Манай эрин үед мэдээлэл хүний амьдралын бүхий л салбарт гол байр суурийн нэгийг эзэлдэг. Энэ нь нийгэм аж үйлдвэржсэн үеэс аж үйлдвэрийн дараах үе рүү аажмаар шилжиж байгаатай холбоотой. Төрөл бүрийн мэдээллийг ашиглах, эзэмших, шилжүүлэхийн үр дүнд эдийн засгийн бүх салбарт нөлөөлөх мэдээллийн эрсдэл үүсч болзошгүй.
Аль үйлдвэрүүд хамгийн хурдацтай хөгжиж байна вэ?
Техникийн инноваци өргөжиж байгаа нь шинэ технологид дасан зохицохтой холбоотой мэдээллийг хурдацтай дамжуулах нь нэн яаралтай шаардлага болж байгаа тул мэдээллийн урсгал нэмэгдэж байгаа нь жил бүр мэдэгдэхүйц болж байна. Бидний үед аж үйлдвэр, худалдаа, боловсрол, санхүү зэрэг салбарууд хурдацтай хөгжиж байна. Өгөгдөл дамжуулах явцад мэдээллийн эрсдэл үүсдэг.
Мэдээлэл нь хамгийн үнэ цэнэтэй бүтээгдэхүүний нэг болж байгаа бөгөөд нийт өртөг нь удахгүй үйлдвэрлэлийн бүх бүтээгдэхүүний үнээс давах болно. Учир нь энэ нь тохиолдох болноБүх материаллаг бүтээгдэхүүн, үйлчилгээг нөөц хэмнэсэн бүтээн байгуулалтыг хангахын тулд мэдээллийн эрсдэлийг үгүйсгэсэн мэдээлэл дамжуулах цоо шинэ арга замыг бий болгох шаардлагатай байна.
Тодорхойлолт
Бидний үед мэдээллийн эрсдэл гэсэн хоёрдмол утгагүй тодорхойлолт байдаггүй. Олон шинжээчид энэ нэр томъёог янз бүрийн мэдээлэлд шууд нөлөөлдөг үйл явдал гэж тайлбарладаг. Энэ нь нууцлалыг зөрчсөн, гуйвуулж, бүр устгасан байж болзошгүй. Ихэнх хүмүүсийн хувьд эрсдэлийн бүс нь компьютерийн системээр хязгаарлагддаг бөгөөд үүнд гол анхаарлаа хандуулдаг.
Ихэнхдээ энэ сэдвийг судлахдаа үнэхээр чухал олон зүйлийг анхаарч үздэггүй. Үүнд мэдээллийг шууд боловсруулах, мэдээллийн эрсдэлийн менежмент орно. Эцсийн эцэст, мэдээлэлтэй холбоотой эрсдэлүүд нь дүрмээр бол мэдээлэл олж авах үе шатанд үүсдэг, учир нь мэдээллийг буруу хүлээн авах, боловсруулах магадлал өндөр байдаг. Мэдээлэл боловсруулах алгоритмын доголдол, менежментийг оновчтой болгоход ашигладаг программуудын доголдол зэрэг эрсдэлд ихэвчлэн анхаарал хандуулдаггүй.
Олон хүмүүс мэдээлэл боловсруулахтай холбоотой эрсдэлийг зөвхөн эдийн засгийн талаас нь авч үздэг. Тэдний хувьд энэ нь юуны түрүүнд мэдээллийн технологийг буруу хэрэгжүүлэх, ашиглахтай холбоотой эрсдэл юм. Энэ нь мэдээллийн эрсдэлийн удирдлага нь янз бүрийн мэдээллийн хэрэгсэл, харилцаа холбооны хэрэгслийг ашиглан мэдээлэл үүсгэх, дамжуулах, хадгалах, ашиглах зэрэг үйл явцыг хамарна гэсэн үг юм.
