erid 2SDnje4KwUm

Оценка рисков информационной безопасности

Премия Securitymedia
Оценка рисков информационной безопасности
Оценка рисков информационной безопасности
12.05.2023

Оценка рисков информационной безопасности не только способ обосновать бюджет на ИБ, но и возможность внедрить превентивные методы борьбы с киберугрозами. Кроме того, качественная и своевременная оценка позволяет обнаружить и устранить уязвимости в системах предприятия, пока ими не успели воспользоваться злоумышленники.

Алена Игнатьева

Руководитель отдела консалтинга и аудита информационной безопасности STEP LOGIC

Оценку рисков можно сравнить с диагностикой здоровья. Она выполняется на разных этапах жизненного цикла компании. Чем раньше заказчик приступит, тем проще вносить коррективы. В то же время управление рисками требует определенной зрелости как компании в целом, так и отдельных лиц, вовлекаемых в эту процедуру.

Сегодня практически все компании, предлагающие услуги по обеспечению кибербезопасности, представляют оценку ИБ-рисков не только в комплексе с основными услугами, но и как отдельный продукт. Именно поэтому предложений на рынке много, а что лучше выбрать можно решить исходя из особенностей инфраструктуры бизнеса и целей, а также потенциальных слабых мест системы.

Зачем нужна оценка рисков информационной безопасности

Оценка ИБ-рисков важная часть безопасности компании в современном мире, когда процессы на всех уровнях переходят в цифру. Эксперты считают, что расчет ИБ-рисков – это логичный мостик между ИБ-директором и бизнесом, а также инструмент принятия решений. Например, если потенциальные финансовые потери значительно выше стоимости ИБ-решений, которые позволяют не допустить этих потерь, значит необходимо инвестировать в продукты информационной безопасности. Кроме того, это инструмент, позволяющий управлять ИБ-рисками.

Игорь Тюкачев

Руководитель отдела развития бизнеса продуктов ИБ компании Axoft.

Оценка ИБ-рисков позволяет разговаривать с бизнесом на понятном ему языке и при ограниченных ресурсах не инвестировать туда, где нет экономической целесообразности. Результат оценки рисков в виде матрицы наглядно может продемонстрировать текущее ИБ-состояние и сфокусировать ИБ-департамент на самых важных направлениях.

Учитывая, что в оценке рисков обязательно принимает участие бизнес (владельцы бизнес-процессов и подпроцессов) – матрица оценки рисков показывает консолидированную картинку. Исходя из матрицы, можно построить дорожную карту, которая будет выглядеть последовательной и целостной. Это позволяет тратить гораздо меньше усилий на согласование бюджета на ИБ.


Оценка ИБ-рисков позволяет:

  • выявить слабые места в ИТ-инфраструктуре и реализуемых процессах;
  • оценить эффективность применяемых защитных мер;
  • оптимизировать затраты на систему защиты информации;
  • связать планы по развитию системы ИБ со стратегическими целями компании и планами по цифровому развитию.

Также оценка рисков позволяет решать различные задачи ИБ-подразделений в организациях. Например, актуальное применение оценки рисков ИБ – выполнение обязательных требований нормативных документов по наличию в компаниях процесса управления рисками.

Максим Карчевский

Руководитель GR-направления R‑Vision

Организации в ходе оценки ИБ-рисков получают возможность ранжировать угрозы информационной безопасности с учетом потенциального ущерба и вероятности их реализации. Это позволяет правильно расставлять приоритеты и планировать мероприятия ИБ подразделения, а также предоставлять руководству конкретные метрики: на сколько внедрение того или иного технического, или организационного решения снижает возможные затраты на устранение последствий от реализации угроз.

Если оценка киберрисков проведена корректно и после оценки воздействия на бизнес, то она позволяет узнать, какие события могут привести к недопустимым последствиям для бизнеса компании, а какие – повлияют на него незначительно. Также, если проводится регулярная оценка рисков, то можно отследить динамику в части работы с киберрисками.

Методы оценки рисков информационной безопасности

Когда дело доходит до выбора способа оценки и компании, которая этим займется, возникает вопрос – какая методика оценки ИБ-рисков самая эффективная. Ведь сегодня существует множество способов оценки и стандартов по ИБ-рискам. Например, стандарты и методологии, разработанные международными организациями и профессиональными сообществами, такими как ISO/IEC 27005, NIST SP 800-30, FAIR (Factor Analysis of Information Risk) и OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation). Они предоставляют структурированные рамки для оценки рисков, что облегчает сравнение результатов между организациями и обеспечивает прозрачность процесса.

Подбор эффективной методики оценки ИБ-рисков требует привлечения специалистов компании на всех уровнях. Ведь, чем больше команда, тем сложнее взаимодействие. Многие сотрудники не просто не владеют ИБ-инструментами, но и не соблюдают кибергигиену.

Сегодня эксперты выделяют два основных подхода к оценке рисков информационной безопасности – качественный и количественный.

Алена Игнатьева

Руководитель отдела консалтинга и аудита информационной безопасности STEP LOGIC

Эффективность метода сильно зависит от текущего уровня зрелости как компании в целом, так и процессов информационной безопасности.

