Мы используем файлы cookie, чтобы сделать наш веб-сайт удобнее. Используя данный веб-сайт и просматривая его разделы, вы тем самым соглашаетесь с Политикой конфиденциальности

Как оценивать риски информационной безопасности

25 декабря, 2023
Минимизация рисков и угроз информационной безопасности является одной из основных задач ИБ-отдела и компании в целом. Любыми рисками можно управлять — это помогает определить потенциальные угрозы, выработать стратегию по их предотвращению и обеспечить защиту конфиденциальной информации.

Управление рисками — это обширная тема и комплексный процесс, который включает в себя выполнение следующих задач: определение области оценки рисков, оценка рисков, обработка рисков, мониторинг и контроль, совершенствование процесса.

В этой статье мы подробнее рассмотрим ключевой этап в этом процессе — оценку рисков. В ходе оценки компания определяет риски и уровень последствий в случае инцидента, а по его результатам сотрудники ИБ-отдела могут расставить приоритеты по устранению возникающих угроз. Мы расскажем, на какие этапы делится процесс оценки рисков, а также выделим преимущества его регулярного проведения.

Что такое оценка рисков безопасности?

Оценка рисков безопасности — это процесс выявления уязвимостей в ИТ-инфраструктуре и определения уровня финансовой угрозы, которую они представляют для организации: от простоев и связанных с ними потерь прибыли до судебных издержек и штрафов за нарушение нормативных требований и потери бизнеса. Тщательная и всесторонняя оценка рисков поможет вам определить приоритеты по обеспечению безопасности в рамках всей компании.

Оценка рисков безопасности — это часть комплексного процесса оценки ИТ-рисков. При оценке ИТ-рисков учитываются не только угрозы кибербезопасности, но и множество киберрисков. Их можно определить как любой риск финансовых потерь, простоев в работе или ущерба репутации организации в результате какого-либо сбоя в работе ее ИТ-систем.

Примерами киберрисков являются:

  • утечка конфиденциальных или важных данных
  • компрометация учетных данных
  • фишинговые атаки
  • DDos-атаки
  • сбои в работе оборудования
  • человеческие ошибки

Этапы и преимущества, описанные ниже, применимы как к оценке ИТ-рисков, так и к оценке рисков безопасности.

Этапы оценки рисков безопасности

Теперь пройдемся по этапам правильной оценки рисков безопасности:

  • Идентификация и определение приоритетов ИТ-активов
  • Определение угроз
  • Выявление уязвимостей
  • Анализ существующих средств контроля
  • Определение вероятности инцидентов
  • Оценка возможного воздействия угрозы
  • Приоритезация рисков
  • Составление рекомендаций
  • Документация результатов оценки

Крупные компании обычно поручают этот процесс своим внутренним ИТ-командам, а организации, не имеющие специализированного ИТ-отдела, передают эту задачу внешним специалистам.
Шаг 1. Идентификация и определение приоритетов ИТ-активов

К ИТ-активам относятся серверы, принтеры, ноутбуки и другие устройства, а также данные, такие как контактная информация клиентов, сообщения электронной почты и интеллектуальная собственность. Для полного представления об используемых организацией активах важно собрать информацию со всех отделов и подразделений.

Также необходимо определить важность каждого ИТ-актива. Обычно используются такие критерии, как денежная стоимость, его роль в критически важных процессах, а также соответствие правовым нормам и требованиям. Затем можно разделить активы на категории, например, критические, основные или второстепенные.

Шаг 2. Определение угроз

Угроза - это все, что может причинить вред вашей организации. Это могут быть внешние угрозы, вредоносное ПО, злонамеренные действия пользователей или ошибки недостаточно подготовленных администраторов.

Шаг 3. Определение уязвимостей

Уязвимость - это слабое место, которое может позволить угрозе нанести вред вашей организации. Уязвимости можно выявить с помощью анализа, аудиторских отчетов, оценки информационной безопасности, тестирования на проникновение и автоматизированных средств сканирования уязвимостей.

Шаг 4. Анализ существующих средств контроля

Проанализируйте имеющиеся средства контроля для снижения вероятности использования уязвимостей. Примерами технических средств контроля являются шифрование, системы обнаружения вторжений и многофакторная аутентификация (MFA). К нетехническим средствам контроля можно отнести политики безопасности.

И те и другие средства контроля можно разделить на превентивные и детективные. Превентивные средства контроля, такие как шифрование и MFA, предназначены для предотвращения атак. Детективные средства контроля, такие как журналы аудита и системы обнаружения вторжений, используются для выявления угроз, которые либо уже произошли, либо происходят в настоящее время.

Шаг 5. Определите вероятность инцидента

Оцените вероятность использования каждой уязвимости, учитывая такие факторы, как характер уязвимости, возможности и намерения источника угрозы, а также наличие и эффективность ваших средств контроля. Вместо числовой оценки многие организации используют условные обозначения, например, высокая, средняя и низкая вероятности угрозы.

