Управление рисками информационной безопасности в организации - SearchInform
+7 (495) 721-84-06
+7 (495) 721-84-06
ОФОРМИТЬ ЗАЯВКУ
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
Продукты
СёрчИнформ КИБ
Защита от утечек информации
СёрчИнформ FileAuditor
Аудит файловой системы
СёрчИнформ SIEM
Обработка потока событий
СёрчИнформ ProfileCenter
Классификация характеристик личности
СёрчИнформ TimeInformer
Контроль работы сотрудников за компьютерами
Услуги
ИБ-аутсорсинг
Комплексная защита информации
Защита информации специальными программами
Техническая защита информации на предприятии
Защита информации в корпоративном и частном секторе
Кому нужен ИБ-аутсорсинг?
DLP в облаке
Решения
Отраслевые решения
Информационная безопасность банков
Информационная безопасность госучреждений
Информационная безопасность образовательных учреждений
Информационная безопасность страховых компаний
Информационная безопасность в здравоохранении
Другие отрасли
Бизнес-задачи
Защита персональных данных
Защита коммерческой тайны
Выявление откатов
Противодействие терроризму
Выявление инсайдера
Противодействие коррупции
Предупреждение мошенничества
Партнерам
Партнеры
Стать партнером
Франшиза ИБ-аутсорсинга
Партнеры ИБ-аутсорсинга
Контроль сотрудников
Учет рабочего времени
Методы контроля рабочего времени
Автоматизированный учет рабочего времени
Особенности учета рабочего времени
Учет рабочего времени удаленных сотрудников
Стоимость DLP-систем
Документальное оформление учета рабочего времени
Мотивация персонала
Методы мотивации персонала
Современные подходы к мотивации персонала
Теория и практика мотивации персонала
Нестандартные методы мотивации персонала
Зарубежный опыт мотивации персонала
Оценка персонала
Оценка эффективности персонала
Методы оценки персонала
Автоматизированная система оценки персонала
Повышение эффективности рабочего времени
Профайлинг
История возникновения профайлинга
Профайлинг: основная концепция и методы
Виды профайлинга
Направления профайлинга
Технология профайлинга
Профайлинг РФ
Профайлинг: психотипы личности
Практика и аналитика
ГлавнаяИнформационная безопасностьОсновы ИБОсновные аспекты информационной безопасностиУправление рисками информационной безопасности в организации
ОФОРМИТЬ ЗАЯВКУ 30 дней для тестирования «СерчИнформ КИБ» с полным функционалом

Управление рисками информационной безопасности в организации

Защита информации
с помощью DLP-системы
КИБ SEARCHINFORM
DLP-системы
Принцип работы DLP-системы
Как выбрать DLP-систему
Внедрение DLP-систем
Настройка DLP
Стоимость DLP-систем
Управление инцидентами информационной безопасности
Основы ИБ
Основные аспекты информационной безопасности
Документы по информационной безопасности
Угрозы информационной безопасности
Профайлинг
Информационная безопасность в отраслях
Информационная безопасность предприятий
Правила информационной безопасности на предприятии
Информационная безопасность на предприятии: с чего начать
Внутренняя безопасность предприятия
Информационная безопасность промышленных предприятий
Техническое обеспечение информационной безопасности предприятия
Примеры информационной безопасности предприятия
Корпоративная безопасность предприятий
Корпоративная информационная безопасность
Безопасность информационных систем
Архитектура безопасности информационных систем
Разработка систем информационной безопасности
Механизмы обеспечения безопасности информационных систем
Информационная безопасность телекоммуникационных систем
Обеспечение информационной безопасности банковской системы
Безопасность информационных технологий в правоохранительной сфере
Обеспечение информационной безопасности ФСБ РФ
Информационная безопасность экономической деятельности
Информационная безопасность АСУ
Информационная безопасность баз данных
Информационная безопасность бизнеса
Информационная безопасность в корпорации
Информационная безопасность в системе национальной безопасности
Информационная безопасность в финансовых системах
Информационная безопасность документооборота
Информационная безопасность компьютерных сетей и систем
Информационная безопасность электронных платежных систем
Классы безопасности информационных систем
Информационная безопасность на производстве
Информационная безопасность офиса
Комплексные системы обеспечения информационной безопасности
ИБ в России и в мире
Защита информации
Способы защиты информации
Аналитика в области ИБ
Защита от утечек информации
Защита информации, составляющей коммерческую тайну
Защита информации на флешке

Современные стандарты управления рисками информационной безопасности имеют рекомендательный характер, но их применение оправдано практикой. Сертификация работы компании по одному из международных стандартов создает ей позитивную деловую репутацию, побуждает партнеров к заключению договоров.

