Когда вы начинаете строительство дома, вы должны организовать безопасность строительной площадки. Ваш бизнес - это ваша строительная площадка, где Вы каждодневно строите своё здание - ваш бизнес или ведёте деятельность.
А как организовать безопасную строительную площадку? Ответ на этот вопрос прост, как два плюс два - это определить и оценить риски для этой площадки и начать проводить работу по их обработке (уменьшению).
Что такое управление рисками?
Управление рисками в информационной безопасности – это процесс определения, оценки и минимизации рисков, связанных с использованием информационных систем и средств обработки информации в цифровой форме. Эффективное управление рисками помогает защитить данные и ресурсы бизнеса от угроз информационной безопасности. Рассмотрим основные этапы этого процесса более подробно.
Первый шаг – выявить все возможные угрозы, которые могут повлиять на информационные ресурсы организации. Это могут быть как внешние угрозы (например, кибератаки со стороны хакеров), так и внутренние (ошибки сотрудников или сбои в оборудовании). Для этого используются различные методы, включая:
- Проведение аудита
- Интервью и опросы сотрудников;
- Анализ инцидентов информационной безопасности, случившихся ранее.
Проведение аудита
Аудит представляет собой систематическую оценку всех аспектов защиты данных и инфраструктуры в организации. Он помогает выявить уязвимости, установить соответствие требованиям и улучшить общее состояние информационной безопасности.
Для этого необходимо:
- Определение целей и объема аудита, определение области применения, где будет проводится аудит;
- Формирование команды аудиторов как со стороны проверяющих, так и со стороны проверяемых;
- Сбор информации командой аудиторов;
- Оценка рисков и уязвимостей;
- Проведение тестов на проникновение (по необходимости);
- Анализ полученных данных;
- Разработка рекомендаций;
- Подготовка отчета;
- Мониторинг и последующий контроль.
Определение целей и объёма аудита, определение области применения, где будет проводится аудит
На этом этапе определяется, какие системы, процессы и данные будут проверяться аудиторами. Устанавливаются основные цели, такие как соблюдение нормативных требований, выявление уязвимостей или проверка эффективности текущих мер защиты. По-простому - мы должны ответить развёрнуто сами себе на вопрос: а для чего мы хотим провести аудит и обосновать это решение, а главное, где мы хотим провести аудит (в какой области применения).
Формирование команды аудиторов как со стороны проверяющих, так и со стороны проверяемых
Включает назначение внутренних специалистов или привлечение сторонних экспертов. Оптимально, когда команда имеет разнообразный опыт, включая техническую экспертизу и знания нормативных стандартов. В команде должны быть специалисты (эксперты), которые могут ответить на вопросы, возникающие при проведении аудита, состава проверяемой области, допуска и доступа к обрабатываемой в этой области информации, законные основания для обработки такой информации, возможный ущерб, который может быть нанесён при реализации угроз информационной безопасности.
Сбор информации командой аудиторов
На этом этапе аудиторы собирают все необходимые данные о текущих политиках безопасности, используемых технологиях, архитектуре сети и используемых протоколах. Обычно задействуются следующие методы:
- Изучение существующей документации;
- Проведение интервью с ключевыми сотрудниками;
- Обзор конфигураций систем и сетей;
- Анализ структуры и технологического процесса по обработке информации;
- Состав области применения, где проводится аудит (из каких активов состоит данная область);
- Какой ущерб может быть нанесён организации, если будут реализованы угрозы информационной безопасности;
- Определение источника для банков угроз и уязвимостей.
По-простому - на данном этапе мы должны собрать как можно больше и подробнее информации, чтобы трезво оценить угрозы информационной безопасности для проверяемой области.
Оценка рисков и уязвимостей
После сбора информации проводится анализ на наличие применимых уязвимостей к данной области применения. Для этого проводится анализ имеющейся информации по составу активов, включая и сотрудников. Актив - это всё, что имеет действительную ценность для организации. То есть не просто понимание, зачем защищать данный актив, но понимать, сколько можно потерять (какой будет нанесён ущерб), если данный актив подвергнется угрозам информационной безопасности.
Далее мы оцениваем применимые к данным активам угрозы, а затем, через какие уязвимости эти угрозы могут быть реализованы в активах. Отбрасываем лишнее и получаем реестр рисков.
Реестр рисков - это полдела. Необходимо провести их оценку. Вот тут мы и должны уже знать, какой ущерб может быть нанесён организации при влиянии угроз на тот или иной актив.
Оценку рисков можно проводить несколькими способами от простого к сложному: качественный метод, количественный метод, сценарный метод.