Шинжилгээ бамэдээллийн технологийн эрсдэлийн ангилал
Мэдээлэл хүлээн авах, боловсруулах, дамжуулахтай холбоотой ямар эрсдэлүүд байдаг вэ? Тэд юугаараа ялгаатай вэ? Дараах шалгуурын дагуу мэдээллийн эрсдэлийн чанарын болон тоон үнэлгээний хэд хэдэн бүлэг байдаг:
- дотоод болон гадаад эх сурвалжийн дагуу;
- санаатай болон санамсаргүй;
- шууд болон шууд бусаар;
- мэдээллийн зөрчлийн төрлөөр: найдвартай байдал, хамаарал, бүрэн бүтэн байдал, мэдээллийн нууцлал гэх мэт;
- нөлөөллийн аргын дагуу эрсдэл нь дараах байдалтай байна: давагдашгүй хүчин зүйл болон байгалийн гамшиг, мэргэжилтнүүдийн алдаа, осол гэх мэт.
Мэдээллийн эрсдэлийн шинжилгээ гэдэг нь янз бүрийн эрсдэлийн тоо хэмжээ (мөнгөний нөөц) болон чанар (бага, дунд, өндөр эрсдэл)-ийг тодорхойлох замаар мэдээллийн системийн хамгаалалтын түвшинг дэлхийн хэмжээнд үнэлэх үйл явц юм. Шинжилгээний үйл явцыг мэдээллийг хамгаалах арга замыг бий болгох янз бүрийн арга, хэрэгслийг ашиглан хийж болно. Ийм шинжилгээний үр дүнд үндэслэн мэдээллийн нөөцийг хамгаалахад хувь нэмрээ оруулах нэмэлт арга хэмжээг нэн даруй хэрэгжүүлэхэд түлхэц болох шууд аюул, хөшүүрэг байж болох хамгийн өндөр эрсдэлийг тодорхойлох боломжтой.
Мэдээллийн технологийн эрсдэлийг тодорхойлох арга зүй
Одоогоор мэдээллийн технологийн тодорхой эрсдэлийг найдвартай тодорхойлох нийтээр хүлээн зөвшөөрөгдсөн арга байхгүй. Энэ нь илүү тодорхой мэдээлэл өгөх статистик мэдээлэл хангалтгүй байгаатай холбоотой юмнийтлэг эрсдэлүүд. Мэдээллийн тодорхой нөөцийн үнэ цэнийг нарийн тодорхойлоход хэцүү байдаг нь чухал үүрэг гүйцэтгэдэг, учир нь үйлдвэрлэгч эсвэл аж ахуйн нэгжийн эзэмшигч нь мэдээллийн хэрэгслийн өртгийг үнэмлэхүй нарийвчлалтайгаар нэрлэж чаддаг боловч түүнд хэцүү байх болно. тэдгээрт байрлах мэдээллийн үнийг дуугаргах. Тийм ч учраас одоогийн байдлаар мэдээллийн технологийн эрсдлийн өртгийг тодорхойлох хамгийн сайн сонголт бол чанарын үнэлгээ бөгөөд үүний ачаар янз бүрийн эрсдэлт хүчин зүйлс, тэдгээрийн нөлөөллийн талбар, бүхэл бүтэн аж ахуйн нэгжийн үр дагаврыг нарийн тодорхойлсон болно.
Их Британид хэрэглэгддэг CRAMM арга нь тоон эрсдэлийг тодорхойлох хамгийн хүчирхэг арга юм. Энэ аргын гол зорилго нь:
- эрсдэлийн удирдлагын үйл явцыг автоматжуулах;
- мөнгөний удирдлагын зардлыг оновчтой болгох;
- компанийн хамгаалалтын системийн бүтээмж;
- бизнесийн тасралтгүй байдлын амлалт.
