Контакты
Подписка
МЕНЮ
Контакты
Подписка

Анализ рисков ИБ в корпоративной среде

Анализ рисков ИБ в корпоративной среде

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Анализ рисков ИБ в корпоративной среде

Любая компания, вне зависимости от уровня своей зрелости, обладает какой-либо чувствительной информацией, нелегитимная манипуляция которой может привести к прямым или косвенным финансовым потерям. Внедрение ИТ в фундамент бизнес-процессов ведет к “оцифровке" практически всех активов организации, и словосочетание “информационная безопасность" начинает плотнее входить в повседневную жизнь ее сотрудников.
Денис Макрушин
Антивирусный эксперт “Лаборатории Касперского"

Бизнес понимает последствия проблем защищенности своих информационных ресурсов и готов осуществлять внушительные инвестиции в продукты обеспечения ИБ и соответствующие квалифицированные кадры. Регулярные оповещения об очередной утечке, вызванной уязвимостью в инфраструктуре Web-приложения или инсайдером компании, периодически отрезвляют топ-менеджмент, и он, в свою очередь, выделяет бюджет для соответствующих мер. Однако ИБ это довольно абстрактное для руководящего персонала состояние информационных активов, и в связи с этим индустрии ИБ приходится вводить определенные метрики этого состояния и впоследствии на них опираться. И вот именно такой метрикой выступают риски: компраментации, потери репутации и денег.

Методики анализа рисков

Если взглянуть на процедуру реализации политики ИБ с "высоты птичьего полета", то рождается мысль об унификации ПО, предназначенного для защиты информации.

Анализ рисков ИБ – это, прежде всего, процесс, входящий в непрерывную процедуру защиты информации. Комплекс мероприятий по оценке состояния защищенности инфраструктуры, в которой осуществляется манипуляция чувствительной для бизнеса информацией. Организация данного процесса описывается в нормативных документах, а также документах, носящих рекомендательный характер. Здесь все зависит от конкретного вида деятельности компании.

Стандарты ИБ, в нормативном или рекомендательном характере описывающие защиту информации для различных отраслей бизнеса, практически всегда ссылаются на авторитетные методики анализа рисков (ISO/IEC IS 27001, NIST и т.п.). Европейская организация ENISA* составила интересный материал, в котором содержится таблица методик оценки рисков и оценивается полнота описания процедур для различных аспектов риск-менеджмента (см. рис.).

Политика ИБ

Документом, резюмирующим весь комплекс процедуры управления ИБ-рисками, является… Нет, не формальный отчет о ее проведении, а фактически политика ИБ, в которую внесут соответствующие поправки, учтут всевозможные недостатки в технических и организационных составляющих бизнес-процессов целевой организации. На основе отчетности анализа рисков строится картина "непаханного поля" всевозможных угроз, подавляющее большинство которых ложится на ИТ. Ознакомившись с подобным отчетом, руководящий состав делает выводы об объемах инвестиций, направленных на построение или модернизацию автоматизированной системы защиты информации. Для этого команда экспертов определяет то множество рисков, которые можно минимизировать программно-аппаратными средствами.


Эксплуатация уязвимостей в корпоративном Web-приложении, перехват конфиденциальных данных, передающихся по каналам связи в открытом виде, внедрение сторонних аппаратных средств в информационную среду с последующим копированием чего-либо, не предназначенного для ознакомления третьими лицами, – все это заставляет администраторов ИБ разворачивать корпоративные версии разноплановых продуктов, тратить временные ресурсы на их конфигурирование и, что самое трудоемкое, проводить аудит получившийся системы.

Вывод

Системный менеджмент – технология централизованного управления комплексной системой ИБ.

Процесс "Анализ рисков ИБ – Подготовка отчета – Создание/ модернизация политики ИБ – Развертывание программно-аппаратных средств" является непрерывным и значительным образом опирается на системный менеджмент. Интегрированная платформа, на которой будет разворачиваться совокупность программных решений, позволит существенно ускорить процедуру минимизации рисков при косвенных плюсах, которые она за собой тянет. Унификация интерфейсов управления приведет к сокращению человеческих и временных ресурсов на аудит ИБ постоянно растущей инфраструктуры, при этом свойство интегрированности средств защиты поможет компании минимизировать риски в кратчайшие сроки за счет широкого спектра компонентов, отвечающих за устранение источников различных угроз, характерных для ИT-инфраструктур практически любых масштабов.

___________________________________________
* http://www.enisa.europa.eu

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2016
Посещений: 7425

Приобрести этот номер или подписаться
  Автор

Денис Макрушин

Денис Макрушин

Антивирусный эксперт “Лаборатории Касперского"

Всего статей:  1

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций