УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Что такое риск информационной безопасности? Зачем его оценивать? И как это сделать?

        Что такое риск информационной безопасности? Зачем его оценивать? И как это сделать?

        2 февраля 2022
        Новости
        Автор: Аналитический центр УЦСБ

        Здравствуйте! Если вы открыли эту статью, значит у вас уже имеется представление о необходимости обеспечения информационной безопасности (ИБ). И вы понимаете, что обеспечение ИБ является не самоцелью, а одним из процессов для достижения целей организации и минимизации потенциального ущерба. При этом одним из более действенных способов аргументировать затраты на обеспечение ИБ является оценка рисков ИБ.

        Итак, введем понятие: риск – влияние неопределенности на достижение поставленных целей (ГОСТ Р ИСО 31000-2019).

        При этом риск ИБ определяется через возможность того, что угрозы будут реализовываться через использование уязвимостей и, тем самым, наносить ущерб организации. Как правило, идентификации угроз, уязвимостей и ущерба достаточно для идентификации рисков ИБ. В дальнейших статьях мы увидим, что идентификация этих составляющих может вызвать некоторые трудности.

        Что же представляет собой управление рисками ИБ? В общем случае процесс включает в себя следующие этапы:

        1. Установление контекста: определение области оценки рисков ИБ, установление внешних и внутренних факторов.
        2. Оценка рисков ИБ, включающая в себя:
          • идентификацию риска ИБ;
          • анализ риска ИБ;
          • сравнительную оценку риска ИБ;
          • оценку остаточного риска (при необходимости).

        3. Обработка рисков ИБ (снижение, перенос, уклонение, принятие).
        4. Мониторинг и пересмотр рисков ИБ.
        5. Документирование и отчетность.

        Для наглядного понимания процесса управления рисками приведем упрощенный жизненный пример, не связанный с ИБ.


        Представим ситуацию. Январь 2022-го года, вы живете в Сочи, работаете в ИТ-компании и каждый будний день ходите в офис – установили контекст. Допустим, у вас низкий иммунитет (ваша уязвимость) и для вас самый актуальный риск – заболеть. Идентификация риска – done. Одна из угроз, из-за которой вы можете заболеть, – это промокнуть под дождем. Вы отправились утром на работу, надев обычную одежду, не имеющую водонепроницаемых свойств. Одежда по сути является вашей защитой мерой, но недостаточной для защиты от дождя. Пройдя 5 минут, вас озарило: «Это же Сочи! Дождь пойдет в любой момент!». Так вы оценили, что вероятность возникновения угрозы, которая приведет к риску заболеть, – высокая. И следующая мысль: «Если я заболею, то не выполню проект вовремя и меня уволят». Так риск обретает ущерб и его анализ выполнен полностью. И вот вы остановились, чтобы определиться: идти дальше или вернуться домой за зонтиком. Это уже сравнительная оценка риска, вы принимаете решение – ничего не предпринимать (принять риск) или рассмотреть иные варианты обработки риска.

        Но процесс еще не завершен. Скажем, что вы приняли решение вернуться за зонтиком. С риском заболеть вы справились, но появился остаточный риск – опоздать на работу. В нашем случае, как во многих современных ИТ-компаниях, никто даже и не заметит вашего опоздания (гибкий график hello!), поэтому смело принимаете остаточный риск.


        Мы осуществили оценку и обработку риска, а также принятие остаточного риска. Не будем забывать о мониторинге и пересмотре рисков. Завтра Вас отправят в командировку в Екатеринбург, и риск заболеть будет зависеть уже совершенно от других факторов.

        Для чего же оценивать риски ИБ? Эта оценка послужит обоснованием руководству организации при определении мероприятий по обработке рисков ИБ, которые являются составляющей обеспечения ИБ, и затрат на них. Понятно, что оценка рисков ИБ не столь очевидна, как понимание того, нужно взять с собой зонтик или нет. Как же быть? На сегодняшний день существует достаточное количество методик оценки рисков ИБ. Давайте выберем некоторые из них и проведем сравнение:

        Критерий сравнения ISO 27005 FRAP СТО БР ИББС + 716-П OCTAVE FAIR
        Область деятельности организации (сфера применения) Стандарт применим к организациям любых масштабов и областей деятельности Стандарт применим к организациям любых масштабов и областей деятельности Стандарт применим к организациям финансового сектора Стандарт применим к организациям любых масштабов и областей деятельности Стандарт применим для крупных организаций
        Сложность применения Требует больших затрат и высокой квалификации персонала Не требует больших затрат, но требует высокой квалификации сотрудников отдела ИБ Требует больших затрат и высокой квалификации персонала Не требует больших затрат, но требует высокой квалификации персонала, поскольку оценка рисков осуществляется силами организации без привлечения сторонних лиц Требует больших затрат и высокой квалификации персонала
        Наличие шкал для оценки рисков ИБ Присутствуют примеры Присутствуют примеры Стандарт содержит примеры Присутствуют примеры Присутствуют примеры
        Наличие методик обработки рисков ИБ Присутствует пример методики Отсутствуют методики обработки риски Стандарт содержит примеры Отсутствуют методики обработки риски Присутствует пример методики
        Согласованность с НПА РФ Требует адаптации для применения в рамках исполнения НПА. Российский ГОСТ не обновлялся с 2010 года, требует актуализации Требует сильной адаптации с целью исполнения НПА СТО БР ИББС входит в перечень стандартов РФ (добровольных). 716-П является обязательным положением для кредитных организаций и банковской группы Требует сильной адаптации с целью исполнения НПА Требует сильной адаптации с целью исполнения НПА
        Связанность со смежными методологиям (IT, общие риски, экономические риски и др.) Входит в серию стандартов ISO по управлению рисками Не имеет прямой связи со смежными методологиями, требуется адаптация Входит в серию не поддерживаемых стандартов СТО БР. 716-П предъявляет требования к системе управления операционными рисками, в том числе рисками ИБ В контуре методологий OCTAVE существует несколько методик оценки рисков, которые применяются в зависимости от масштаба организации и целей оценки рисков Не имеет прямой связи со смежными методологиями, требуется адаптация
        Возможность использования методики для коммерческих целей Возможно использование для проведения внутренней оценки рисков после приобретения эталонного экземпляра Возможно использование для проведения внутренней оценки рисков Возможно использование для проведения внутренней оценки рисков, в том числе при реализации требований 716-П Методика общедоступна, но ее коммерческое использование ограничено Методика общедоступна, но ее коммерческое использование ограничено

        Чтобы вы смогли принять решение, какую из приведенных методик оценки рисков ИБ использовать в вашей организации, мы подготовили серию обзоров. Ознакомиться с ними вы сможете в ближайшее время.

        Если у вас останутся вопросы, вы можете проконсультироваться с нашими экспертами. Если вы поймете, что ни одна из этих методик не подходит для вашей организации или у вас просто нет ресурсов, чтобы самостоятельно провести оценку рисков ИБ, вы можете воспользоваться нашими услугами.

        Обращаем внимание, что в нашей таблице фигурируют методики ограниченного коммерческого использования (OCTAVE и FAIR). Обзоры этих методик будут опубликованы в случае получения согласия на их публикацию от авторов методик. Если ответ авторов будет отрицательный, то мы готовы рассмотреть другие методики взамен OCTAVE и FAIR. Присылайте ваши пожелания по подготовке обзоров методик оценки рисков ИБ в комментарии или на почту compliance@ussc.ru.

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы