Анализ рисков информационной безопасности

Классический подход к управлению информационной безопасностью в организациях основан на оценке рисков компрометации конфиденциальности, целостности и доступности информации.

Оценка рисков включает изучение бизнес-процессов, критичных для компании, информационных активов, задействованных в этих бизнес-процессах, оценку потенциального ущерба в случае реализации тех или иных угроз, и предоставление подробного отчёта о количественных или качественных размерах рисков ИБ. Особую роль здесь играет внедрение специализированных GRC-решений, которые позволяют автоматизировать данный процесс. Они позволяют оценивать критичность активов с учётом влияния на бизнес-процессы, автоматизировать расчёт рисков ИБ на основе передовых подходов, выявлять наиболее уязвимые области в инфраструктуре, формировать и обосновывать бюджет в области ИБ и непрерывности бизнеса.

Такие решения (например, Riskman) используют диаграммы состояний, которые описывают рисковый сценарий в виде последовательности событий, приводящих к реализации риска, с помощью большой аналитической базы сценариев нарушения безопасности и непрерывности. Риски считаются в денежном эквиваленте, а для их оценки используется теория игр.

В систему загружается информация о первичных и вторичных активах, то есть информационных системах, оборудовании и виртуальных средах, а также о потенциальном ущербе в случае нарушения конфиденциальности, целостности и доступности. Благодаря огромной аналитической базе сценариев, система даёт возможность получить объективную картину актуальных для компании угроз ИБ.

Заказчики получают уверенность в том, что ни одна потенциальная угроза не останется незамеченной. Если проводить аналогии, то — согласитесь — бывает обидно, когда вы, уезжая в отпуск, закроете металлическую дверь на все замки, но забудете закрыть окно, а живёте на первом этаже. Ведь это даст вору возможность легко проникнуть в вашу квартиру, не применяя никаких хитроумных технологий и устройств.

Анализ рисков является основой и для многих стандартов. Например, GDPR, который запрещает обрабатывать персональные данные в красной зоне, то есть с высокой вероятностью существенного ущерба для субъекта персональных данных. В «Системном софте» есть квалифицированные специалисты, которые готовы оказать всю необходимую помощь по анализу рисков ИБ и автоматизации этого процесса.

© Все права защищены