Мэргэжилтний эрсдэлийн шинжилгээний арга
Мэргэжилтнүүд мэдээллийн аюулгүй байдлын эрсдлийн шинжилгээний дараах хүчин зүйлсийг авч үздэг:
1. Нөөцийн зардал. Энэ утга нь мэдээллийн нөөцийн үнэ цэнийг илэрхийлдэг. Чанарын эрсдэлийн үнэлгээний систем нь 1 нь хамгийн бага, 2 нь дундаж, 3 нь дээд тал юм. Хэрэв бид банкны орчны мэдээллийн технологийн нөөцийг авч үзвэл түүний автоматжуулсан сервер нь 3 гэсэн утгатай, тусдаа мэдээллийн терминал - 1 байх болно.
2. Нөөцийн эмзэг байдлын зэрэг. Энэ нь аюулын цар хүрээ, мэдээллийн технологийн нөөцөд хохирол учруулах магадлалыг харуулдаг. Банкны байгууллагын тухай ярих юм бол автоматжуулсан банкны системийн сервер аль болох хүртээмжтэй байх тул хакерын халдлага нь түүнд хамгийн том аюул занал учруулж байна. Мөн 1-ээс 3 хүртэлх үнэлгээний хуваарь байдаг бөгөөд 1 нь бага зэргийн нөлөөлөл, 2 нь нөөцийг нөхөн сэргээх өндөр магадлал, 3 нь аюулыг саармагжуулсны дараа нөөцийг бүрэн солих шаардлагатай.
3. Аюул заналхийллийн магадлалыг үнэлэх. Энэ нь мэдээллийн нөөцөд тодорхой аюул заналхийлэх магадлалыг тодорхой хугацааны туршид (ихэнхдээ - нэг жилийн хугацаанд) тодорхойлдог бөгөөд өмнөх хүчин зүйлүүдийн нэгэн адил 1-ээс 3 хүртэл (бага, дунд, өндөр) үнэлж болно..
Мэдээллийн аюулгүй байдлын эрсдэл үүсэх үед нь удирдах
Шинээр гарч ирж буй эрсдэлтэй асуудлыг шийдвэрлэх дараах сонголтууд байна:
- эрсдэлийг хүлээж, алдагдлаа хариуцах;
- эрсдэлийг бууруулах, өөрөөр хэлбэл үүсэхтэй холбоотой алдагдлыг багасгах;
- шилжүүлэх, өөрөөр хэлбэл даатгалын компанид учирсан хохирлын нөхөн төлбөрийг ногдуулах, эсвэл тодорхой механизмаар аюулын хамгийн бага эрсдэлтэй эрсдэл болгон хувиргах.
Дараа нь мэдээллийн дэмжлэг үзүүлэх эрсдэлийг зэрэглэлээр нь хуваарилж, үндсэн эрсдэлийг нь тодруулна. Ийм эрсдлийг удирдахын тулд тэдгээрийг багасгах, заримдаа даатгалын компанид шилжүүлэх шаардлагатай байдаг. Өндөр болон эрсдэлийг шилжүүлэх, бууруулах боломжтойижил нөхцөлөөр дунд түвшний, доод түвшний эрсдэлийг ихэвчлэн хүлээн зөвшөөрдөг бөгөөд цаашдын шинжилгээнд оруулдаггүй.
Мэдээллийн систем дэх эрсдлийн зэрэглэлийг тэдгээрийн чанарын үнэ цэнийг тооцоолох, тодорхойлох үндсэн дээр тодорхойлогддог гэдгийг анхаарч үзэх нь зүйтэй. Өөрөөр хэлбэл, эрсдэлийн зэрэглэлийн интервал нь 1-ээс 18-ийн хооронд байвал бага эрсдэл 1-7, дунд эрсдэл 8-13, өндөр эрсдэл нь 14-18 байна. Аж ахуйн нэгжийн мөн чанар Мэдээллийн эрсдэлийн удирдлага нь дундаж болон өндөр эрсдэлийг хамгийн бага утга хүртэл бууруулж, тэдгээрийг хүлээн зөвшөөрөх нь аль болох оновчтой, боломжтой байх явдал юм.
