Что такое риск кибербезопасности?

Риск кибербезопасности — это вероятность того, что киберугроза приведёт к ущербу для бизнеса. Риск рассчитывается как сочетание вероятности реализации угрозы и величины возможного ущерба для организации.

Для чего нужна оценка рисков кибербезопасности?

Оценка рисков необходима для понимания наиболее критичных угроз, обоснования инвестиций в безопасность и принятия управленческих решений по защите бизнеса. Количественная оценка рисков, сопоставимая с объёмом требуемых инвестиций, позволяет принимать взвешенные управленческие решения.

Чем отличается угроза от риска кибербезопасности?

Угроза — это возможный источник вреда, а риск — это вероятность того, что эта угроза реализуется и приведёт к ущербу. Моделирование угроз выявляет возможные сценарии атак, а оценка рисков определяет их вероятность и потенциальное влияние на бизнес.

По каким стандартам вы работаете?

В основном арсенале используются следующие фреймворки: ISO/IEC 27005, ISO 31000, Open FAIR™ Risk Analysis, NIST SP 800-30, Mitre ATT&CK. Мы готовы выполнить любой запрос по оценке рисков КБ: как по уже имеющейся методике внутри компании, так и по внешним стандартам.

Используете ли вы количественный подход к оценке рисков?

Да, мы используем три подхода: качественный (Высокий, Средний, Низкий), количественный (выражается в рублях) и полуколичественный (качественные значения выражаются в количественных показателях). Методики расчёта: экспертно, на основе статистики, на основе математического распределения, на основе декомпозиции на факторы.

Можно ли использовать результат оценки рисков КБ для прохождения сертификации по ISO/IEC 27001?

Да, результат оценки рисков КБ по итогам проекта полностью соответствует требованиям стандарта ISO/IEC 27001. Дополнительно мы сможем сформировать свидетельства по оценке рисков для прохождения сертификационного аудита.

Что потребуется от команды Заказчика?

В начале проекта Заказчику будет направлен запрос документации. После изучения Исполнитель составит план встреч для обследования, в которых необходимо будет участвовать представителям Заказчика. Также необходимо запланировать ресурс Заказчика для участия в статусных встречах и согласования результатов проекта.

Рассчитываете ли вы ROI от реализации дорожной карты КБ?

Да, по итогам формирования дорожной карты наши эксперты подберут решения для внедрения и смогут не только предоставить консультацию по вендорам, срокам внедрения и стоимости, но и обеспечить реализацию мероприятий. Результат оценки стоимости мероприятий можно использовать для расчёта ROI.

Помогаете ли вы реализовывать меры по обработке рисков?

Да, в части мероприятий по обработке рисков мы поможем не только подобрать решения для внедрения, предоставить консультацию по вендорам, срокам внедрения и стоимости, но и обеспечить реализацию мероприятий.

Что такое риск-культура кибербезопасности?

Риск-культура кибербезопасности — это система мышления, процессов и ответственности, в которой риски становятся управляемыми. Это подход, при котором управление рисками КБ встроено в повседневную деятельность компании, а не является разовым формальным мероприятием.

Возможно ли приобрести сервис по управлению рисками кибербезопасности?

Да, поскольку процесс управления рисками непрерывен и предполагает регулярный пересмотр и выявление новых рисков, мы предоставляем сервис по управлению рисками КБ на постоянной основе.

Как учитывается специфика отрасли при оценке рисков?

В рамках проекта мы погружаемся в детали ключевых бизнес-процессов компании, выясняем основные этапы, используемые информационные системы, виды информации, а также потенциальные негативные события кибербезопасности, которые могут помешать процессу достичь своих целей. Мы реализовали проекты в телекоммуникациях, финансовом секторе, ритейле, строительстве, промышленности, авиации, госсекторе и других отраслях.

