Позвоните нам Напишите нам
ENG
Заказать обратный звонок
Все поля обязательны для заполнения!
Чтобы продолжить, необходимо Ваше согласие.

Управление информационными рисками

Управление информационными рисками является важнейшим направлением стратегического и оперативного менеджмента в области защиты информации.

В процессе управления информационными рисками идентифицируются и оцениваются наиболее значимые для компании информационные риски через величину ущерба, который будет нанесен бизнесу. Исходя из приемлемой величины ущерба определяются необходимые меры и средства защиты (контроли) информации.

Категорирование информационных активов по степени конфиденциальности

Методика категорирования, разработанная на основе стандарта ISO/IEC 27001:2005, имеет целью выявление информационных активов, чувствительных к нарушению конфиденциальности, определение месторасположения информации в корпоративной информационной сети и оценку достаточности мер безопасного обращения к информации как внутри, так и во вне организации.

Категорирование предполагает присвоение каждому информационному активу (электронному, бумажному) одного из грифов: «Строго конфиденциально», «Конфиденциально», «Для внутреннего использования», «Общедоступная информация». 

Содержание работ

  • Формирование рабочей группы заказчика с обязательным участием представителей бизнеса в лице владельцев информационных активов.
  • Семинар-совещание с рабочей группой, на котором разъясняются цели и задачи категоризации, принципы присвоения того или иного грифа конфиденциальности, используемые меры и средства защиты при ее обращении внутри и передаче во вне компании, общая организация работы по категорированию.
  • Проведение очно-заочного интервьюирования (опросные листы) бизнес-владельцев:
    • выявление находящихся в их ведении информационных активов;
    • присвоение соответствующих грифов конфиденциальности;
    • определение местоположения активов в корпоративной информационной сети;
    • используемые средства обращения информации внутри и во вне компании.
  • Обработка результатов интервьюирования владельцев информационных активов (непротиворечивость, полнота представленной информации):
    • оценка достаточности применяемых мер и средств обеспечения безопасности (контролей) по категориям конфиденциальности (рекомендации стандарта ISO/IEC 27001: 2005).
  • Согласование с заказчиком итогового перечня категорированных информационных активов; рекомендации по применению контролей, усиливающих их защищенность.

Анализ информационных рисков

Анализ информационных рисков выполняется по методологии OCTAVE (Operationally Critical Treat, Asset and Vulnerability Evaluation) де-факто являющейся международно- признанным стандартом в области управления информационными рисками. Методология позволяет осуществлять анализ рисков по всем областям безопасности — конфиденциальность, доступность, целостность, в результате чего формируется матрица ИТ-рисков.

Используя рекомендованные методологией меры и средства обеспечения безопасности — контроли, и проводя расчеты влияния тех или иных контролей на величину риску, удается подобрать такие, применение которых снижает величину риска до приемлемого уровня. В итоге формируется план мероприятий по снижению рисков, представляющий проекты внедрения контролей по областям рисков.

Содержание работ

  • Определение участвующих в анализе рисков бизнес-подразделений.
  • Формирование рабочей группы по анализу рисков, с обязательным включением специалистов из бизнес-подразделений.
  • Проведение семинара-совещания с рабочей группой: цели и задачи анализа рисков; необходимая исходная информация и источники ее получения; правила вывода оценки величины ущерба, вероятности реализации риска, уязвимости; общая характеристика этапов анализа рисков, ожидаемые результаты.
  • Сбор исходной информации от рабочей группы:
    • участвующие в анализе рисков ИТ-сервисы и связанные с ними информационные активы;
    • используемые меры и средства защиты информации - контроли из рекомендуемых методологией с оценкой их значимости (коэффициенты от 0 до 1) для каждой области рисков;
    • по каждой области безопасности для каждого сервиса предоставляется оценка: величины ущерба (шкала: «катастрофический», «значительный», «умеренный», «несущественный» (считается приемлемым для бизнеса уровнем потерь) с установленным бизнесом монетарным выражением потерь) и вероятности его возникновения («высокая-1», «средняя-0,5», «низкая — 0,25»);
    • степень зрелости применяемых контролей, оцениваемых: 1 — если эффективность контроля подтверждена регулярными проверками, 0,5 — если контроль существует, но регулярные проверки его эффективности не выполняются, 0 — если контроль отсутствует, по каждой области рисков.
  • Обработка информации заключается в расчете рисков для каждого сервиса и по каждой области рисков. Величина риска рассчитывается перемножением вероятности возникновения риска, величины потенциального ущерба и значения уязвимости. Для расчета значения уязвимости применяется специальная процедура, оперирующая коэффициентами эффективности контроля и его значимостью для конкретной области риска. Результат — матрица рисков ИТ-рисков с монетарным представлением ущерба.
  • Формирование плана мероприятий по снижению рисков заключается в поиске решений — применении контролей, которые, прежде всего, способны снизить значение уязвимости. Поиск решений поддерживается расчетной процедурой, позволяющей оценить величину ущерба после внедрения соответствующего контроля.

