Анализ рисков

Развитие информационных технологий, которые сегодня широко применяются в бизнесе, порождают новые угрозы информационной безопасности. На сегодняшний день существует множество решений, позволяющих решить ту или иную задачу, однако в процессе обеспечения информационной безопасности организации появляются вопросы, на которые не всегда просто ответить, а именно:

  • Что нужно защищать?
  • От чего (кого) нужно защищаться?
  • Каковы последствия нарушений ИБ?
  • Как защищаться?
  • Какие средства защиты выбрать?

Анализ рисков информационной безопасности позволяет оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы компании, и выработать эффективные решения для их минимизации.

Процесс анализа рисков информационной безопасности, проводимый специалистами компании ReignVox, можно разделить на следующие основные этапы:

  • Оценка активов компании.

    • На этом этапе определяются активы компании, которые являются наиболее ценными с точки зрения информационной безопасности (ИБ). В процессе идентификации активов также определяется их ценность, т.е. величина потерь компании в случае нарушения безопасности актива. В результате составляется перечень объектов защиты с описанием степени их значимости для компании.

  • Определение источников проблем

    На данном этапе осуществляется идентификация и категорирование следующих параметров:

    • модель угроз, позволяющая определить все возможные способы, с помощью которых нарушитель может получить несанкционированный доступ к защищаемой информации:
    • модель нарушителя, устанавливающая потенциальных нарушителей ИБ. К нарушителям относятся как внешние пользователи, не имеющие доступа к информационным ресурсам компании, так и внутренние, которые могут получать данные на вполне законных основаниях;
    • определение уязвимостей, направленное на выявление слабых мест через которые возможен несанкционированный доступ к защищаемым объектам.
  • Оценка рисков.

    • После того, как определены активы компании и потенциальные источникои проблем, оценивается вероятность реализации угроз. Оценка осуществляется на основании свойств уязвимостей и групп нарушителей, от которых исходят угрозы.

  • Выбор мер и средств защиты.

    • Немаловажной задачей является выбор решений обеспечения информационной безопасности, которые способны справиться не только с текущими, но и с будущими угрозами.

  • Выбор оптимальных решений.

При выборе средств защиты информации (СЗИ) зачастую возникают следующие коллизии: желание минимизировать затраты на приобретение СЗИ не позволяет создать надежную защиту данных, либо СЗИ по стоимости существенно превосходит тот актив, который оно защищает. Поэтому специалисты ReignVox предлагают решения адекватные существующим угрозам, которые эффективно защищают активы компании и не являются избыточными с точки зрения экономической обоснованности.

Результаты

По результатам анализа рисков информационной безопасности компания-Заказчик получает объективную картину по следующим направлениям:

  • текущее состояние информационной безопасности и соответствии применяемому в компании стандарту ИБ;
  • наиболее проблемные области обеспечения ИБ в компании и существующие угрозы ИБ;
  • оценка последствий реализации существующих угроз;
  • рекомендации по устранению выявленных недостатков;
  • рекомендации обоснованного выбора адекватных средств защиты активов;
  • методология непрерывного анализа рисков в компании.

Кстати...

Скачайте нашу брошюру «Защита персональных данных», из которой вы сможете почерпнуть массу полезной информации

Скачать [PDF]