Степень защищённости бизнес-среды зависит от информационной безопасности. ИБ – это деятельность, направленная на предотвращение утечки информации и её изменение. И стабильность работы субъекта бизнеса во многом зависит от того, насколько оперативно и корректно оценены риски частичной или полной потери информации. Чтобы выявить «слабые места», необходимо:

  • провести идентификацию информационных ресурсов;
  • составить перечень угроз;
  • определить степень уязвимости данных.

Выбор мер и средств для защиты информации – это процесс, лишённый спонтанности. Ведь для начала нужно оценить все возможные риски. Делается это одним из двух способов.

Количественная оценка

Используется в тех случаях, когда угрозы и риски сопоставляются с количественными значениями. Они могут быть выражены в любых единицах, например, человекоресурсах, процентах или деньгах. Применение данной методики способствует получению конкретных значений для объектов, которым присваиваются количественные показатели. В роли элемента, подлежащего оценке, нередко выступает возможный убыток от реализованной угрозы или же ценность актива. Также, не исключены и другие варианты.

Как проводится количественная оценка?

1. Определяется, насколько ценна информация, которая всегда имеет реальную стоимость, выраженную в деньгах.

2. Оценивается возможный ущерб от потенциальной угрозы, которая может быть реализована в отношении конкретного информационного актива. Если угроз несколько, то оценка проводится в отношении каждой из них.

3. Определяется вероятный процент реализации каждой из угроз, для чего рекомендуется воспользоваться «статистикой».

4. Определяется возможный ущерб от угроз ИБ за определённый временной интервал (к примеру, один год). Здесь можно использовать элементарную формулу: единовременный ущерб умножается на частоту реализации угрозы.

Конечным этапом является проведение анализа данных, полученных по возможному ущербу, для каждой угрозы. При этом принимается одно из трёх решений:

1. Перенести риск. То есть, перенести его на третьих лиц, в роли которых чаще всего выступают «страховщики».

2. Снизить риск. Разработать комплекс мер и изыскать возможности для обеспечения дополнительной защиты. Примечательно, что предприятие неизбежно понесёт затраты, поскольку придётся приобрести средства защиты и ввести их в эксплуатацию. Если затраты больше возможного ущерба, то стоит задуматься о целесообразности их несения.

3. Принять риск. Решение является единственно верным лишь в том случае, когда процент вероятности возникновения угрозы стремится к нулю, а ущерб будет незначительным.

Качественная оценка

Бывает, что оценить ущерб, причинённый репутации субъекта бизнеса, невозможно. Потому что нельзя выразить объект оценки в каких-либо единицах измерения. В подобных ситуациях применение качественной оценки более чем уместно. С этой целью, объекту оценки необходимо присвоить показатель (балл), причём шкала может быть трёх-, пяти- или десятибалльной.

Качественная оценка информационной безопасности проводится по определённому алгоритму:

1. Определяется ценность информации. Для этого нужно вспомнить о существовании термина «уровень критичности». То есть, необходимо просчитать возможные последствия при условии нарушения условий безопасности.

2. Определяется процент вероятности реализации угрозы. И именно для этого используется шкала.

3. Устанавливается степень вероятности реализации угрозы с учётом того, в каком состоянии находится система информационной безопасности, и какие меры были предприняты для усиления защиты. Здесь также задействуют шкалу.

4. Делаются предварительные выводы. Во внимание принимается ценность информационных ресурсов и процент вероятности реализации угрозы. Для работы рекомендуется задействовать эталонные таблицы или шкалу (пяти-, десятибалльную).

После этого необходимо проанализировать данные по степени риска для угроз (каждой по отдельности). В среде аудиторов и иных специалистов, проводящих оценку ИБ, используется термин «приемлемый уровень риска». Когда в отчёте фигурирует такая фраза, то это значит, что угроза – неактуальна по причине своей ничтожности. Если же угроза – актуальна, то службе информационной безопасности предприятия следует принять меры и контрмеры, направленные на снижение уровня риска.

Какая методика лучше?

У каждого метода есть свои плюсы и минусы, например, качественный отличается высокой скоростью выполнения, но оценка носит субъективный характер и не позволяет получить наглядного представления о возможном ущербе. Количественный метод отличается трудоёмкостью и в ряде случаев его применять нецелесообразно. Но зато он позволяет получить представление об объектах оценки, выраженных в денежном отношении.

Посетите семинар Информационная безопасность в Алматы 12-13 ноября 2018 г.

Семинар проводит Д-р Эммануил Иоаннидис,выпускник Harvard University и London School of Economics, бывший старший юрисконсульт и старший консультант компании Egmont Group FIU по ФАТФ и арбитражу. Кроме того, Эммануил занимал высокие должности в сфере финансов, закупок и обороны, а также управлял крупными проектами для консалтинговых фирм.

Подписаться

Похожие статьи