Quy trình lập kế hoạch hoạt động quản lý rủi ro. Quản lý rủi ro. Mô hình an toàn chồng chéo đầy đủ. Phân bổ vai trò trong việc thực hiện kế hoạch xử lý rủi ro

Hiện nay, rủi ro an toàn thông tin đang là mối đe dọa lớn đối với hoạt động bình thường của nhiều doanh nghiệp, tổ chức. Trong thời đại công nghệ thông tin của chúng ta, việc thu thập bất kỳ dữ liệu nào thực tế không khó. Một mặt, điều này tất nhiên mang nhiều ý nghĩa Điểm tích cực nhưng lại trở thành vấn đề đối với bộ mặt và thương hiệu của nhiều công ty.

Bảo vệ thông tin trong doanh nghiệp hiện nay gần như trở thành ưu tiên hàng đầu. Các chuyên gia tin rằng chỉ bằng cách phát triển một chuỗi hành động có ý thức nhất định thì mục tiêu này mới có thể đạt được. TRONG trong trường hợp này Chỉ có thể được hướng dẫn bởi các sự kiện đáng tin cậy và sử dụng các phương pháp phân tích tiên tiến. Sự phát triển trực giác và kinh nghiệm của chuyên gia chịu trách nhiệm về bộ phận này trong doanh nghiệp đã đóng góp nhất định.

Tài liệu này sẽ cho bạn biết về việc quản lý rủi ro bảo mật thông tin của một thực thể kinh doanh.

Những loại mối đe dọa có thể tồn tại trong môi trường thông tin?

Có thể có nhiều loại mối đe dọa. Phân tích rủi ro bảo mật thông tin doanh nghiệp bắt đầu bằng việc xem xét tất cả các mối đe dọa tiềm ẩn có thể xảy ra. Điều này là cần thiết để quyết định các phương pháp xác minh trong trường hợp xảy ra những tình huống không lường trước được, cũng như để tạo ra một hệ thống bảo vệ thích hợp. Rủi ro bảo mật thông tin được chia thành các loại nhất định tùy thuộc vào các tiêu chí phân loại khác nhau. Chúng có các loại sau:

• nguồn vật chất;
• sử dụng không phù hợp mạng máy tính và World Wide Web;
• rò rỉ từ các nguồn kín;
• rò rỉ bằng biện pháp kỹ thuật;
• xâm nhập trái phép;
• tấn công tài sản thông tin;
• vi phạm tính toàn vẹn của việc sửa đổi dữ liệu;
• trường hợp khẩn cấp;
• vi phạm pháp luật.

Khái niệm “mối đe dọa vật lý đối với an ninh thông tin” bao gồm những gì?

Các loại rủi ro bảo mật thông tin được xác định tùy thuộc vào nguồn phát sinh, phương pháp thực hiện hành vi xâm nhập bất hợp pháp và mục đích. Đơn giản nhất về mặt kỹ thuật nhưng vẫn yêu cầu thực hiện chuyên nghiệp là các mối đe dọa vật lý. Họ đại diện truy cập trái phépđến các nguồn đóng. Đó là, quá trình này trên thực tế là một hành vi trộm cắp thông thường. Thông tin có thể được lấy một cách cá nhân, bằng chính đôi tay của bạn, bằng cách xâm chiếm lãnh thổ của tổ chức, văn phòng, cơ quan lưu trữ để có quyền truy cập vào dụng cụ kỹ thuật, tài liệu và các phương tiện thông tin khác.

Hành vi trộm cắp thậm chí có thể không liên quan đến bản thân dữ liệu mà là nơi lưu trữ dữ liệu, tức là chính dữ liệu đó. Thiết bị máy tính. Để làm gián đoạn các hoạt động bình thường của một tổ chức, kẻ tấn công có thể chỉ cần khiến phương tiện lưu trữ hoặc thiết bị kỹ thuật gặp trục trặc.

Mục đích của việc xâm nhập vật lý cũng có thể là để giành quyền truy cập vào một hệ thống cần bảo vệ thông tin. Kẻ tấn công có thể thay đổi các tùy chọn mạng chịu trách nhiệm về bảo mật thông tin để tạo điều kiện thuận lợi hơn nữa cho việc thực hiện các phương pháp bất hợp pháp.

Khả năng xảy ra mối đe dọa vật lý cũng có thể được cung cấp bởi các thành viên của nhiều nhóm khác nhau, những người có quyền truy cập vào thông tin mật chưa được công khai. Mục tiêu của họ là tài liệu có giá trị. Những người như vậy được gọi là người trong cuộc.

Hoạt động của những kẻ tấn công bên ngoài có thể hướng vào cùng một đối tượng.

Làm thế nào chính nhân viên công ty có thể trở thành nguyên nhân của các mối đe dọa?

Rủi ro bảo mật thông tin thường phát sinh do nhân viên sử dụng Internet và hệ thống máy tính nội bộ không phù hợp. Những kẻ tấn công rất giỏi lợi dụng sự thiếu kinh nghiệm, bất cẩn và thiếu hiểu biết của một số người về bảo mật thông tin. Để loại trừ tùy chọn đánh cắp dữ liệu bí mật này, ban quản lý của nhiều tổ chức áp dụng chính sách đặc biệt đối với nhân viên của họ. Mục tiêu của nó là dạy cho mọi người các quy tắc ứng xử và sử dụng mạng. Đây là một thực tế khá phổ biến vì các mối đe dọa phát sinh theo cách này khá phổ biến. Các chương trình rèn luyện kỹ năng bảo mật thông tin cho nhân viên doanh nghiệp bao gồm:

• khắc phục tình trạng sử dụng kém hiệu quả các công cụ kiểm toán;
• giảm sử dụng của con người phương tiện đặc biệtđể xử lý dữ liệu;
• giảm việc sử dụng các nguồn lực và tài sản;
• đào tạo cách tiếp cận các công cụ mạng chỉ bằng các phương pháp đã được thiết lập;
• xác định các vùng ảnh hưởng và chỉ định lãnh thổ chịu trách nhiệm.

Khi mỗi nhân viên hiểu rằng số phận của tổ chức phụ thuộc vào việc thực hiện có trách nhiệm các nhiệm vụ được giao, anh ta sẽ cố gắng tuân thủ mọi quy tắc. Cần đặt ra nhiệm vụ cụ thể cho mọi người và chứng minh kết quả đạt được.

Các điều khoản bảo mật bị vi phạm như thế nào?

Rủi ro và mối đe dọa đối với an ninh thông tin phần lớn liên quan đến việc thu thập trái phép thông tin không nên có với những người lạ. Kênh rò rỉ đầu tiên và phổ biến nhất là đủ mọi cách kết nối và giao tiếp. Vào thời điểm mà dường như thư từ cá nhân chỉ được cung cấp cho hai bên thì nó lại bị các bên quan tâm chặn lại. Mặc dù những người hợp lý hiểu rằng cần phải truyền đạt một điều gì đó cực kỳ quan trọng và bí mật theo những cách khác.

Vì hiện nay rất nhiều thông tin được lưu trữ trên phương tiện di động nên những kẻ tấn công đang tích cực làm chủ việc chặn thông tin thông qua loại công nghệ này. Nghe các kênh liên lạc rất phổ biến, chỉ có điều bây giờ mọi nỗ lực của các thiên tài công nghệ đều nhằm mục đích phá vỡ hàng rào bảo vệ của smartphone.

Thông tin bí mật có thể bị tiết lộ một cách vô ý bởi nhân viên của một tổ chức. Họ không thể trực tiếp tiết lộ tất cả “diện mạo và mật khẩu” mà chỉ hướng dẫn kẻ tấn công đi đúng hướng. Ví dụ, mọi người cung cấp thông tin về vị trí của tài liệu quan trọng mà không hề biết.

Không phải lúc nào cũng chỉ có cấp dưới mới dễ bị tổn thương. Các nhà thầu cũng có thể cung cấp thông tin bí mật trong quá trình hợp tác.

Vi phạm an toàn thông tin bằng phương tiện kỹ thuật như thế nào?

Việc đảm bảo an ninh thông tin phần lớn nhờ vào việc sử dụng các phương tiện đáng tin cậy phương tiện kỹ thuật sự bảo vệ. Nếu hệ thống hỗ trợ hiệu quả và hiệu quả, ít nhất là ở bản thân thiết bị, thì đây đã là một nửa thành công.

Về cơ bản, rò rỉ thông tin đạt được bằng cách kiểm soát các tín hiệu khác nhau. Các phương pháp tương tự bao gồm việc tạo ra các nguồn phát sóng hoặc tín hiệu vô tuyến chuyên dụng. Cái sau có thể là điện, âm thanh hoặc rung.

Khá thường xuyên, các dụng cụ quang học được sử dụng cho phép đọc thông tin từ màn hình và màn hình.

Sự đa dạng của các thiết bị cung cấp nhiều phương pháp khác nhau để kẻ tấn công xâm nhập và trích xuất thông tin. Ngoài các phương pháp trên còn có trinh sát truyền hình, chụp ảnh và trực quan.

Do khả năng rộng rãi như vậy, kiểm toán an ninh thông tin chủ yếu bao gồm việc kiểm tra và phân tích hoạt động của các phương tiện kỹ thuật để bảo vệ dữ liệu bí mật.

Điều gì được coi là truy cập trái phép vào thông tin doanh nghiệp?

Không thể quản lý rủi ro bảo mật thông tin nếu không ngăn chặn các mối đe dọa truy cập trái phép.

Một trong những đại diện nổi bật nhất của phương pháp hack hệ thống bảo mật của người khác này là việc gán ID người dùng. Phương pháp này được gọi là “Masquerade”. Truy cập trái phép trong trường hợp này liên quan đến việc sử dụng dữ liệu xác thực. Nghĩa là, mục tiêu của kẻ xâm nhập là lấy được mật khẩu hoặc bất kỳ thông tin nhận dạng nào khác.

Những kẻ tấn công có thể gây ảnh hưởng từ bên trong đối tượng hoặc từ bên ngoài. Nhận được thông tin cần thiết chúng có thể đến từ các nguồn như dấu vết kiểm tra hoặc công cụ kiểm tra.

Thông thường người phạm tội cố gắng áp dụng chính sách thực thi và sử dụng các phương pháp tưởng chừng như hoàn toàn hợp pháp.

Truy cập trái phép áp dụng cho các nguồn thông tin sau:

• trang web và máy chủ bên ngoài;
• mạng không dây doanh nghiệp;
• sao lưu dữ liệu.

Có vô số cách và phương pháp truy cập trái phép. Kẻ tấn công tìm kiếm các lỗ hổng và lỗ hổng trong cấu hình và kiến ​​trúc phần mềm. Họ lấy dữ liệu bằng cách sửa đổi phần mềm. Để vô hiệu hóa và ru ngủ sự cảnh giác, những kẻ vi phạm tung ra phần mềm độc hại và bom logic.

Các mối đe dọa pháp lý đối với an ninh thông tin của công ty là gì?

Quản lý rủi ro an toàn thông tin hoạt động theo nhiều hướng khác nhau, bởi vì nó mục tiêu chính- là để đảm bảo sự bảo vệ toàn diện và toàn diện của doanh nghiệp khỏi sự xâm nhập từ bên ngoài.

Không kém phần quan trọng so với định hướng kỹ thuật là định hướng pháp lý. Bằng cách này, ngược lại, có vẻ như sẽ bảo vệ lợi ích, hóa ra lại thu được thông tin rất hữu ích.

Vi phạm về mặt pháp lý có thể liên quan đến quyền tài sản, bản quyền và quyền sáng chế. Việc sử dụng phần mềm bất hợp pháp, bao gồm cả xuất nhập khẩu, cũng thuộc loại này. Bạn chỉ có thể vi phạm các yêu cầu pháp lý khi không tuân thủ các điều khoản của hợp đồng hoặc khuôn khổ pháp lý nói chung.

Làm thế nào để đặt mục tiêu bảo mật thông tin?

Đảm bảo an ninh thông tin bắt đầu từ việc thiết lập khu vực bảo vệ. Cần xác định rõ cái gì cần được bảo vệ và khỏi ai. Để làm điều này, chân dung của một tên tội phạm tiềm năng cũng như các phương pháp hack và xâm nhập có thể được xác định. Để đặt mục tiêu, trước tiên bạn cần nói chuyện với quản lý. Nó sẽ cho bạn biết lĩnh vực ưu tiên sự bảo vệ.

Từ thời điểm này việc kiểm tra an ninh thông tin bắt đầu. Nó cho phép bạn xác định tỷ lệ cần thiết để áp dụng các kỹ thuật công nghệ và phương pháp kinh doanh. Kết quả của quá trình này là danh sách hoạt động cuối cùng, trong đó đặt ra các mục tiêu mà đơn vị phải đối mặt để đảm bảo bảo vệ khỏi sự xâm nhập trái phép. Thủ tục kiểm toán nhằm mục đích xác định những thời điểm quan trọng và điểm yếu của hệ thống cản trở hoạt động bình thường và sự phát triển của doanh nghiệp.

Sau khi thiết lập mục tiêu, một cơ chế thực hiện chúng sẽ được phát triển. Các công cụ giám sát và giảm thiểu rủi ro đang được phát triển.

Tài sản đóng vai trò gì trong phân tích rủi ro?

Rủi ro bảo mật thông tin tổ chức ảnh hưởng trực tiếp đến tài sản doanh nghiệp. Cuối cùng, mục tiêu của kẻ tấn công là lấy được thông tin có giá trị. Sự mất mát hoặc tiết lộ của nó chắc chắn sẽ dẫn đến thua lỗ. Thiệt hại do sự xâm nhập trái phép có thể có tác động trực tiếp hoặc chỉ có thể có tác động gián tiếp. Đó là hành vi sai trái liên quan đến tổ chức có thể dẫn đến mất hoàn toàn quyền kiểm soát đối với doanh nghiệp.

