Биздин доордо маалымат адам жашоосунун бардык чөйрөлөрүндө негизги орундардын бирин ээлейт. Бул коомдун индустриалдык доордон постиндустриалдык доорго акырындык менен өтүшү менен шартталган. Ар кандай маалыматтарды колдонуунун, ээлик кылуунун жана өткөрүп берүүнүн натыйжасында экономиканын бүткүл чөйрөсүнө таасир эте турган маалыматтык тобокелдиктер пайда болушу мүмкүн.
Кайсы тармактар эң ылдам өсүүдө?
Маалымат агымынын өсүшү жыл сайын көбүрөөк байкалууда, анткени техникалык инновациялардын кеңейиши жаңы технологияларды адаптациялоого байланыштуу маалыматты тез өткөрүп берүүнү актуалдуу зарылчылыкка айландырат. Биздин доордо өнөр жай, соода, билим берүү, финансы сыяктуу тармактар заматта өнүгүп жатат. Дайындарды өткөрүп берүү учурунда аларда маалымат тобокелдиктери пайда болот.
Маалымат продукциянын эц баалуу турлерунун бирине айланууда, анын жалпы езуне турган наркы жакында ендуруштун бардык про-дукцияларынын баасынан ашып кетет. Бул болот, анткени үчүнБардык материалдык байлыктарды жана кызмат көрсөтүүлөрдү ресурс үнөмдөөчү түзүүнү камсыз кылуу үчүн маалыматтык тобокелдиктерди жокко чыгаруучу маалыматты берүүнүн принципиалдуу жаңы ыкмасын камсыз кылуу зарыл.
Аныктама
Биздин убакта маалыматтык тобокелдиктин так аныктамасы жок. Көптөгөн эксперттер бул терминди ар кандай маалыматка түздөн-түз таасир этүүчү окуя катары чечмелешет. Бул купуялуулукту бузуу, бурмалоо жана ал тургай жок кылуу болушу мүмкүн. Көптөр үчүн тобокелдик зонасы компьютердик системалар менен гана чектелет, алар негизги көңүл бурат.
Көбүнчө, бул теманы изилдеп жатканда, көптөгөн маанилүү аспектилер каралбайт. Аларга маалыматты түздөн-түз иштетүү жана маалыматтык тобокелдиктерди башкаруу кирет. Анткени, маалымат менен байланышкан тобокелдиктер, эреже катары, алуу стадиясында пайда болот, анткени маалыматты туура эмес кабыл алуу жана иштетүү ыктымалдыгы жогору. Көбүнчө маалыматтарды иштетүү алгоритмдериндеги мүчүлүштүктөрдү, ошондой эле башкарууну оптималдаштыруу үчүн колдонулган программалардагы мүчүлүштүктөрдү пайда кылган тобокелдиктерге тийиштүү көңүл бурулбайт.
Көпчүлүк маалыматты иштетүүгө байланышкан тобокелдиктерди экономикалык жактан гана карашат. Алар үчүн бул биринчи кезекте маалыматтык технологияларды туура эмес ишке ашыруу жана колдонуу менен байланышкан тобокелдик. Бул маалыматтык тобокелдиктерди башкаруу ар кандай маалымат каражаттарын жана байланыш каражаттарын колдонуу шартында маалыматты түзүү, берүү, сактоо жана пайдалануу сыяктуу процесстерди камтыйт дегенди билдирет.
Талдоо жанаIT тобокелдиктеринин классификациясы
Маалыматты кабыл алуу, иштетүү жана берүү менен байланышкан кандай коркунучтар бар? Алар кандайча айырмаланат? Төмөнкү критерийлерге ылайык маалыматтык тобокелдиктерге сандык жана сапаттык баа берүүнүн бир нече топтору бар:
- ички жана тышкы булактарга ылайык;
- атайылап жана билбестен;
- түз же кыйыр;
- маалымат бузуунун түрү боюнча: ишенимдүүлүк, актуалдуулук, толуктук, маалыматтардын купуялыгы ж.б.;
- таасир кылуу ыкмасы боюнча тобокелдиктер төмөнкүдөй: форс-мажордук жана табигый кырсыктар, адистердин каталары, кырсыктар ж.б.
