Управление рисками

Что такое «управление рисками информационной безопасности»?

Управление рисками информационной безопасности – это непрерывный процесс, основной задачей которого является своевременное обнаружение, оценка и уменьшение рисков появления угроз разглашения конфиденциальной информации организации.

Грамотное управление рисками ИБ позволяет обеспечить сохранность данных, обнаруживать уязвимости в защите, а также определить величину оптимальных затрат.

Это обязательный атрибут управления на любом предприятии, на одном уровне по важности с налаживанием эффективных бизнес-процессов и стратегическим менеджментом.

Тема управления рисками ИБ рассматривается только на административном уровне, поскольку только руководство компании может выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих действий, направленных на защиту данных.

Почему процесс управления рисками ИБ должен быть непрерывным?

Деятельность любых организаций связана с риском. Это значит, что невозможно точно определить, какие угрозы могут возникнуть в будущем. Время и информация – самые важные ресурсы. Соответственно, время как ресурс, затрачиваемый на защиту информации должно быть постоянным. Ущерб от утечки может быть невосполнимым для компании, и мы сейчас говорим не только о финансах.

Как оценить риски ИБ?

В классическом представлении риск – это вероятность реализации угрозы ИБ. Оценка рисков заключается в моделировании картины наступления неблагоприятных для компании времён посредством учёта всех факторов, которые могут вызвать эти самые времена.

Существуют различные математические формулы вычисления рисков ИБ, например, R = P(t) * P(v) * S, где P(t) – вероятность реализации угрозы, P(v) – вероятность наличия уязвимости, а S – ценность актива. С помощью такой формулы можно просчитать процентное соотношения существующего риска ИБ для компании.

Конечно, это не единственная формула, но в качестве примера отлично приводит факторы риска, которые наиболее важны для расчёта.

Самым простым способом оценить риски ИБ компании является сортировка всех последствий в случае утечки. Например, если организация потеряет данные по проекту N, то:

• конкуренты выйдут на рынок быстрее ввиду того, что просела конкурентоспособность;
• сократится рыночная доля, клиенты найдут более надёжных партнёров;
• нарушатся бизнес-процессы по проекту N, что, возможно, является одной из главных линий развития компании на данный момент;
• финансовые потери (нейтрализация последствий, недополученная прибыль) и т.д.

Для оценки рисков нужно определить приоритетность информации и бизнес-процессов, чтобы понимать, теоретическая утечка каких данных нанесёт наибольший ущерб.

Уровни зрелости руководства при организации информационной безопасности компании

Уровень зрелости руководства – это новый критерий, применяемый в отношении руководства компании в сфере управления рисками ИБ. Управление рисками – это бизнес-задача, которая должна инициироваться исключительно руководящим составом. По зрелости руководства прослеживается несколько уровней:

1. Начальный. На нём осознание рисков ИБ компании как таковое отсутствует, а меры по защите информации предпринимаются отдельными IT-сотрудниками под свою ответственность.
2. Базовый. На этом уровне определена проблема защиты информации и управления рисками ИБ, применяются попытки внедрения отдельных процессов управлением.
3. Средний. На этом уровне руководство чётко осознаёт необходимость в системе управления информационной безопасностью, и она рассматривается как необходимый атрибут управления в целом. Полноценной системы управления ещё нет, так как отсутствует главный компонент – управление рисками ИБ.
4. Высокий. Это уровень наивысшей осознанности проблем руководством, применение целостной системы защиты безопасности информации, включая документооборот, планирование, мониторинг, реализацию, совершенствование процессов ИБ компании.

Как организовать управление рисками на высоком уровне?

Самое основное – это принятие решения по обработке рисков: как, когда, в связи с чем этот риск может возникнуть, прямые и альтернативные пути решения проблемы.

Далее следует организовать инструменты для управления рисками. Для компаний наиболее эффективный способ – использование DLP-системы (англ. data leak prevention – предотвращение утечки данных). В качестве примера работы DLP познакомимся с возможностями SecureTower от Falcongaze. В системе SecureTower полный контроль корпоративной информации достигается за счет мониторинга максимального числа коммуникационных каналов и протоколов передачи данных. К тому же, данное ПО анализирует информацию по многим параметрам:

• контентный анализ (анализ текстовых документом, фото, видео, распознавание речи и автоматическое распознавание данных по встроенным шаблонам);
• статистический анализ (количественный учёт выполняемых действий);
• анализ общих связей между сотрудниками (каналы коммуникации, мониторинг взаимодействия);
• анализ по цифровым отпечаткам;
• распознавание замаскированных файлов;
• поиск по хэш-функциям и анализ CAD-файлов.

После анализа перехваченных данных, если есть нарушение правила безопасности, система автоматически уведомляет об инциденте со всей информацией о нём. При расследовании инцидентов в SecureTower формируются дела, в которых можно фиксировать ход расследований, определять фигурантов дела, а после завершения расследования сделать отчёт для руководителей. Собранные данные могут быть использованы в суде в качестве доказательной базы.

Вывод

Выбор подхода к управлению рисками информационной безопасности определяется индивидуально каждой организацией и уровнем её информатизации. Наивысший уровень управления рисками подразумевает целостное обеспечение системы информационной защиты компании.