Mức độ thiệt hại được đánh giá theo tài sản sẵn có của tổ chức. Nguồn lực chủ đề là tất cả các nguồn lực đóng góp vào việc thực hiện các mục tiêu quản lý theo bất kỳ cách nào. Tài sản của doanh nghiệp là tất cả các tài sản hữu hình và vô hình tạo ra và giúp tạo ra thu nhập.

Có một số loại tài sản:

• vật liệu;
• nhân loại;
• thông tin;
• tài chính;
• quá trình;
• thương hiệu và quyền hạn.

Loại tài sản cuối cùng bị ảnh hưởng nhiều nhất từ ​​sự xâm nhập trái phép. Điều này là do thực tế là bất kỳ rủi ro bảo mật thông tin thực sự nào cũng ảnh hưởng đến hình ảnh. Các vấn đề trong lĩnh vực này sẽ tự động làm giảm sự tôn trọng và tin tưởng đối với một doanh nghiệp như vậy, vì không ai muốn thông tin bí mật của mình bị lộ ra ngoài. Mọi tổ chức có lòng tự trọng đều quan tâm đến việc bảo vệ tổ chức của mình tài nguyên thông tin.

Các yếu tố khác nhau ảnh hưởng đến mức độ và tài sản nào sẽ bị ảnh hưởng. Chúng được chia thành bên ngoài và bên trong. Tác động phức tạp của chúng, như một quy luật, đồng thời ảnh hưởng đến một số nhóm tài nguyên có giá trị.

Toàn bộ hoạt động kinh doanh của doanh nghiệp đều được xây dựng trên tài sản. Họ hiện diện ở một mức độ nào đó trong hoạt động của bất kỳ tổ chức nào. Chỉ là đối với một số người, một số nhóm quan trọng hơn và những nhóm khác ít quan trọng hơn. Tùy thuộc vào loại tài sản mà kẻ tấn công có thể tác động, kết quả, tức là thiệt hại gây ra, sẽ phụ thuộc.

Đánh giá rủi ro bảo mật thông tin cho phép bạn xác định rõ ràng các tài sản chính và nếu chúng bị ảnh hưởng thì doanh nghiệp sẽ gặp phải những tổn thất không thể khắc phục được. Bản thân ban quản lý nên chú ý đến những nhóm tài nguyên có giá trị này vì sự an toàn của chúng chính là vì lợi ích của chủ sở hữu.

Khu vực ưu tiên dành cho bộ phận an ninh thông tin được chiếm giữ bởi các tài sản phụ trợ. Một người đặc biệt chịu trách nhiệm bảo vệ họ. Những rủi ro liên quan đến chúng không nghiêm trọng và chỉ ảnh hưởng đến hệ thống quản lý.

Các yếu tố bảo mật thông tin là gì?

Tính toán rủi ro an toàn thông tin bao gồm việc xây dựng một mô hình chuyên biệt. Nó đại diện cho các nút được kết nối với nhau bằng các kết nối chức năng. Các nút là những tài sản tương tự. Mô hình sử dụng các tài nguyên có giá trị sau:

• Mọi người;
• chiến lược;
• công nghệ;
• quá trình.

Những xương sườn nối chúng lại chính là yếu tố nguy hiểm nhất. Để xác định các mối đe dọa có thể xảy ra, tốt nhất bạn nên liên hệ trực tiếp với bộ phận hoặc chuyên gia làm việc với những tài sản này. Bất kỳ yếu tố rủi ro tiềm ẩn nào cũng có thể là điều kiện tiên quyết để hình thành vấn đề. Mô hình nêu bật những mối đe dọa chính có thể phát sinh.

Về đội ngũ, vấn đề nằm ở trình độ học vấn thấp, thiếu nhân sự và thiếu động lực.

Rủi ro quy trình bao gồm sự biến đổi môi trường bên ngoài, tự động hóa sản xuất kém, phân công trách nhiệm không rõ ràng.

Công nghệ có thể bị ảnh hưởng bởi phần mềm lỗi thời và thiếu khả năng kiểm soát người dùng. Các vấn đề với bối cảnh công nghệ thông tin không đồng nhất cũng có thể là nguyên nhân.

Ưu điểm của mô hình này là các giá trị ngưỡng của rủi ro bảo mật thông tin không được thiết lập rõ ràng do vấn đề được nhìn nhận từ nhiều góc độ khác nhau.

Kiểm toán an ninh thông tin là gì?

Một thủ tục quan trọng trong lĩnh vực bảo mật thông tin doanh nghiệp là kiểm toán. Đó là kiểm tra trạng thái hiện tại của hệ thống bảo vệ chống lại sự xâm nhập trái phép. Quá trình kiểm toán xác định mức độ tuân thủ các yêu cầu đã thiết lập. Việc thực hiện nó là bắt buộc đối với một số loại tổ chức; đối với một số loại tổ chức khác, nó mang tính chất tư vấn. Việc kiểm tra được thực hiện liên quan đến hồ sơ tài liệu của bộ phận kế toán, thuế, thiết bị kỹ thuật và bộ phận kinh tế tài chính.

Việc kiểm tra là cần thiết để hiểu mức độ bảo mật và trong trường hợp không tuân thủ, hãy tối ưu hóa trở lại bình thường. Quy trình này cũng cho phép bạn đánh giá tính khả thi của việc đầu tư tài chính vào bảo mật thông tin. Cuối cùng, chuyên gia sẽ đưa ra khuyến nghị về tỷ lệ chi tiêu tài chính để đạt được hiệu quả tối đa. Việc kiểm tra cho phép bạn điều chỉnh các biện pháp kiểm soát.

Giám định an toàn thông tin được chia thành nhiều giai đoạn:

1. Đặt ra mục tiêu và cách thức để đạt được chúng.
2. Phân tích thông tin cần thiết để đưa ra phán quyết.
3. Xử lý dữ liệu thu thập được.
4. Ý kiến ​​và khuyến nghị của chuyên gia.

Cuối cùng, chuyên gia sẽ đưa ra quyết định của mình. Các khuyến nghị của ủy ban thường nhằm mục đích thay đổi cấu hình của thiết bị kỹ thuật cũng như máy chủ. Thông thường, một doanh nghiệp gặp khó khăn sẽ được yêu cầu chọn một phương pháp bảo mật khác. Có lẽ, để tăng cường thêm, các chuyên gia sẽ quy định một loạt các biện pháp bảo vệ.

Công việc sau khi nhận được kết quả đánh giá nhằm mục đích thông báo cho nhóm về các vấn đề. Nếu điều này là cần thiết thì nên tiến hành đào tạo bổ sung để tăng cường giáo dục nhân viên về việc bảo vệ tài nguyên thông tin doanh nghiệp.

Rủi ro bảo mật thông tin (rủi ro bảo mật thông tin)- "khả năng đó mối đe dọa này sẽ có thể khai thác lỗ hổng của một tài sản hoặc một nhóm tài sản và do đó gây tổn hại cho tổ chức.”

Theo GOST R 51897-2011 “Quản lý rủi ro. Thuật ngữ và định nghĩa" và tiêu chuẩn quốc tế ISO 27001-2013 "Hệ thống quản lý bảo mật thông tin" - quy trình quản lý rủi ro là nỗ lực phối hợp để quản lý và kiểm soát một tổ chức đối với rủi ro bảo mật thông tin. Quản lý rủi ro bao gồm đánh giá rủi ro, xử lý rủi ro, chấp nhận rủi ro và truyền thông rủi ro.

Mục đích của quá trình đánh giá rủi ro là xác định các đặc điểm rủi ro liên quan đến hệ thống thông tin và các tài nguyên (tài sản) của nó. Dựa trên dữ liệu thu được, có thể lựa chọn các biện pháp bảo vệ cần thiết. Khi đánh giá rủi ro, nhiều yếu tố được tính đến: giá trị của nguồn lực, đánh giá về tầm quan trọng của các mối đe dọa và lỗ hổng, tính hiệu quả của các biện pháp bảo vệ hiện có và theo kế hoạch, v.v.

Mức độ bảo mật cơ bản (bảo mật cơ bản)- yêu cầu cấp độ thấp nhất bảo mật cho IP. Một số quốc gia có tiêu chí để xác định mức này. Ví dụ: chúng tôi đưa ra tiêu chí của Vương quốc Anh - Khảo sát bảo mật cơ sở CCTA, trong đó xác định các yêu cầu tối thiểu trong lĩnh vực bảo mật thông tin đối với cơ quan chính phủ của đất nước này. Ở Đức những tiêu chí này được quy định trong tiêu chuẩn BSI.

Có các tiêu chí từ một số tổ chức - NASA, X/Open, ISACA và các tổ chức khác. Ở nước ta, đây có thể là lớp bảo mật phù hợp với yêu cầu FSTEC của Nga, hồ sơ bảo vệ được phát triển theo ISO-15408 hoặc một số yêu cầu khác.

Khi đó tiêu chí để đạt được mức độ bảo mật cơ bản là việc đáp ứng một bộ yêu cầu nhất định.

Nền tảng ( đường cơ sở) phân tích rủi ro - phân tích rủi ro được thực hiện phù hợp với các yêu cầu về mức độ bảo mật cơ bản. Các phương pháp phân tích rủi ro được áp dụng tập trung vào cấp độ này,thường không xem xét giá trị của các nguồn lực hoặc đánh giá tính hiệu quả của các biện pháp đối phó. Các phương pháp thuộc loại này được sử dụng trong trường hợp không áp dụng các yêu cầu tăng cường trong lĩnh vực bảo mật thông tin đối với hệ thống thông tin.

Đầy (đầy) phân tích rủi ro - phân tích rủi ro cho các hệ thống thông tin có yêu cầu ngày càng cao trong lĩnh vực an toàn thông tin. Bao gồm việc xác định giá trị của tài nguyên thông tin, đánh giá các mối đe dọa và lỗ hổng, lựa chọn các biện pháp đối phó thích hợp và đánh giá hiệu quả của chúng.

Theo GOST R ISO/IEC 27005-2010, quy trình quản lý bảo mật thông tin bao gồm các giai đoạn được trình bày trong Hình. 1.

Đánh giá rủi ro

Phân tích rủi ro

Nhận dạng rủi ro

Đánh giá rủi ro định lượng

• 0 x:
  • (b o;

Đánh giá rủi ro

Điểm quyết định thứ hai. . Kết quả xử lý rủi ro có thỏa đáng không?

Cơm. 1.

Theo GOST R ISO/IEC 27005-2010, quy trình đánh giá rủi ro bao gồm việc phân tích rủi ro và đánh giá rủi ro.

Phân tích rủi ro bao gồm: xác định rủi ro (xác định tài sản, xác định các mối đe dọa, xác định các biện pháp kiểm soát và kiểm soát hiện có, xác định lỗ hổng, xác định hậu quả) và thiết lập các giá trị rủi ro (đánh giá hậu quả, đánh giá khả năng xảy ra sự cố, thiết lập các giá trị mức độ rủi ro).

Việc đánh giá rủi ro phải xác định rủi ro, định lượng và ưu tiên rủi ro dựa trên các tiêu chí và mục tiêu chấp nhận rủi ro có ý nghĩa đối với tổ chức.

Theo khuyến nghị của GOST R ISO/IEC 27002-2012, việc đánh giá rủi ro phải được thực hiện định kỳ để tính đến những thay đổi trong yêu cầu bảo mật và trong tình huống rủi ro, ví dụ: liên quan đến tài sản, mối đe dọa, lỗ hổng, tác động, đánh giá rủi ro.

Trước khi xem xét việc xử lý một rủi ro nhất định, công ty phải lựa chọn các tiêu chí để xác định xem rủi ro đó có thể chấp nhận được hay không.

Quá trình đánh giá rủi ro thiết lập giá trị của tài sản thông tin, xác định các mối đe dọa và lỗ hổng tiềm ẩn tồn tại hoặc có thể tồn tại, xác định các biện pháp kiểm soát hiện có và tác động của chúng đối với các rủi ro đã xác định, xác định các hậu quả tiềm ẩn và cuối cùng chỉ định các ưu tiên. rủi ro được thiết lập, đồng thời chúng cũng được xếp hạng theo tiêu chí đánh giá rủi ro được ghi nhận khi thiết lập bối cảnh.

Do đánh giá rủi ro theo GOST R ISO/IEC 27003-2012, cần thiết:

• - xác định các mối đe dọa và nguồn gốc của chúng;
• - xác định các biện pháp kiểm soát và kiểm soát hiện có và theo kế hoạch;
• - xác định các điểm yếu mà nếu bị đe dọa có thể gây thiệt hại cho tài sản hoặc tổ chức;
• - xác định hậu quả của việc mất tính bảo mật, an ninh, tính sẵn sàng, tính không thể chối bỏ hoặc vi phạm các yêu cầu an ninh khác đối với tài sản;
• - đánh giá tác động có thể phát sinh đối với doanh nghiệp do các sự cố an toàn thông tin thực tế hoặc đáng ngờ;
• - đánh giá khả năng xảy ra các tình huống khẩn cấp;
• - đánh giá mức độ rủi ro;
• - so sánh mức độ rủi ro với các tiêu chí đánh giá rủi ro và chấp nhận được.

Phương pháp được sử dụng để đánh giá rủi ro phải bao gồm các bước được nêu dưới đây.

• 1. Định nghĩa tài sản.
• 2. Xác định các mối đe dọa.
• 3. Xác định các lỗ hổng.
• 4. Xác định hậu quả.
• 5. Đánh giá khả năng xảy ra sự cố.
• 6. Thiết lập các giá trị mức độ rủi ro.
• 7. Mối tương quan giữa rủi ro với các tiêu chí.
• 8. Xác định biện pháp xử lý rủi ro.

Sơ đồ các hoạt động xử lý rủi ro được thể hiện trong Hình 2. 2.

đạt yêu cầu

Điểm quyết định đầu tiên. Kết quả đánh giá rủi ro có thỏa đáng không?

XỬ LÝ RỦI RO

Cơm. 2.

với GOST R ISO/IEC 27005-2010

Ngoài những hành động này, tổ chức cũng phải cung cấp dịch vụ giám sát rủi ro.

