Ризики інформаційної безпеки. Забезпечення інформаційної безпеки. Аудит інформаційної безпеки
Яку роль в аналізі ризиків грають активи?
Ризики інформаційної безпеки організації безпосередньо впливають на активи підприємства. Адже мета зловмисників полягає в отриманні цінної інформації. Її втрата або розголошення неодмінно веде до збитків. Збитки, завдані несанкціонованим вторгненням, може надавати пряме вплив, а може лише опосередкований. Тобто неправомірні дії щодо організації можуть призвести до повної втрати контролю над бізнесом.
Оцінюється розмір шкоди згідно з наявними в розпорядженні організації активів. Схильними є всі ресурси, які будь-яким чином сприяють реалізації цілей керівництва. Під активами підприємства розуміються всі матеріальні та нематеріальні цінності, що приносять і допомагають приносити дохід.
Активи бувають декількох типів:
- матеріальні;
- людські;
- інформаційні;
- фінансові;
- процеси;
- бренд і авторитет.
Останній тип активу страждає від несанкціонованого вторгнення найбільше. Це пов’язано з тим, що будь-які реальні ризики інформаційної безпеки впливають на імідж. Проблеми з даною сферою автоматично знижують повагу і довіру до такого підприємства, так як ніхто не хоче, щоб його конфіденційна інформація стала надбанням громадськості. Кожна поважаюча себе організація дбає про захист власних інформаційних ресурсів.
На те, в якому обсязі і які активи будуть страждати, впливають різні фактори. Вони поділяються на зовнішні і внутрішні. Їх комплексний вплив, як правило, стосується одночасно декількох груп цінних ресурсів.
На активах побудований весь бізнес підприємства. Вони присутні в будь-якому обсязі в діяльності будь-якої установи. Просто для одних більш важливим є одні групи, і менше – інші. В залежності від того, на який вид активів вдалося вплинути зловмисникам, залежить результат, тобто заподіяну шкоду.
Оцінка ризиків інформаційної безпеки дозволяє чітко ідентифікувати основні активи, і якщо зачеплені були саме вони, то це загрожує непоправними втратами для підприємства. Увагу цим групам цінних ресурсів повинно приділяти саме керівництво, оскільки їх безпека перебуває у сфері інтересів власників.
Пріоритетний напрямок для підрозділу з інформаційної безпеки займають допоміжні активи. За їх захист відповідає спеціальний людина. Ризики щодо них не є критичними і зачіпають лише систему управління.