[[slotProps.postItem.title]]
Оценка рисков в области кибербезопасности является важной составной частью программы управления информационной безопасностью современной организации. Широко известно, что риски в области кибербезопасности, связанные с сохранностью данных, обеспечением работы критически важных информационных систем и объектов сетевой инфраструктуры могут оказывать высокое влияние на деятельность компаний. Но как оценить эти риски и подготовиться к ним? Целью оценки рисков в области кибербезопасности является понимание того, какие риски представляют критическую угрозу для вашей компании и сколько средств и усилий следует задействовать для защиты от них.
В общем виде оценка и анализ рисков кибербезопасности включают в себя следующие шаги:
1. Определите и оцените активы компании, которые могут быть подвержены риску.
Первым шагом в проведении оценки рисков является определение активов, в отношении которых необходимо провести оценку, а также определение периметра и глубины данной оценки.
Например, вы хотите провести оценку каждого актива в компании, включая ваши здания, ключевых сотрудников, электронные данные, коммерческую тайну, транспортные средства, офисное оборудование и т.д. (помните, что актив может быть нематериальным и информация является таким же активом, как и сервер, на котором она находится). Чтобы упростить сложность данной задачи, рекомендуется ограничивать область оценки одним типом актива за раз, а затем проводить оценку рисков для других типов активов, если позволяют время и ресурсы. Также при оценке рекомендуется анализировать риски, связанные со смежными активами, которые могут пострадать или быть задействованы при недобросовестном проникновении в систему.
Предположим, вы хотите оценить только уязвимость электронных данных, хранящихся в ваших информационных системах. Какие еще активы отвечают за обработку и защиту данных? Это – серверы, настольные ПК, брандмауэры, мобильные устройства и т.д. Эти вторичные активы также должны быть включены в периметр оценки, потому что риски, связанные с этими устройствами, влияют на риск утраты электронных данных, который мы оцениваем.
В процессе оценки рисков учитываются как внутренние, так и внешние активы. Например, ваши данные CRM хранятся на локальном сервере или на облачном сервисе? Существуют ли постоянные VPN-подключения к ИТ-системам партнеров с вашей стороны? Задавайте себе вопрос: «Каким образом выстроен процесс и что идет дальше?», пока не исчерпаете пространство для поиска.
2. Определите стоимость активов под риском.
После определения периметра оцениваемых активов определяется их стоимость. Часто бывает достаточно сложно сделать точную оценку, так как «стоимость» актива включает в себя больше факторов, чем цена, заплаченная непосредственно за сам актив.
Продолжим пример с конфиденциальными электронными данными. При определении их стоимости можно задать следующие вопросы:
- Если завтра вы потеряете электронные данные своей компании, сколько времени и средств потребуется, чтобы снова воссоздать их с нуля?
- Сколько может заплатить конкурент за получение этих данных?
- Какой доход будет потерян в случае компрометации данных через средства массовой информации?
- Последуют ли какие-либо штрафные санкции?
Все эти вопросы помогут дать общую оценку стоимости электронных данных вашей компании. Помимо использования числовых оценок для определения стоимости актива (количественная оценка риска), вам также следует учитывать нематериальные факторы (так называемая качественная оценка риска). Рекомендуется рассмотреть такие вопросы, как:
- Как потеря данных повлияет на повседневную работу компании? Смогут ли сотрудники работать полноценно?
- Как событие повлияет на репутацию компании?
- Насколько реализация риска отбросит компанию назад с точки зрения производительности?
Эти субъективные вопросы следует рассматривать вместе с количественной оценкой рисков.
3. Рассчитайте вероятность и влияние реализации рисков в области кибербезопасности.
Следующим шагом является выявление рисков в области кибербезопасности, т.е. событий, при которых на актив может быть оказано неблагоприятное воздействие. Для каждого риска выполняется оценка того, насколько данный риск вероятен и какое влияние риск может оказать на компанию, если он произойдет. Оценку можно использовать для расчета годовой ожидаемой суммы убытков от реализации рисков, которая, в свою очередь, является индикатором того, сколько компании стоит потратить на меры по снижению рисков и страхование рисков в области кибербезопасности.
Давайте представим, что у вас есть склад с материалами и оборудованием, и, по вашим оценкам, этот склад стоит 20 миллионов рублей. Если вы живете в засушливом районе, подверженном пожарам, вам следует учитывать вероятность того, что ваш объект будет поврежден или полностью уничтожен огнем. На основе данных о пожарах в вашем районе, которые вы исследовали, делаете обоснованную оценку того, что ваше здание может пострадать от пожара раз в десять лет. Вы также оцениваете, что в случае пожара половина вашего склада будет уничтожена до того, как пожар можно будет локализовать и потушить. Это приводит к предполагаемым убыткам в 10 миллионов рублей каждые десять лет или в годовом выражении 1 миллион рублей в год.
Эта концепция применима ко всем типам активов. Если вы оцениваете сохранность электронных данных, определите различные сценарии возможных потерь, такие как действия злоумышленников, которые могут проникнуть в вашу сеть и уничтожить 25% электронных данных, или устроить сбой системы, с потерей записей о продажах за последние две недели, или вызвать отказ серверного оборудования, не позволяющий вам использовать или создавать новые данные в течение пяти дней.
Определите, насколько вероятен будет каждый сценарий, например на годовой основе (где 1 соответствует одному разу в год, 0,5 соответствует одному разу каждые два года и т.д.), рассчитайте убытки в денежном выражении для каждого случая и умножьте вероятность на стоимость, чтобы получить среднегодовое ожидаемое значение убытков, которое представляет собой сумму, которую вы максимально можете потратить в год на защиту и страхование данных рисков.
4. Сопоставьте стоимость предотвращения риска со стоимостью актива.
Теперь, когда определена стоимость актива, можно проанализировать стоимость его защиты, и, если защита актива стоит дороже, чем его ценность для компании, нет смысла использовать этот метод контроля или предотвращения риска.
Продолжая пример со складом, можно выделить несколько способов уменьшения или передачи риска потери вашего актива, например, можно установить системы пожаротушения, использовать огнестойкие строительные материалы или приобрести страховой полис для возмещения стоимости полученного ущерба. Теперь вы знаете, что не имеет финансового смысла тратить более 1 миллиона рублей в год на снижение риска возгорания склада, так как в этом случае на защиту актива вы потратите больше, чем он того стоит.
5. Реализовать меры и обеспечить непрерывный контроль рисков в области кибербезопасности.
После определения рентабельного решения для снижения рисков кибербезопасности данные мероприятия необходимо реализовать и проконтролировать, чтобы убедиться, что они работают в соответствии с ожиданиями.
Позволил ли новый спам-фильтр для входящей электронной почты снизить количество получаемых вредоносных писем? Установленная система резервного копирования данных позволила решить проблему сбоев без потери данных? Обеспечило ли страховое покрытие возмещение всех реализовавшихся киберрисков?
Внедрение и поддержка мер безопасности является необходимым процессом, его работа требует постоянного мониторинга и поддержания оптимальной производительности. Важно понимать, что степень риска, которому подвергаются ваши активы, постоянно меняется. Все время появляются новые типы угроз. Необходимо регулярно проводить оценку рисков в области кибербезопасности, это гарантирует, что вы всегда будете в курсе требований в этой области для вашего бизнеса, обеспечивая надлежащую оценку и управление рисками, связанными с вашим бизнесом.