Rủi ro và động lực của chúng (tức là giá trị tài sản, tác động, mối đe dọa, lỗ hổng, xác suất xảy ra) cần được theo dõi và đánh giá lại để xác định bất kỳ thay đổi nào trong bối cảnh của tổ chức ở giai đoạn đầu và cần duy trì cái nhìn tổng thể về toàn bộ bức tranh rủi ro. Quy trình quản lý rủi ro bảo mật thông tin phải được giám sát, phân tích và cải tiến liên tục.

Trong phân tích rủi ro, thiệt hại dự kiến ​​nếu các mối đe dọa được nhận ra sẽ được so sánh với chi phí của các biện pháp và phương tiện bảo vệ, sau đó đưa ra quyết định liên quan đến rủi ro đã đánh giá, có thể là:

• - giảm bớt, ví dụ, thông qua việc áp dụng các phương tiện và cơ chế bảo vệ làm giảm khả năng xảy ra mối đe dọa hoặc hệ số phá hủy;
• - được lưu (được chấp nhận) là chấp nhận được đối với đối tượng đánh giá;
• - ngăn chặn bằng cách từ chối sử dụng tài nguyên có nguy cơ;
• - ví dụ như được chuyển giao, được bảo hiểm, do đó, trong trường hợp có mối đe dọa về an ninh, tổn thất sẽ do công ty bảo hiểm chứ không phải chủ sở hữu tài nguyên gánh chịu.

Quy trình sử dụng nhiều lao động nhất là quy trình đánh giá rủi ro, có thể chia thành các giai đoạn sau: xác định rủi ro; phân tích rủi ro; đánh giá rủi ro.

Trong bộ lễ phục. Hình 3 mô tả sơ đồ quá trình đánh giá rủi ro bảo mật thông tin. Xác định rủi ro bao gồm việc biên soạn danh sách và mô tả các yếu tố rủi ro: đối tượng bảo vệ, mối đe dọa, lỗ hổng.

Người ta thường làm nổi bật các loại sauđối tượng bảo vệ: tài sản thông tin; phần mềm; tài sản vật chất; Dịch vụ; con người và trình độ, kỹ năng và kinh nghiệm của họ; nguồn lực vô hình như danh tiếng và hình ảnh của tổ chức.

Theo quy định, trong thực tế, ba nhóm đầu tiên được xem xét. Các đối tượng bảo hộ còn lại không được xem xét do tính phức tạp của việc đánh giá chúng.

Ở giai đoạn xác định rủi ro, các mối đe dọa và lỗ hổng cũng được xác định.

Kết quả kiểm toán được sử dụng làm dữ liệu đầu vào cho việc này; dữ liệu sự cố an toàn thông tin; đánh giá của chuyên gia từ người dùng, chuyên gia bảo mật thông tin, chuyên gia CNTT và chuyên gia tư vấn bên ngoài.

Thông tin thu được ở giai đoạn xác định rủi ro được sử dụng trong quá trình phân tích rủi ro để xác định:

• - thiệt hại có thể xảy ra cho tổ chức do vi phạm an ninh tài sản;
• - khả năng xảy ra vi phạm đó;
• - mức độ rủi ro.

Mức độ thiệt hại có thể xảy ra được xác định có tính đến giá trị của tài sản và mức độ nghiêm trọng của hậu quả do vi phạm an ninh của chúng.

Thành phần thứ hai hình thành nên giá trị thiệt hại có thể xảy ra là mức độ nghiêm trọng của hậu quả do vi phạm biện pháp bảo đảm tài sản. Được tính đến

Cơm. 3.

tất cả các hậu quả có thể xảy ra và mức độ tác động tiêu cực của chúng đối với tổ chức, đối tác và nhân viên của tổ chức.

Cần xác định mức độ nghiêm trọng của hậu quả của việc vi phạm tính bảo mật, tính toàn vẹn, tính sẵn sàng và các vấn đề khác tính chất quan trọng tài sản thông tin và sau đó tìm điểm tổng thể.

Giai đoạn tiếp theo của phân tích rủi ro là đánh giá khả năng xảy ra các mối đe dọa.

Sau khi xác định được mức độ thiệt hại có thể xảy ra và khả năng xảy ra các mối đe dọa, thì mức độ rủi ro cũng được xác định.

Việc tính toán rủi ro được thực hiện bằng cách kết hợp những thiệt hại có thể xảy ra, thể hiện những hậu quả có thể xảy ra khi vi phạm an ninh tài sản và khả năng xảy ra các mối đe dọa.

Sự kết hợp này thường được thực hiện bằng cách sử dụng ma trận, trong đó các giá trị thiệt hại có thể xảy ra được đặt trong các hàng và xác suất xảy ra mối đe dọa trong các cột cũng như mức độ rủi ro tại giao lộ.

Tiếp theo, mức độ rủi ro được tính toán sẽ được so sánh với thang mức độ rủi ro. Điều này là cần thiết để đánh giá thực tế tác động của các rủi ro được tính toán đối với hoạt động kinh doanh của tổ chức và truyền đạt ý nghĩa của các mức độ rủi ro cho ban quản lý.

Việc đánh giá rủi ro cũng cần xác định mức độ rủi ro có thể chấp nhận được mà không cần thực hiện thêm hành động nào. Tất cả các rủi ro khác yêu cầu các biện pháp bổ sung.

Kết quả đánh giá rủi ro được sử dụng để xác định tính khả thi về mặt kinh tế và mức độ ưu tiên của các biện pháp xử lý rủi ro và cho phép đưa ra quyết định sáng suốt về việc lựa chọn các biện pháp bảo vệ giúp giảm mức độ rủi ro.

Có nhiều phương pháp phân tích, đánh giá rủi ro an toàn thông tin. Một số trong số chúng dựa trên các phương pháp dạng bảng khá đơn giản và không liên quan đến việc sử dụng các công cụ phần mềm chuyên dụng, trong khi một số khác thì ngược lại, tích cực sử dụng chúng.

Mặc dù mối quan tâm đến quản lý rủi ro ngày càng tăng, hầu hết các kỹ thuật hiện đang được sử dụng đều tương đối kém hiệu quả vì quy trình ở nhiều công ty được thực hiện độc lập bởi từng bộ phận. Thường không có sự kiểm soát tập trung đối với các hành động của họ, điều này ngăn cản khả năng thực hiện một cách tiếp cận thống nhất và toàn diện để quản lý rủi ro trong toàn tổ chức.

Để giải quyết vấn đề đánh giá rủi ro bảo mật thông tin, các hệ thống phần mềm sau đây là cổ điển: CRAMM, FRAP, RiskWatch, Công cụ đánh giá bảo mật của Microsoft (MSAT), GRIF, CORAS và một số phần mềm khác. Tất cả các kỹ thuật đã biết có thể được phân loại như sau:

• - các phương pháp sử dụng đánh giá rủi ro ở mức độ định tính (ví dụ, trên thang đo “cao”, “trung bình”, “thấp”), cụ thể là các phương pháp này bao gồm FRAP;
• - phương pháp định lượng (rủi ro được đánh giá thông qua một giá trị số, ví dụ: quy mô tổn thất dự kiến ​​hàng năm), phương pháp RiskWatch thuộc loại này;
• - phương pháp sử dụng đánh giá hỗn hợp (phương pháp này được sử dụng trong phương pháp CRAMM, MSAT).

Trước khi đưa ra quyết định triển khai một phương pháp quản lý rủi ro bảo mật thông tin cụ thể, bạn nên đảm bảo rằng phương pháp đó tính đến đầy đủ nhu cầu kinh doanh của công ty, quy mô của công ty, đồng thời cũng tuân thủ các thông lệ toàn cầu tốt nhất và có đủ miêu tả cụ thể các quy trình và hành động cần thiết.

Trong bảng 1 trình bày phân tích so sánh các phương pháp cổ điển (CRAMM, GRIF, RiskWatch, CORAS, MSAT).

Bảng 1

So sánh các công cụ phần mềm quản lý rủi ro bảo mật thông tin

Tiêu chí so sánh		GRIF	Theo dõi rủi ro
Rủi ro
Sử dụng khái niệm rủi ro tối đa có thể chấp nhận được
Chuẩn bị kế hoạch hành động để giảm thiểu rủi ro
Điều khiển
Thông báo cho người quản lý
Kế hoạch làm việc để giảm thiểu rủi ro
Bao gồm các khóa đào tạo, hội thảo, cuộc họp
Rủi ro kinh doanh/rủi ro hoạt động/Đánh giá rủi ro CNTT
Đánh giá rủi ro ở cấp độ tổ chức
Đánh giá rủi ro ở cấp độ kỹ thuật
Đề xuất các biện pháp giảm thiểu rủi ro
Bỏ qua (ngăn chặn) rủi ro
Giảm rủi ro
Chấp nhận rủi ro
Quy trình
Sử dụng các yếu tố rủi ro
Tiền bạc
Tài sản vô hình
Giá trị tài sản
Lỗ hổng
Các biện pháp an ninh
Thiệt hại tiềm ẩn
Xác suất của các mối đe dọa

Tiêu chí so sánh
Các loại rủi ro được xem xét
Rủi ro kinh doanh
Rủi ro liên quan đến vi phạm pháp luật
Rủi ro liên quan đến việc sử dụng công nghệ
Rủi ro thương mại
Rủi ro liên quan đến sự tham gia của bên thứ ba
Rủi ro liên quan đến tuyển dụng nhân sự
Phương pháp đo lường giá trị rủi ro
Đánh giá định tính
Định lượng
Phương pháp kiểm soát
Xếp hạng rủi ro định tính
Sử dụng đánh giá độc lập
Tính toán lợi tức đầu tư
Tính toán mức cân bằng tối ưu giữa các loại biện pháp bảo mật khác nhau, chẳng hạn như:
Các biện pháp phòng ngừa
Biện pháp phát hiện
Biện pháp khắc phục
Biện pháp phục hồi
Tích hợp các phương pháp kiểm soát
Mô tả mục đích của các phương pháp kiểm soát
Thủ tục chấp nhận rủi ro tồn dư
Quản lý rủi ro còn lại
Giám sát rủi ro
Ứng dụng giám sát hiệu quả các biện pháp an toàn thông tin
Thực hiện các biện pháp giảm thiểu rủi ro
Sử dụng Quy trình ứng phó sự cố bảo mật thông tin
Tài liệu có cấu trúc về kết quả đánh giá rủi ro

Ghi chú : Bảng so sánh các công cụ phần mềm phục vụ phân tích, đánh giá rủi ro được đưa ra dựa trên tài liệu của bài viết: Baranova E.K., Chernova M.V. Phân tích so sánh các công cụ phần mềm để phân tích và đánh giá rủi ro bảo mật thông tin // Các vấn đề về bảo mật thông tin. Hệ thống máy tính. -

2014.-№4.- P. 160-168.

Ghi điểm bằng RAMM

Kỹ thuật này không tính đến tài liệu hỗ trợ, chẳng hạn như mô tả quy trình kinh doanh hoặc báo cáo đánh giá rủi ro. Liên quan đến chiến lược quản lý rủi ro, CRAMM giả định chỉ sử dụng các phương pháp giảm thiểu rủi ro. Các kỹ thuật quản lý rủi ro như bỏ qua hoặc chấp nhận không được xem xét. Phương pháp này không bao gồm:

quá trình tích hợp các phương pháp kiểm soát và mô tả mục đích của một phương pháp cụ thể; giám sát tính hiệu quả của các phương pháp quản lý được sử dụng và các phương pháp quản lý rủi ro còn sót lại; tính toán lại giá trị rủi ro tối đa cho phép; quá trình ứng phó sự cố.

Việc áp dụng CRAMM vào thực tế đòi hỏi phải thu hút các chuyên gia có trình độ cao; cường độ lao động và thời gian của quá trình đánh giá rủi ro. Ngoài ra, cần lưu ý chi phí cao của giấy phép.

Đánh giá GRIF

Phương pháp GRIF sử dụng các phương pháp định lượng và định tính để đánh giá rủi ro, đồng thời xác định các điều kiện mà công ty có thể chấp nhận các điều kiện sau và bao gồm việc tính toán lợi tức đầu tư để thực hiện các biện pháp bảo mật. Không giống như các kỹ thuật phân tích rủi ro khác, GRIF đưa ra mọi cách để giảm thiểu rủi ro (bỏ qua, giảm thiểu và chấp nhận). Phương pháp này tính đến tài liệu đi kèm, chẳng hạn như mô tả quy trình kinh doanh hoặc báo cáo về đánh giá rủi ro bảo mật thông tin.

Đánh giá theo dõi rủi ro

Kỹ thuật này sử dụng các phương pháp đánh giá rủi ro định lượng và định tính. Cường độ lao động của việc phân tích rủi ro bằng phương pháp này là tương đối nhỏ. Phương pháp này phù hợp nếu bạn cần tiến hành phân tích rủi ro ở cấp độ bảo vệ phần mềm và phần cứng mà không tính đến các yếu tố tổ chức và hành chính. Một lợi thế đáng kể của RiskWatch là tính trực quan của nó giao diện rõ ràng và tính linh hoạt cao hơn của phương pháp, được cung cấp bởi khả năng giới thiệu các danh mục, mô tả, câu hỏi mới, v.v.

Đánh giá CORAS

CORAS không cung cấp biện pháp quản lý rủi ro hiệu quả như Chương trình nâng cao nhận thức về bảo mật thông tin cho nhân viên. Chương trình như vậy cho phép bạn giảm thiểu rủi ro bảo mật thông tin liên quan đến việc nhân viên công ty vi phạm chế độ bảo mật thông tin do họ thiếu hiểu biết về các yêu cầu của công ty trong lĩnh vực và quy tắc này sử dụng an toàn hệ thông thông tin. Ngoài ra, CORAS không cung cấp tần suất đánh giá rủi ro và cập nhật các giá trị của chúng, điều này cho thấy phương pháp này phù hợp để thực hiện đánh giá một lần và không phù hợp để sử dụng thường xuyên.

