Угрозы информационной безопасности являются одними из самых значимых угроз на сегодняшний день. Об этом свидетельствует отчет Мирового экономического форума за прошедший год. Однако, одного осознания опасности недостаточно. Необходим грамотный подход и знание методов и алгоритмов оценки рисков информационной безопасности. Делимся им на нашем сайте.
Не так давно был опубликован ежегодный отчёт Мирового экономического форума (WEF) за 2021 год, касающийся глобальных рисков человечества. Согласно нему, риски делятся на три основные категории:
1) Явные и реальные опасности (краткосрочные угрозы в перспективе до 2 ближайших лет);
2) Риски ближайшего будущего (среднесрочные угрозы в перспективе от 3 до 5 лет);
3) Экзистенциальные угрозы (долгосрочные угрозы в перспективе от 5 до 10 лет).
Что удивительно, наравне с действительно серьезными угрозами, такими как инфекционные заболевания, экологические проблемы и кризисы в экономике, в топ-5 каждой категории входят риски технологические, а именно:
- Сбои в системах кибербезопасности;
- Кибермошенничества, атаки и кражи данных;
- Сбои в ИТ-инфраструктурах и в управлении ИТ.
Такой расклад заставляет задуматься о том, насколько эффективно используется ИТ в компаниях, как тщательно защищены данные и насколько надёжна ИТ-инфраструктура. Систематическое обследование состояния ИТ организации и использование услуг консалтинга экспертов помогут навести порядок в уже имеющейся ИТ-инфраструктуре и организовать работу подразделения ИТ. С другой стороны, выстраивание стратегии информационной безопасности, когда потенциальный враг не известен и не очевиден, довольно затруднительно и не под силу даже профессиональному ИБ-специалисту. Справиться с такой задачей Руководителю информационной безопасности помогут эксперты в построении систем управления ИБ. Кроме того, на помощь приходят Методики управления рисками информационной безопасности.
Важно не забывать, что целью любой компании является достижение определенных результатов и показателей, характеризующих результаты ее деятельности. К примеру, для коммерческих компаний – это получение прибыли, капитализация, увеличение доли рынка и оборота, а для, к примеру, государственных организаций – эффективное предоставление услуг населению и результаты управленческие. В любом случае, вне зависимости от целей организации, их достижению могут помешать угрозы ИБ. При этом каждая компания индивидуально оценивает риски и возможности инвестиций в их снижение. Целью управления рисками ИБ является поддержание их на приемлемом для организации уровне. Для решения данной задачи используются системы управления информационной безопасности (СУИБ).
Во время создания подобных систем встаёт вопрос выбора целого комплекса средств защиты, обеспечивающих снижение выявленных в процессе анализа рисков ИБ без избыточных затрат на внедрение и поддержку этих средств.
Анализ и оценка рисков ИБ помогает:
• определить необходимость средств защиты, а также организационных мер, направленных на уменьшение рисков;
• разработать архитектуру СУИБ организации, максимально эффективную и отвечающую специфике деятельности, направленную на снижение рисков ИБ.
Основные риски ИБ можно охарактеризовать двумя параметрами:
1. Потенциальный ущерб для организации;
2. Вероятность реализации.
Использование совокупности этих двух параметров помогает сравнивать риски ИБ с различными уровнями урона и вероятности, приводя их к общему выражению, понятному для лиц, принимающих решение по управлению рисками ИБ в организации.
Процесс управления рисками состоит обычно из следующих этапов, состав и смысл которых зависит от используемых методик оценки и управления рисками:
1. Идентификация рисков. На данном этапе выполняется определение угроз и уязвимостей. Исходные данные черпаются из целого комплекса источников информации, а именно:
• результатов аудитов,
• информации об инцидентах ИБ,
• экспертных оценок пользователей,
• от специалистов по ИБ, ИТ-специалистов и ИТ-консультантов.
2. Аналитика и оценка рисков. Риски должны быть определены и оценены с точки зрения ущерба от реализации риска и от возможности его реализации. При оценке ущерба определяется степень влияния риска на ИТ-активы компании, поддерживающих бизнес-процессы. Оценка эта базируется на выявлении и анализе уязвимостей и угроз в отношении ИТ-активов.
При оценке рисков используются качественный, количественный или смешанный метод, включающий в себя элементы двух предыдущих. Плюсом качественного метода является его относительная простота, сокращение сроков и трудозатрат на проведение оценки. Однако, есть свои ограничения – недостаточная наглядность и затруднения при использовании результатов для экономического обоснования и оценки целесообразности вложений в меры реагирования и защиты.
Преимуществом количественного подхода считается точность и достоверность оценки рисков, ясность результатов и возможность сопоставления значения риска, выраженного в деньгах, с объемом инвестиций, необходимых для реагирования на данный риск, а недостатками – сложность, высокая трудоемкость и использование больших временных затрат для исполнения.
3. Ранжирование рисков. Для определения приоритета при реагировании на угрозы и последующей разработки плана реагирования, все риски должны быть выстроены в определённую логичную иерархию. При ранжировании рисков, в зависимости от выбранной методики, могут применяться такие условия критичности, как:
• ущерб от реализации рисков,
• вероятность реализации,
• ИТ-активы и бизнес-процессы, затрагиваемые риском,
• общественный резонанс и репутационный ущерб от реализации риска и др.
4. Выбор решения и разработка плана принятия мер. Для определения мер реагирования на риски важно проанализировать ранее идентифицированные и оцененные угрозы для дальнейшего принятия относительно каждого их них одного из решений:
• Избегание риска;
• Принятие риска;
• Передача/страхование риска;
• Снижение риска.
Принятое решение должно быть задокументировано в Плане реагирования на риски, который может содержать, в зависимости от используемой методики, следующую важную информацию:
• Кто является ответственным за реагирование;
• Какие меры реагирования должны быть приняты;
• Оценка необходимых инвестиций в меры реагирования;
• Сроки реализации.
5. Проведение мероприятий по реагированию на риски. Для выполнения мер реагирования на угрозы ответственные лица организуют выполнение описанных действий в Плане реагирования в своевременные сроки.
6. Оценка эффективности принятых мер. Для получения уверенности в том, что указанные в Плане реагирования меры эффективны и уровень угроз приемлем для организации, осуществляется оценка эффективности каждой принятой меры реагирования, а также регулярная идентификация, анализ и оценка рисков организации.
В этом материале мы познакомили вас с основной и универсальной методикой оценки рисков информационной безопасности. Однако, в случае с каждой компанией она будет отличаться и для того, чтобы определить какие риски угрожают вашей компании, как реагировать на них и избегать, мы предлагаем воспользоваться услугой Обследование информационной безопасности предприятия от Expert Pro.
Для получения дополнительной информации, обращайтесь:
Телефон: (+998) 78-147-0037
E-mail: info@expertpro.uz
Адрес: Ташкент 100011, ул. А.Темура, Ц5, 46А
