Риски информационной безопасности – совокупность факторов, при наступлении которых на информационную безопасность оказывается отрицательное воздействие, связанное с несением потерь различного рода (финансовые, репутационные, организационные и т. д.). К перечню рисков информационной безопасности принято относить:
- похищения конфиденциальных сведений;
- утраты или недоступности определенной информации;
- эксплуатации неполноценных или частично испорченных данных;
- незаконного необнаруженного использования вычислительных и информационных ресурсов;
- размещения в открытом доступе сведений, оказывающих негативное влияние на репутацию компании.
Чтобы снизить вероятность возникновения ситуаций, связанных с рисками информационной безопасности, специалистами по кибербезопасности могут быть проведены в рамках конкретной системы или сети следующие виды работ:
- детальное исследование информационной системы;
- оценка и изучение полученных сведений, формирование моделей киберугроз и нарушителей информбезопасности;
- обнаружение ИБ-рисков;
- создание рекомендательной документации по снижению найденных рисков информационной безопасности.
При реализации различных ИБ-рисков конкретная организация может столкнуться с различными видами ущерба: финансовым (утрата прибыли, компенсации по исковым требованиям и т. д.), нематериальным (репутационные потери, уменьшение уровня доверия к компании). В следующей таблице приведены интегральные параметры ущерба, расчет которых велся по величинам финансового ущерба и уровня воздействия наступившего события на репутационную составляющую:
Основная цель управления рисками информационной безопасности для любой организации – поддержка их на приемлемом для компании уровне. Чтобы решить эту задачу, необходимо формирование комплексной системы информационной безопасности.