Mặt tích cực của CORAS là sản phẩm phần mềm triển khai kỹ thuật này được phân phối miễn phí và không yêu cầu tài nguyên đáng kể để cài đặt và sử dụng.

Điểm MSA T

Các chỉ số chính cho việc này sản phẩm phần mềm là: hồ sơ rủi ro kinh doanh (mức độ thay đổi rủi ro tùy thuộc vào môi trường kinh doanh; thực tế, một thông số quan trọng không phải lúc nào cũng được tính đến khi đánh giá mức độ bảo mật hệ thống trong các tổ chức Những khu vực khác nhau hoạt động) và chỉ số bảo vệ theo chiều sâu (giá trị tóm tắt về mức độ bảo mật). MS AT không cung cấp đánh giá định lượng về mức độ rủi ro, tuy nhiên, đánh giá định tính có thể được gắn với thang xếp hạng.

MS AT cho phép bạn đánh giá hiệu quả của các khoản đầu tư được thực hiện trong việc thực hiện các biện pháp bảo mật, nhưng không thể tìm ra sự cân bằng tối ưu giữa các biện pháp nhằm ngăn chặn, xác định, sửa chữa hoặc khôi phục tài sản thông tin.

Các phương pháp được xem xét tương ứng tốt với các yêu cầu của nhóm “Rủi ro” và “Quy trình (Sử dụng các yếu tố rủi ro)”, nhưng một số trong số chúng (CRAMM, CORAS) có những thiếu sót theo các phần “Giám sát” và “Quản lý”, như cũng như với nhiều tiểu mục “Quy trình” . Rất ít (GRIF, RiskWatch, MSAT) đưa ra khuyến nghị chi tiết liên quan đến việc lập kế hoạch đánh giá lại rủi ro.

Trong trường hợp chỉ cần thực hiện đánh giá một lần về mức độ rủi ro ở một công ty cỡ trung bình, nên sử dụng phương pháp CORAS. Để quản lý rủi ro dựa trên đánh giá định kỳ ở cấp độ kỹ thuật, CRAMM là phù hợp nhất. Công cụ đánh giá bảo mật của Microsoft và các phương pháp RiskWatch thích hợp sử dụng ở các công ty lớn có kế hoạch triển khai quản lý rủi ro bảo mật thông tin trên cơ sở đánh giá thường xuyên, ở cấp độ không thấp hơn cấp độ tổ chức và xây dựng kế hoạch hành động hợp lý. để giảm chúng là cần thiết.

GOST R ISO/IEC 27003-2012. Công nghệ thông tin. Phương pháp và phương tiện đảm bảo an ninh. Hệ thống quản lý an toàn thông tin. Hướng dẫn triển khai hệ thống quản lý an ninh thông tin.

GOST R ISO/IEC 13335-1-2006. Công nghệ thông tin. Phương pháp và phương tiện đảm bảo an ninh. Phần 1. Khái niệm và mô hình quản lý an toàn công nghệ thông tin và viễn thông.

Baranova E.K. Phương pháp và phần mềm đánh giá rủi ro trong lĩnh vực bảo mật thông tin // Quản lý rủi ro. - 2009. - Số 1(49). - Trang 15-26.

Baranova E.K. Phương pháp phân tích và đánh giá rủi ro bảo mật thông tin // Bản tin của Đại học Moscow mang tên. S.Yu. Witte. Chuỗi 3: Tài nguyên và Công nghệ Giáo dục. - 2015. - Số 1(9). - trang 73-79.

Nguyên tắc cơ bản của quản lý rủi ro an toàn thông tin

Mặc dù có các hoạt động, sản phẩm và dịch vụ khác nhau nhưng các tổ chức vẫn sử dụng năm nguyên tắc để quản lý rủi ro bảo mật thông tin:

· Đánh giá rủi ro và xác định nhu cầu

· Thiết lập quản lý tập trung

· Thực hiện các chính sách cần thiết và kiểm soát phù hợp

· Nâng cao nhận thức của nhân viên

· Giám sát và đánh giá hiệu quả của các chính sách và biện pháp kiểm soát

Một yếu tố thiết yếu trong việc thực hiện hiệu quả các nguyên tắc này là chu trình hoạt động truyền thông, đảm bảo rằng việc quản lý an ninh thông tin luôn tập trung vào các rủi ro hiện tại. Điều quan trọng là lãnh đạo cao nhất của tổ chức nhận ra sự tồn tại của rủi ro gián đoạn các quy trình kinh doanh liên quan đến an ninh của hệ thống thông tin. Cơ sở để phát triển và thực hiện các chính sách cũng như lựa chọn các biện pháp kiểm soát cần thiết là đánh giá rủi ro của các ứng dụng kinh doanh riêng lẻ. Các bước được thực hiện sẽ nâng cao nhận thức của người dùng về rủi ro và các chính sách liên quan. Hiệu quả của các biện pháp kiểm soát phải được đánh giá thông qua nhiều nghiên cứu và kiểm toán. Kết quả cung cấp cách tiếp cận cho các đánh giá rủi ro tiếp theo và xác định những thay đổi cần thiết đối với chính sách và biện pháp kiểm soát. Tất cả các hành động này được điều phối tập trung bởi cơ quan an ninh hoặc đội ngũ chuyên gia bao gồm các chuyên gia tư vấn, đại diện các đơn vị kinh doanh và quản lý của tổ chức.

Đánh giá rủi ro là bước đầu tiên trong việc thực hiện một chương trình bảo mật thông tin. Bảo mật không được xem "bản thân nó" mà là một tập hợp các chính sách và biện pháp kiểm soát liên quan được thiết kế để hỗ trợ các quy trình kinh doanh và giảm thiểu rủi ro liên quan. Vì vậy, việc xác định rủi ro kinh doanh liên quan đến bảo mật thông tin là điểm khởi đầu của chu trình quản lý rủi ro (bảo mật thông tin).

Việc ban quản lý tổ chức thừa nhận các rủi ro bảo mật thông tin cũng như một loạt các biện pháp nhằm xác định và quản lý những rủi ro này là một yếu tố quan trọng trong việc phát triển chương trình bảo mật thông tin. Cách tiếp cận quản lý này sẽ đảm bảo rằng an ninh thông tin được thực hiện nghiêm túc ở các cấp tổ chức thấp hơn của tổ chức và các chuyên gia an ninh thông tin được cung cấp các nguồn lực cần thiết để triển khai chương trình một cách hiệu quả.

Có nhiều phương pháp đánh giá rủi ro khác nhau, từ thảo luận không chính thức về rủi ro đến các phương pháp khá phức tạp liên quan đến việc sử dụng các công cụ phần mềm chuyên dụng. Tuy nhiên, kinh nghiệm toàn cầu về quy trình quản lý rủi ro thành công mô tả một quy trình tương đối đơn giản có sự tham gia của nhiều bộ phận khác nhau của tổ chức tài chính với sự tham gia của các chuyên gia có kiến ​​thức về quy trình kinh doanh, chuyên gia kỹ thuật và chuyên gia trong lĩnh vực bảo mật thông tin. Cần nhấn mạnh rằng việc hiểu rủi ro không liên quan đến việc định lượng chính xác chúng, bao gồm khả năng xảy ra sự cố hoặc chi phí thiệt hại. Dữ liệu đó không có sẵn vì tổn thất có thể không được phát hiện và ban quản lý có thể không được thông báo. Ngoài ra, dữ liệu về toàn bộ chi phí sửa chữa hư hỏng do các biện pháp kiểm soát an ninh yếu kém gây ra, cũng như chi phí vận hành của các biện pháp kiểm soát (kiểm soát) này còn hạn chế. Do những thay đổi liên tục về công nghệ cũng như phần mềm và công cụ có sẵn cho những kẻ tấn công, việc áp dụng dữ liệu thống kê được thu thập trong những năm trước là một vấn đề đáng nghi ngờ. Do đó, rất khó để so sánh chính xác chi phí kiểm soát với rủi ro thua lỗ để xác định biện pháp kiểm soát nào hiệu quả nhất về mặt chi phí. Trong mọi trường hợp, người quản lý đơn vị kinh doanh và chuyên gia bảo mật thông tin phải dựa vào giải pháp tốt nhất đầy đủ thông tin, sẵn có cho họ khi quyết định lựa chọn các phương tiện (phương pháp) kiểm soát cần thiết.

Người quản lý đơn vị kinh doanh phải chịu trách nhiệm chính trong việc xác định mức độ bảo mật (bảo mật) của các nguồn thông tin hỗ trợ quy trình kinh doanh. Chính các nhà quản lý đơn vị kinh doanh là người có khả năng tốt nhất trong việc xác định nguồn thông tin nào là quan trọng nhất, cũng như tác động có thể có đối với doanh nghiệp nếu tính toàn vẹn, bảo mật hoặc tính khả dụng của nó bị xâm phạm. Ngoài ra, người quản lý đơn vị kinh doanh có thể chỉ ra các biện pháp kiểm soát (cơ chế) có thể gây tổn hại cho quy trình kinh doanh. Do đó, bằng cách cho họ tham gia vào việc lựa chọn các biện pháp kiểm soát, có thể đảm bảo rằng các biện pháp kiểm soát đó đáp ứng các yêu cầu và sẽ được thực hiện thành công.

Bảo mật thông tin đòi hỏi sự chú ý liên tục để đảm bảo rằng các biện pháp kiểm soát là đầy đủ và hiệu quả. Thông tin hiện đại và các công nghệ liên quan cũng như các yếu tố liên quan đến an toàn thông tin luôn thay đổi. Những yếu tố này bao gồm các mối đe dọa, công nghệ và cấu hình hệ thống, các lỗ hổng phần mềm đã biết, mức độ tin cậy của hệ thống tự động và dữ liệu điện tử cũng như mức độ quan trọng của dữ liệu và hoạt động. Đội ngũ quản lý hoạt động chủ yếu với vai trò cố vấn hoặc tư vấn cho các đơn vị kinh doanh và không thể áp đặt các phương pháp (công cụ) bảo mật thông tin. Nhìn chung, đội ngũ lãnh đạo phải là (1) người xúc tác (tăng tốc) quá trình, đảm bảo các rủi ro về an ninh thông tin được giải quyết liên tục; (2) nguồn tư vấn trung tâm cho các đơn vị tổ chức; (3) phương tiện truyền đạt thông tin quản lý của tổ chức về tình trạng an ninh thông tin và các biện pháp được thực hiện. Ngoài ra, đội ngũ lãnh đạo cho phép quản lý tập trung các nhiệm vụ được giao, nếu không các nhiệm vụ này có thể bị trùng lặp bởi nhiều bộ phận khác nhau trong tổ chức. Mọi người trong tổ chức phải tham gia vào các khía cạnh khác nhau của chương trình bảo mật thông tin và có các kỹ năng cũng như kiến ​​thức phù hợp. Mức độ chuyên nghiệp cần thiết của nhân viên có thể đạt được thông qua đào tạo, có thể được thực hiện bởi cả chuyên gia tổ chức và chuyên gia tư vấn bên ngoài.

Các chính sách bảo mật thông tin là cơ sở cho việc áp dụng các thủ tục nhất định và lựa chọn các phương tiện (cơ chế) kiểm soát (quản lý). Chính sách là cơ chế chính để ban quản lý truyền đạt quan điểm và yêu cầu của mình tới nhân viên, khách hàng và đối tác kinh doanh. Đối với bảo mật thông tin, cũng như đối với các lĩnh vực kiểm soát nội bộ khác, các yêu cầu chính sách phụ thuộc trực tiếp vào kết quả đánh giá rủi ro. Một bộ chính sách đầy đủ đầy đủ mà người dùng có thể truy cập và hiểu được là một trong những bước đầu tiên trong việc thiết lập chương trình bảo mật thông tin. Cần nhấn mạnh tầm quan trọng của việc hỗ trợ (điều chỉnh) liên tục các chính sách để có phản ứng kịp thời trước những rủi ro đã được xác định và những bất đồng có thể xảy ra.

Năng lực của người dùng là điều kiện tiên quyếtđể đảm bảo an toàn thông tin thành công, đồng thời giúp đảm bảo rằng các biện pháp kiểm soát hoạt động hiệu quả. Người dùng không thể tuân theo chính sách mà họ không biết hoặc không hiểu. Nếu không nhận thức được các rủi ro liên quan đến tài nguyên thông tin của tổ chức, họ có thể không thấy cần thiết phải thực thi các chính sách được thiết kế để giảm thiểu rủi ro.

Giống như bất kỳ loại hoạt động nào, bảo mật thông tin phải được kiểm soát và đánh giá lại định kỳ để đảm bảo tính đầy đủ (tuân thủ) của các chính sách và phương tiện (phương pháp) kiểm soát với các mục tiêu đã đặt ra.

Việc kiểm soát nên tập trung chủ yếu vào (1) tính sẵn có của các biện pháp kiểm soát và việc sử dụng chúng để giảm thiểu rủi ro và (2) đánh giá tính hiệu quả của chương trình và chính sách bảo mật thông tin nhằm nâng cao hiểu biết của người dùng và giảm thiểu sự cố. Các cuộc kiểm tra như vậy bao gồm kiểm tra các phương tiện (phương pháp) kiểm soát, đánh giá sự tuân thủ của chúng với chính sách của tổ chức, phân tích các sự cố bảo mật cũng như các chỉ số khác về tính hiệu quả của chương trình bảo mật thông tin. Hiệu quả của đội ngũ lãnh đạo có thể được đánh giá dựa trên, ví dụ, nhưng không giới hạn ở những điều sau:

· số lượng các khóa đào tạo và cuộc họp được tổ chức;

· số lần đánh giá rủi ro (rủi ro) được thực hiện;

· số lượng chuyên gia được chứng nhận;

· không có sự cố làm phức tạp công việc của nhân viên trong tổ chức;

· Giảm số lượng dự án mới triển khai chậm trễ do vấn đề an toàn thông tin;

· tuân thủ đầy đủ hoặc những sai lệch đã được thống nhất và ghi lại so với các yêu cầu bảo mật thông tin tối thiểu;

· giảm số lượng sự cố dẫn đến truy cập trái phép, mất hoặc bóp méo thông tin.