Маалыматтык тобокелдикти талдоо – ар кандай тобокелдиктердин санын (акча ресурстары) жана сапатын (төмөнкү, орто, жогорку тобокелдик) аныктоо менен маалыматтык системалардын коргоо деңгээлин глобалдык баалоо процесси. Талдоо процесси маалыматты коргоо жолдорун түзүү үчүн ар кандай ыкмаларды жана каражаттарды колдонуу менен жүргүзүлүшү мүмкүн. Мындай талдоолордун жыйынтыгы боюнча ыкчам коркунуч жана маалымат ресурстарын коргоого көмөктөшүүчү кошумча чараларды тез арада кабыл алуу үчүн стимул боло турган эң жогорку тобокелдиктерди аныктоого болот.
IT тобокелдиктерин аныктоо методологиясы
Учурда маалымат технологияларынын спецификалык тобокелдиктерин ишенимдүү аныктаган жалпы кабыл алынган ыкма жок. Бул тууралуу конкреттүү маалымат бере турган статистикалык маалыматтар жетишсиз болгондугу менен байланыштуужалпы тобокелдиктер. Белгилүү бир маалыматтык ресурстун баасын кылдат аныктоо кыйын экендиги да маанилүү ролду ойнойт, анткени ишкананын өндүрүүчүсү же ээси маалымат алып жүрүүчүнүн баасын абсолюттук тактык менен атай алат, бирок ал аны аныктоо кыйынга турат. аларда жайгашкан маалыматтын баасын үн. Мына ошондуктан, учурда IT тобокелдиктеринин баасын аныктоонун эң жакшы варианты бул сапаттык баа берүү болуп саналат, анын аркасында ар кандай тобокелдик факторлору, ошондой эле алардын таасиринин чөйрөлөрү жана бүткүл ишкана үчүн кесепеттери так аныкталган.
Улуу Британияда колдонулган CRAMM ыкмасы сандык тобокелдиктерди аныктоонун эң күчтүү жолу. Бул техниканын негизги максаттары төмөнкүлөрдү камтыйт:
- тобокелдиктерди башкаруу процессин автоматташтыруу;
- накталай акчаны башкаруу боюнча чыгымдарды оптималдаштыруу;
- компаниянын коопсуздук системаларынын өндүрүмдүүлүгү;
- бизнес үзгүлтүксүздүгүнө берилгендик.
Эксперттик тобокелдикти талдоо ыкмасы
Эксперттер төмөнкү маалымат коопсуздугунун тобокелдигин талдоо факторлорун карашат:
1. Ресурстук чыгым. Бул маани маалыматтык ресурстун маанисин чагылдырат. 1 минималдуу, 2 орточо маани жана 3 максималдуу шкала боюнча сапаттык тобокелдикти баалоо системасы бар. Эгерде банктык чөйрөнүн IT-ресурстарын эске алсак, анда анын автоматташтырылган серверинин мааниси 3, ал эми өзүнчө маалымат терминалы - 1 болот.
2. Ресурстун аялуу даражасы. Бул коркунучтун чоңдугун жана IT-ресурска зыян келтирүү ыктымалдыгын көрсөтөт. Эгерде банк уюму жөнүндө айта турган болсок, автоматташтырылган банк тутумунун сервери мүмкүн болушунча жеткиликтүү болот, андыктан хакердик чабуулдар ага эң чоң коркунуч болуп саналат. Ошондой эле 1ден 3кө чейинки рейтинг шкаласы бар, мында 1 - анча чоң эмес таасир, 2 - ресурсту калыбына келтирүүнүн жогорку ыктымалдуулугу, 3 - коркунуч нейтралдаштырылгандан кийин ресурсту толук алмаштыруу зарылдыгы.
3. Коркунучтун ыктымалдыгын баалоо. Бул маалыматтык ресурс үчүн белгилүү бир коркунучтун ыктымалдыгын шарттуу убакытка (көбүнчө - бир жылга) аныктайт жана мурунку факторлор сыяктуу эле 1ден 3кө чейинки шкала боюнча бааланышы мүмкүн (төмөн, орто, жогорку).
Маалымат коопсуздугунун тобокелдиктерин башкаруу
Өнүгүү коркунучтары бар көйгөйлөрдү чечүү үчүн төмөнкү варианттар бар:
- тобокелдикти моюнга алуу жана алардын жоготуулары үчүн жоопкерчиликти алуу;
- тобокелдикти азайтуу, башкача айтканда, анын пайда болушуна байланыштуу жоготууларды минималдаштыруу;
- которуу, башкача айтканда, камсыздандыруу компаниясына келтирилген зыяндын ордун толтуруу наркын таңуулоо же белгилүү бир механизмдер аркылуу коркунучтун эң төмөн деңгээли бар тобокелге айландыруу.