CORAS эрсдэлийг бууруулах арга
CORAS арга нь Мэдээллийн нийгэм технологийн хөтөлбөрийн нэг хэсэг юм. Үүний утга нь мэдээллийн эрсдэлийн жишээн дээр дүн шинжилгээ хийх үр дүнтэй аргуудыг дасан зохицох, тодорхой болгох, хослуулах явдал юм.
CORAS аргачлал нь дараах эрсдлийн шинжилгээний процедурыг ашигладаг:
- тухайн объектын талаарх мэдээллийг хайх, системчилэхэд бэлтгэх арга хэмжээ;
- үйлчлүүлэгчээс тухайн объектын талаар бодитой, зөв мэдээлэл өгөх;
- бүх үе шатыг харгалзан удахгүй хийх шинжилгээний бүрэн тайлбар;
- илүү бодитой дүн шинжилгээ хийхийн тулд ирүүлсэн баримт бичгийн үнэн зөв, үнэн зөв эсэхийг шинжлэх;
- болзошгүй эрсдэлийг тодорхойлох үйл ажиллагаа явуулах;
- шинээр гарч ирж буй мэдээллийн аюулын бүх үр дагаврын үнэлгээ;
- компанийн авч болох эрсдэл, эрсдэлийг онцолж байнааль болох хурдан багасгах эсвэл дахин чиглүүлэх шаардлагатай;
- болзошгүй аюулыг арилгах арга хэмжээ.
Жагсаалтад дурдсан арга хэмжээнүүд нь хэрэгжүүлэх болон дараа нь хэрэгжүүлэхэд ихээхэн хүчин чармайлт, нөөц хөрөнгө шаарддаггүй гэдгийг анхаарах нь чухал. CORAS аргачлалыг ашиглахад маш энгийн бөгөөд үүнийг ашиглаж эхлэхийн тулд нэг их сургалт шаарддаггүй. Энэ хэрэгслийн цорын ганц дутагдал нь үнэлгээний үе үе байхгүй явдал юм.
ОКТАВ арга
OCTAVE эрсдэлийн үнэлгээний арга нь дүн шинжилгээ хийхэд мэдээлэл эзэмшигчийн тодорхой хэмжээний оролцоог илэрхийлдэг. Энэ нь чухал аюулыг хурдан үнэлэх, хөрөнгийг тодорхойлох, мэдээллийн аюулгүй байдлын системийн сул талыг тодорхойлоход ашиглагддаг гэдгийг та мэдэх хэрэгтэй. OCTAVE нь системийг ашигладаг компанийн ажилтнууд болон мэдээллийн албаны ажилтнуудыг багтаасан чадварлаг дүн шинжилгээ, аюулгүй байдлын бүлгийг бий болгох боломжийг олгодог. OCTAVE гурван үе шатаас бүрдэнэ:
Нэгдүгээрт, байгууллагыг үнэлдэг, өөрөөр хэлбэл, шинжилгээний бүлэг нь хохирлыг үнэлэх шалгуур үзүүлэлтийг, дараа нь эрсдэлийг тодорхойлдог. Байгууллагын хамгийн чухал нөөцийг тодорхойлж, компанид мэдээллийн технологийн аюулгүй байдлыг хангах үйл явцын ерөнхий байдлыг үнэлдэг. Сүүлийн алхам бол аюулгүй байдлын шаардлагыг тодорхойлж, эрсдлийн жагсаалтыг тодорхойлох явдал юм
- Хоёр дахь шат нь компанийн мэдээллийн дэд бүтцийн цогц шинжилгээ юм. Үүнийг хариуцаж буй ажилчид болон хэлтэс албадын хоорондын шуурхай, уялдаатай харилцан үйлчлэлд онцгой анхаарал хандуулдагдэд бүтэц.
- Гурав дахь шатанд аюулгүй байдлын тактикийг боловсруулж, болзошгүй эрсдлийг бууруулах, мэдээллийн нөөцийг хамгаалах төлөвлөгөөг боловсруулдаг. Болзошгүй хохирол, аюул заналхийллийг хэрэгжүүлэх магадлалыг мөн үнэлгээний шалгуурыг үнэлдэг.