Các biện pháp kiểm soát chắc chắn giúp tổ chức tuân thủ các chính sách bảo mật thông tin đã thiết lập nhưng sẽ không đạt được đầy đủ lợi ích của các biện pháp kiểm soát trừ khi kết quả được sử dụng để cải thiện chương trình bảo mật thông tin. Đánh giá kiểm soát cung cấp cho các chuyên gia bảo mật thông tin và nhà quản lý doanh nghiệp các phương tiện để (1) đánh giá lại các rủi ro đã được xác định trước đó, (2) xác định các lĩnh vực quan tâm mới, (3) đánh giá lại tính đầy đủ và phù hợp của các biện pháp kiểm soát hiện có và các hành động thực thi bảo mật thông tin, (4). ) xác định nhu cầu về các phương tiện và cơ chế kiểm soát mới, (5) chuyển hướng các nỗ lực kiểm soát (hành động kiểm soát). Ngoài ra, kết quả có thể được sử dụng để đánh giá hiệu quả hoạt động của các nhà quản lý doanh nghiệp chịu trách nhiệm hiểu biết và giảm thiểu rủi ro trong các đơn vị kinh doanh.
Điều quan trọng là phải đảm bảo rằng (1) các chuyên gia bảo mật thông tin luôn cập nhật các phương pháp và công cụ (ứng dụng) đang phát triển và có thông tin mới nhất về lỗ hổng của hệ thống và ứng dụng thông tin, (2) quản lý cấp cao đảm bảo rằng họ có các nguồn lực cần thiết để thực hiện cái này.

Phương pháp phân tích

PEST là tên viết tắt của bốn từ tiếng Anh: P - Chính trị-pháp lý - chính trị và pháp lý, E - Esopomis - kinh tế, S - Văn hóa xã hội - văn hóa xã hội, T - Lực lượng công nghệ - yếu tố công nghệ.

Phân tích PEST bao gồm việc xác định và đánh giá mức độ ảnh hưởng của các yếu tố môi trường vĩ mô đến kết quả hoạt động hiện tại và tương lai của doanh nghiệp .

Có bốn nhóm yếu tố quan trọng nhất đối với chiến lược doanh nghiệp:

Chính trị và pháp lý;

Thuộc kinh tế;

Văn hóa xã hội;

Công nghệ.

Mục đích của phân tích PEST là theo dõi (giám sát) những thay đổi trong môi trường vĩ mô ở bốn lĩnh vực chính và xác định các xu hướng và sự kiện không nằm trong tầm kiểm soát của doanh nghiệp nhưng ảnh hưởng đến kết quả của các quyết định chiến lược được đưa ra.

Bảng 1. Phân tích PEST

Chính sách	R	Kinh tế	E
1. Sự ổn định của chính phủ 2. Những thay đổi về luật pháp 3. Ảnh hưởng của nhà nước đối với các ngành 4. Quy định của nhà nước về cạnh tranh trong ngành 5. Chính sách thuế	1. Đặc điểm chung của tình hình kinh tế (tăng, ổn định, suy giảm) 2. Tỷ giá hối đoái quốc gia và tỷ lệ tái cấp vốn 3. Tỷ lệ lạm phát 4. Tỷ lệ thất nghiệp 5. Giá năng lượng
Xã hội	S	Công nghệ	T
1. Thay đổi nhân khẩu học 2. Thay đổi cơ cấu thu nhập 3. Thái độ đối với công việc và giải trí 4. Dịch chuyển xã hội của dân số 5. ​​Hoạt động tiêu dùng	1. Chính sách kỹ thuật của Nhà nước 2. Các xu hướng nổi bật trong R&D 3. Sản phẩm mới (tốc độ cập nhật và phát triển công nghệ mới) 4. Bằng sáng chế mới

Yếu tố chính trị Môi trường bên ngoài được nghiên cứu chủ yếu để hiểu rõ ý định của các cơ quan chính phủ đối với sự phát triển của xã hội và các phương tiện mà nhà nước dự định thực hiện các chính sách của mình.

Phân tích khía cạnh kinh tế môi trường bên ngoài cho phép chúng ta hiểu các nguồn lực kinh tế được hình thành và phân bổ như thế nào ở cấp tiểu bang. Đối với hầu hết các doanh nghiệp, đây là điều kiện quan trọng nhất cho hoạt động kinh doanh của mình.

Học thành phần xã hội Môi trường bên ngoài nhằm mục đích tìm hiểu và đánh giá tác động đến hoạt động kinh doanh của các hiện tượng xã hội như thái độ của con người đối với chất lượng cuộc sống, khả năng di chuyển của con người, hoạt động của người tiêu dùng, v.v.

Phân tích thành phần công nghệ cho phép bạn thấy trước các cơ hội liên quan đến sự phát triển của khoa học và công nghệ, thích ứng kịp thời với việc sản xuất và bán một sản phẩm có triển vọng về công nghệ và dự đoán thời điểm từ bỏ công nghệ được sử dụng.

Quy trình thực hiện phân tích PE5T.

Các giai đoạn phân tích bên ngoài sau đây được phân biệt:

1. Đang xây dựng danh sách các yếu tố chiến lược bên ngoài có khả năng thực hiện và tác động cao đến hoạt động của doanh nghiệp.

2. Tầm quan trọng (xác suất xảy ra) của từng sự kiện đối với của doanh nghiệp này bằng cách gán cho nó một trọng số nhất định từ một (chính) đến 0 (không đáng kể). Tổng các trọng số phải bằng một, điều này được đảm bảo bằng cách chuẩn hóa.

3. Đánh giá mức độ ảnh hưởng của từng yếu tố-sự kiện đến chiến lược của doanh nghiệp theo thang điểm 5: “năm” – tác động mạnh, nguy hiểm nghiêm trọng; “một” – không có tác động, mối đe dọa.

4. Đánh giá gia quyền được xác định bằng cách nhân trọng số của yếu tố đó với mức độ tác động của yếu tố đó và tính tổng đánh giá có gia quyền cho doanh nghiệp đó.

Đánh giá tổng thể cho thấy mức độ sẵn sàng của doanh nghiệp trong việc ứng phó với các yếu tố môi trường hiện tại và dự đoán.

Bảng 2. Kết quả phân tích các yếu tố chiến lược bên ngoài

Trong trường hợp này, điểm 3,05 cho thấy phản ứng của doanh nghiệp đối với các yếu tố môi trường chiến lược ở mức trung bình.

Phương pháp SWOT được sử dụng để phân tích môi trường là một phương pháp được công nhận rộng rãi, cho phép nghiên cứu chung về môi trường bên ngoài và bên trong.

Sử dụng phương pháp phân tích SWOT, có thể thiết lập các đường dây liên lạc giữa điểm mạnh và điểm yếu vốn có của tổ chức với các mối đe dọa và cơ hội bên ngoài. Phương pháp này bao gồm việc xác định đầu tiên điểm mạnh và điểm yếu, Và mối đe dọa và cơ hội và sau đó thiết lập các chuỗi kết nối giữa chúng, sau này có thể được sử dụng để hình thành chiến lược của tổ chức.

Thompson và Strickland đã đề xuất tập hợp các đặc điểm gần đúng sau đây, kết luận của chúng sẽ cho phép chúng ta tổng hợp danh sách các điểm yếu và điểm mạnh của tổ chức, cũng như danh sách các mối đe dọa và cơ hội đối với tổ chức ở môi trường bên ngoài.

Điểm mạnh:

Năng lực vượt trội;

Nguồn tài chính đầy đủ;

Trình độ chuyên môn cao;

Danh tiếng tốt trong số người mua;

Người dẫn đầu thị trường nổi tiếng;

Một nhà chiến lược tháo vát trong các lĩnh vực chức năng của tổ chức;

Khả năng tiết kiệm được từ việc tăng khối lượng sản xuất;

Bảo vệ (ít nhất là ở đâu đó) khỏi áp lực cạnh tranh mạnh mẽ;

Công nghệ phù hợp;

Lợi thế về chi phí;

Lợi thế cạnh tranh;

Sự sẵn có của các khả năng đổi mới và khả năng thực hiện chúng;

Quản lý được thử nghiệm theo thời gian.

Các mặt yếu:

Không có định hướng chiến lược rõ ràng;

Suy giảm vị thế cạnh tranh;

Thiết bị lạc hậu;

Khả năng sinh lời thấp hơn vì...;

Thiếu tài năng quản lý và chiều sâu giải quyết vấn đề;

Thiếu một số loại trình độ và năng lực quan trọng;

Theo dõi quá trình thực hiện chiến lược kém;

Gặp vấn đề nội bộ sản xuất;

Dễ bị tổn thương trước áp lực cạnh tranh;

Độ trễ trong nghiên cứu và phát triển;

Dây chuyền sản xuất rất hẹp;

Hiểu biết kém về thị trường;

Bất lợi cạnh tranh;

Kỹ năng tiếp thị dưới mức trung bình;

Thất bại trong việc tài trợ cho những thay đổi cần thiết trong chiến lược.

Khả năng:

Thâm nhập thị trường hoặc phân khúc thị trường mới;

Mở rộng dây chuyền sản xuất;

Tăng tính đa dạng của các sản phẩm liên quan đến nhau;

Thêm sản phẩm liên quan;

Nhập theo chiều dọc;

Cơ hội chuyển sang nhóm có chiến lược tốt hơn;

Sự tự mãn giữa các công ty cạnh tranh;

Đẩy nhanh tốc độ tăng trưởng của thị trường.

Khả năng xuất hiện các đối thủ cạnh tranh mới;

Tăng doanh số bán sản phẩm thay thế;

Tăng trưởng thị trường chậm lại;

Chính sách của chính phủ không thuận lợi;

Gia tăng áp lực cạnh tranh;

Suy thoái và suy thoái của chu kỳ kinh doanh;

Tăng khả năng thương lượng giữa người mua và nhà cung cấp;

Thay đổi nhu cầu và thị hiếu của khách hàng;

Những thay đổi nhân khẩu học không thuận lợi.

Tiêu đề phụ: Phương pháp phân tích và xây dựng ma trận phân tích SWOT

Tổ chức có thể bổ sung cho mỗi phần trong số bốn phần của danh sách những đặc điểm của môi trường bên ngoài và bên trong phản ánh tình hình cụ thể mà tổ chức gặp phải.

Khi danh sách cụ thể về điểm yếu và điểm mạnh của tổ chức cũng như các mối đe dọa và cơ hội đã được biên soạn, giai đoạn thiết lập mối liên hệ giữa chúng sẽ bắt đầu. Để thiết lập các kết nối này, một ma trận SWOT được biên soạn, có dạng sau (Hình 1).

Cơm. 1. Ma trận phân tích SWOT

Ở bên trái, hai khối được đánh dấu (điểm mạnh, điểm yếu), trong đó tất cả các khía cạnh của tổ chức được xác định ở giai đoạn phân tích đầu tiên đều được viết ra tương ứng.

Ở đầu ma trận cũng có hai khối (cơ hội và mối đe dọa), trong đó tất cả các cơ hội và mối đe dọa đã xác định đều được ghi lại. Tại giao điểm của các khối, bốn trường được hình thành:

SIV (sức mạnh và khả năng); SIS (sức mạnh và mối đe dọa); SLV (điểm yếu và cơ hội); SLU (điểm yếu và mối đe dọa). Trong mỗi lĩnh vực, nhà nghiên cứu phải xem xét tất cả các kết hợp theo cặp có thể có và nêu bật những kết hợp cần được tính đến khi phát triển chiến lược hành vi của tổ chức.

Đối với những cặp đã được chọn từ lĩnh vực SIV, cần xây dựng chiến lược sử dụng thế mạnh của tổ chức nhằm tận dụng các cơ hội phát sinh từ môi trường bên ngoài.

Đối với những cặp đôi tham gia lĩnh vực SLV, chiến lược nên được cấu trúc sao cho, do có cơ hội, họ sẽ cố gắng khắc phục những điểm yếu trong tổ chức.

Nếu cặp đôi làm việc trong lĩnh vực SIS thì chiến lược sẽ liên quan đến việc sử dụng quyền lực của tổ chức để loại bỏ mối đe dọa.

Cuối cùng, đối với các cặp đôi trong lĩnh vực SLU, tổ chức phải phát triển một chiến lược cho phép tổ chức vừa loại bỏ điểm yếu vừa cố gắng ngăn chặn mối đe dọa đang rình rập nó.

Khi phát triển chiến lược, bạn nên nhớ rằng cơ hội và mối đe dọa có thể đối lập nhau. Vì vậy, một cơ hội chưa được khai thác có thể trở thành mối đe dọa nếu đối thủ cạnh tranh khai thác nó. Hoặc ngược lại, một mối đe dọa được ngăn chặn thành công có thể mở ra cơ hội cho tổ chức Tính năng bổ sung trong trường hợp các đối thủ cạnh tranh không thể loại bỏ được mối đe dọa tương tự.

Tiêu đề phụ: Xây dựng ma trận “cơ hội”

Để phân tích thành công môi trường của tổ chức bằng phân tích SWOT, điều quan trọng không chỉ là có thể xác định các mối đe dọa và cơ hội mà còn có thể đánh giá chúng về tầm quan trọng và mức độ ảnh hưởng đến chiến lược của tổ chức.

Để đánh giá cơ hội, một phương pháp được sử dụng để định vị từng cơ hội cụ thể trên ma trận cơ hội (Hình 2).

Cơm. 2. Ma trận cơ hội

Ma trận được xây dựng như sau:

– theo chiều ngang từ trên xuống, mức độ ảnh hưởng của cơ hội đến các hoạt động của tổ chức được thể hiện (mạnh, trung bình, nhỏ);

– ở hàng dọc bên trái là xác suất tổ chức có thể tận dụng được cơ hội (cao, trung bình, thấp).

Chín trường cơ hội thu được trong ma trận có ý nghĩa khác nhau đối với tổ chức.

