Управление рисками
Что такое «управление рисками информационной безопасности»?
Управление рисками информационной безопасности – это непрерывный процесс, основной задачей которого является своевременное обнаружение, оценка и уменьшение рисков появления угроз разглашения конфиденциальной информации организации.
Грамотное управление рисками ИБ позволяет обеспечить сохранность данных, обнаруживать уязвимости в защите, а также определить величину оптимальных затрат.
Это обязательный атрибут управления на любом предприятии, на одном уровне по важности с налаживанием эффективных бизнес-процессов и стратегическим менеджментом.
Тема управления рисками ИБ рассматривается только на административном уровне, поскольку только руководство компании может выделить необходимые ресурсы, инициировать и контролировать выполнение соответствующих действий, направленных на защиту данных.
Почему процесс управления рисками ИБ должен быть непрерывным?
Деятельность любых организаций связана с риском. Это значит, что невозможно точно определить, какие угрозы могут возникнуть в будущем. Время и информация – самые важные ресурсы. Соответственно, время как ресурс, затрачиваемый на защиту информации должно быть постоянным. Ущерб от утечки может быть невосполнимым для компании, и мы сейчас говорим не только о финансах.
Как оценить риски ИБ?
В классическом представлении риск – это вероятность реализации угрозы ИБ. Оценка рисков заключается в моделировании картины наступления неблагоприятных для компании времён посредством учёта всех факторов, которые могут вызвать эти самые времена.
Существуют различные математические формулы вычисления рисков ИБ, например, R = P(t) * P(v) * S, где P(t) – вероятность реализации угрозы, P(v) – вероятность наличия уязвимости, а S – ценность актива. С помощью такой формулы можно просчитать процентное соотношения существующего риска ИБ для компании.
Конечно, это не единственная формула, но в качестве примера отлично приводит факторы риска, которые наиболее важны для расчёта.
Самым простым способом оценить риски ИБ компании является сортировка всех последствий в случае утечки. Например, если организация потеряет данные по проекту N, то:
- конкуренты выйдут на рынок быстрее ввиду того, что просела конкурентоспособность;
- сократится рыночная доля, клиенты найдут более надёжных партнёров;
- нарушатся бизнес-процессы по проекту N, что, возможно, является одной из главных линий развития компании на данный момент;
- финансовые потери (нейтрализация последствий, недополученная прибыль) и т.д.
Для оценки рисков нужно определить приоритетность информации и бизнес-процессов, чтобы понимать, теоретическая утечка каких данных нанесёт наибольший ущерб.
Уровни зрелости руководства при организации информационной безопасности компании
Уровень зрелости руководства – это новый критерий, применяемый в отношении руководства компании в сфере управления рисками ИБ. Управление рисками – это бизнес-задача, которая должна инициироваться исключительно руководящим составом. По зрелости руководства прослеживается несколько уровней:
- Начальный. На нём осознание рисков ИБ компании как таковое отсутствует, а меры по защите информации предпринимаются отдельными IT-сотрудниками под свою ответственность.
- Базовый. На этом уровне определена проблема защиты информации и управления рисками ИБ, применяются попытки внедрения отдельных процессов управлением.
- Средний. На этом уровне руководство чётко осознаёт необходимость в системе управления информационной безопасностью, и она рассматривается как необходимый атрибут управления в целом. Полноценной системы управления ещё нет, так как отсутствует главный компонент – управление рисками ИБ.
- Высокий. Это уровень наивысшей осознанности проблем руководством, применение целостной системы защиты безопасности информации, включая документооборот, планирование, мониторинг, реализацию, совершенствование процессов ИБ компании.
Как организовать управление рисками на высоком уровне?
Самое основное – это принятие решения по обработке рисков: как, когда, в связи с чем этот риск может возникнуть, прямые и альтернативные пути решения проблемы.
Далее следует организовать инструменты для управления рисками. Для компаний наиболее эффективный способ – использование DLP-системы (англ. data leak prevention – предотвращение утечки данных). В качестве примера работы DLP познакомимся с возможностями SecureTower от Falcongaze. В системе SecureTower полный контроль корпоративной информации достигается за счет мониторинга максимального числа коммуникационных каналов и протоколов передачи данных. К тому же, данное ПО анализирует информацию по многим параметрам:
- контентный анализ (анализ текстовых документом, фото, видео, распознавание речи и автоматическое распознавание данных по встроенным шаблонам);
- статистический анализ (количественный учёт выполняемых действий);
- анализ общих связей между сотрудниками (каналы коммуникации, мониторинг взаимодействия);
- анализ по цифровым отпечаткам;
- распознавание замаскированных файлов;
- поиск по хэш-функциям и анализ CAD-файлов.
После анализа перехваченных данных, если есть нарушение правила безопасности, система автоматически уведомляет об инциденте со всей информацией о нём. При расследовании инцидентов в SecureTower формируются дела, в которых можно фиксировать ход расследований, определять фигурантов дела, а после завершения расследования сделать отчёт для руководителей. Собранные данные могут быть использованы в суде в качестве доказательной базы.
Вывод
Выбор подхода к управлению рисками информационной безопасности определяется индивидуально каждой организацией и уровнем её информатизации. Наивысший уровень управления рисками подразумевает целостное обеспечение системы информационной защиты компании.