Андан соң, маалыматтык колдоонун тобокелдиктери негизгилерин аныктоо үчүн даражалар боюнча бөлүштүрүлөт. Мындай тобокелдиктерди башкаруу үчүн, аларды азайтуу керек, ал эми кээде - камсыздандыруу компаниясына өткөрүп берүү. Мүмкүн болгон өткөрүп берүү жана тобокелдиктерди азайтуу жогорку жанабирдей шарттарда орто деңгээлдеги жана төмөнкү деңгээлдеги тобокелдиктер көбүнчө кабыл алынат жана андан аркы анализге киргизилбейт.
Маалыматтык системалардагы тобокелдиктердин рейтинги алардын сапаттык маанисин эсептөөнүн жана аныктоонун негизинде аныктала тургандыгын эске алуу зарыл. Башкача айтканда, эгерде тобокелдиктин рейтингинин интервалы 1ден 18ге чейинки диапазондо болсо, анда төмөнкү тобокелдиктердин диапазону 1ден 7ге чейин, орточо тобокелдиктер 8ден 13кө чейин, жогорку тобокелдиктер 14төн 18ге чейин. Ишкананын маңызы. маалыматтык тобокелдиктерди башкаруу - бул орточо жана жогорку тобокелдиктерди эң төмөнкү мааниге чейин төмөндөтүү, ошондуктан аларды кабыл алуу мүмкүн болушунча оптималдуу жана мүмкүн болушунча.
CORAS тобокелдигин азайтуу ыкмасы
CORAS ыкмасы Маалымат Коомунун Технологиялары программасынын бир бөлүгү. Анын мааниси маалыматтык тобокелдиктердин мисалдарына талдоо жүргүзүүнүн эффективдүү ыкмаларын адаптациялоодо, конкреттештирүүдө жана айкалыштырууда жатат.
CORAS методологиясы төмөнкү тобокелдиктерди талдоо процедураларын колдонот:
- каралып жаткан объект жөнүндө маалыматты издөө жана системалаштыруу боюнча иш-чаралар;
- кардар тарабынан каралып жаткан объект боюнча объективдүү жана туура маалыматтарды берүү;
- бардык этаптарды эске алуу менен алдыдагы анализдин толук сүрөттөлүшү;
- объективдүү талдоо үчүн берилген документтердин аныктыгын жана тууралыгын талдоо;
- мүмкүн болгон тобокелдиктерди аныктоо боюнча иш-чараларды өткөрүү;
- пайда болгон маалыматтык коркунучтардын бардык кесепеттерин баалоо;
- компания ала турган тобокелдиктерди жана тобокелдиктерди көрсөтүүмүмкүн болушунча тезирээк кыскартуу же кайра багыттоо керек;
- мүмкүн болгон коркунучтарды жок кылуу чаралары.
Сизделген чаралар ишке ашыруу жана кийинчерээк ишке ашыруу үчүн олуттуу күч-аракеттерди жана ресурстарды талап кылбай тургандыгын белгилей кетүү маанилүү. CORAS методологиясын колдонуу абдан жөнөкөй жана аны колдонуу үчүн көп окууну талап кылбайт. Бул инструменттин бирден-бир кемчилиги - баа берүүнүн мезгилдүүлүгүнүн жоктугу.
OCTAVE ыкмасы
ОКТАВА тобокелдигин баалоо ыкмасы талдоо жүргүзүүгө маалымат ээсинин белгилүү бир деңгээлде катышуусун билдирет. Критикалык коркунучтарды тез баалоо, активдерди аныктоо жана маалыматтык коопсуздук системасынын алсыз жактарын аныктоо үчүн колдонулаарын билишиңиз керек. OCTAVE компетенттүү талдоо, коопсуздук тобун түзүүнү карайт, анын курамына системаны колдонгон компаниянын кызматкерлери жана маалымат бөлүмүнүн кызматкерлери кирет. OCTAVE үч этаптан турат:
Биринчиден, уюмга баа берилет, башкача айтканда, талдоо тобу келтирилген зыянды, андан кийин тобокелдиктерди баалоо критерийлерин аныктайт. Уюмдун эң маанилүү ресурстары аныкталат, компанияда IT коопсуздугун сактоо процессинин жалпы абалы бааланат. Акыркы кадам - коопсуздук талаптарын аныктоо жана тобокелдиктердин тизмесин аныктоо
- Экинчи этап – компаниянын маалыматтык инфраструктурасын комплекстүү талдоо. Бул үчүн жооптуу кызматкерлер менен бөлүмдөрдүн ортосундагы тез жана макулдашылган өз ара аракеттенүүгө басым жасалатинфраструктура.
