Что такое риск кибербезопасности?

Риск кибербезопасности — это вероятность того, что киберугроза приведёт к ущербу для бизнеса. Риск рассчитывается как сочетание вероятности реализации угрозы и величины возможного ущерба для организации.

Для чего нужна оценка рисков кибербезопасности?

Оценка рисков необходима для понимания наиболее критичных угроз, обоснования инвестиций в безопасность и принятия управленческих решений по защите бизнеса. Количественная оценка рисков, сопоставимая с объёмом требуемых инвестиций, позволяет принимать взвешенные управленческие решения.

Чем отличается угроза от риска кибербезопасности?

Угроза — это возможный источник вреда, а риск — это вероятность того, что эта угроза реализуется и приведёт к ущербу. Моделирование угроз выявляет возможные сценарии атак, а оценка рисков определяет их вероятность и потенциальное влияние на бизнес.

По каким стандартам вы работаете?

В основном арсенале используются следующие фреймворки: ISO/IEC 27005, ISO 31000, Open FAIR™ Risk Analysis, NIST SP 800-30, Mitre ATT&CK. Мы готовы выполнить любой запрос по оценке рисков КБ: как по уже имеющейся методике внутри компании, так и по внешним стандартам.

Используете ли вы количественный подход к оценке рисков?

Да, мы используем три подхода: качественный (Высокий, Средний, Низкий), количественный (выражается в рублях) и полуколичественный (качественные значения выражаются в количественных показателях). Методики расчёта: экспертно, на основе статистики, на основе математического распределения, на основе декомпозиции на факторы.

Можно ли использовать результат оценки рисков КБ для прохождения сертификации по ISO/IEC 27001?

Да, результат оценки рисков КБ по итогам проекта полностью соответствует требованиям стандарта ISO/IEC 27001. Дополнительно мы сможем сформировать свидетельства по оценке рисков для прохождения сертификационного аудита.

Что потребуется от команды Заказчика?

В начале проекта Заказчику будет направлен запрос документации. После изучения Исполнитель составит план встреч для обследования, в которых необходимо будет участвовать представителям Заказчика. Также необходимо запланировать ресурс Заказчика для участия в статусных встречах и согласования результатов проекта.

Рассчитываете ли вы ROI от реализации дорожной карты КБ?

Да, по итогам формирования дорожной карты наши эксперты подберут решения для внедрения и смогут не только предоставить консультацию по вендорам, срокам внедрения и стоимости, но и обеспечить реализацию мероприятий. Результат оценки стоимости мероприятий можно использовать для расчёта ROI.

Помогаете ли вы реализовывать меры по обработке рисков?

Да, в части мероприятий по обработке рисков мы поможем не только подобрать решения для внедрения, предоставить консультацию по вендорам, срокам внедрения и стоимости, но и обеспечить реализацию мероприятий.

Что такое риск-культура кибербезопасности?

Риск-культура кибербезопасности — это система мышления, процессов и ответственности, в которой риски становятся управляемыми. Это подход, при котором управление рисками КБ встроено в повседневную деятельность компании, а не является разовым формальным мероприятием.

Возможно ли приобрести сервис по управлению рисками кибербезопасности?

Да, поскольку процесс управления рисками непрерывен и предполагает регулярный пересмотр и выявление новых рисков, мы предоставляем сервис по управлению рисками КБ на постоянной основе.

Как учитывается специфика отрасли при оценке рисков?

В рамках проекта мы погружаемся в детали ключевых бизнес-процессов компании, выясняем основные этапы, используемые информационные системы, виды информации, а также потенциальные негативные события кибербезопасности, которые могут помешать процессу достичь своих целей. Мы реализовали проекты в телекоммуникациях, финансовом секторе, ритейле, строительстве, промышленности, авиации, госсекторе и других отраслях.

Банки отключают от сервиса ГИС МВД

Вчера, 16 апреля, часть банков и других финансовых организаций снова столкнулись с отключением от сервиса проверки паспортов МВД. Речь идет о работе с ГИС МВД — системой, которая используется как ключевой инструмент проверки клиентов.

Для кого актуально

☑ банки
☑ микрофинансовые организации
☑ брокеры, дилеры, депозитарии
☑ страховые компании
☑ негосударственные пенсионные фонды
☑ операторы по приему платежей и другие финансовые организации

Почему это произошло

Причина — несоответствие требованиям по защите информации при подключении к системе. Чтобы получить доступ к ГИС, организация должна пройти аттестацию ГИС по требованиям безопасности информации.

Что делать

Сейчас для работы с системой требуется аттестация ГИС К1 и соблюдение всех требований, установленных для уровня ГИС К1. На практике это означает: без доступа к системе невозможно полноценно работать с данными клиентов. ГИС для банков — это базовый элемент проверки, и его недоступность напрямую влияет на операционную деятельность.

Отсутствие подключения к ГИС блокирует возможность проверять клиентов, выявлять ограничения и проводить базовые операции — от открытия счетов до заключения договоров.

Условия подключения к ГИС

Само подключение к ГИС требует не только технической интеграции, но и подтверждения соответствия требованиям безопасности. Хотя требования действуют с 2025 года, часть организаций до сих пор не выполнила требования по аттестации ГИС и не учла актуальные условия подключения к ГИС, из-за чего продолжает получать санкции в виде отключений.

Дополнительно важно учитывать, что регламент подключения к ГИС предусматривает обязательную подачу заявки на подключение к ГИС, а также корректную настройку взаимодействия через СМЭВ ГИС.

Если доступ к ГИС критичен для процессов компании, вопрос аттестации лучше не откладывать.

Нужна помощь? Эксперты Infosecurity помогут пройти аттестацию и восстановить доступ в сжатые сроки. Оставьте заявку >>>

Подключение к ГИС МВД под вопросом: банки теряют доступ к проверке паспортов

Для кого актуально

Почему это произошло

Что делать

Условия подключения к ГИС