Компания, которые впервые занялись вопросами управления рисками, мы рекомендуем использовать максимально упрощенный вариант, при котором выполняется идентификация недопустимых событий. Строго говоря, это даже не оценка рисков, но большинству некрупных организаций его будет достаточно. Следующим шагом может стать качественная оценка рисков, представляющая собой классический «светофор», отражающий градацию рисков с учетом степени тяжести последствий и вероятности реализации.

Количественный способ оценки – это более высокий уровень, для перехода к которому нужны длительные наблюдения и накопление статистических данных, связанных как с деятельностью организации, так и внешними факторами: требованиями регуляторов, статистикой по отрасли или связанным областям. Количественная оценка более удобна для прогнозирования и анализа эффективности реализуемых мер в крупных организациях. Малые организации более мобильны, имеют меньший объем данных для анализа, поэтому попытка перехода к количественному анализу рисков может затормозить бизнес-процессы и дать обратный эффект. При дальнейшем развитии системы ИБ в компании могут применяться статистические модели и прогнозирование на основе методов математического моделирования.

Максим Карчевский

Руководитель GR-направления R‑Vision

Выбранная в организации методика оценки рисков на практике мало влияет на эффективность самой оценки. Встречаются компании, которые реализовали простые схемы оценки (например, ALE или по трехуровневой шкале) и получают от этого хороший результат, а есть организации, которые на бумаге считают риски по более сложным и точным оценкам (например, СТБ 34.101.70 Банка России или международной FAIR), но выгоду от этих процессов не имеют.

Как правило, это связано либо с недостатком ресурсов в ИБ подразделениях (на рутинные операции по оценке активов и ручному подсчёту требуется довольно много времени), либо с отсутствием компетентных специалистов в таких подразделениях. Решением таких проблем может быть либо привлечение на регулярных условиях консалтинговых организаций, либо внедрение средств автоматизации решений класса SGRC с функционалом оценки рисков.

Для эффективной оценки ИБ-рисков, кроме выбора способа, крайне важна вовлеченность самого бизнеса. Если ИБ-директор сам оценивает риски, их степень влияния на бизнес и проводит оценку финансовых потерь, без учета команды, оценка может пойти не на пользу и даже причинить вред впоследствии из-за неверных выводов. Также снизить эффективность может использование ретроспективных данных и использование только метода экспертных оценок.

Что может помешать объективно оценить ИБ-риски:

  1. Недостаток информации: отсутствие достаточной информации о текущем состоянии системы безопасности, уязвимостях, угрозах и их последствиях, исторических данных о прошлых инцидентах может привести к неточной оценке рисков.
  2. Субъективность экспертных мнений: во время качественной оценки рисков экспертные мнения играют важную роль, однако они могут быть субъективными и приводить к искажению результатов.
  3. Ограниченные ресурсы: недостаток времени, финансовых средств и квалифицированных специалистов может затруднить проведение всестороннего анализа рисков информационной безопасности.
  4. Сложность ИТ-инфраструктуры: в больших ИТ-системах сложнее выявить и оценить все потенциальные риски из-за множества компонентов и взаимосвязей между ними.
  5. Изменение угроз и технологий: угрозы информационной безопасности и технологии постоянно меняются, что затрудняет получение актуальной и полной картины рисков.
  6. Зависимость от внешних поставщиков: взаимодействие с внешними поставщиками и партнерами может усложнить оценку рисков, так как организации не всегда имеют полный контроль над информационной безопасностью сторонних компаний.
  7. Конфликт интересов: в некоторых случаях сотрудники или менеджеры могут быть заинтересованы в представлении искаженной картины рисков, чтобы защитить свои интересы или избежать дополнительной ответственности.

Алена Игнатьева

Руководитель отдела консалтинга и аудита информационной безопасности STEP LOGIC

Чтобы минимизировать влияние этих факторов на оценку рисков, мы рекомендуем использовать структурированные методологии, включать множество экспертов с разными взглядами, проводить регулярные проверки и обновления данных об угрозах и уязвимостях, а также обучать и мотивировать сотрудников для активного участия в процессе оценки рисков информационной безопасности

По словам игроков рынка, наиболее часто встречающаяся проблема – отсутствие в компаниях процесса инвентаризации активов (Asset Management). Специалисту по информационной безопасности необходимо ответить на вопрос «что мы защищаем?» до того, как начнется оценка рисков в ИБ. То есть необходима карта значимых для компании ресурсов и проведено их ранжирование исходя из ценности.

ИБ-подразделение компании должно иметь четкое представление о том, какие технические средства участвуют в важных бизнес-процессах организации, остановка каких функций производства может привести к ущербу для компании, утечка какой информации может нанести репутационный вред.

Правильно выстроенный процесс управления активами в компании позволяет эффективно провести оценку ИБ-рисков и использовать ее с наибольшей пользой. 

Вывод

Оценка информационной безопасности компании проводится, когда уже есть четкое понимание об информационных ресурсах и активах, которые могут быть подвержены кибератаке и откуда может произойти утечка данных. Более того, компания должна уже иметь представление о потенциальных киберугрозах и возможных слабых местах системы. Не менее важно понимать, какие ресурсы и активы критически важны для предприятия, а какие имеют второстепенную роль.

Чем больше компания, тем больше участников команды должны принимать участие в оценке и ИБ-рисков, предоставлять информацию и свои мнения, так как оценка подразумевает широкий фокус. Выбор метода и подхода хоть и важны, но все же главную роль играет вовлеченность команды и владение полными данными об информационной инфраструктуре компании. 


Комментарии 0