Экспертные решения в области информационной безопасности, ИТ и непрерывности деятельности. Подготовка к сертификации.

Заказать обратный звонок

Нажимая на кнопку, вы даете Cогласие на обработку персональных данных

Спасибо за зявку!

Мы свяжемся с вами в ближайшее время

Золотая середина риск-менеджмента

В мире сложно найти полностью устойчивые системы. И мы не в состоянии учесть все взаимосвязи и все аспекты своих действий. Почувствовать защищённость помогут сценарии управления рисками.

Существует целый ряд факторов, особенно в крупных компаниях, которые могут привести к нестабильности, и одна из наших ключевых задач как экспертов — выделить именно те сценарии, которые с большей вероятностью могут случиться, и предложить программу действий по их предотвращению. Защищаться от всего подряд — слишком дорого, ни от чего не защищаться — слишком рискованно. Поэтому главный вопрос — как выбрать некую золотую середину?

Наша разработка по анализу рисков ИБ связана преимущественно с количественной оценкой рисков информационной безопасности. Основной анализ ведётся с точки зрения того, сколько будет стоить намеренный взлом системы. Однако рассматриваются и случайные события — например, когда секретарша не нарочно отправила протокол собрания директоров не по тому адресу. Всё становится понятно, если видно, что украсть информацию будет стоить 5 тысяч долларов, а продать ее на рынке можно за миллион.

С вступлением в силу в мае 2018 года Генерального регламента Евросоюза о защите персональных данных (англ. General Data Protection Regulation, GDPR) компаниям-резидентам или тем, кто работает с резидентами ЕС, необходимо проводить анализ рисков с точки зрения нарушения требований к персональным данным. Регламент содержит формулировку, что если существуют высокие риски утечки персональных данных, то необходимо сообщить об этом регулятору в течение 72 часов. Это требование имеет прямое отношение к внедрению процесса по оценке рисков ИБ, ведь если у резидента кто-то украл данные, то он может об этом и не знать. Получается, что если не было утечки, но риски высокие, резидент всё равно должны об этом заявить. Поэтому сама методика определения рисков приобретает очень серьезный вес.

Подробнее о GDPR

«Наиболее важные процессы в области управления информационной безопасностью — это управление рисками и повышение осведомлённости пользователей. Как показывает практика, эти процессы сейчас являются наиболее слабым звеном в корпоративных системах защиты», — считает Николай Агринский, учредитель компании ТЦ Инженер.

Читайте также

Строим системы управления ИБ ключевых технологических компаний России

Компания ТЦ Инженер успешно завершила проект по подготовке компании SberCloud к прохождению сертификационного аудита на соответствие требованиям международного стандарта по построению системы менеджмента информационной безопасности ISO/IEC 27001:2013 с учётом правил ISO/IEC 27017:2015 и ISO/IEC 27018:2019.

Ещё больше возможностей для обучения и развития сотрудников

Готовые курсы от ТЦ Инженер для повышения осведомлённости сотрудников по вопросам информационной безопасности доступны для приобретения в СДО WebTutor.

Посмотреть еще