- Үчүнчү этапта коопсуздуктун тактикасын иштеп чыгуу жүргүзүлөт, мүмкүн болуучу тобокелдиктерди азайтуу жана маалымат ресурстарын коргоо планы түзүлөт. Мүмкүн болгон зыян жана коркунучтарды ишке ашыруу ыктымалдыгы, ошондой эле аларды баалоо критерийлери бааланат.
Тобокелдиктерди талдоонун матрицалык ыкмасы
Бул талдоо ыкмасы коркунучтарды, аялуу жерлерди, активдерди жана маалыматтык коопсуздукту көзөмөлдөө каражаттарын бириктирет жана алардын уюмдун тиешелүү активдери үчүн маанилүүлүгүн аныктайт. Уюмдун активдери – бул пайдалуулугу жагынан маанилүү болгон материалдык жана материалдык эмес объекттер. Матрицалык метод үч бөлүктөн тураарын билүү маанилүү: коркунуч матрицасы, аялуу матрицасы жана башкаруу матрицасы. Бул методологиянын үч бөлүгүнүн тең натыйжалары тобокелдиктерди талдоо үчүн колдонулат.
Талдоо учурунда бардык матрицалардын байланышын эске алуу зарыл. Ошентип, мисалы, аялуу матрицасы - бул активдер менен болгон алсыздыктын ортосундагы байланыш, коркунуч матрицасы - алсыздыктар менен коркунучтардын жыйындысы, ал эми башкаруу матрицасы коркунучтар жана башкаруу элементтери сыяктуу түшүнүктөрдү байланыштырат. Матрицанын ар бир уячасы мамычанын жана саптын элементинин катышын чагылдырат. Жогорку, орто жана төмөнкү баа системалары колдонулат.
Таблица түзүү үчүн коркунучтардын, алсыздыктардын, башкаруу элементтеринин жана активдердин тизмелерин түзүшүңүз керек. Матрица мамычасынын мазмунунун саптын мазмуну менен өз ара аракеттенүүсү жөнүндө маалыматтар кошулат. Кийинчерээк, аялуу матрицанын маалыматтары коркунуч матрицасына өткөрүлүп берилет, андан кийин ошол эле принципке ылайык, коркунуч матрицасынан маалымат башкаруу матрицасына өткөрүлүп берилет.
Тыянак
Маалыматтын ролубир катар елкелердун рыноктук экономикага етуу менен бир кыйла осту. Керектүү маалыматты өз убагында албай туруп, компаниянын нормалдуу иштеши мүмкүн эмес.
Маалыматтык технологиялардын өнүгүшү менен бирге компаниялардын ишмердүүлүгүнө коркунуч туудурган маалыматтык тобокелдиктер пайда болду. Ошондуктан аларды аныктоо, талдоо жана андан ары кыскартуу, өткөрүп берүү же жок кылуу үчүн баалоо керек. Колдонулуп жаткан эрежелер кызматкерлердин компетентсиздигинен же маалымдуулугунан улам туура пайдаланылбаса, коопсуздук саясатын түзүү жана ишке ашыруу натыйжасыз болот. Маалымат коопсуздугун сактоо боюнча комплексти иштеп чыгуу маанилүү.
Тобокелдиктерди башкаруу – бул субъективдүү, татаал, бирок ошол эле учурда компаниянын ишиндеги маанилүү этап. Алардын маалыматынын коопсуздугуна эң чоң басымды чоң көлөмдөгү маалымат менен иштеген же купуя маалыматтарга ээ компания жасашы керек.
Маалыматка байланыштуу тобокелдиктерди эсептөөнүн жана талдоонун көптөгөн эффективдүү ыкмалары бар, алар компанияга тез маалымат берүүгө жана рынокто атаандаштыкка жөндөмдүүлүктүн эрежелерин сактоого, ошондой эле коопсуздукту жана бизнес үзгүлтүксүздүгүн сактоого мүмкүндүк берет..