Ақпарат тасымалдаушылары. Ақпараттық жүйе толығымен жойылған кезде жоғалып кететін медиа. Олардың құны жаңа тасымалдаушыларды сатып алу шығындарына тең қабылданады.
Деректер. Ақпараттың құнын сандық бағалаудың типтік әдістері іс жүзінде жоқ. Ұйымның жұмыс істеуі үшін өте маңызды ақпаратты (стратегиялық жоспарлар немесе операциялық регламенттер, бизнес-процестер, корпоративтік мәліметтер базасы, ұйым қызметкерлері туралы ақпарат және т. б.) бөліп көрсету ұсынылады. д.) бұл тізімге, егер тиісті деректердің жария етілу қаупі қаралатын болса, ұйымның зияткерлік меншігі де енгізілуі мүмкін (шын мәнінде, ақпараттың кейбір түрлері, мысалы, ноу-хау, олармен танысқан адамдардың шеңбері кеңейген сайын өз құнын жоғалтады). Деректердің құны өлшеу жүргізу, деректерді жинау және деректерді тасымалдаушыға енгізу құнынан тұрады.
Материалдар. Компьютерлер бақылайтын немесе ескеретін материалдық активтердің құны, олар туралы ақпаратты бұрмалау үшін ақпараттық жүйеге араласуға мүмкіндік береді.
Операциялар. Компьютерді пайдалану қажет барлық әрекеттердің операциялық бюджетінің құны.
Персонал. Ақпараттық жүйеге, сондай-ақ операциялық қызметке қызмет көрсетуге қатысатын қызметкерлердің жалақысы.
Фирманың беделі. Өзінің айқын еместігіне қарамастан, ең ірі және қымбат ақпараттық ресурстардың бірі. Мысалы, үлкен несие алуға тырысқанда, тиісті ақпараттың ағуы банктің шешіміне әсер етуі мүмкін.
Жүйенің қауіпсіздігіне нақты қауіптерді қарастырыңыз:
Адам факторы. Жүйелерді адамдар жобалайды және жасайды. Олардың дамуы мен мазмұнын адамдар да жүзеге асырады. Адам қателіктер жіберуге бейім, ал қателіктердің сыни деңгейі жүйенің артықшылықтарына тікелей байланысты. Қателіктің жиілігі (ықтималдығы) персоналдың біліктілік деңгейіне кері пропорционалды, алайда персоналдың кәсіпқойлығының өсуімен ресурстың қауіп-қатерге осалдығы факторы сөзсіз артады. Басқаша айтқанда, кәсіби қызметкер өзіне жүктелген міндеттерді орындау аясында жүйемен жұмыс істеуге үйретілген қолданушыға қарағанда үлкен қауіп-қатерлерді жүзеге асыра алады.
Алаяқтық және ұрлық. Ақпараттық технологиялар әр түрлі алаяқтық әрекеттерді жасау үшін жиі қолданылады. Компьютерлік жүйелер алаяқтықтың дәстүрлі және жаңа әдістеріне өте осал. Қаржы жүйелері алаяқтар үшін ерекше объект емес. Сондай-ақ, жұмыс уақытын бақылау және есепке алу жүйелері, түгендеу жүйелері, еңбекті бағалау жүйелері, биллинг жүйелері алаяқтыққа ұшырауы мүмкін. Ұйымның бұрынғы қызметкерлері де қауіп-қатер көзі болып табылады, әсіресе егер жұмыстан босатылғаннан кейін оларға қол жетімділік шектеулі болмаса.
