Риска за информационните системи е вероятността от настъпване на събитие оказващо негативно влияние върху АИС и мрежи.Риска може да бъде измерен чрез количествени показатели и може да бъде управляван във времето. За постигане на максимална сигурност е необходимо да се извършва периодичен анализ на риска и резултатите от анализа да са в основата на управлението на риска.
Системата за управление на информационните рискове трябва да свали до минимум негативните последици свързани с използването на информационната технология и да осигурят възможност за изпълнение на основните цели на организациятя използваща автоматични информационни системи и мрежи. Тази система трябва да бъде интегрирана в системата за управление на жизнения цикъл на информационната система. Има 5 фази от жизнения цикъл на информационната система и съответствието им с фазите на управление на риска:
1. Определянето на целите и задачите и тяхното документиране;
2. Откриване на специфични рискове за дадената информационна система произлизащи от особенностите на архитектурата;
3. Изграждане на автоматични информационни системи и мрежи, доставка на елементи, монтаж, настройка и конфигуриране.
4. Периодичен анализ на рисковете при промяна на външните условия и конфигурацията;
5. Минимизиране на риска при извеждане от работа на информационните ресурси.
Процеса на снижаване на риска е дейност на ръководството на организацията и бива постигана с различни методи,като някои от тях са:
1. Поемане на риска;
2. Облекчаване на риска;
3. Избягване на риска;
4. Ограничаване на риска;
5. Планиране на риска;
6. Преобразуване на риска
I. Анализ на риска.
Анализа на риска за сигурността на автоматична информационна система или мрежа е процес при който се установяват заплахите и слабите места на АИС или мрежата.
Целите на анализа биват:
1. Определяне на мерки за сигурност;
2. Ефективно комбиниране на видовете мерки за сигурност;
3. Правилна оценка на остатъчният риск;
4. Анализът на риска се извършва периодично с оглед на отчитане на новопоявили се заплахи към автоматична информационна система или мрежата, или промени в нивото на класификация за сигурност на информацията.
Възможните резултати от анализа на всеки конкретен риск са:
1.Елиминиране на риска;
2.Предотвратяване на загубата на физически и информационни ресурси;
3. Ограничаване на загубата на физически и информационни ресурси;
4. Приемане на риска от загуба на физически и информационни ресурси.
Резултатите от анализа на риска се оформят във вид на описание на специфичните заплахи, уязвимостите на АИС или мрежата, режим за сигурност при експлоатация на системата, изискванията към физическата и техническите средства.
Имаме няколко подхода за измерване на риска,а именно:
- количествени;
- качествени;
- едномерни;
- многомерни.
Имаме няколко нива на управление на риска като процес:
- анализ на потенциалните заплахи;
- оценка на възможните загуби;
- избор на оптимални мерки и средства за минимизиране на риска.
Елементите на управление на риска са:
- ценности;
- заплахи;
- въздействия;
- последствия;
- мерки за защита;
- остатъчен риск.
II. Методи за противодействие
Методите са набор от норми, правила и техники, регулиращи порядъка на съхранение, обработката и използване на ценната информация.
1.Политика за информационна сигурност.
Политиката зависи от:
- ръководещата за организацията принципи;
- съотношение на поставените цели;
- наличните ресурси.
Политиката включва:
- общи принципи;
- конкретни правила за работа;
- технически подход.
Постоянното развитие на информационните технологии налага възприемането на адекватна и ясна програма за повишаване на квалификацията и обучението на персонала за работа с новите програмни продукти във всяка една организация. Обучението трябва да се съсредоточи в две главни направления: изучаване на програмните продукти и хардуерни възможности на системите за обработка на информация.
2. Стандарти и сертификация на АИС (автоматични информационни системи) и мрежи:
- Базов стандарт – приемането на стандарта ISO/IEC 15408 този стандарт определя критериите на които трябва да отговарят защитените инфорфационни системи и задава базата за създаване на методологии за проектиране и оценка на сигурността на информационните системи.
- приложни стандарти – ISO/IEC 13335,17799,BS7799.
Основна идея при осигуряване на информационната сигурност е важно да бъдат отчетени всички съществуващи аспекти, чрез които ще бъде гарантирано минимално ниво на сигурност, задължително за всяка типова информационна система, независимо от целите и мястото на приложението и.
3. Типови информационни системи:
- използват една и съща архитектура и технологии за реализиране на разнообразни процеси;
- явяават се широко разпространени решения;
- притежават специфични групи активи;
- характеризират се с обикновенни изсквания към сигурността по отношение на конфиденциалност, цялостност и достъпност.
III. Технически средства за защита
1.Криптографски техники за защита:
- криптология;
- криптография;
- криптоанализ;
- шифриране;
- дешифриране;
- ключ;
- криптосистема;
- разпределение на ключове;
- криптоалгоритъм;
- криптоанализ;
- криптоустойчивост.
2. Електронен подпис
3. Управление на достъпа
4. Биометричен контрол
5. Защита от вируси:
- вероятност за заразяване с вируси;
- механизми за защита от вируси;
- действия по премахване на вируси.
От всичко напиасно до тук може да кажем, че с навлизането на новите технологии се налага да отделим по – голямо внимание на защитата и опазването на информацията която съхраняваме и работим.Но за да направим всичко това трябва да сме наясно с всички видове заплахи свързани с използваните от нас автоматични информационни системи и мрежи. Трябва да имаме конретно поставени цели и изисквания към автоматични информационни системи и мрежи с които ще работим и използваме.След като си изясним всичко това започваме стъпка по стъпка да си уясняваме и набавяме необходимият хардуер и софтуер, както и физическите мерките неоходими за защита на информацията с която работим и съхраняваме.
Поради нуждата от основен регламентиращ документ за работата и съхранението на класифицирана информация и работата с автоматични информационни системи и мрежи, както все повече появяващите се кибер престъпления, законодателите в Република България създадоха нови юридически актове уреждащи обществените отношения в информационната сфера. Най значим от тях е Закона за защита на класифицираната информация и съпътстващитего поднормативни актове. С него се въведоха ефективни механизми за гарантиране на информационната сигурност по отношение на всички субекти, които създават, обработват,съхраняват и пренасят класифицирана информация в АИС и мрежи.