Ақпараттық қауіпсіздіктің негізгі ұғымдары
Енді сіз ақпараттық қауіпсіздіктің негізгі факторлары туралы білесіз, енді осы курсты жақсы меңгеруге және ақпараттық қауіпсіздіктің мәнін түсінуге көмектесетін терминологияны қарастырайық.
Ақпараттық жүйелердің әрбір басшысы мен иесінің алдында ерте ме, кеш пе, мынадай сұрақтар туындайды: Ұйымның активтеріне не қауіп төндіреді? Бизнес-процестер қаншалықты айқын және жұмысшылар қаншалықты тиімді? Құпия ақпарат қалай қорғалған? Жол берілмейтін оқиғалар орын алған жағдайда не болады және компания әртүрлі оқиғалар мен төтенше жағдайларға жауап беруге қаншалықты дайын? Қалай болғанда да, бұл сұрақтарға жауаптар компаниядағы ақпараттық қауіпсіздік мәселелері мен міндеттерін шешуге байланысты.
Актив – бұл ұйым үшін құндылығы бар кез келген нәрсе. Ең алдымен, бұл ақпарат және ақпаратқа байланысты активтердің әр түрі, мысалы, жабдық, бизнес-процестер, тіршілікті қамтамасыз ету жүйелері, адамдар және қорғаныс құралдары.
Қорғалатын ақпарат әртүрлі формада болуы мүмкін екенін ескеру қажет, оның ішінде электрондық немесе баспа мәтіні, ауызша сөйлеу, қызметкерлердің санасында сақталған білім мен идеялар, сондай-ақ схемалар, сызбалар немесе эскиздер түрінде ұсынылған құнды жұмыс деректері.
Ақпараттық қауіпсіздікті қамтамасыз ету мәселелерін талқылау кезінде оны жиынтығында ақпараттық сервистерді қалыптастыратын байланысты активтер контекстінде қарау қажет. Ақпараттық сервистер ақпараттың өмірлік циклінің барлық кезеңдерін, оның ішінде ақпаратты беруді, өңдеуді, сақтауды және жоюды қамтиды. Демек, ақпараттық қауіпсіздікті басқару жүйесінің міндеті ақпараттық сервистердің сенімділігін қамтамасыз ету болып табылады, компания жұмысының тиімділігі ғана емес, кейде тіпті компанияның өмір сүруі де соған байланысты.
Ақпараттық жүйелердің тәуекелдерін жүйелеу қажеттілігінің артуына жауап ретінде 40 жылдан астам уақыт бұрын техникалық және іскерлік аспектілерді, сондай-ақ ықтимал қауіптер мен осалдықтарды ескеретін интеграцияланған тәсілді ұсынатын тәуекелге бағытталған тәсілге негізделген тұжырымдамалық схема жасалды. Тұжырымдамалық схема компанияларға өздерінің ақпараттық активтерінің тәуекелдерін бағалауға және басқаруға мүмкіндік береді. Ақпараттық технологиялар әлеміндегі өзгерістерге қарамастан, схеманың негізгі принциптері оның әмбебаптығы мен маңыздылығын растай отырып, өзекті болып қала береді.
Осылайша, Иесі мен оның Активтері бар. Оларға қарамастан, Активтерге бағытталған Қауіптердің өздері тудыратын Қауіп көздері бар. Ал Иесі бұл Активтерді сақтауға тырысады және ол үшін Иесі күшейтуге тырысатын әртүрлі қауіпсіздік жүйелері түріндегі Қорғаныс механизмдерін пайдаланады. Бірақ кез келген қауіпсіздік жүйесі әдетте Осалдықтарға ие. Ал Қауіптер бұл Осалдықтарды мүмкіндік ретінде пайдаланады. Осылайша, Активтер, Қауіптер мен Осалдықтар және олар арқылы Қорғаныс сияқты ұғымдар ақпараттық қауіпсіздіктің орталық тұжырымдамасын – ТӘУЕКЕЛДЕРДІ қалыптастырады. Осы Тәуекелдерді іске асыру кезінде Активтердің жоғалуы орын алады. Иесі өз Активтеріне шығын немесе зиян келтірмеу үшін бұл Тәуекелдерді бейтараптандыруға тырысады.
Егер бұл схема шамамен математикалық формулаға аударылса, онда ол келесідей болады:
Тәуекел төрт факторға байланысты: ең алдымен, бұл Активтің мәні, содан кейін Қауіптің күшіне және Қауіптің сыншылдығына тәуелділік, ал Қорғаныс тиімділігі тәуекелді азайтады.
Бұл ретте Активтің мәні Ықтимал залалмен анықталатынын есте ұстаған жөн, сондықтан Ықтимал залал неғұрлым жоғары болса, Активтің мәні де соғұрлым жоғары болады, ал үш ұғым: Қауіптің күші, Қауіптің сыншылдығы және Қорғаныс тиімділігі тәуекелдің екінші құрамдас бөлігін – Қауіпті іске асыру ықтималдығын қалыптастырады. Осылайша, АҚ тәуекелі – бұл Ықтимал залал мен Қауіптің орындалу ықтималдығының жиынтығынан басқа ештеңе емес.