Читайте также:
|
|
Основні компоненти ризику.
Будь-який ризик пов'язаний хоч би з одним з чотирьох компонентів, які є джерелами і причинами ризиків. До них слід віднести наступні компоненти:
-інформація;
-людина;
-технічні системи;
Природа.
Як правило, об'єктами аналізу і рішення завдань по забезпеченню інформаційної безпеки є компоненти (засоби і інформаційні технології) автоматизованих інформаційних систем (АІС), автоматизованих систем управління(АСУ), телекомунікаційних систем (ТКС), а також інформаційні ресурси (ІР), що накопичуються і оброблювані цими комп'ютерними системами. Проте, з точки зору цілісного розгляду будь-якої організаційної структури незалежно від її функціонального призначення(підприємництво, виробництво, банківська справа, управління і так далі) на предмет вирішення проблеми інформаційної безпеки, потрібно набагато складнішу компонентну картину об'єкту. У літературі зустрічаються спроби знайти узагальнювальний термін для іменування такого роду об'єктів: соціотехнічна система, об'єкт інформатизації або автоматизації і так далі. На нашу думку, цілком досить користуватися терміном " організація" як самостійного об'єкту конкретного виду діяльності При цьому, по-перше, робиться акцент на основне призначення об'єкту, по-друге, коли йдеться про забезпечення інформаційної безпеки очевидно потрібний розгляд усієї інформаційної сфери і впливу інформаційних процесів на основну діяльність об'єкту. Для організації можна виділити, принаймні, два аспекти її інформаційного прояву: внутрішньооб'єктова інформаційна діяльність і зовнішній інформаційний прояв об'єкту. Внутрішньооб'єктова інформаційна діяльність забезпечується і реалізується такими компонентами як автоматизовані процеси і АСУ, АІС, ТКС, ИР, інформаційна підтримка(у тому числі у вигляді технологій роботи з традиційними документами на паперових носіях), інформаційно - аналітична підтримка. Поняття внутрішньооб'єктової інформаційної діяльності, в принципі, цілком тотожно поняттю інформаційної системи організації(ІС) в широкому сенсі, коли вона об'єднує усі види інформаційної діяльності(комп'ютерні і телекомунікаційні системи, традиційне діловодство, зовнішня інформаційно-аналітична підтримка і так далі). Зовнішній інформаційний прояв об'єкту може бути штатним(зовнішня штатна інформаційна взаємодія - повідомлення через ТКС і потоки традиційних документів) і побічним(електромагнітні випромінювання і наведення, спецтехніка, несанкціонована передача відомостей за рахунок людського чинника). Розглядаючи організацію як об'єкт цілісного рішення проблеми інформаційної безпеки, необхідно виявити усі види загроз інформаційного характеру, які можуть деструктивно вплинути на її діяльність. І в цьому випадку, на наш погляд, продуктивно повернутися до тієї класифікації, яку свого часу запропонував професор Герасименко В.А., а саме виділити два основні класи: загрози інформації і інформаційні загрози. Сенс в цьому очевидний. При цьому ми керуватимемося також ширшим розумінням інформаційної безпеки організації, як це пропонує Стрільців А.А. ("Забезпечення інформаційної безпеки Росії", МЦНО, 2002):Інформаційна безпека - неможливість завдання шкоди властивостям об'єкту безпеки, що обумовлюються інформацією(незалежно від виду її формального відображення і часу життя) і інформаційною інфраструктурою. У нашому випадку "об'єктом безпеки" виступає організація, фірма. Усі загрози, що деструктивно впливають на зібрану організацією, інформацію, що зберігається і оброблювану, яка і складає її інформаційні ресурси, а також на засоби і служби реалізації інформаційних технологій, тобто на інформаційну систему (ІС) організації вимагають рішення задачі захисту інформації. Вони складають безліч загроз інформації. Проте інформаційна діяльність на об'єкті не є самоціллю, а частиною основної діяльності організації, що тільки забезпечує. Сама інформація, що входить в ИР організації, її зміст, регламент подання і якість, може бути небезпечним для споживача(керівники, служби, користувачі, об'єкти управління в АСУ і так далі), оскільки на її основі приймаються рішення організаційно-виробничого характеру, здійснюється управління процесами. Отже, інформаційна сфера може бути джерелом загроз для організації, і ці загрози відносяться до інформаційних загроз. Наявність інформаційних загроз вимагає рішення задачі безпеки інформації. Система інформаційної безпеки - сукупність засобів і заходів по забезпеченню захищеності інформації в ІС і мінімізації інформаційних загроз для об'єкту безпеки з боку інформаційної сфери. Захищеність інформації оцінюється показниками(відповідно до "Критеріїв оцінки безпеки інформаційної технології", прийнятими європейськими країнами в 1991 році і введеними у вітчизняну методологію проектування систем захисту інформації - документи Державної технічної комісії):
Інформаційна складова ризику.
Інформаційна складова ризику найбільш вагома у випадках використання прогнозної інформації, дефіциту часу на обробку інформації і ухвалення рішення, в умовах активної інформаційної протидії конкурентів або супротивника. На відміну від інших складових ризику інформаційна складова обов'язково є присутньою в кожній ризиковій події. Змінюється лише її відносна величина.
Настанню ризикової події можуть сприяти свідомі або неумисні дії людини. Навіть маючи якісну інформацію, фахівець може прийняти неправильне рішення або виконати неприпустиму дію, яка спричинить реалізацію ризикової події. Значна частина ризикових подій пов'язана з технічними системами, технологічними процесами, отриманими людиною речовинами і іншими об'єктами, що є продуктами людської діяльності. Техногенні аварії, збої і відмови устаткування, екологічні катастрофи далеко не вичерпують повного переліку компонентів цього типу. Природні явища, тваринний і рослинний світ на сьогодні все ще недостатньо добре вивчені людиною. Людина безсила перед цілим рядом стихійних лих. Значна частина з них доки ще не піддається точному і своєчасному прогнозуванню.
Дата добавления: 2015-11-14; просмотров: 63 | Нарушение авторских прав
<== предыдущая страница | | | следующая страница ==> |
At a car rental agency | | | Поняття інформаційного ризику. |