Стандарты управления рисками ИБ

Компания, выстраивающая модель управления рисками информационной безопасности, прежде всего, опирается на стандарт ISO/IEC 27005:2008. Вся серия 2700 посвящена вопросам информационной безопасности, нормативные документы разработаны и утверждены Международной организацией по стандартизации (ISO) и Международной электротехнической комиссией (IEC).

Задача стандартов – предложить компаниям лучшие практические советы и методы решения задач в рамках выстраивания общей системы менеджмента безопасности данных. 

Принятые стандарты содержат:

  • общие вопросы и терминологию;
  • требования к выстраиванию системы;
  • нормы и правила создания системы менеджмента безопасности данных;
  • руководство по реализации и внедрению системы;
  • вопросы управления рисками информационной безопасности;
  • подходы к измерению качества системы безопасности и аудиту результатов ее внедрения.

Свои стандарты применяются к органам и организациям, в чью задачу входят контроль за построением систем менеджмента и их сертификация. Отдельные нормативные акты освещают вопросы работы телекоммуникационных компаний, обеспечения непрерывности деятельности бизнеса в условиях разнообразных и непредсказуемых опасностей, безопасности сетей и приложений.

Стандарт ISO/IEC 27005:2008 предлагает методику оценки угроз, действующих в сфере телекоммуникаций, и может быть применен к деятельности частных компаний, государственных органов, некоммерческих организаций. Он опирается на стандарты ISO/IEC 27001:2005 и ISO/IEC 27002:2005 (требования и практическое руководство по методам защиты) и неприменим без их внедрения. Целью применения стандарта провозглашается невозможность неблагоприятного изменения поставленных перед компанией бизнес-целей. 

Под риском информационной безопасности стандарт понимает потенциальную угрозу для нормальной эксплуатации материального актива или группы ценных свойств, которая способна причинить вред компании. Основным методом менеджмента риска стандарт называет его предотвращение, под которым понимает такое бизнес-решение, которое позволит быть не вовлеченным в зону реализации угроз или уйти из зоны его потенциального возникновения.

Применительно к управлению рисками информационной безопасности стандарт предлагает применять следующие типы процедур:

  • коммуникация или обмен информацией о потенциальных угрозах компании внутри причастных подразделений компании или во внешних взаимоотношениях. Примером коммуникации при менеджменте риска может служить система ГосСОПКА, выстраивающая взаимодействие между владельцами объектов критической информационной инфраструктуры и госорганами;
  • количественная оценка риска. Этот термин обозначает присвоение риску двух количественных характеристик – степени вероятности его возникновения и объема потенциального ущерба от его реализации;
  • идентификация риска. Под этим термином стандарт понимает процесс его нахождения, описания и регистрации, включения в перечень угроз, актуальных для конкретной компании. Идентификацией угроз занимается ФСТЭК РФ, выкладывая их перечень на сайте;
  • снижение. Под этим термином понимаются действия, направленные на минимизацию возможностей проявления риска или сокращение потенциального ущерба от его последствий;
  • сохранение угрозы. Это принятие неизбежности его наступления или отказ от снижения ввиду нецелесообразности с принятием возможного ущерба или выгоды от его возникновения;
  • перенос риска. Под этим подразумевается перенос на другую компанию части бремени защиты от риска, например, помещение данных в облачное хранилище, защищенное лучше, чем система предприятия.

Структура стандарта выстроена исходя из действий, которые могут быть совершены с рисками. Он состоит из разделов, описывающих действия менеджера компании, которому поручена работа с обеспечением безопасности:

  • определение текущего состояния системы, описание вероятностей возникновения рисков, их идентификация;
  • оценка риска, вероятности его возникновения и последствий. Например, определив вероятность DDoS-атак на сервер компании, можно принять решение об увеличении пропускной мощности телекоммуникационного канала;
  • обработка риска или создание условий для его минимизации;
  • принятие угрозы;
  • перенос угрозы;
  • контроль и пересмотр рисков.

В приложениях к стандарту предложен механизм реализации этих действий. Для отдельных типов риска предложены ограничения по их минимизации. Каждое действие менеджмента компании в процессе управления рисками информационной безопасности в компании рассмотрено в рамках четырех этапов:

1. Вводная информация. Здесь рассмотрен процесс запроса и анализа информации, необходимой для выполнения управленческого действия;

2. Действие. Здесь описывается механизм управленческого действия;

3. Руководство к реализации. Здесь представлены практики других компаний, подсказывающие наилучшие способы выполнения действия. Причем стандарт подчеркивает, что такие действия не являются всеобъемлющими и исчерпывающими, консультанты компании могут предложить более оптимальный механизм выполнения требуемых шагов;

4. Результат на выходе. Здесь описывается информация, которая должна быть получена после реализации необходимых шагов.

