Защита данных банковских карт
Узнать большеРиски информационной безопасности присутствуют в любом бизнесе. Многие компании проводят аудит безопасности, чтобы оценить угрозы, разработать стратегию противодействия злоумышленникам, сохранить конфиденциальную информацию в неприкосновенности. Для каждой отрасли и вида деятельности прослеживается определенная специфика, поэтому данный вопрос требует тщательной проработки и изучения.
Основные риски информационной безопасности
-
Случайные. Объединяют непредвиденные события, когда происходит стечение обстоятельств, приводящее к неблагоприятным последствиям. Как правило, это внезапные, сложно прогнозируемые риски разного характера. Среди типичных примеров – выход из строя технического оборудования, ЧС, перебои электроэнергии, повреждение коммуникационных каналов, поломка блокирующих устройств, ограничивающих доступ к информации.
-
Субъективные. Возникают из-за ошибок и неправильных действий персонала при обработке, хранении информации. Типичными ситуациями здесь выступают пренебрежение внутренними правилами и регламентом безопасности в компании: нарушение режима тайны, несанкционированный доступ к сведениям, нарушение правил передачи информации, использование незащищенных информационных каналов.
-
Объективные. Возникают в ходе использования защитных систем и сопутствующего технического оборудования. Риски возникают в результате проникновения в информационную систему вредоносного ПО, внедрения следящего, шпионского оборудования. Подобные риски отличаются невозможностью полного исключения ввиду несовершенства защиты, многообразия приемов злоумышленников.
Концепции и модели управления рисками ИБ
Любыми рисками можно управлять и тем самым снизить возможный ущерб от их наступления. Существуют различные подходы, модели для анализа рисков информационной безопасности, их управления:
-
Процессная модель управления рисками. Основывается на четырех базовых процессах: планирование, реализация, проверка, действие. Планирование включает выбор политики, методов управления рисками, проведение оценки информационных активов, формирование профилей угроз и их дальнейшую обработку. На этапе реализации выполняют развертывание систем безопасности согласно намеченному плану, принимаются дополнительные защитные меры: коррекция бизнес-планов, этапов запуска проекта исходя из специфики, критичности рисков. Проверка сводится к выполнению мероприятий, которые подтверждают эффективность принятых мер, полноценную работу механизмов контроля информации. Действие заключается в улучшении управленческих процессов на основе полученных данных мониторинга, аудита. Итогом считается внесение корректировок, поправок в нормативную, регулирующую документацию компании.
-
Модель FRAP (Facilitated Risk Analysis Process) – состоит в качественной оценке рисков. При этом акценты расставляются в пользу детального изучения информационной системы с помощью автоматизированных инструментов, тщательной идентификации угроз с формированием подробного списка. В ходе оценки рисков информационной безопасности происходит их градация согласно вероятности наступления и величине ущерба.
-
Модель CRAMM (CCTA Risk Analysis & Management Method). Это один из самых зрелых, известных и широко используемых методов оценки рисков, который опирается на количественные и качественные методы анализа. Уделяет повышенное внимание определению ценности информации. Использует для оценки ущерба бальную систему, группирует информационные ресурсы согласно типу угроз, выделяет отдельные уровни угроз, уязвимостей.
-
Модель OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) – также основана на качественной оценке рисков. Она ведется в три этапа, где предварительно выполняется группа мероприятий, направленных на создание ролей, планирование рисков. Ключевыми моментами в данной модели являются персональная разработка профиля угроз, исходя из вида информационного актива, точная идентификация уязвимостей по всей инфраструктуре, подбор оптимальных стратегий для обеспечения информационной безопасности.
Методики оценки рисков информационной безопасности
-
Количественные. Используются с целью расчетов конкретных величин, выраженных в числовых значениях, процентах. Опираются на сравнение с эталонными величинами, которые заранее известны и приемлемы. При количественном подходе каждому виду риска присваивается конкретная величина, параметры, выраженные в денежных, временных эквивалентах. Это облегчает понимание ситуации, позволяет оценить возможный ущерб, расходы на обеспечение защитных мер, долю резервов, которые придется задействовать. Для начала необходимо провести оценку всех информационных активов компании в денежном эквиваленте для понимания их важности и критичности. После этого проводится определение величин возможного ущерба в случае конкретных рисков и отдельных информационных активов. Следующим шагом станет расчет вероятности наступления каждой возможной угрозы в отношении активов. Далее рассчитывают суммарный потенциальный ущерб для каждого вида угроз с привязкой к какому-то временному периоду. В конце выполняют анализ собранных данных и определяют количественный размер ущерба применительно к конкретной угрозе.
-
Качественные. Основываются на присвоении риску определенного ранга согласно системе ценностей: баллы, степени. Сначала выставляется оценка ценности информационных активов. Потом рассчитывается вероятность наступления угрозы по отношению к активу. Далее рассчитывают вероятность реализации угрозы, принимая во внимание действующие защитные меры. После этого делается вывод о размере риска, исходя из ценности конкретного актива, а также вероятности наступления риска. В конце проводится анализ и выставляется оценка в отношении каждой угрозы, величины риска. Также разрабатываются защитные меры по каждой угрозе для снижения величины ущерба.
Снижение рисков информационной безопасности относится к одной из первоочередных задач бизнеса. Управление рисками, сокращение ущерба от их реализации помогают компании сохранить свое положение на рынке, конкурентное преимущество, избежать финансовых и репутационных издержек. Хорошей практикой для предотвращения инцидентов безопасности является использование DLP-систем. DLP-система Solar Dozor подходит для обнаружения попыток несанкционированной передачи данных и предотвращения утечек информации, выявления следов корпоративного мошенничества и расследования инцидентов безопасности.