Các cơ hội thuộc các lĩnh vực BC, B, U và SS có tầm quan trọng rất lớn đối với tổ chức và chúng phải được tận dụng.

Những cơ hội rơi vào lĩnh vực SM, NU, NM thực tế không đáng được tổ chức quan tâm.

Phụ đề: Xây dựng ma trận “mối đe dọa”

Một ma trận tương tự được biên soạn để đánh giá các mối đe dọa (Hình 3):

– các hậu quả có thể xảy ra đối với tổ chức do việc thực hiện mối đe dọa (sự phá hủy, tình trạng nguy kịch, tình trạng nghiêm trọng, “vết bầm nhỏ”) được trình bày theo chiều ngang ở trên cùng.

– ở hàng dọc bên trái là xác suất xảy ra mối đe dọa (cao, trung bình, thấp).

Cơm. 3. Ma trận mối đe dọa

Những mối đe dọa rơi vào lĩnh vực VR, VC và SR gây nguy hiểm rất lớn cho tổ chức và cần phải loại bỏ ngay lập tức và bắt buộc.

Các mối đe dọa đã xâm nhập vào lĩnh vực VT, SC và HP cũng phải nằm trong tầm nhìn của quản lý cấp cao và được ưu tiên loại bỏ.

Đối với các mối đe dọa nằm trong lĩnh vực NK, ST và VL, cần có cách tiếp cận cẩn thận và có trách nhiệm để loại bỏ chúng. Mặc dù nhiệm vụ loại bỏ chúng trước tiên không được đặt ra. Các mối đe dọa thuộc các lĩnh vực còn lại cũng không được nằm ngoài tầm quản lý của tổ chức. Sự phát triển của chúng phải được theo dõi chặt chẽ.

Phụ đề: Hồ sơ môi trường

Cùng với các phương pháp nghiên cứu các mối đe dọa, cơ hội, điểm mạnh và điểm yếu của một tổ chức, phương pháp lập hồ sơ tổ chức có thể được sử dụng để phân tích môi trường. Phương pháp này thuận tiện khi sử dụng để lập hồ sơ riêng biệt môi trường vĩ mô, môi trường trực tiếp và môi trường bên trong. Sử dụng phương pháp lập hồ sơ môi trường, có thể đánh giá tầm quan trọng tương đối của các yếu tố môi trường riêng lẻ đối với tổ chức.

Phương pháp lập hồ sơ môi trường như sau. Các yếu tố môi trường riêng lẻ được liệt kê trong bảng hồ sơ môi trường (Hình 4). Mỗi yếu tố đều được chuyên gia đánh giá:

Tầm quan trọng đối với ngành trên các thang đo: 3 – lớn, 2 – vừa phải, 1 – yếu;

Tác động đến tổ chức theo thang điểm: 3 – mạnh, 2 – trung bình, 1 – yếu, 0 – không ảnh hưởng;

Hướng ảnh hưởng trên thang đo: +1 – tích cực, -1 – tiêu cực.

Cơm. 4. Bảng hồ sơ môi trường

Tiếp theo, cả ba đánh giá của chuyên gia được nhân lên và thu được đánh giá tổng thể, cho thấy mức độ quan trọng của yếu tố đó đối với tổ chức. Từ đánh giá này, ban quản lý có thể kết luận yếu tố môi trường nào tương đối quan trọng hơn đối với tổ chức của họ và do đó đáng được quan tâm nghiêm túc nhất, còn yếu tố nào ít được quan tâm hơn.

Phân tích môi trường là rất quan trọng để phát triển chiến lược của tổ chức và rất quan trọng. quá trình khó khăn, đòi hỏi phải giám sát cẩn thận các quá trình xảy ra trong môi trường, đánh giá các yếu tố và thiết lập mối liên hệ giữa các yếu tố với những yếu tố mạnh và những điểm yếu tổ chức cũng như những cơ hội và mối đe dọa tồn tại ở môi trường bên ngoài.

Rõ ràng là nếu không hiểu biết về môi trường thì tổ chức không thể tồn tại được. Tuy nhiên, nó không trôi nổi như một chiếc thuyền không có bánh lái, mái chèo hay cánh buồm. Một tổ chức kiểm tra môi trường của mình để đảm bảo tiến độ thành công hướng tới mục tiêu của mình. Do đó, trong cấu trúc của quy trình quản lý chiến lược, việc phân tích môi trường đi kèm với việc thiết lập sứ mệnh và mục tiêu của tổ chức.

9.3. Vòng đời sản phẩm/dịch vụ

Bất kỳ sản phẩm (dịch vụ) nào cũng trải qua vòng đời của nó từ khi bắt đầu (xuất hiện trên thị trường) cho đến khi kết thúc (xuất xưởng mẫu cuối cùng).

Có thể phân biệt các giai đoạn chính sau đây vòng đời(Hình 5):

Cơm. 5. Vòng đời sản phẩm điển hình theo thời gian

Ma trận BCG

Quy trình phổ biến nhất để phân tích vị thế của một công ty trên thị trường là xây dựng ma trận danh mục đầu tư. Thông thường, các ma trận như vậy được xây dựng dựa trên một số biến số quan trọng về mặt chiến lược, chẳng hạn như tốc độ tăng trưởng của ngành, quy mô thị trường, mức độ hấp dẫn lâu dài của ngành, tình trạng cạnh tranh, v.v. Các ma trận hai chiều như vậy tương đối đơn giản và cung cấp một thị trường rõ ràng. môi trường. Các ma trận được sử dụng rộng rãi nhất là BCG (BCG - Boston Consulting Group) và General Electric.

Ma trận Boston dựa trên mô hình vòng đời sản phẩm, theo đó một sản phẩm sẽ trải qua bốn giai đoạn phát triển: gia nhập thị trường (sản phẩm “mèo hoang”), tăng trưởng (sản phẩm “ngôi sao”) và trưởng thành (sản phẩm “mèo hoang”). sản phẩm “bò tiền”)) và suy giảm (sản phẩm - “con chó”).

Để đánh giá năng lực cạnh tranh của từng loại hình doanh nghiệp, hai tiêu chí được sử dụng: tốc độ tăng trưởng của thị trường ngành; thị phần tương đối.

Tốc độ tăng trưởng của thị trường được xác định là bình quân gia quyền tốc độ tăng trưởng của các phân khúc thị trường khác nhau mà doanh nghiệp hoạt động hoặc được coi bằng tốc độ tăng trưởng của tổng sản phẩm quốc dân. Tốc độ tăng trưởng của ngành từ 10% trở lên được coi là cao.

Thị phần tương đối được xác định bằng cách chia thị phần của doanh nghiệp đó cho thị phần của đối thủ cạnh tranh lớn nhất.

Cơm. 6. Ma trận BCG cho một công ty giả định

Giá trị thị phần bằng 1 sẽ phân biệt sản phẩm dẫn đầu thị trường với sản phẩm theo sau. Như vậy, các loại hình kinh doanh (sản phẩm riêng lẻ) được chia thành bốn nhóm khác nhau (Hình 6).

Ma trận BCG dựa trên hai giả định:

1. Một doanh nghiệp có thị phần đáng kể sẽ đạt được lợi thế cạnh tranh về mặt chi phí sản xuất nhờ hiệu ứng này. Theo đó, đối thủ cạnh tranh lớn nhất có khả năng sinh lời cao nhất khi bán theo giá thị trường và đối với họ dòng tài chính là tối đa.

2. Sự hiện diện trong một thị trường đang phát triển có nghĩa là nhu cầu về nguồn tài chính cho sự phát triển của thị trường đó ngày càng tăng, tức là. đổi mới, mở rộng sản xuất, quảng cáo chuyên sâu... Nếu tốc độ tăng trưởng thị trường thấp, chẳng hạn như thị trường trưởng thành, thì sản phẩm không cần nguồn tài chính đáng kể.

Trong trường hợp cả hai giả thuyết đều được đáp ứng, có thể phân biệt bốn nhóm thị trường sản phẩm, tương ứng với các mục tiêu chiến lược ưu tiên và nhu cầu tài chính khác nhau:

Wildcats (Tăng trưởng cao/Thị phần thấp): Các sản phẩm trong nhóm này có thể rất hứa hẹn khi thị trường mở rộng, nhưng cần vốn đáng kể để duy trì tăng trưởng. Liên quan đến nhóm sản phẩm này, cần phải quyết định: tăng thị phần cho các sản phẩm này hay ngừng tài trợ cho chúng.

Các ngôi sao (tăng trưởng nhanh/thị phần cao) là những người dẫn đầu thị trường. Họ tạo ra lợi nhuận đáng kể nhờ khả năng cạnh tranh, nhưng cũng cần nguồn tài chính để duy trì thị phần cao trong một thị trường năng động.

Cash Cows (Tăng trưởng chậm/Chia sẻ cao): Các sản phẩm có thể tạo ra nhiều lợi nhuận hơn mức cần thiết để hỗ trợ sự tăng trưởng của chúng. Họ là nguồn tài trợ chính cho việc đa dạng hóa và nghiên cứu. Mục tiêu chiến lược ưu tiên là “thu hoạch”.

“Chó” (tăng trưởng chậm/thị phần thấp) là những sản phẩm ở thế bất lợi về mặt chi phí và không có chỗ cho sự tăng trưởng. Việc bảo quản những hàng hóa đó đòi hỏi rất nhiều chi phí tài chính với rất ít cơ hội cải thiện. Chiến lược ưu tiên là thoái vốn và sống khiêm tốn.

Lý tưởng nhất là danh mục sản phẩm cân bằng của doanh nghiệp nên bao gồm:

2-3 sản phẩm là “bò”, 1-2 là “ngôi sao”, một số “mèo” làm nền tảng cho tương lai và có lẽ một số ít sản phẩm là “chó”. Việc dư thừa hàng hóa cũ (“chó”) cho thấy nguy cơ suy thoái, ngay cả khi hoạt động hiện tại của doanh nghiệp tương đối tốt. Việc cung cấp quá mức các sản phẩm mới có thể dẫn đến khó khăn về tài chính.

Trong danh mục đầu tư doanh nghiệp năng động, các quỹ đạo (kịch bản) phát triển sau đây được phân biệt (Hình 7).

Cơm. 7. Các kịch bản phát triển chính

"Quỹ đạo sản phẩm". Bằng cách đầu tư vào quỹ R&D nhận được từ “những con bò tiền mặt”, công ty tham gia thị trường với một sản phẩm mới về cơ bản, thay thế cho ngôi sao.

"Quỹ đạo theo sau". Tiền từ “bò tiền” được đầu tư vào một sản phẩm – “mèo”, thị trường do người dẫn đầu thống trị. Công ty tuân thủ chiến lược tích cực để tăng thị phần và sản phẩm “mèo” trở thành “ngôi sao”.

“Quỹ đạo của sự thất bại” Do không được đầu tư đúng mức, sản phẩm ngôi sao mất đi vị trí dẫn đầu trên thị trường và trở thành sản phẩm “mèo”.

"Quỹ đạo của sự tầm thường." Sản phẩm “mèo” không thể tăng thị phần và bước sang giai đoạn tiếp theo (sản phẩm “chó”).

Một trong những khía cạnh quan trọng nhất Việc thực hiện chính sách bảo mật thông tin là phân tích các mối đe dọa, đánh giá độ tin cậy của chúng và mức độ nghiêm trọng của các hậu quả có thể xảy ra. Trong thực tế, rủi ro xuất hiện khi có khả năng xảy ra mối đe dọa và mức độ rủi ro tỷ lệ thuận với mức độ xác suất này (Hình 4.11).

Bản chất của hoạt động quản lý rủi ro là đánh giá quy mô, xây dựng các biện pháp giảm thiểu và tạo ra cơ chế đảm bảo rủi ro tồn dư không vượt quá giới hạn chấp nhận được. Vì vậy, quản lý rủi ro bao gồm hai hoạt động: đánh giá rủi ro và lựa chọn các cơ chế quản lý và bảo vệ hiệu quả và tiết kiệm chi phí. Quá trình quản lý rủi ro có thể được chia thành các giai đoạn sau [Galatenko V. A., 2006]:

• xác định tài sản, giá trị tài nguyên cần bảo vệ;
• lựa chọn các đối tượng được phân tích và mức độ chi tiết của việc xem xét chúng;
• phân tích các mối đe dọa và hậu quả của chúng, xác định các điểm yếu trong việc bảo vệ;
• phân loại rủi ro, lựa chọn phương pháp và đánh giá rủi ro;
• lựa chọn, thực hiện và thử nghiệm các biện pháp bảo vệ;
• đánh giá rủi ro tồn dư.

Cơm. 4.11. Sự không chắc chắn là cơ sở hình thành rủi ro

Chính sách bảo mật thông tin bao gồm việc phát triển chiến lược quản lý rủi ro của các loại khác nhau.

Một danh sách ngắn các mối đe dọa phổ biến nhất đã được đưa ra ở trên (xem điều 17.2). Bạn nên xác định không chỉ bản thân các mối đe dọa mà còn cả nguồn gốc xuất hiện của chúng - điều này sẽ giúp đánh giá chính xác rủi ro và lựa chọn các biện pháp vô hiệu hóa thích hợp. Ví dụ: đăng nhập vào hệ thống một cách bất hợp pháp sẽ làm tăng nguy cơ đoán mật khẩu hoặc người dùng hoặc thiết bị trái phép kết nối vào mạng.

Rõ ràng là để chống lại từng phương thức xâm nhập trái phép cần có cơ chế bảo mật riêng. Sau khi xác định được mối đe dọa, cần đánh giá khả năng thực hiện mối đe dọa đó và mức độ thiệt hại tiềm ẩn.

Khi đánh giá mức độ nghiêm trọng của thiệt hại, cần lưu ý không chỉ chi phí trước mắt của việc thay thế thiết bị hoặc khôi phục thông tin mà còn cả những chi phí xa hơn, đặc biệt là làm suy yếu danh tiếng của công ty, làm suy yếu vị thế của công ty trên thị trường, v.v.