Предпосылки к реализации модели управления рисками

Невозможно внедрить работающий механизм управления рисками информационной безопасности в организации без предварительной подготовки. Стандарт рекомендует внедрять системный подход к менеджменту рисков, соотнося технические и организационные решения, и действовать по методу исключения избыточности, не тратя силы на те риски, вероятность возникновения которых минимальна. Необходимо отказаться от концепции полного управления всеми угрозами, сосредоточившись на наиболее вероятных или несущих наибольшую опасность. В противном случае меры безопасности могут помешать нормальному течению бизнес-процессов организации.

При этом система управления рисками информационной безопасности в организации должна обеспечивать непрерывность процесса. Так, программные продукты мониторинга работоспособности системы и контроля за возникновением инцидентов информационной безопасности должны не только работать в постоянном режиме, но и опираться на возможность непрерывной реакции на них. 

Задачи управления рисками:

  • оценка текущей ситуации, модели угроз и состояния информационной системы;
  • оценка потенциальных угроз;
  • обработка рисков на основе ранее разработанного плана их отслеживания и работы с ними;
  • реализация рекомендаций стандарта и самостоятельное принятие решений.

Правильный менеджмент рисков включает следующие элементы:

  • идентификация рисков, оценка степени вероятности их наступления, финансового и репутационного ущерба, который понесет компания в этом случае;
  • доведение информации о вероятных рисках и их последствиях до руководства компании;
  • выработка приоритетности реализуемых решений с опорой на мнение руководства компании;
  • достижение соглашения между всеми участниками обработки;
  • постоянная переоценка рисков, изменение методик противодействия им;
  • фиксация и анализ данных о результатах противодействия рискам;
  • повышение квалификации сотрудников, отвечающих за управление рисками информационной безопасности в организации.

Достижение высоких результатов основывается на комплексной системе противодействия рискам, внедренной на уровне группы предприятий, отдельной компании, ее подразделения или локальной сети.

Механизмы управления рисками информационной безопасности

В компании должно быть создано подразделение, отвечающее за менеджмент рисков информационной безопасности, которое должно действовать на основании утвержденных положений. В положениях описываются ключевые этапы управления рисками, их содержание и ограничения в применении отдельных действий.

Оценка текущей ситуации

Установление контекста, в рамках которого необходимо принимать решения о порядке управления рисками информационной безопасности организации, начинается со сбора всей информации о компании, касающейся ценности ее информационных активов, состояния информационной системы. 

Далее совершается перечень действий, необходимых для реализации системы управления:

  • наделение полномочиями по управлению рисками определенного подразделения, выявление степени компетенции его сотрудников;
  • прописывание в регламентирующих документах полномочий подразделения, определение границ его компетенции;
  • привлечение аутсорсинговой организации для решения отдельных задач по управлению угрозами, определение модели взаимодействия с ней.

Далее необходимо перейти к оценке объема действий, необходимых для реализации стратегии защиты.

Критерии оценки уровня угрозы:

  • стратегическое влияние реализованного риска на бизнес-процессы, происходящие в информационной среде;
  • критичность для компании информационных активов, которые могут стать жертвой риска;
  • наличие дополнительных регулирующих требований, определяющих степень защиты, например, необходимости защиты персональных данных клиентов или коммерческой тайны контрагента;
  • практическая ценность соблюдения требований конфиденциальности, целостности и доступности информации.

После оценки рисков необходимо выработать критерии воздействия на них и критерии допустимости реализации угрозы. Они создают пороги чувствительности, превышение которых вызывает необходимость воздействия.

Выражаться они могут в коэффициентах, обозначающих соотношение затрат на минимизацию угрозы к предполагаемому коммерческому ущербу. 

Обработка рисков

После завершения оценки рисков компания переходит к их обработке, выражающейся в действиях по предотвращению, минимизации, передаче. Отдельно отражаются случаи, при которых риск должен быть сохранен, так как его предотвращение окажется невыгодным. Наибольшее внимание уделяется редким, но серьезным рискам, способным усложнить работу информационной системы в целом или прекратить ее функционирование на неопределенное время. Обучение и информирование сотрудников должны осуществляться в непрерывном режиме, это исключает и наиболее важные риски, и менее очевидные.

