Анализ рисков ИБ в корпоративной среде

Бизнес понимает последствия проблем защищенности своих информационных ресурсов и готов осуществлять внушительные инвестиции в продукты обеспечения ИБ и соответствующие квалифицированные кадры. Регулярные оповещения об очередной утечке, вызванной уязвимостью в инфраструктуре Web-приложения или инсайдером компании, периодически отрезвляют топ-менеджмент, и он, в свою очередь, выделяет бюджет для соответствующих мер. Однако ИБ это довольно абстрактное для руководящего персонала состояние информационных активов, и в связи с этим индустрии ИБ приходится вводить определенные метрики этого состояния и впоследствии на них опираться. И вот именно такой метрикой выступают риски: компраментации, потери репутации и денег.

Методики анализа рисков

Анализ рисков ИБ – это, прежде всего, процесс, входящий в непрерывную процедуру защиты информации. Комплекс мероприятий по оценке состояния защищенности инфраструктуры, в которой осуществляется манипуляция чувствительной для бизнеса информацией. Организация данного процесса описывается в нормативных документах, а также документах, носящих рекомендательный характер. Здесь все зависит от конкретного вида деятельности компании.

Стандарты ИБ, в нормативном или рекомендательном характере описывающие защиту информации для различных отраслей бизнеса, практически всегда ссылаются на авторитетные методики анализа рисков (ISO/IEC IS 27001, NIST и т.п.). Европейская организация ENISA* составила интересный материал, в котором содержится таблица методик оценки рисков и оценивается полнота описания процедур для различных аспектов риск-менеджмента (см. рис.).

Политика ИБ

Документом, резюмирующим весь комплекс процедуры управления ИБ-рисками, является… Нет, не формальный отчет о ее проведении, а фактически политика ИБ, в которую внесут соответствующие поправки, учтут всевозможные недостатки в технических и организационных составляющих бизнес-процессов целевой организации. На основе отчетности анализа рисков строится картина "непаханного поля" всевозможных угроз, подавляющее большинство которых ложится на ИТ. Ознакомившись с подобным отчетом, руководящий состав делает выводы об объемах инвестиций, направленных на построение или модернизацию автоматизированной системы защиты информации. Для этого команда экспертов определяет то множество рисков, которые можно минимизировать программно-аппаратными средствами.

Эксплуатация уязвимостей в корпоративном Web-приложении, перехват конфиденциальных данных, передающихся по каналам связи в открытом виде, внедрение сторонних аппаратных средств в информационную среду с последующим копированием чего-либо, не предназначенного для ознакомления третьими лицами, – все это заставляет администраторов ИБ разворачивать корпоративные версии разноплановых продуктов, тратить временные ресурсы на их конфигурирование и, что самое трудоемкое, проводить аудит получившийся системы.

Вывод

Процесс "Анализ рисков ИБ – Подготовка отчета – Создание/ модернизация политики ИБ – Развертывание программно-аппаратных средств" является непрерывным и значительным образом опирается на системный менеджмент. Интегрированная платформа, на которой будет разворачиваться совокупность программных решений, позволит существенно ускорить процедуру минимизации рисков при косвенных плюсах, которые она за собой тянет. Унификация интерфейсов управления приведет к сокращению человеческих и временных ресурсов на аудит ИБ постоянно растущей инфраструктуры, при этом свойство интегрированности средств защиты поможет компании минимизировать риски в кратчайшие сроки за счет широкого спектра компонентов, отвечающих за устранение источников различных угроз, характерных для ИT-инфраструктур практически любых масштабов.