Что такое «управление рисками информационной безопасности»?
Управление рисками информационной безопасности – это непрерывный процесс, основной задачей которого является своевременное обнаружение, оценка и уменьшение рисков появления угроз разглашения конфиденциальной информации организации.
Грамотное управление рисками информационной безопасности компании позволяет обеспечить сохранность данных, обнаруживать уязвимости в защите, а также определить величину оптимальных затрат на поддержание высокого уровня ИБ.
Управление рисками – это обязательный атрибут управления компании в целом, так как информационная безопасность – это одна из главных линий защиты и поддержания стабильности и прогресса организации.
Тема управления рисками ИБ рассматривается только на административном уровне, поскольку только руководство компании может выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих действий, направленных на защиту данных.
Почему процесс управления рисками ИБ должен быть непрерывным?
Деятельность любых организаций связана с риском, это означает, что невозможно точно определить, какие угрозы могут возникнуть в будущем. Время и информация – самые важные ресурсы компании, соответственно, ВРЕМЯ как ресурс, затрачиваемый на защиту ИНФОРМАЦИИ должно быть постоянным. Ущерб от утечки информации может быть невосполнимым для компании, и мы сейчас говорим не только о финансах.
Как оценить риски ИБ?
В классическом представлении риск – это вероятность реализации угрозы ИБ. Оценка рисков заключается в моделировании картины наступления неблагоприятных для компании времён посредством учёта всех факторов, которые могут вызвать эти самые времена.
Существуют различные математические формулы вычисления рисков ИБ, например, R = P(t) * P(v) * S, где P(t) – вероятность реализации угрозы, P(v) – вероятность наличия уязвимости, а S – ценность актива. С помощью такой формулы можно просчитать процентное соотношения существующего риска ИБ для компании.
Конечно, это не единственная формула, но в качестве примера отлично приводит факторы риска, которые наиболее важны для расчёта.
Самым простым способом оценить риски ИБ компании является сортировка всех последствий в случае утечки. Например, если организация потеряет данные по проекту N, то:
- конкуренты выйдут на рынок быстрее, ввиду того, что организация просела в конкурентоспособности;
- сократится рыночная доля, клиенты найдут более надёжных партнёров;
- нарушатся бизнес-процессы по проекту N, что, возможно, является одной из главных линий развития компании на данный момент;
- финансовые потери (нейтрализация последствий, недополученная прибыль) и т.д.
Для оценки рисков нужно определить приоритетность информации и бизнес-процессов, чтобы понимать, теоретическая утечка каких данных нанесёт наибОльший ущерб.
Уровни зрелости руководства при организации информационной безопасности компании
Уровень зрелости руководства – это новый критерий, применяемый в отношении руководства компании в сфере управления рисками ИБ. Управление рисками – это бизнес-задача, которая должна инициироваться исключительно руководящим составом компании, исходя из информированности и степени осознания проблем ИБ. По зрелости руководства прослеживается несколько уровней:
Начальный. На нём осознание рисков ИБ компании как таковое отсутствует, а меры по защите информации предпринимаются отдельными IT-сотрудниками под свою ответственность.
Базовый. На этом уровне в компании определена проблема защиты информации и управления рисками ИБ, применяются попытки внедрения отдельных процессов управлением ИБ.
Средний. На этом уровне руководство компании чётко осознаёт необходимость в системе управления ИБ и рассматривается как необходимый атрибут управления компании в целом. Полноценной системы управления ИБ ещё нет, так как отсутствует главный компонент – управление рисками ИБ.
Высокий. Это уровень наивысшей осознанности проблем ИБ руководством, применение целостной системы безопасности информации, включая документооборот, планирование, мониторинг, реализацию, совершенствование процессов ИБ компании.
Как организовать управление рисками ИБ компании на высоком уровне?
Самое основное – это принятие решения по обработке рисков: как, когда, в связи с чем этот риск может возникнуть, пути и альтернативные пути решения проблемы.
Далее следует организовать инструменты для управления рисками. Для компаний наиболее эффективный способ – использование DLP-системы (англ. data leak prevention – предотвращение утечки данных). В качестве примера работы DLP в компании познакомимся с возможностями SecureTower от Falcongaze. В системе SecureTower полный контроль корпоративной информации достигается за счет мониторинга максимального числа коммуникационных каналов и протоколов передачи данных. К тому же, данное ПО анализирует информацию по многим параметрам:
- контентный анализ (анализ текстовых документом, фото, видео, распознавание речи и автоматическое распознавание данных по встроенным шаблонам);
- статистический анализ (количественный учёт выполняемых действий);
- анализ общих связей между сотрудниками (каналы коммуникации, мониторинг взаимодействия);
- анализ по цифровым отпечаткам;
- распознавание замаскированных файлов;
- поиск по хэш-функциям и анализ CAD-файлов.
После анализа перехваченных данных, если есть нарушение правила безопасности, система автоматически уведомляет об инциденте со всей информацией о нём. При расследовании инцидентов в SecureTower формируются дела, в которых можно фиксировать ход расследований, определять фигурантов дела, а после завершения расследования сделать отчёт для руководителей. Собранные данные могут быть использованы в суде в качестве доказательной базы.
Выбор подхода к управлению рисками ИБ определяется индивидуально каждой организацией и уровнем её информатизации. Наивысший уровень управления рисками и защиты информации подразумевает целостное обеспечение системы информационной безопасности компании, включая прогрессивые инструменты информационной защиты.