Ризики інформаційної безпеки. Забезпечення інформаційної безпеки. Аудит інформаційної безпеки

Яку роль в аналізі ризиків грають активи?

Ризики інформаційної безпеки організації безпосередньо впливають на активи підприємства. Адже мета зловмисників полягає в отриманні цінної інформації. Її втрата або розголошення неодмінно веде до збитків. Збитки, завдані несанкціонованим вторгненням, може надавати пряме вплив, а може лише опосередкований. Тобто неправомірні дії щодо організації можуть призвести до повної втрати контролю над бізнесом.

Оцінюється розмір шкоди згідно з наявними в розпорядженні організації активів. Схильними є всі ресурси, які будь-яким чином сприяють реалізації цілей керівництва. Під активами підприємства розуміються всі матеріальні та нематеріальні цінності, що приносять і допомагають приносити дохід.

Активи бувають декількох типів:

• матеріальні;
• людські;
• інформаційні;
• фінансові;
• процеси;
• бренд і авторитет.

Останній тип активу страждає від несанкціонованого вторгнення найбільше. Це пов’язано з тим, що будь-які реальні ризики інформаційної безпеки впливають на імідж. Проблеми з даною сферою автоматично знижують повагу і довіру до такого підприємства, так як ніхто не хоче, щоб його конфіденційна інформація стала надбанням громадськості. Кожна поважаюча себе організація дбає про захист власних інформаційних ресурсів.

На те, в якому обсязі і які активи будуть страждати, впливають різні фактори. Вони поділяються на зовнішні і внутрішні. Їх комплексний вплив, як правило, стосується одночасно декількох груп цінних ресурсів.

На активах побудований весь бізнес підприємства. Вони присутні в будь-якому обсязі в діяльності будь-якої установи. Просто для одних більш важливим є одні групи, і менше – інші. В залежності від того, на який вид активів вдалося вплинути зловмисникам, залежить результат, тобто заподіяну шкоду.

Оцінка ризиків інформаційної безпеки дозволяє чітко ідентифікувати основні активи, і якщо зачеплені були саме вони, то це загрожує непоправними втратами для підприємства. Увагу цим групам цінних ресурсів повинно приділяти саме керівництво, оскільки їх безпека перебуває у сфері інтересів власників.

Пріоритетний напрямок для підрозділу з інформаційної безпеки займають допоміжні активи. За їх захист відповідає спеціальний людина. Ризики щодо них не є критичними і зачіпають лише систему управління.