Когда речь заходит об информационных рисках, часто от руководителей разного уровня приходится слышать о том, что для их организации никаких таких рисков не существует. Поэтому, думаю, будет совсем не лишним поговорить немного об информационных рисках. Чтобы понять, какие риски есть, всё-таки придется провести кое-какое исследование...
Вы можете обратиться к консалтерам, которые сделают всё за
вас и красиво обоснуют с точностью до запятой каждую полученную цифру. И это
будет очень хороший, но вместе с тем и весьма недешёвый вариант. Но если с
деньгами туго, можно попробовать оценить риски самостоятельно. Как показывает
практика, для большинства компаний эта задача вполне может решаться и без
привлечения сторонних экспертов.
В общем случае процесс оценки рисков выглядит так: построение модели
информационной инфраструктуры организации, выявление взаимозависимостей
отдельных информационных ресурсов; сопоставление угроз и уязвимостей, которые
могут приводить к реализации указанных угроз для каждого ресурса; оценка
вероятности реализации каждой угрозы и её возможных последствий. Последний
пункт этого списка – самый сложный на практике, поскольку для определения
вероятности и стоимости реализации угрозы (а особенно такой угрозы, как утечка
информации) необходима статистика, которой в распоряжении организации может и
не быть. Впрочем, распространённые методики оценки рисков, которые легко можно
найти в специализированной литературе и даже во Всемирной паутине, позволяют
оценить риски и без применения большого объёма статистических данных.
После оценки вероятности и стоимости необходимо оценить также степень
критичности каждой из угроз для всей информационной системы в целом (для этого
можно применить собственную шкалу с положительными баллами). Результирующую
степень риска можно положить как произведение трёх величин: вероятности,
стоимости и критичности. Соответственно, защищать нужно в первую очередь те
информационные ресурсы, для которых степень риска максимальна. То есть,
необходимо выделить какой-то максимально допустимый уровень угрозы, выше
которого защита должна быть особенно мощной. На практике этот уровень
вычисляется исходя из выделенного на нужды ИБ бюджета.
На этом этапе может неожиданно оказаться, что в списке ресурсов, защищать
которые рекомендует законодательство, не очень много ресурсов из другого списка
– того, который составили вы сами на основе оценки рисков. В этом нет ничего
страшного и странного – законы и ГОСТы меняются гораздо медленнее, чем реальные
угрозы.
Р. Идов,
ведущий аналитик компании SearchInform
Комментариев нет:
Отправить комментарий