В мире сложно найти полностью устойчивые системы. И мы не в состоянии учесть все взаимосвязи и все аспекты своих действий. Почувствовать защищённость помогут сценарии управления рисками.
Существует целый ряд факторов, особенно в крупных компаниях, которые могут привести к нестабильности, и одна из наших ключевых задач как экспертов — выделить именно те сценарии, которые с большей вероятностью могут случиться, и предложить программу действий по их предотвращению. Защищаться от всего подряд — слишком дорого, ни от чего не защищаться — слишком рискованно. Поэтому главный вопрос — как выбрать некую золотую середину?
Наша разработка по анализу рисков ИБ связана преимущественно с количественной оценкой рисков информационной безопасности. Основной анализ ведётся с точки зрения того, сколько будет стоить намеренный взлом системы. Однако рассматриваются и случайные события — например, когда секретарша не нарочно отправила протокол собрания директоров не по тому адресу. Всё становится понятно, если видно, что украсть информацию будет стоить 5 тысяч долларов, а продать ее на рынке можно за миллион.
С вступлением в силу в мае 2018 года Генерального регламента Евросоюза о защите персональных данных (англ. General Data Protection Regulation, GDPR) компаниям-резидентам или тем, кто работает с резидентами ЕС, необходимо проводить анализ рисков с точки зрения нарушения требований к персональным данным. Регламент содержит формулировку, что если существуют высокие риски утечки персональных данных, то необходимо сообщить об этом регулятору в течение 72 часов. Это требование имеет прямое отношение к внедрению процесса по оценке рисков ИБ, ведь если у резидента кто-то украл данные, то он может об этом и не знать. Получается, что если не было утечки, но риски высокие, резидент всё равно должны об этом заявить. Поэтому сама методика определения рисков приобретает очень серьезный вес.
«Наиболее важные процессы в области управления информационной безопасностью — это управление рисками и повышение осведомлённости пользователей. Как показывает практика, эти процессы сейчас являются наиболее слабым звеном в корпоративных системах защиты», — считает Николай Агринский, учредитель компании ТЦ Инженер.
