Управление рисками информационной безопасности | InfoWatch

Комплексный подход к решению бизнес-задач в различных вертикалях рынка

Получить консультацию

Управление рисками информационной безопасности

Согласно определению ISO/IEC 27005:2008 риски информационной безопасности – это потенциальные возможности использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации. Другими словами, риски информационной безопасности – это вероятные потери организации в результате инцидентов.

Риски информационной безопасности связаны с нарушениями конфиденциальности, целостности и доступности информационных активов компании. Они являются, как правило, результатом промышленного шпионажа, саботажа, кибератак на информационные ресурсы, а также целевых атак на компьютеры организации.

Решения InfoWatch позволяют обнаружить и свести к минимуму стратегические, операционные, репутационные и юридические риски

Стратегические риски

Репутационные риски

Операционные риски

Юридические риски

Стратегические риски

Репутационные риски

Операционные риски

Юридические риски

• Конкуренты выходят на рынок быстрее
• Сокращение рыночной доли компании, отток клиентов к конкурентам
• Потеря бизнеса
• Нарушение непрерывности производственных и бизнес-процессов
• Финансовые потери (недополученная прибыль, расходы на нейтрализацию последствий и т.д.)

• Распространение негатива как внутри компании, так и за ее пределами
• Информационные вбросы негативного или компрометирующего характера («черный PR»)
• Клевета в отношении компании и должностных лиц
• Разглашение секретной информации в соцмедиа
• Потеря доверия к веб-ресурсам компании (вследствие DDoS-атак)

• Слив конфиденциальной информации нелояльными сотрудниками
• Проигранные конкурсы и тендеры
• Мошенничество с использованием корпоративных ресурсов компании
• Халатность персонала при работе с конфиденциальной информацией
• Переход сотрудников к конкурентам с наработками и базами данных
• Отток клиентов на ресурсы конкурирующих компаний
• Недоступность веб-ресурсов компании (нарушение доступности)

• Несоответствие требованиям регуляторов, влекущее за собой санкции
• Утечки персональных и конфиденциальных данных, приводящие к судебным искам
• Использование сотрудниками корпоративных ресурсов в противозаконных целях
• Промышленный шпионаж и следующие за ним длительные и дорогостоящие судебные тяжбы
• Невозможность доказать в судебном порядке факт совершения сотрудником преступления

Для оценки рисков необходимо определить, какие бизнес-процессы в организации наиболее критичны, а какие — менее (так называемый Business Impact Analysis). Какие угрозы и уязвимости могут повлиять на непрерывность бизнес-процессов и как минимизировать вероятность этих угроз?

В рамках комплекса мер в области управления рисками информационной безопасности компания InfoWatch обеспечивает:

• Оценку рисков утечки конфиденциальной информации
• Разработку модели угроз утечки информационных активов
• Разработку процедур реагирования на инциденты
• Подготовку рекомендаций по развитию процесса защиты от утечек
• Внедрение технических средств защиты

Результаты внедрения

В результате внедрения и использования решений InfoWatch компания получает уверенность в безопасности конфиденциальных данных, системное понимание информационных потоков организации, снижение бизнес-рисков.

• Уверенность в безопасности ценных и конфиденциальных данных
• Понимание внутренних и внешних информационных потоков в организации
• Выявление фактов внутреннего фрода (сговоров, мошенничества, промышленного шпионажа и т. д.)
• Определение степени лояльности персонала к компании
• Защищенные конфиденциальные данные, веб-ресурсы и инфраструктура предприятия

Решение реализуется на базе продуктов InfoWatch

DLP-СИСТЕМА InfoWatch Traffic Monitor

Выявляет мошеннические схемы, нацеленные на кражу секретов производства, сговоры сотрудников, пытающихся использовать производственные мощности в личных целях, промышленный шпионаж.

Визуализация данных DLP Системы

Модуль InfoWatch Traffic Monitor для аналитики информационных потоков и коммуникаций сотрудников компании. В режиме реального времени формирует наглядные визуальные отчеты из данных InfoWatch Traffic Monitor.

InfoWatch ARMA

Первый отечественный промышленный межсетевой экран для защиты информации в технологических сетях промышленных объектов.

Подпишитесь на рассылку INFOWATCH

* Нажимая «Подписаться», вы соглашаетесь на получение новостной рассылки компании

Риски информационной безопасности

Москва +7 (495) 221-21-41

Ростов-на-Дону +7 (863) 320-09-60

• Москва
• Ростов-на-Дону

• +7 (495) 221 21 41
• +7 (863) 320 09 60

Главная&nbsp- Статьи&nbsp- Статьи

Риск – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления.

Риск информационной безопасности представляет собой возможность нарушения ИБ с негативными последствиями.