Хакерлер. Хакерлердің шабуылдарының объектісі тек есептеу кешендері, мәліметтер базасы, қоймалар мен деректер орталықтары ғана емес, сонымен қатар белсенді желілік жабдықтар болып табылады, олардың жұмысына араласу көбінесе одан да ауыр зардаптарға әкеледі. Сонымен, маршрутизатор арқылы таратылатын ақпаратты жалған мекен-жайға бағыттауға болады. Мысалы, әкімшінің есептік деректерін жария ету және қашықтан қол жеткізу мүмкіндігі кезінде зиянкес белсенді желілік жабдықтың конфигурациясын өзгерте алады. Сонымен қатар, бұл бұзушылықты маршрутизатор конфигурациясының тұтастығын бақылау жағдайында ғана анықтауға болады, бұл іс жүзінде сирек кездеседі. Көбінесе хакерлердің қауіп-қатеріне басқа қауіптерге қарағанда көбірек көңіл бөлінеді. Шынында да, хакерлердің ақпараттық жүйелерге әсері өте кең таралған құбылыс. Сонымен қатар, ұйымның ішкі бұзушыға әкімшілік шаралармен әсер ету мүмкіндігі бар, бірақ сыртқы бұзушыға қатысты мұндай мүмкіндік жоқ — тек қылмыстық немесе әкімшілік заңнаманы тікелей бұзған жағдайда. Сонымен қатар, хакерлер пайдаланушыларды осал сезінеді, өйткені шабуылдаушы нақты анықталмаған. Ақырында, ұйымдар хакердің нақты мақсаттарын білмейді; жүйені бұзу ағып кетуді ұйымдастыру мақсатында немесе спорттық қызығушылықтан туындауы мүмкін. Барлық осы болжамдар хакердің барлық мүмкін модельдерінің ішінен ақпараттық жүйеге ең нашар қауіптерді жүзеге асыра алатын және максималды зиян келтіретін модельді таңдауға әкеледі.
Өнеркәсіптік тыңшылық. Ұйым туралы ақпаратты жинау оны өзінен өзі пайда көре алатын басқа ұйымға беру мақсатында жүзеге асырылуы мүмкін. Ағып кету максималды зиян келтіретін ақпаратқа даму құжаттамасы, инженерлік құжаттама, сату туралы мәліметтер, клиенттер тізімі, даму және жоспарлау туралы ақпарат және т. б.
Зиянды код. Көбінесе зиянды кодтың қызметі (вирустар," трояндық аттар", құрттар," логикалық бомбалар", басқа да рұқсат етілмеген бағдарламалар) тек жұмыс станцияларының саласымен шектеледі, бірақ ол көбінесе әлдеқайда күрделі жүйелерге қолданылады. Ақшамен көрсетілген зиянды жүйенің тоқтап қалуынан болған шығындар мен зиянды кодты жою шығындарын қорытындылау арқылы бағалауға болады.
Жеке деректерге қауіп төндіреді. Үкіметтік, қаржылық және өзге де ұйымдардың ақпараттық жүйелерінде дербес деректердің көп мөлшерінің жинақталуы алаяқтар тарапынан осындай жүйелерге деген қызығушылықтың артуына алып келеді. Мұндай деректерді біріктіру, қайта жазу, бақылау және өңдеу мүмкіндігіне байланысты жеке деректерге нақты қауіп төнеді. Көптеген елдердегі жеке деректерді рұқсатсыз барлау және оларды мүдделі тұлғаларға немесе ұйымдарға қайта сату заңсыз деп танылды. Мұндай деректер, мысалы, жылдық кіріс туралы ақпарат, несие тарихы, отбасылық қатынастар, банктік шоттардың жағдайы, несие карталарының нөмірлері болуы мүмкін.
Бағалау қиынырақ басқа да факторлар бар, бірақ соған қарамастан ескеру қажет: ұйымның ішкі мәселелері (мысалы, еңбек заңнамасын бұзу фактілері); ақпараттың құпиялылығын жоғалту құны; ықтимал сот процестеріндегі шығындар; ақпараттың қол жетімділігін жоғалту құны.
Сандық және сапалық талдау. Тәжірибе көрсеткендей, тәуекелдерді бағалаудағы ең үлкен проблема-белгілі бір қауіптің ықтималдығын бағалау. Көбінесе қауіп-қатерді жүзеге асыру ықтималдығы оқиғалардың ең нашар сценарийіне негізделген. Басқаша айтқанда, егер қауіп бар болса, онда ол 100% ықтималдылықпен жүзеге асырылады деп болжанады. Осылайша, қауіп-қатердің ықтималдығы параметрі іс жүзінде тәуекелдерді талдау мен бағалаудан алынып тасталады. Бұл әдісті дәл деп айту қиын, өйткені оны іс жүзінде жүзеге асыру Ақпаратты қорғау құралдарына артық шығындарға әкелуі мүмкін және нәтижесінде шығындардың ақылға қонымды жеткіліктілігі қағидатын бұзуға әкелуі мүмкін, оған сәйкес қорғаныс құралдарының құны ресурс құнынан аспауы керек. Қауіптің ықтималдығын дәл бағалау үшін үш шаманы қарастырған жөн:
Достарыңызбен бөлісу: |