Cогласие на обработку персональных данных

В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» вы подтверждаете настоящим свое согласие на обработку своих персональных данных, предусмотренную частью 3 статьи 3 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Акционерному обществу «ИНЛАЙН ГРУП» (АО «ИНЛАЙН ГРУП»), расположенному по адресу: г. Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35.

Настоящим пользователь/соискатель свободно, своей волей и в своем интересе в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» дает свое согласие Акционерному обществу «ИНЛАЙН ГРУП», расположенному по адресу: г. Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35, на обработку его персональных данных, указанных в Форме обратной связи/Резюме Соискателя и направляемых через сайт www.inlinegroup.ru.

Настоящим согласием вы подтверждаете, что проинформированы о том, что под обработкой персональных данных понимаются действия с персональными данными, определённые в Федеральном законе № 152-ФЗ от 27.07.2006 «О персональных данных», а именно: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), блокирование, удаление персональных данных, совершаемые использованием средств автоматизации «ИНЛАЙН ГРУП» либо без использования таковых средств.

Данным согласием вы подтверждаете, что проинформированы о том, что обработка предоставляемых вами персональных данных может осуществляется в следующих целях:

  • идентификация стороны в рамках взаимодействия;
  • эффективное исполнение заказов, договоров и иных обязательств, принятых «ИНЛАЙН ГРУП» в качестве обязательных к исполнению перед пользователем;
  • обработка вопросов пользователей Веб-сайта;
  • регистрация пользователей Веб-сайта на мероприятия;
  • регистрация клиентов/партнеров «ИНЛАЙН ГРУП» в системе service desk, для последующего осуществления технической поддержки;
  • принятие решения о приёме либо отказе в приёме на работу;
  • осуществление и/или исполнение функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на «ИНЛАЙН ГРУП».

Настоящее согласие распространяется на следующие персональные данные: фамилия, имя, отчество, дата рождения, адрес доставки; контактный телефон, сведения об организации, должность, номер факса, номер сотового телефона, адрес электронной почты, сведения о стране, городе, области проживания, а также сведения, которые соискатель сочтет необходимым указать в своем резюме.

Срок действия Вашего согласия является неограниченным, однако, Вы вправе в любой момент отозвать настоящее согласие, путём направления письменного уведомления на электронный/почтовый адрес: info@inlinegroup.ru/125284, г.Москва, Хорошёвское шоссе, д. 38, корп. 1, 3 этаж, пом. I, ком. 35, в АО «ИНЛАЙН ГРУП» с пометкой «отзыв согласия на обработку персональных данных».

Удаление ваших персональных данных будет произведено «ИНЛАЙН ГУРП» в течении 30 дней с момента получения данного уведомления.

«ИНЛАЙН ГРУП» гарантирует соблюдение следующих прав субъекта персональных данных: право на получение сведений о том, какие персональные данные субъекта персональных данных хранятся у «ИНЛАЙН ГРУП»; право на удаление, уточнение или исправление хранящихся у «ИНЛАЙН ГРУП» персональных данных; иные права, установленные действующим законодательством Российской Федерации.