Управление информационными рисками
Управление информационными рисками является важнейшим направлением стратегического и оперативного менеджмента в области защиты информации.
В процессе управления информационными рисками идентифицируются и оцениваются наиболее значимые для компании информационные риски через величину ущерба, который будет нанесен бизнесу. Исходя из приемлемой величины ущерба определяются необходимые меры и средства защиты (контроли) информации.
Категорирование информационных активов по степени конфиденциальности
Методика категорирования, разработанная на основе стандарта ISO/IEC 27001:2005, имеет целью выявление информационных активов, чувствительных к нарушению конфиденциальности, определение месторасположения информации в корпоративной информационной сети и оценку достаточности мер безопасного обращения к информации как внутри, так и во вне организации.
Категорирование предполагает присвоение каждому информационному активу (электронному, бумажному) одного из грифов: «Строго конфиденциально», «Конфиденциально», «Для внутреннего использования», «Общедоступная информация».
Содержание работ
- Формирование рабочей группы заказчика с обязательным участием представителей бизнеса в лице владельцев информационных активов.
- Семинар-совещание с рабочей группой, на котором разъясняются цели и задачи категоризации, принципы присвоения того или иного грифа конфиденциальности, используемые меры и средства защиты при ее обращении внутри и передаче во вне компании, общая организация работы по категорированию.
- Проведение очно-заочного интервьюирования (опросные листы) бизнес-владельцев:
- выявление находящихся в их ведении информационных активов;
- присвоение соответствующих грифов конфиденциальности;
- определение местоположения активов в корпоративной информационной сети;
- используемые средства обращения информации внутри и во вне компании.
- Обработка результатов интервьюирования владельцев информационных активов (непротиворечивость, полнота представленной информации):
- оценка достаточности применяемых мер и средств обеспечения безопасности (контролей) по категориям конфиденциальности (рекомендации стандарта ISO/IEC 27001: 2005).
- Согласование с заказчиком итогового перечня категорированных информационных активов; рекомендации по применению контролей, усиливающих их защищенность.
Анализ информационных рисков
Анализ информационных рисков выполняется по методологии OCTAVE (Operationally Critical Treat, Asset and Vulnerability Evaluation) де-факто являющейся международно- признанным стандартом в области управления информационными рисками. Методология позволяет осуществлять анализ рисков по всем областям безопасности — конфиденциальность, доступность, целостность, в результате чего формируется матрица ИТ-рисков.
Используя рекомендованные методологией меры и средства обеспечения безопасности — контроли, и проводя расчеты влияния тех или иных контролей на величину риску, удается подобрать такие, применение которых снижает величину риска до приемлемого уровня. В итоге формируется план мероприятий по снижению рисков, представляющий проекты внедрения контролей по областям рисков.
Содержание работ
- Определение участвующих в анализе рисков бизнес-подразделений.
- Формирование рабочей группы по анализу рисков, с обязательным включением специалистов из бизнес-подразделений.
- Проведение семинара-совещания с рабочей группой: цели и задачи анализа рисков; необходимая исходная информация и источники ее получения; правила вывода оценки величины ущерба, вероятности реализации риска, уязвимости; общая характеристика этапов анализа рисков, ожидаемые результаты.
- Сбор исходной информации от рабочей группы:
- участвующие в анализе рисков ИТ-сервисы и связанные с ними информационные активы;
- используемые меры и средства защиты информации - контроли из рекомендуемых методологией с оценкой их значимости (коэффициенты от 0 до 1) для каждой области рисков;
- по каждой области безопасности для каждого сервиса предоставляется оценка: величины ущерба (шкала: «катастрофический», «значительный», «умеренный», «несущественный» (считается приемлемым для бизнеса уровнем потерь) с установленным бизнесом монетарным выражением потерь) и вероятности его возникновения («высокая-1», «средняя-0,5», «низкая — 0,25»);
- степень зрелости применяемых контролей, оцениваемых: 1 — если эффективность контроля подтверждена регулярными проверками, 0,5 — если контроль существует, но регулярные проверки его эффективности не выполняются, 0 — если контроль отсутствует, по каждой области рисков.
- Обработка информации заключается в расчете рисков для каждого сервиса и по каждой области рисков. Величина риска рассчитывается перемножением вероятности возникновения риска, величины потенциального ущерба и значения уязвимости. Для расчета значения уязвимости применяется специальная процедура, оперирующая коэффициентами эффективности контроля и его значимостью для конкретной области риска. Результат — матрица рисков ИТ-рисков с монетарным представлением ущерба.
- Формирование плана мероприятий по снижению рисков заключается в поиске решений — применении контролей, которые, прежде всего, способны снизить значение уязвимости. Поиск решений поддерживается расчетной процедурой, позволяющей оценить величину ущерба после внедрения соответствующего контроля.
Ознакомьтесь с другими решениями и услугами, предоставляемыми «ИНЛАЙН ГРУП» в рамках направления.