Основными рисками информационной безопасности являются:

• — риск утечки конфиденциальной информации




• — риск потери или недоступности важных данных




• — риск использования неполной или искаженной информации




• — риск неправомочной скрытой эксплуатации информационно-вычислительных ресурсов (например, при создании бот-сети)




• — риск распространения во внешней среде информации, угрожающей репутации организации.

Компания ARinteg предлагает весь комплекс услуг по оценке и снижению рисков информационной безопасности заказчиков, включая:

• — установление регламента обследования




• — проведение тщательного обследования информационной системы




• — анализ полученных данных, создание моделей угроз и нарушителей ИБ




• — выявление рисков информационной безопасности




• — разработку исчерпывающих рекомендаций по минимизации существующих рисков.

В ходе выполнения проектов по оценке рисков информационной безопасности, эксперты ARinteg учитывают то, что риски ИБ могут иметь различную цену (вызывать разный ущерб). Например, степень негативного влияния наступления события риска на репутацию пострадавшей организации может меняться от очень низкой до высокой:

События риска оказывают разное влияние на репутацию пострадавшей стороны

Ущерб от реализации рисков информационной безопасности может быть как материальным (потеря дохода, выплаты по судебным искам), так и нематериальным (снижение репутации и уровня доверия). Поэтому, чтобы учесть все составляющие возможного ущерба, специалисты ARinteg дают ему интегральную оценку:

Пример таблицы интегральных показателей ущерба, рассчитанных по величинам материального ущерба и степени влияния события риска на репутацию

На основе интегральных показателей ущерба и показателей вероятности наступления событий риска рассчитываются величины имеющихся информационных рисков:

Пример таблицы величин риска, рассчитанных по показателям ущерба и вероятности наступления события риска

После определения величин рисков информационной безопасности эксперты ARinteg разрабатывают детальные рекомендации по их минимизации, которые включают все необходимые организационные и технические меры.

Перейти к списку статей

риск информационной безопасности — Глоссарий

  Риск для деятельности организации (включая миссию, функции, имидж, репутацию), активов организации, отдельных лиц, других организаций и Нации из-за возможности несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения информации и/или или информационные системы. См. риск.
Источник(и):

ЦНССИ 4009-2015

от
NIST SP 800-30 Ред. 1

  Риск для деятельности организации (включая миссию, функции, имидж, репутацию), активов организации, отдельных лиц, других организаций и Нации из-за возможности несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения информации и/или информационные системы. См. Риск.
Источник(и):

НИСТ СП 800-137

под риском информационной безопасности
от
НИСТ СП 800-39

  Риск для деятельности организации (включая миссию, функции, имидж, репутацию), активов организации, отдельных лиц, других организаций и Нации из-за возможности несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения информации и/или система.
Источник(и):

NIST SP 800-12 Ред. 1

под риском информационной безопасности
от
NIST SP 800-30 Ред. 1

  Риск для деятельности организации (включая миссию, функции, имидж, репутацию), активов организации, отдельных лиц, других организаций и Нации из-за возможности несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения информации и/или системы.
Источник(и):

NIST SP 800-37 Ред. 2

от
NIST SP 800-30 Ред. 1

NIST SP 800-53 Ред. 5

от
NIST SP 800-30 Ред. 1

NIST SP 800-53A Ред. 5

от
NIST SP 800-30 Ред. 1

  Риск для деятельности организации (включая миссию, функции, имидж, репутацию), активов организации, отдельных лиц, других организаций и Нации из-за возможности несанкционированного доступа, использования, раскрытия, нарушения, модификации или уничтожения информации и/или информационные системы.
Источник(и):

НИСТ СП 1800-25Б

под риском информационной безопасности
от
ЦНССИ 4009-2015, NIST SP 800-30 ред. 1

НИСТ СП 1800-26Б

под риском информационной безопасности
от
ЦНССИ 4009-2015, NIST SP 800-30 ред. 1

NIST SP 800-30 Ред. 1

под риском информационной безопасности

НИСТ СП 800-39

под риском информационной безопасности

Что такое риск информационной безопасности? Определение и объяснение

Информационная безопасность становится все более важной частью бизнеса. Согласно исследованию Ponemon Institute, средняя стоимость утечки данных выросла до 4,24 миллиона долларов (около 3,1 миллиона фунтов стерлингов) в прошлом году, что свидетельствует о серьезности проблемы.

Чтобы уменьшить эти расходы, организации должны проводить оценку рисков, чтобы определить, как они могут стать уязвимыми. Но какие риски вы должны искать, и как вы определяете риски?

В этом блоге мы объясним все, что вам нужно знать.

Определение риска информационной безопасности

Если вы посмотрите определение риска информационной безопасности, вы, как правило, получите ответ, что он охватывает все, что может угрожать конфиденциальности, целостности или доступности конфиденциальной информации.

Это может включать риски, связанные с физическими записями, цифровыми активами, системами и серверами, а также инциденты, в результате которых информация будет потеряна, украдена или временно недоступна.

