Все чаще в СМИ встречаются громкие заголовки о кибер-взломах: под удар попадают крупные компании, обслуживающие миллионы клиентов, утекают персональные данные сотен тысяч людей, важнейшие системы перестают функционировать. Пандемия добавила к этому длинный список угроз, возникших после перехода массы сотрудников на удаленную работу.
Именно поэтому так возрос интерес к выстраиванию систем управления информационной безопасностью, которые включают в себя не только технологические решения, но и такие аспекты, как управление процессами, ключевую роль в которых играет управление рисками ИБ.
Что такое риск?
Риск- это событие, которое с некоторой вероятностью может причинить вред или убытки, или затруднить достижение целей.
В контексте информационной безопасности риск означает событие, которое может нарушить доступность, целостность или конфиденциальность информации.
Из чего же складывается управление рисками ИБ?
Основными этапами являются выявление рисков, их анализ и оценка, и, наконец, обработка риска.
Для выявления рисков ИБ используются как технологические инструменты, так и постоянное отслеживание информации из различных источников: от производителей ПО, на ресурсах, посвященных ИБ и т.д. Кроме этого, регулярно проводится работа по выявлению рисков внутри организации: организовываются мозговые штурмы, моделируются сценарии угроз.
После того, как риски выявлены, необходимо тщательно изучить и оценить риски с точки зрения их влияния и вероятности, на основе которых каждому риску присваивается определенный уровень.
В простейшем случае можно использовать следующую таблицу для вычисления уровня риска:
Низкая вероятность | Средняя вероятность | Высокая вероятность | |
Низкое влияние | Низкий | Низкий | Низкий |
Среднее влияние | Низкий | Средний | Средний |
Высокое влияние | Средний | Высокий | Высокий |
Для каждого из оцененных рисков необходимо выбрать одно из решений по его обработке, например:
- Избежание риска — предотвращение наступления риска путем избегания/несовершения действий, которые могут привести к его наступлению;
- Модификация риска или его уменьшение — внедрение мер по снижению вероятности наступления риска или его влияния;
- Разделение риска — уменьшение влияния риска путем передачи части риска третьей стороне;
- Принятие риска — отсутствие действий по изменению риска
Довольно часто используется модификация риска, поскольку меры по избеганию риска оказываются слишком дорогостоящими. Кроме этого, бывают ситуации, когда стоимость предотвращения или модификации риска превышают сумму возможного ущерба от наступления риска – в таких случаях принимается решение о принятии риска (если только не идет речь о рисках, последствия которых могут напрямую влиять на лояльность клиентов или лишение права компании на занятие определенным видом деятельности). Также набирает популярность страхование от рисков ИБ – в таком варианте компании могут получить страховочные выплаты в случае наступления нежелательного события и покрыть свои издержки.
Каким бы подходом к выявлению, оценке и обработке рисков ИБ не пользовалась компания, важно осознать важность данной практики: не следовать процедурам «для галочки», а наладить регулярные мероприятия по управлению рисками ИБ. Только в таком случае управление рисками информационной безопасностью сможет приносить реальную ценность в составе всей системы управления ИБ. К таким мероприятиям относится Обследование Информационной Безопасности, предлагаемое компанией Expert Pro. Узнайте подробнее о данной услуге из первых уст наших специалистов:
Телефон: (+998) 78-147-0037
E-mail: info@expertpro.uz
Адрес: Ташкент 100011, ул. А.Темура, Ц5, 46А