Иногда важнее сохранить повышенную степень контроля за уровнем ИБ, чем перестроить ее. Ресурсы на переформатирование системы могут использоваться нерационально, при этом требования регуляторов должны соблюдаться неукоснительно.

Реализация стратегии управления рисками информационной безопасности, созданной на основе международных стандартов, обезопасит деятельность организации в информационном пространстве.

20.05.2020

Подпишитесь на нашу рассылку и получите свод правил информационной безопасности для сотрудников в шуточных стишках-пирожках.
Продукты
КИБ
ProfileCenter
FileAuditor
SIEM
TimeInformer
ИБ-аутсорсинг
DLP в облаке
СёрчИнформ
О компании
Лицензии
Оферта
Партнеры
Клиенты
Учебный центр
Вакансии
Контакты
Оценка условий труда
Новости и пресса
Новости компании
Новости продуктов
Новости учебного центра
Пресса о нас
Блог
Для прессы
Информационная безопасность
Отраслевые решения
Контроль сотрудников
© 2025 ООО «СёрчИнформ»
Условия использования
Лицензирование
Безопасность
Законы
Техническая поддержка
Заполняя настоящую веб-форму и отправляя указанные в ней персональные данные, я даю свое согласие ООО «СерчИнформ» (далее – оператор) на обработку моих персональных данных в соответствии с Политикой конфиденциальности (https://searchinform.ru/resources/security/, далее — Политика) с правом передачи оператором моих персональных данных третьим лицам, которые являются партнерами оператора. Я понимаю, что мои персональные данные будут переданы с использованием открытых каналов связи (сети международного обмена Интернет) и впоследствии могут обрабатываться как с использованием средств автоматизации, так и без использования таких средств.
Давая настоящее согласие, я подтверждаю, что:
  • действую свободно, своей волей и в своих интересах;
  • являюсь дееспособным;
  • настоящее согласие является конкретным, информированным и сознательным;
  • ознакомился с Политикой в отношении обработки персональных данных, размещенной на настоящем сайте.
Я понимаю, что в соответствии с федеральным законодательством получение оператором согласия на обработку персональных данных является обязательным, и в случае моего отказа от их предоставления и (или) отсутствия согласия на их обработку, интересующие меня услуги не могут быть оказаны оператором.
Я, в соответствии с ч.1 ст. 18 Федерального закона от13.03.2006 г. №38-ФЗ «О рекламе», даю своё согласие ООО «СерчИнформ» (ИНН 7704306397, адрес: 127254, г. Москва, проезд Огородный, д. 16/1, стр. 3, помещение 901) (далее - СерчИнформ) на направление мне на указанные мной контактные данные сообщений в информационных и/или рекламно-информационных целях об услугах (в широком понимании этого определения, в том числе, но не ограничиваясь, сервисах, мероприятиях, встречах, вебинарах, конференциях и т.д.) СерчИнформ со следующими условиями:
  • Я даю согласие на получение информации и рекламы путем осуществления прямых контактов со мной с помощью любых средств связи включая, но не ограничиваясь, направления sms-сообщений и/или puch-уведомлений и/или электронных писем и/или сообщений в мессенджерах и/или посредством телефонных звонков и/или факсимильной связи.
  • Я гарантирую, что предоставленная мной информация является полной, достоверной и точной, а также что при представлении информации не нарушаются действующее законодательство Российской Федерации, законные права и интересы третьих лиц. Вся представленная информация заполнена мной в отношении себя лично.
  • Я согласен/согласна с тем, что текст данного мной по собственной воле и в моих интересах согласия хранится в электронном виде в базе данных СерчИнформ и подтверждает факт согласия на обработку моих контактных данных в соответствии с положениями настоящего документа.
  • Настоящее согласие действует до поступления в СерчИнформ любым способом (письменно, устно, в электронном виде) требования от меня как субъекта персональных данных о прекращении обработки персональных данных в соответствии с ч.2 ст. 15 Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных».
  • Я подтверждаю, что любое моё действие по нажатию на кнопку «Отправить», «Зарегистрироваться», «Записаться», «Оставить заявку», проставлению отметки « » является достаточной формой согласия и позволяет подтвердить сторонам факт получения такого согласия, при этом иных доказательств для дополнительного подтверждения моего свободного волеизъявления не потребуется.
  • Я подтверждаю, что владею информацией о том, что в любой момент в течение всего срока действия настоящего согласия, я вправе отозвать согласие и отписаться от получения рассылок как путем устного обращения к представителю СерчИнформ, так и путем перехода по соответствующей ссылке в любом письме, или путем направления письменного уведомления в СерчИнформ об отзыве своего согласия и отказе от рассылок.