Это хорошее базовое резюме, но на самом деле нюансов больше, и нюансы важны, если вы хотите адекватно реагировать на риски информационной безопасности.

Более точное определение риска информационной безопасности состоит в том, что он охватывает негативные последствия после того, как конфиденциальность, целостность или доступность информации оказались под угрозой.

Чтобы понять, почему это так, нам нужно рассмотреть риск в тройственном аспекте, который также включает в себя угрозы и уязвимости.

Уязвимость — это известная уязвимость, которую можно использовать для повреждения или компрометации конфиденциальной информации.

Они часто связаны с недостатками программного обеспечения и способами, которыми хакеры-преступники могут использовать их для выполнения задач, для которых они не предназначены. Они также могут включать в себя физические уязвимости, такие как врожденные человеческие слабости, такие как наша восприимчивость к фишингу или вероятность того, что мы потеряем конфиденциальный файл.

Короче говоря, уязвимости — это средства, с помощью которых информация может быть скомпрометирована.

Угроза возникает, когда субъект использует уязвимость или становится ее жертвой. Итак, если использовать приведенные выше примеры, угрозы включают в себя хакера-преступника, использующего уязвимость в программном обеспечении или обманывающего сотрудника поддельным электронным письмом.

Другими словами, угрозы — это действия, которые приводят к компрометации информации.

Наконец-то вы дошли до угроз информационной безопасности , которые являются последствиями угрозы, использующей уязвимость.

В случае фишинга сотрудника хакером-преступником существует риск того, что он получит доступ к рабочей учетной записи сотрудника и украдет конфиденциальную информацию. Это может привести к финансовым потерям, потере конфиденциальности, ущербу для репутации и действиям регулирующих органов.

Виды рисков информационной безопасности

Мы уже коснулись некоторых примеров рисков информационной безопасности, но их также можно разделить на следующие категории:

Человеческая ошибка

Такая простая вещь, как включение не того человека в поле «Копия» электронного письма или вложение не того документа в электронное письмо, может привести к утечке данных.

Мы все склонны совершать ошибки — такова человеческая природа, — но сотрудники должны понимать самые важные элементы информационной безопасности. Между тем, весь персонал, технический или нет, должен ознакомиться с политикой и процедурами безопасности организации.

Злонамеренные инсайдеры

Ключевой частью методов обеспечения безопасности организации является контроль доступа. Они ограничивают информацию, доступную для сотрудников, гарантируя, что они могут получить доступ только к записям, которые имеют отношение к их работе.

В то же время следует установить строгий контроль над конфиденциальной информацией, чтобы гарантировать, что только доверенные сотрудники высшего уровня могут получить доступ к информации.

Это снижает риск умышленного раскрытия информации сотрудником, независимо от того, делает ли он это по личным или финансовым причинам.

Физическая кража

Большинство дискуссий о безопасности сосредоточено на цифровых данных, но многие организации должны в равной степени заботиться о защите физических документов. Это могут быть файлы, хранящиеся на территории организации, записи, которые распечатывают сотрудники, или устройства, на которых хранится информация.

В связи с тем, что гибридная работа становится нормой, организации должны учитывать риски, связанные с тем, что сотрудники держат ноутбуки компании дома. Аналогичным образом, утечка данных может произойти, если съемные устройства или телефоны компании будут утеряны или украдены.

Фишинг

Электронная почта является обычной частью нашей повседневной жизни, что делает ее популярным вектором атаки для киберпреступников.

Мошенники могут использовать кажущиеся законными учетные данные таких организаций, как страховые компании, банки и т. д., чтобы получить доступ к вашей личной информации, предлагая вам щелкнуть небезопасную ссылку или загрузить вредоносное вложение.

Фишинг также является одним из наиболее распространенных способов, с помощью которого киберпреступники нацеливаются на организации с целью внедрения вредоносных программ, при этом программы-вымогатели быстро становятся их любимым методом.

Атаки работают путем заражения организации вредоносными программами, которые проникают в системы организации, шифруют данные и вынуждают жертву останавливать операции, требующие этих систем.

Затем преступники требуют от организации выкуп в обмен на ключ дешифрования.

Эксперты по кибербезопасности призывают жертв не платить, потому что нет никакой гарантии, что злоумышленники сдержат свое слово, но многие все равно идут на риск — вот почему атаки программ-вымогателей остаются такими многочисленными.

Вы готовы к утечке данных?

Если ваша организация должна предотвращать инциденты безопасности, вы должны уметь определять угрозы, с которыми вы сталкиваетесь, и способы их возникновения.

Это может быть трудоемкой задачей, но наш инструмент оценки рисков vsRisk сделает эту работу за вас.

Но, используя vsRisk, вы упрощаете оценку рисков, получая простые инструменты, специально разработанные для каждой части процесса.

This entry was posted in Популярное