"Чужие" и "свои" угрозы

Есть ряд угроз информационной безопасности, которые актуальны для всех организаций, есть также ряд угроз, которые носят не столь общий характер. Можно сказать, что одни из них характерны только для отдельных отраслей экономики, другие - для тех или иных географических регионов, третьи - для определенных управленческих методик или ситуаций на рынке... В зависимости от того, к какому региону и отрасли  относится организация, эти угрозы могут быть для неё более или менее актуальны. И для каждой организации этот список будет строго индивидуален.

Эти угрозы не всегда достаточно просто выявить, но они чрезвычайно важны, потому что именно с ними часто связаны наиболее высокие риски организационных убытков. Каким образом можно выявить такие угрозы? Думаю, что здесь можно вспомнить замечательный лозунг диалектического материализма о том, что  критерий истины – практика. В данном случае самый удобный для “безопасника” инструмент – статистические данные. То есть, для выявления характерных угроз необходимо, прежде всего, собрать статистику инцидентов,  случившихся за определенный промежуток времени., скажем, за полгода или около того.  Если такая статистика есть, то её анализ уже не будет чересчур сложным делом - хватит обычного Excel'а.
Всё несколько сложнее и, я бы даже сказал, печальнее, в тех случаях, когда такая статистика отсутствует (например, если организация только, извините за тавтологию, организовалась). По моему скромному мнению, в  подобных случаях имеет смысл обратиться к организациям, которые занимаются консалтингом в сфере информационной безопасности. Консультанта лучше искать максимально опытного и уже имевшего дело с той отраслью, в которой будет работать защищаемая организация, то есть, понимающего специфику модели угроз для вашей отрасли и способного разобраться в тонкостях и нюансах бизнс-процессов.
Нужно быть готовым к тому, что опытный консультант будет стоить значительно дороже, чем неопытный, но это не тот случай, когда экономия оправдана: вложенные на начальном этапе средства будут, в конечном счете, работать на информационную безопасность организации, а значит, окупаться экономией на нейтрализацию последствий разнообразных инцидентов в области информационной безопасности в будущем. Так что я бы постарался всё-таки найти максимально опытного консультанта. В  конце концов, вы заплатите емутолько один раз.
Более  того, даже если количество инцидентов является достаточным для проведения анализа угроз, стоит привлечь независимого консультанта. Потому что одна голова - хорошо, а две - лучше.
Р. Идов,
ведущий аналитик компании SearchInform