Шаг 6. Оцените возможное воздействие угрозы

Оцените потенциальные последствия инцидента, связанного с потерей или компрометацией активов. К ключевым факторам, которые необходимо учитывать, относятся:

  • Роль актива и любых зависимых процессов;
  • Ценность актива для организации;
  • Уровень конфиденциальности актива.

Шаг 7. Расстановка приоритетов рисков

Для каждой пары угроза–уязвимость определите уровень риска для ИТ-инфраструктуры, основываясь на следующих характеристиках:

  • Вероятность использования уязвимости угрозой.
  • Приблизительная стоимость каждого из таких случаев.
  • Адекватность средств контроля для устранения или снижения риска.

Шаг 8. Составление рекомендаций

Определите действия, необходимые для снижения риска, основываясь на его уровне. Вот некоторые общие рекомендации для каждого уровня риска:

  • Высокий - план корректирующих мер должен быть разработан как можно скорее.
  • Средний - план корректирующих мер должен быть разработан в разумные сроки.
  • Низкий - команда должна решить, принять ли риск или реализовать корректирующие действия.

Шаг 9. Документирование результатов

Заключительным этапом процесса оценки рисков является создание комплексного отчета, который поможет руководству принять обоснованные решения по бюджету, политике, процедурам и т. д. В отчете необходимо описать каждую угрозу, связанные с ней уязвимости, активы, подверженные риску, потенциальное воздействие на вашу ИТ-инфраструктуру, а также рекомендуемые меры контроля и их стоимость. Часто в отчете об оценке рисков указываются ключевые шаги по исправлению ситуации, которые позволяют снизить многочисленные риски.

Пример такого отчета:

Преимущества оценки рисков безопасности

  • Определение ценности – различные ИТ-активы имеют различную значимость для компании, и так как их количество и ценность могут меняться со временем, важно регулярно повторять процесс оценки рисков.

  • Понимание рисков – определение и анализ потенциальных угроз помогает сосредоточиться на рисках, которые имеют наибольшую вероятность и могут нанести наибольший потенциальный ущерб.

  • Обнаружение и устранение уязвимостей – методология оценки рисков, ориентированная на устранение недостатков, помогает выявить и устранить уязвимости, которыми могут воспользоваться злоумышленники. Это может быть устаревшее программное обеспечение, слишком свободные политики доступа или незашифрованные данные.

  • Снижение затрат – проведение оценки рисков безопасности не только защищает ваш бизнес от финансовых угроз, связанных с утечкой данных, но и позволяет разумно использовать бюджет на инициативы в области безопасности, которые приносят наибольшую пользу.

  • Соответствие требованиям регуляторов – регулярная оценка рисков безопасности может помочь организациям соблюдать требования к безопасности данных, установленные такими нормативными актами, как 152-ФЗ, PCI DSS и GDPR, и тем самым избежать дорогостоящих штрафов и других наказаний.

  • Принятие обоснованных решений – информация, полученная в результате оценки рисков кибербезопасности, способствует принятию более взвешенных решений относительно инвестиций в безопасность, инфраструктуру и персонал.

Как Makves DCAP помогает в оценке рисков информационной безопасности?

Находит риски, связанные с неструктурированными данными
Makves DCAP находит конфиденциальные данные в файлах различного формата от таблиц до медицинских снимков и показывает риски, связанные с ними.

Управляет доступом к корпоративным ресурсам
Система Makves помогает выявить и определить приоритетные риски, связанные с неправомерным или чрезмерным доступом пользователей (Active Directory, электронная почта и т.д.).

Тонкая настройка рисков
С помощью Makves DCAP сотрудники ИБ-отдела могут устанавливать уровни риска для любых событий, в соответствии со сферой деятельности и особенностями компании. Настройка рисков доступна как для файлов и папок, так и для пользователей и почтовых ящиков.
Интерфейс настройки рисков для объектов системы
Предоставляет рекомендации

Система формирует список рекомендаций по пользователям, файлам и почтовым ящикам, которые помогут оценить наиболее проблемные области ИТ-инфраструктуры и принять меры по их устранению.
Панель рекомендаций
Заключение
Оценка рисков безопасности и процессы управления рисками являются основой любой стратегии информационной безопасности, поскольку они дают подробное представление об угрозах и уязвимостях, которые могут привести к финансовому ущербу для бизнеса, и о том, как их следует устранять. Четкая оценка уязвимостей ИТ-инфраструктуры и понимание ценности информационных активов позволяют усовершенствовать политику и методы обеспечения безопасности, чтобы лучше защититься от кибератак и обезопасить свои критически важные активы.
Вы можете получить подробную консультацию по использованию системы аудита и мониторинга от Makves и узнать, как она поможет управлять рисками в вашей компании. Закажите демонстрацию Makves DCAP.
Подпишитесь на блог
и присоединяйтесь к нам в соц сетях
Нажимая на кнопку, вы даете согласие на обработку персональных данных в соответствии с Политикой конфиденциальности
Другие статьи: