược điểm riêng.

Phương pháp định lượng cung cấp sự thể hiện trực quan bằng tiền của các đối tượng đánh giá (thiệt hại, chi phí), nhưng tốn nhiều công sức hơn và trong một số trường hợp không thể áp dụng được.

Phương pháp định tính cho phép đánh giá rủi ro nhanh hơn nhưng đánh giá và kết quả mang tính chủ quan hơn và không cung cấp hiểu biết rõ ràng về thiệt hại, chi phí và lợi ích của việc thực hiện bảo mật thông tin.

Việc lựa chọn phương pháp nên được thực hiện dựa trên đặc thù của một công ty cụ thể và các nhiệm vụ được giao cho chuyên gia.

Stanislav Shilyaev, giám đốc dự án bảo mật thông tin tại SKB Kontur