Sau khi xác định và phân tích các mối đe dọa cũng như hậu quả có thể xảy ra của chúng, có một số cách tiếp cận quản lý: đánh giá rủi ro, giảm thiểu rủi ro, tránh rủi ro, thay đổi bản chất rủi ro, chấp nhận rủi ro, xây dựng các biện pháp khắc phục (Hình 4.12).

Cơm. 4.12. Khung quản lý rủi ro

Khi xác định tài sản và nguồn thông tin—những giá trị cần được bảo vệ—người ta không chỉ nên xem xét các thành phần của hệ thống thông tin mà còn cả cơ sở hạ tầng hỗ trợ, nhân sự và tài sản vô hình, bao gồm xếp hạng hiện tại và danh tiếng của công ty . Tuy nhiên, một trong những kết quả chính của quá trình xác định tài sản là thu được cấu trúc thông tin chi tiết của tổ chức và cách sử dụng nó.

Sự lựa chọn các đối tượng được phân tích và mức độ chi tiết của việc xem xét chúng - bước tiếp theo trong đánh giá rủi ro. Vì tổ chức nhỏđược phép xem xét tất cả cơ sở hạ tầng thông tin, đối với dịch vụ lớn, bạn nên tập trung vào các dịch vụ quan trọng (quan trọng) nhất. Nếu như dịch vụ quan trọng nhiều, thì những người đó được chọn có rủi ro rõ ràng là cao hoặc chưa được biết đến. Nếu như cơ sở thông tin tổ chức là một mạng cục bộ thì số lượng đối tượng phần cứng sẽ bao gồm máy tính, thiết bị ngoại vi, giao diện bên ngoài, quản lý cáp và thiết bị mạng hoạt động.

Các đối tượng phần mềm nên bao gồm hệ điều hành (mạng, máy chủ và máy khách), phần mềm ứng dụng, công cụ, chương trình quản lý mạng và các hệ thống con riêng lẻ. Điều quan trọng là phải ghi lại phần mềm được lưu trữ ở các nút mạng nào, ở đâu và như thế nào. Loại đối tượng thông tin thứ ba là dữ liệu được lưu trữ, xử lý và truyền qua mạng. Dữ liệu phải được phân loại theo loại và mức độ bảo mật, nơi nó được lưu trữ và xử lý cũng như cách truy cập dữ liệu đó phải được xác định. Tất cả điều này rất quan trọng để đánh giá rủi ro và hậu quả của việc vi phạm an ninh thông tin.

Đánh giá rủi ro được thực hiện trên cơ sở dữ liệu ban đầu được tích lũy và đánh giá mức độ chắc chắn của các mối đe dọa. Hoàn toàn có thể chấp nhận được khi sử dụng một phương pháp đơn giản như nhân xác suất xảy ra mối đe dọa với mức độ thiệt hại dự kiến. Nếu chúng ta sử dụng thang điểm ba điểm cho xác suất và thiệt hại thì sẽ có sáu sản phẩm có thể xảy ra: 1, 2, 3, 4, 6 và 9. Hai kết quả đầu tiên có thể được phân loại là rủi ro thấp, kết quả thứ ba và thứ tư - như trung bình và hai cái cuối cùng - cao. Thang đo này có thể được sử dụng để đánh giá khả năng chấp nhận rủi ro.

Nếu phát hiện bất kỳ rủi ro nào ở mức cao không thể chấp nhận được thì phải thực hiện các biện pháp bảo vệ bổ sung. Một số cơ chế bảo mật hiệu quả và không tốn kém có thể được sử dụng để loại bỏ hoặc giảm bớt điểm yếu khiến mối đe dọa nguy hiểm trở thành hiện thực. Ví dụ: nếu có nguy cơ đăng nhập bất hợp pháp cao, bạn có thể nhập mật khẩu dài, sử dụng chương trình tạo mật khẩu hoặc mua hệ thống xác thực dựa trên thẻ thông minh tích hợp. Nếu có khả năng cố ý làm hỏng máy chủ vì nhiều mục đích khác nhau, điều này có thể dẫn đến hậu quả nghiêm trọng, bạn có thể hạn chế Truy cập vật lý nhân viên đến các phòng máy chủ và tăng cường an ninh cho họ.

Công nghệ đánh giá rủi ro phải kết hợp các thước đo hình thức và hình thành các chỉ số định lượng thực tế để đánh giá. Với sự giúp đỡ của họ, cần phải trả lời hai câu hỏi: chúng có được chấp nhận không? rủi ro hiện có và nếu không thì sử dụng chất bảo vệ nào để tiết kiệm chi phí.

Cơm. 4.13. Khung đánh giá và giảm thiểu rủi ro

Phương pháp giảm thiểu rủi ro. Nhiều rủi ro có thể được giảm thiểu đáng kể bằng cách sử dụng các biện pháp đối phó đơn giản và không tốn kém. Ví dụ: kiểm soát truy cập có thẩm quyền (được quy định) giúp giảm nguy cơ xâm nhập trái phép. Có thể tránh được một số loại rủi ro - việc di chuyển máy chủ Web của tổ chức ra ngoài mạng cục bộ cho phép bạn tránh nguy cơ máy khách Web truy cập trái phép vào mạng cục bộ. Một số rủi ro không thể giảm xuống giá trị nhỏ nhưng sau khi thực hiện bộ tiêu chuẩn Các biện pháp đối phó có thể được thực hiện bằng cách liên tục theo dõi rủi ro còn sót lại (Hình 4.13).

Việc đánh giá chi phí của các biện pháp bảo vệ không chỉ cần tính đến chi phí trực tiếp của việc mua thiết bị và/hoặc phần mềm mà còn phải tính đến chi phí giới thiệu sản phẩm mới, đào tạo và đào tạo lại nhân sự. Chi phí này có thể được thể hiện ở một mức độ nào đó và sau đó so sánh với sự khác biệt giữa rủi ro được tính toán và rủi ro có thể chấp nhận được. Nếu theo chỉ số này, biện pháp khắc phục mang lại lợi nhuận kinh tế thì có thể được chấp nhận để xem xét thêm.

Cơm. 4.14. Quy trình quản lý rủi ro lặp đi lặp lại

Kiểm soát rủi ro tồn đọng trong bắt buộc bao gồm trong việc kiểm soát hiện tại của hệ thống an ninh thông tin. Khi các biện pháp theo kế hoạch đã được thực hiện, cần phải kiểm tra tính hiệu quả của chúng - để đảm bảo rằng các rủi ro tồn tại ở mức có thể chấp nhận được. Trong trường hợp rủi ro tồn đọng gia tăng một cách có hệ thống, cần phải phân tích những sai sót đã mắc phải và ngay lập tức có biện pháp khắc phục.

Quản lý rủi ro là một quá trình lặp đi lặp lại nhiều giai đoạn (Hình 4.14).

Hầu như tất cả các giai đoạn của nó đều được kết nối với nhau và sau khi hoàn thành hầu hết mọi giai đoạn trong số đó, nhu cầu quay lại giai đoạn trước có thể trở nên rõ ràng. Do đó, khi xác định tài sản, có thể nảy sinh hiểu biết rằng ranh giới phân tích đã chọn cần được mở rộng và mức độ chi tiết tăng lên. Phân tích sơ cấp đặc biệt khó khăn khi nhiều lần quay lại từ đầu là không thể tránh khỏi. Quản lý rủi ro là một vấn đề tối ưu hóa điển hình; khó khăn cơ bản nằm ở việc xây dựng nó ở cấp quản lý cấp cao, sự kết hợp giữa các phương pháp tối ưu và mô tả dữ liệu ban đầu (Hình 4.15).

Cơm. 4.15. Hình thành hoạt động quản lý rủi ro CNTT

Các phương pháp đánh giá rủi ro và quản lý rủi ro đã trở thành một phần không thể thiếu trong các hoạt động trong lĩnh vực Kinh doanh liên tục và An ninh thông tin. Chương trình triển khai bảo mật thông tin và các bộ chính sách dựa trên một tập hợp các hành động và các bước thực hành(Hình 4.16-Hình 4.19).

Cơm. 4.16. Tập hợp các hành động mang tính hệ thống và các bước thực tế (1)

Cơm. 4.17. Tập hợp các hành động mang tính hệ thống và các bước thực tế (2)

Cơm. 4.18. Tập hợp các hành động mang tính hệ thống và các bước thực tế (3)

Cơm. 4.19. Tập hợp các hành động mang tính hệ thống và các bước thực tế (4)

Hơn chục tiêu chuẩn và thông số kỹ thuật quốc tế khác nhau đã được xây dựng và sử dụng tích cực, quy định chi tiết các quy trình quản lý rủi ro thông tin: ISO 15408: 1999 (“Tiêu chí chung để biết thông tinĐánh giá An ninh Công nghệ"), ISO 17799:2002 ("Quy tắc Thực hành Quản lý An ninh Thông tin"), NIST 80030, SAS 78/94, COBIT.

Phương pháp và công cụ của Công cụ Phần mềm RA dựa trên các yêu cầu của tiêu chuẩn quốc tế ISO 17999 và ISO 13335 (phần 3 và 4), cũng như các yêu cầu của hướng dẫn của Viện Tiêu chuẩn Quốc gia Anh (BSI) - PD 3002 ("Hướng dẫn để đánh giá và quản lý rủi ro"), PD 3003 (Đánh giá mức độ sẵn sàng kiểm toán của công ty theo BS 7799), PD 3005 (Hướng dẫn lựa chọn hệ thống bảo mật).

Trong thực tế, các kỹ thuật quản lý rủi ro như vậy cho phép:

• tạo ra các mô hình tài sản thông tin của công ty từ quan điểm bảo mật;
• phân loại, đánh giá giá trị tài sản;
• biên soạn danh sách các mối đe dọa và lỗ hổng bảo mật quan trọng nhất;
• xếp hạng các mối đe dọa và lỗ hổng bảo mật;
• đánh giá và quản lý rủi ro;
• xây dựng các biện pháp khắc phục;
• biện minh cho các phương tiện và biện pháp kiểm soát rủi ro;
• đánh giá hiệu quả/chi phí của các phương án bảo vệ khác nhau;
• chính thức hóa và tự động hóa các thủ tục đánh giá và quản lý rủi ro.

Quản lý rủi ro bao gồm một số giai đoạn quan trọng nhất thiết phải có trong công việc đã lên kế hoạch để đảm bảo an ninh thông tin (Hình 4.20).

Việc sử dụng phần mềm thích hợp có thể làm giảm sự phức tạp của việc tiến hành phân tích rủi ro và lựa chọn các biện pháp đối phó. Hiện tại, hơn chục sản phẩm phần mềm đã được phát triển để phân tích và quản lý rủi ro ở mức độ bảo mật cơ bản. Một ví dụ về một công cụ khá đơn giản là gói phần mềm BSS (Khảo sát an ninh cơ bản, Vương quốc Anh).

Các sản phẩm phần mềm cao cấp hơn: CRAMM (Insight Consulting Limited, UK), Risk Watch, COBRA (Mục tiêu tư vấn và Phân tích rủi ro hai chức năng), Buddy System. Phổ biến nhất trong số đó là CRAMM (Phương pháp quản lý và phân tích rủi ro phức tạp), thực hiện phương pháp phân tích và kiểm soát rủi ro. Ưu điểm đáng kể của phương pháp này là khả năng tiến hành nghiên cứu chi tiết trong thời gian ngắn với đầy đủ tài liệu về kết quả.

Cơm. 4,20. Các giai đoạn quản lý rủi ro

Các phương pháp như CRAMM dựa trên cách tiếp cận tổng hợp để đánh giá rủi ro, kết hợp các phương pháp phân tích định lượng và định tính. Phương pháp này phổ biến và phù hợp cho cả tổ chức lớn và nhỏ, cả khu vực chính phủ và thương mại.

ĐẾN điểm mạnh Phương pháp CRAMM bao gồm:

• CRAMM là một phương pháp phân tích rủi ro có cấu trúc tốt và được thử nghiệm rộng rãi, mang lại kết quả thực tế;
• Các công cụ phần mềm CRAMM có thể được sử dụng ở tất cả các giai đoạn của quá trình kiểm tra an ninh IS;
• sản phẩm phần mềm được xây dựng dựa trên nền tảng kiến ​​thức khá sâu rộng về các biện pháp đối phó trong lĩnh vực an toàn thông tin, dựa trên các khuyến nghị của tiêu chuẩn BS 7799;
• tính linh hoạt và linh hoạt của phương pháp CRAMM cho phép nó được sử dụng để kiểm tra IP ở mọi mức độ phức tạp và mục đích;
• CRAMM có thể được sử dụng như một công cụ để phát triển kế hoạch kinh doanh liên tục và các chính sách bảo mật thông tin của tổ chức;
• CRAMM có thể được sử dụng như một phương tiện ghi lại các cơ chế bảo mật IS.

Đối với các tổ chức thương mại có Hồ sơ thương mại đạt tiêu chuẩn bảo mật (Commercial Profile), dành cho tổ chức chính phủ – chính phủ (Government Profile). Phiên bản chính phủ của hồ sơ cũng cho phép kiểm tra tuân thủ tiêu chuẩn Mỹ TCSEC (Sách màu cam).

Lịch sử đã nhiều lần chứng minh rằng sự ổn định, dù thoạt nhìn có vẻ lý tưởng và tốt đẹp đến đâu, cũng sẽ dẫn đến suy thoái. Không thể phát triển nếu không có rủi ro. Toàn bộ cuộc sống của chúng ta được tạo thành từ những xác suất, những đánh giá về khả năng và những quyết định dẫn đến thành công hay thất bại. Nhưng rất nhiều điều phụ thuộc vào chúng tôi. Cuộc nhảy dù sẽ kết thúc an toàn? Phụ thuộc vào việc nó có được đặt đúng cách hay không, liệu bạn có biết quy trình nhảy hay không, v.v. Rủi ro bây giờ có bằng không không? Không, nhưng thông qua hành động của mình, bạn đã có thể giảm thiểu nó một cách đáng kể. Ngoài những rủi ro cá nhân, còn có những rủi ro xã hội, công nghệ và nhiều rủi ro khác. Chúng tôi sẽ tập trung vào các rủi ro bảo mật thông tin và cách quản lý chúng.