Можно ли использовать Google Analytics в России. Требования по локализации ПДн

В конце апреля в Краснодарском крае заместитель главы администрации Абинского района получила штраф в размере 100 тыс. рублей по ч. 8 ст. 13.11 КоАП РФ за нарушение требований по локализации персональных данных (ПДн). Причиной стало использование на сайте администрации иностранной платформы (США): персональные данные граждан обрабатывались и хранились за пределами России. Это было квалифицировано как прямое нарушение требований 152-ФЗ о локализации персональных данных.

Почему это касается бизнеса

Для бизнеса эта история — важный сигнал. Регулятор всё чаще обращает внимание не только на крупные утечки или инциденты, но и на сам факт передачи данных за рубеж через внешние сервисы и инструменты, которые многие компании до сих пор считают «техническими мелочами». На практике нарушение может возникнуть даже там, где компания уверена, что соблюдает требования законодательства.

Популярный вопрос: можно ли использовать google analytics и насколько это безопасно с точки зрения требований по локализации персональных данных. Ведь использование зарубежных сервисов — Google Analytics, Adobe Analytics, Meta Pixel и аналогичных инструментов — потенциально приводит к передаче персональных данных на иностранные серверы. Новый судебный прецедент дает ответ на вопрос, можно ли использовать гугл аналитику без риска претензий со стороны регулятора.

C точки зрения нашей экспертизы речь идет не только о CRM и базах клиентов: для нарушения достаточно иностранного аналитического скрипта или внешнего виджета на сайте. В итоге, для многих организаций проблема заключается в том, что инфраструктура формировалась годами: маркетинг подключал аналитику, подрядчики — внешние сервисы, разработчики — сторонние библиотеки. В результате бизнес может формально хранить данные в России, но фактически часть информации всё равно передаётся за рубеж.

Какие риски возникают для компаний

Финансовые санкции — только часть проблемы.

Сегодня штрафы за нарушение обработки ПДн могут достигать:

до 200 тыс. рублей для должностных лиц;
до 6 млн рублей для юридических лиц.

При повторных нарушениях суммы могут увеличиваться.

Кроме того, для бизнеса всё более чувствительными становятся:
— репутационные потери и снижение доверия клиентов;
— усиленное внимание со стороны Роскомнадзора после первого выявленного нарушения;
— необходимость дополнительного аудита инфраструктуры, внешних сервисов и маршрутов передачи данных.

Отдельный риск представляют штрафы за утечку ПДн, поскольку регулятор всё чаще оценивает не только сам факт инцидента, но и достаточность мер защиты, принятых компанией. Особенно чувствительными такие риски становятся для организаций, активно работающих с digital-маркетингом, онлайн-сервисами, аналитикой и внешними подрядчиками.

Где чаще всего скрываются нарушения

Наиболее распространённая ошибка — считать, что локализация касается только основной базы данных.

На практике риски часто возникают через:
— аналитические сервисы;
— рекламные пиксели;
— формы обратной связи;
— облачные инструменты;
— внешние скрипты;
— подрядчиков, имеющих доступ к данным;
— сторонние интеграции сайта.

Даже «лёгкая» аналитика через виджеты может стать основанием для претензий со стороны регулятора.

Что стоит сделать уже сейчас

В текущих условиях бизнесу важно проверять не только документы, но и реальную схему движения данных внутри инфраструктуры.

Минимальный набор шагов:
1. Хранить персональные данные только на серверах, расположенных в пределах России;
2. Отключить зарубежные сервисы и скрипты, передающие данные за рубеж, включая Google Analytics и аналогичные инструменты;
3. Прописать в договорах с подрядчиками требования по локализации персональных данных и ответственность за нарушения;
4. Провести аудит IT-инфраструктуры и сайтов, выявив потенциальные риски до прихода проверяющих.

Остались вопросы по локализации персональных данных или нужна помощь с аудитом инфраструктуры и внешних сервисов? Оставьте заявку — эксперты Infosecurity помогут оценить риски >>>

Cигнал для бизнеса. Требования по локализации персональных данных — уже не формальность

Почему это касается бизнеса

Какие риски возникают для компаний

Где чаще всего скрываются нарушения

Что стоит сделать уже сейчас