Самый дорогой способ оценки - это сценарный метод, а самый простой качественный. На данном этапе организация должна определить, по какому методу она будет проводить оценку. Рекомендуем на начальном этапе идти по простому пути. Когда ваша "организация" в культуре информационной безопасности подрастёт, тогда и перейдёте на уровень выше.
В любом случае нужно исходить из критерия вероятности и уже реализованных мер защиты. Это позволит снизить количество необходимых для обработки рисков ресурсов, не снижая качества оценки.
Прибавив к реестру рисков оценку, вы получаете реестр актуальных для вас рисков. Но и это ещё не всё. Теперь нужно понять, как эти риски обработать и в какой последовательности. И без руководства организации на данном этапе не обойтись. Именно руководство должно оценить актуальный реестр рисков, определить порядок их обработки и утвердить данный реестр. С этого момента реестр рисков откладывается в сторону на непродолжительное время, а команда по аудиту переходит на следующий этап работ.
Проведение тестов на проникновение (по необходимости)
Если ресурсы организации позволяют провести тесты на проникновение, то есть провести мероприятия по "белому" взлому вашей информационной инфраструктуры со стороны, как хакеры, то лучше это сделать.
Эти тесты симулируют атаки на систему для выявления потенциальных точек несанкционированного доступа. Это помогает увидеть, как система справляется с реальными угрозами, а также выявить дополнительные уязвимости, пока эти уязвимости не увидели настоящие хакеры.
Анализ полученных данных
После сбора всех данных и проведения тестов результаты анализируются для выявления дополнительных угроз и уязвимостей. Оценивается соответствие политики безопасности бизнес-целям и нормативным требованиям, просматриваются упущенные вопросы, проводятся дополнительные интервью (при необходимости) с сотрудниками.
Выходом этого этапа является принятие решения о необходимости изменения реестра актуальных рисков и его переутверждения у руководства организации.
Разработка рекомендаций
На основе выявленных рисков команда разрабатывает рекомендации по улучшению безопасности. Это могут быть советы по улучшению политик, внедрению новых технологий защиты или повышению осведомлённости сотрудников, внедрению новых мер защиты.
Подготовка отчёта
Итоговый отчёт должен включать: обозначенные риски и их потенциал воздействия, обнаруженные уязвимости и угрозы, предложенные рекомендации и план действий для их реализации. Это будет основной документ собственно, ради чего всё это и делалось. Данный документ позволит в относительно короткий срок обеспечить вашу защиту от 80% возможных угроз, а также, в общем, повысит уровень защищённости организации.
Данный план мероприятий должен быть утверждён у руководства организации.
Мониторинг и последующий контроль
После аудита важно наблюдать за выполнением предложенных рекомендаций и регулярно проводить последующие разборы для оценки их эффективности, выявлять причины нереализованных пунктов плана, корректировать план при необходимости, контролировать исполнителей и налагать санкции за нарушение этого плана.
Для этих целей в организации могут быть разработаны три документа: политика по управлению рисками, регламент по выявлению и обработке рисков, методика по оценке рисков.
Весь процесс по управлению рисками создан на принципе PDCA (планируй-делай-измеряй-изменяй).
А если нет средств и ресурсов?
Если в организации нет средств и ресурсов, то нужно сделать самостоятельно несколько шагов, чтобы создать подобие информационной безопасности.
Шаг 1. Определите наиболее критичные для организации источники и средства (системы) обработки информации в цифровой форме.
Шаг 2. Определите всё, где такая информация обрабатывается.
Шаг 3. Возьмите ГОСТ Р ИСО/МЭК 27001-2021 и его приложение А. Пройдитесь по нему. Что нужно делать по каждому пункту приложения поможет понять ГОСТ Р ИСО/МЭК 27003-2021, который раскрывает, как выполнить положения приложения А ГОСТ Р ИСО/МЭК 27001-2021.
Ну и после этого в добрый путь к более безопасной обработке информации. Приложение А сможет привести вас к фундаментальной защите вашей организации и сократит возможность реализации базовых угроз информационной безопасности.
Провести оценку угроз поможет ГОСТ Р ИСО/МЭК 27005-2010 (но на подходе новый переработанный ГОСТ 2022 года. Сейчас он проходит согласования в органах госвласти).
Собственно, это всё, что мы хотели Вам рассказать.
Ну а если Вам потребуется помощь, то мы готовы её оказать и проконсультировать.
Не знаете как это сделать? Обращайтесь, и мы вам поможем!
Подписывайтесь на наш телеграм-канал, чтобы не пропускать информации от нашей команды (https://t.me/cibez_nn)