Anton Makarychev
Trưởng phòng An toàn thông tin, Tập đoàn Compulink

Tiêu chuẩn quản lý rủi ro ISO 31000:2009 định nghĩa rủi ro là kết quả của sự không chắc chắn về mục tiêu, trong đó kết quả là sự sai lệch so với kết quả dự kiến ​​(tích cực hoặc tiêu cực) và sự không chắc chắn là tình trạng thiếu thông tin liên quan đến sự hiểu biết hoặc kiến ​​thức về một sự kiện, hậu quả hoặc xác suất của nó. Xét rằng hầu hết các rủi ro không thể giảm xuống 0, quản lý rủi ro được đặt lên hàng đầu cả trên toàn cầu và địa phương. Thật không may, trong trường hợp hành động xảy ra trước khi phân tích (và đây là tình huống điển hình của nhiều công ty Nga), hiệu quả của các biện pháp được thực hiện cũng tùy thuộc vào cơ hội. Nó giống như việc sử dụng cưa máy làm rìu mà không thèm đọc hướng dẫn sử dụng. Đó là lý do tại sao, trước khi thực hiện quản lý rủi ro bảo mật thông tin, bạn nên hiểu rõ những phát triển và tiêu chuẩn hiện có trong lĩnh vực này.

Từ chung đến cụ thể

Khi xem xét quản lý rủi ro thông qua trọng tâm bảo mật thông tin, việc hiểu rõ các tài liệu sau sẽ rất hữu ích:

• tiêu chuẩn quốc tế ISO 31000:2009;
• Ủy ban các tổ chức tài trợ của Khung quản lý rủi ro tổ chức của Ủy ban Treadway (COSO ERM);
• tiêu chuẩn quản lý rủi ro của Viện Quản lý Rủi ro (IRM) thuộc Hiệp hội Quản lý Rủi ro và Bảo hiểm (AIRMIC), cũng như Diễn đàn Quốc gia về Quản lý Rủi ro trong Khu vực Công của Vương quốc Anh.

Ngày nay, quá trình thông tin hóa xã hội, cùng với việc tự động hóa các quy trình, đang phát triển nhanh chóng đến mức việc bỏ qua những rủi ro ngày càng tăng trong lĩnh vực công nghệ thông tin là điều không thể chấp nhận được.

ISO 31000:2009 là tiêu chuẩn quốc tế cơ bản về quản lý rủi ro cho các tổ chức và cung cấp các định nghĩa và nguyên tắc cơ bản hướng dẫn tổ chức khi tổ chức quyết định triển khai hệ thống quản lý rủi ro. Tài liệu này có thể được sử dụng làm hướng dẫn cho các bước đầu tiên vì nó mô tả chính xác việc quản lý rủi ro, tức là kiến ​​trúc.

Hơn hướng dẫn chi tiếtđược bao gồm trong Khung quản lý rủi ro tổ chức của Ủy ban các tổ chức tài trợ của Ủy ban Treadway. Đặc biệt, ngoài bản thân tài liệu, các tài liệu bổ sung do Ủy ban COSO ban hành đều mang lại lợi ích thiết thực:

• Đánh giá rủi ro ERM trong thực tế (thực hành tiến hành đánh giá rủi ro trong hệ thống quản lý rủi ro);
• Quản lý rủi ro doanh nghiệp cho C
• oud Computing (quản lý rủi ro hệ thống điện toán đám mây);
• Quản lý rủi ro doanh nghiệp – ​​Hiểu và truyền đạt khẩu vị rủi ro (hiểu và truyền đạt khẩu vị rủi ro trong hệ thống quản lý rủi ro);
• Nắm bắt quản lý rủi ro doanh nghiệp: Thực hành
• Các phương pháp tiếp cận để bắt đầu (các phương pháp thực tế để bắt đầu triển khai hệ thống quản lý rủi ro), v.v.

Mục tiêu của họ là tiết lộ chi tiết tất cả các khía cạnh được nêu trong khuôn khổ khái niệm, điều này cuối cùng giúp đưa các nguyên tắc được mô tả vào cơ sở thực tế.

Tuy nhiên, điều đáng nói là một sắc thái quan trọng có thể dẫn đến một số nhầm lẫn khi cố gắng kết hợp các tiêu chuẩn được mô tả ở trên - sự khác biệt trong định nghĩa. Ví dụ, định nghĩa về “rủi ro” trong tiêu chuẩn ISO là xác suất xảy ra cả hậu quả tích cực và tiêu cực, trong tiêu chuẩn COSO nó chỉ là xác suất xảy ra hậu quả tiêu cực, đối với hậu quả tích cực thì có một thuật ngữ riêng - cơ hội. Tuy nhiên, với sự phát triển lâu dài của tiêu chuẩn, nó xứng đáng nhận được sự quan tâm sâu sắc nhất.

Một tài liệu hữu ích khác là tiêu chuẩn quản lý rủi ro của Viện Quản lý Rủi ro (IRM) thuộc Hiệp hội Quản lý Rủi ro và Bảo hiểm (AIRMIC), cũng như Diễn đàn Quốc gia về Quản lý Rủi ro trong Khu vực Công của Vương quốc Anh. Sử dụng thuật ngữ ISO làm cơ sở, tiêu chuẩn này tiết lộ quy trình quản lý rủi ro chi tiết hơn (Hình 2).

Nó sẽ cực kỳ hữu ích cho các doanh nghiệp vừa và nhỏ vì nó có thể hoạt động như một tài liệu duy nhất để thực hiện. hệ thống chất lượng quản lý rủi ro.

Vì vậy, trước khi chuyển sang các vấn đề cụ thể về quản lý rủi ro an toàn thông tin, chúng ta có thể rút ra kết luận trung gian về các tiêu chuẩn được xem xét:

• ISO 31000:2009 phù hợp làm cơ sở cho mọi tổ chức;
• AIRMIC được định hướng thực hành và phù hợp làm tài liệu cốt lõi cho các doanh nghiệp vừa và nhỏ, đồng thời là điểm khởi đầu cho các công ty lớn;
• COSO ERM đóng vai trò là tài liệu chính để triển khai thực tế hệ thống quản lý rủi ro trong bất kỳ tổ chức nào, nhưng ban đầu hướng tới các doanh nghiệp lớn.

Quản lý rủi ro an ninh thông tin

Ngày nay, quá trình thông tin hóa xã hội, cùng với việc tự động hóa các quy trình, đang phát triển nhanh chóng đến mức việc bỏ qua những rủi ro ngày càng tăng trong lĩnh vực công nghệ thông tin là điều không thể chấp nhận được. Tính khả dụng của trung tâm dữ liệu được đo bằng năm và sáu chín, và những lỗi trong hệ thống thông tin của các công ty lớn trở thành tin tức toàn cầu.

Do đó, các tổ chức đang thành lập các bộ phận riêng biệt về bảo mật thông tin và rủi ro CNTT, có nhiệm vụ xác định và quản lý rủi ro trong lĩnh vực này.

Cầu tạo ra cung. Như vậy, tổ chức quốc tế ISO đã ban hành tiêu chuẩn quản lý rủi ro an toàn thông tin trong một tổ chức – ISO 27005:2008 “Công nghệ thông tin - kỹ thuật bảo mật - quản lý rủi ro an toàn thông tin”. Tuy nhiên, ngoài nó ra còn có những tài liệu khác cũng hữu ích không kém, ví dụ:

• môi trường làm việc để quản lý rủi ro CNTT (Khung công nghệ thông tin rủi ro) và hướng dẫn sử dụng rủi ro CNTT (Hướng dẫn người thực hành công nghệ thông tin rủi ro), dựa trên tiêu chuẩn Cobit của tổ chức ISACA;
• phương pháp quản lý rủi ro hệ thống thông tin của tác giả Ken Jaworski.

Chúng ta hãy xem xét từng người trong số họ chi tiết hơn.

ISO 27005:2008 định nghĩa rủi ro bảo mật thông tin là khả năng một mối đe dọa nhất định sẽ khai thác lỗ hổng của một tài sản hoặc một nhóm tài sản và do đó gây tổn hại cho tổ chức.

Theo tiêu chuẩn, quy trình quản lý rủi ro bảo mật thông tin cho phép bạn tổ chức những việc sau:

• xác định rủi ro;
• đánh giá rủi ro về mặt hậu quả kinh doanh và khả năng xảy ra của chúng;
• truyền thông và nhận thức về khả năng xảy ra cũng như hậu quả của rủi ro;
• thiết lập thứ tự ưu tiên xử lý rủi ro;
• ưu tiên các hành động để giảm thiểu khả năng xảy ra rủi ro;
• thu hút các bên liên quan tham gia vào quá trình ra quyết định quản lý rủi ro và truyền đạt tình trạng của quá trình quản lý rủi ro;
• giám sát hiệu quả xử lý rủi ro;
• thường xuyên theo dõi, xem xét rủi ro và quy trình quản lý rủi ro;
• xác định thông tin để cải thiện phương pháp quản lý rủi ro;
• đào tạo người quản lý và nhân viên về rủi ro và hành động để giảm thiểu chúng.

Có một số tiến bộ trong lĩnh vực quản lý rủi ro an toàn thông tin, cho phép các chuyên gia quan tâm chuyển từ mô tả lý thuyết sang mô tả hành động thiết thực. Vì vậy, tiêu chuẩn quốc tế ISO 27005:2008 đóng vai trò là điểm khởi đầu về mặt lý thuyết, hơn nữa Cách thực hiện từ đó, dù mỗi tổ chức có cách tiếp cận riêng nhưng vẫn có thể được triển khai hiệu quả bằng cách sử dụng ít nhất hai phương pháp.

Đáng chú ý là sơ đồ quy trình quản lý rủi ro bảo mật thông tin khớp với sơ đồ tiêu chuẩn 31000 được trình bày trước đó, điều này khẳng định thêm cách tiếp cận tương tự đối với quản lý rủi ro trong loạt tiêu chuẩn ISO. Tiêu chuẩn này mang tính chất lý thuyết nhưng sẽ hữu ích làm cơ sở cho việc triển khai sâu hơn hệ thống quản lý rủi ro.

Khung CNTT về rủi ro, dựa trên tiêu chuẩn ISACA Cobit, bao gồm khung lý thuyết, hướng dẫn sử dụng - phương pháp và ví dụ thực tế.

Tài liệu này định nghĩa rủi ro CNTT là rủi ro kinh doanh, cụ thể là rủi ro kinh doanh liên quan đến việc sử dụng, quyền sở hữu, vận hành, sự tham gia, ảnh hưởng hoặc điều chỉnh CNTT trong một tổ chức.

Mô hình quy trình của môi trường này bao gồm ba miền:

• quản lý rủi ro (Risk Governance);
• Đánh giá rủi ro;
• Phản hồi rủi ro.

Mô hình ba miền này được mổ xẻ kỹ lưỡng trong bài báo. Tất cả các định nghĩa cần thiết đều được cung cấp, mô hình vai trò cho các quy trình được liệt kê cũng như quy trình thực hiện được phân tích.

Hướng dẫn dành cho người thực hành CNTT về rủi ro là sự tiếp nối hợp lý của môi trường làm việc, tập trung vào việc triển khai thực tế mô hình ba lĩnh vực trong tổ chức. Tài liệu trình bày mẫu cần thiết, bảng và các tài liệu khác có thể được sửa đổi khi cần và được sử dụng trong hệ thống quản lý rủi ro của tổ chức bạn. Một mô tả cũng được đưa ra thực hành tốt nhất triển khai hệ thống rủi ro CNTT.

Phương pháp quản lý rủi ro hệ thống thông tin của Ken Jaworski dựa trên tiêu chuẩn ISO và tập trung vào các khía cạnh thực tế của việc triển khai hệ thống quản lý rủi ro, đồng thời chứa các mẫu và phương pháp cần thiết để tính toán tác động của rủi ro đối với hoạt động của tổ chức.

Tóm lại, chúng ta có thể kết luận rằng trong lĩnh vực quản lý rủi ro an toàn thông tin đã có một số tiến bộ cho phép các chuyên gia quan tâm chuyển từ mô tả lý thuyết sang hành động thực tế. Do đó, tiêu chuẩn quốc tế ISO 27005:2008 đóng vai trò là điểm khởi đầu về mặt lý thuyết, từ đó con đường thực tiễn tiếp theo, dù mỗi tổ chức có cách tiếp cận riêng, vẫn có thể được thực hiện một cách hiệu quả bằng cách sử dụng ít nhất hai phương pháp.

Phần kết luận

Hệ thống quản lý rủi ro như một phần của quản trị doanh nghiệp đã cho thấy tính hiệu quả của nó ở những công ty mà hệ thống này đang bắt đầu hoặc đã được triển khai. Do tình trạng khủng hoảng hiện nay của nền kinh tế toàn cầu, có thể giả định rằng các hệ thống tương tự sẽ lan rộng trong tương lai trong khu vực công. Điều này thậm chí còn có thể thực hiện được cho đến ngày nay vì đã có các tiêu chuẩn và tài liệu khác về hệ thống quản lý rủi ro cho phép triển khai hệ thống này với chất lượng cao và trong thời gian tương đối ngắn. Điểm cơ bản là ngoài các tài liệu “chung”, còn có các tiêu chuẩn ngành về quản lý rủi ro, đặc biệt là quản lý rủi ro CNTT/IS. Tuy nhiên, do đặc thù của nền kinh tế Nga, nhiều tổ chức phụ thuộc nhiều hơn vào sự hỗ trợ của nhà nước hay còn gọi là nguồn lực hành chính, đặc biệt là chưa quan tâm đúng mức đến hệ thống quản trị doanh nghiệp và quản lý rủi ro. Kết quả là, ở nước ta, xu hướng phá sản lớn hơn ở nước ta ngày càng tăng so với ở Hoa Kỳ. Nhưng không hành động khó có thể giúp giải quyết vấn đề.