Эрсдэлийн шинжилгээний матриц арга
Энэ шинжилгээний арга нь аюул занал, эмзэг байдал, хөрөнгө, мэдээллийн аюулгүй байдлын хяналтыг нэгтгэж, байгууллагын тус тусын хөрөнгөд үзүүлэх ач холбогдлыг тодорхойлдог. Байгууллагын хөрөнгө гэдэг нь ашиг тусын хувьд чухал ач холбогдолтой биет болон биет бус объект юм. Матрицын арга нь аюулын матриц, эмзэг байдлын матриц, хяналтын матриц гэсэн гурван хэсгээс бүрддэг гэдгийг мэдэх нь чухал юм. Энэхүү аргын гурван хэсгийн үр дүнг эрсдэлд дүн шинжилгээ хийхэд ашигладаг.
Шинжилгээний явцад бүх матрицуудын хамаарлыг авч үзэх нь зүйтэй. Жишээлбэл, эмзэг байдлын матриц нь хөрөнгө болон одоо байгаа эмзэг байдлын хоорондын холбоос, аюулын матриц нь эмзэг байдал, аюулын цуглуулга, хяналтын матриц нь аюул, хяналт гэх мэт ойлголтуудыг холбодог. Матрицын нүд бүр нь багана ба мөрийн элементийн харьцааг илэрхийлдэг. Өндөр, дунд, бага үнэлгээний системийг ашигладаг.
Хүснэгт үүсгэхийн тулд та аюул заналхийлэл, эмзэг байдал, хяналт, хөрөнгийн жагсаалтыг гаргах хэрэгтэй. Матрицын баганын агуулгын мөрийн агуулгатай харилцан үйлчлэлийн талаарх өгөгдлийг нэмж оруулсан болно. Дараа нь эмзэг байдлын матрицын өгөгдлийг аюулын матриц руу шилжүүлж, дараа нь ижил зарчмын дагуу аюулын матрицын мэдээллийг хяналтын матриц руу шилжүүлнэ.
Дүгнэлт
Өгөгдлийн үүрэгхэд хэдэн улс орон зах зээлийн эдийн засагт шилжсэнээр ихээхэн нэмэгдсэн. Шаардлагатай мэдээллийг цаг тухайд нь хүлээн авахгүйгээр компанийн хэвийн үйл ажиллагаа явуулах боломжгүй юм.
Мэдээллийн технологи хөгжихийн хэрээр аж ахуйн нэгжүүдийн үйл ажиллагаанд аюул учруулах мэдээллийн эрсдэл гэж нэрлэгдэх болсон. Ийм учраас тэдгээрийг цаашид бууруулах, шилжүүлэх, устгах зорилгоор тодорхойлж, дүн шинжилгээ хийж, үнэлэх шаардлагатай байна. Ажиллагсдын мэдлэг чадвар, мэдлэг дутмаг байдлаас үүдэн мөрдөгдөж буй дүрэм журмыг зөв ашиглахгүй бол аюулгүй байдлын бодлогыг бүрдүүлэх, хэрэгжүүлэх нь үр дүнгүй болно. Мэдээллийн аюулгүй байдлыг хангах цогцолборыг хөгжүүлэх нь чухал.
Эрсдэлийн удирдлага нь субъектив, нарийн төвөгтэй боловч компанийн үйл ажиллагааны чухал үе шат юм. Их хэмжээний мэдээлэлтэй ажилладаг эсвэл нууц мэдээлэл эзэмшдэг компани тэдний мэдээллийн аюулгүй байдалд хамгийн их анхаарал хандуулах ёстой.
Мэдээлэлтэй холбоотой эрсдлийг тооцоолох, дүн шинжилгээ хийх олон үр дүнтэй аргууд байдаг бөгөөд энэ нь компанид хурдан мэдээлэх, зах зээлд өрсөлдөх чадварын дүрмийг дагаж мөрдөх, түүнчлэн аюулгүй байдал, бизнесийн тасралтгүй байдлыг хангах боломжийг олгодог..
