Получить консультацию
Оставьте ваши данные и мы с вами свяжемся!
Оставляя заявку на сайте, вы соглашаетесь на обработку персональных данных в соответствии с политикой конфиденциальности. Не является публичной офертой.
Получить коммерческое предложение
Оставьте ваши данные, и мы с вами свяжемся!
Получить коммерческое предложение
Оставьте ваши данные, и мы с вами свяжемся!
Получить консультацию
Оставьте ваши данные, и мы с вами свяжемся!
Оценка зрелости и рисков информационной безопасности
«Бережливая безопасность» — рациональное использование ресурсов для защиты приоритетных бизнес-активов
Более 320 проектов
реализовано
реализовано
Более 250 инженеров
в команде
в команде
Более 15 лет
на рынке ИБ
на рынке ИБ
Оценка рисков как мост между ИБ и бизнесом
Оценка рисков устраняет главный разрыв корпоративной кибербезопасности — между ИБ, которая не может обосновать бюджет, и бизнесом, который не понимает, за что платит. Бизнес сообщает, какие процессы критичны, — ИБ определяет, какая защита нужна и почему.
Для чего нужна оценка рисков
Бюджет на кибербезопасность всегда ограничен, а угроз всегда больше, чем ресурсов для их устранения. Оценка рисков информационной безопасности дает ответ на главный вопрос: куда направить усилия, чтобы защита была не формальной, а реальной.
Аргумент «нам нужны деньги на безопасность» редко убеждает руководство. Оценка рисков переводит технические угрозы в бизнес-термины: потенциальные потери, вероятность инцидента, стоимость последствий. Это превращает запрос на финансирование в обоснованное управленческое решение.
Не всё можно защитить одновременно - и это нормально. Оценка рисков позволяет выявить наиболее уязвимые и критически важные активы и сосредоточить ресурсы там, где потенциальный ущерб наиболее высок.
Кибератака - это не только затраты на восстановление систем. Это простой бизнеса, репутационный ущерб, регуляторные санкции, потеря клиентов. Оценка рисков позволяет заранее увидеть полную картину возможных последствий — и принять взвешенное решение о том, во сколько обойдётся защита в сравнении с ценой бездействия
Этапы проведения оценки рисков:
Оценка зрелости
Проведем обследование в соответствии с общепризнанными международными практиками
Результат:
Протоколы интервью
Отчет по результатам обследования, включая мероприятия для повышения уровня ИБ Компании
Диаграмма зрелости процессов
Оценка рисков ИБ
Проведем количественную оценку рисков ИБ с учетом бизнес-контекста
Результат:
Реестр рисков ИБ
План обработки рисков ИБ
Инструмент в формате .xlsm для расчета уровня риска
Проектирование целевого состояния
Построим дорожную карту развития, включающую портфель проектов на 2- 3 года с оценкой сроков и трудозатрат
Результат:
Дорожная карта развития ИБ с приоритизированными мероприятиями
Проект целевого состояния функции КБ
Краткая презентация для руководства
Наш арсенал в битве с рисками
Эффективное управление рисками кибербезопасности — это не один инструмент, а целая система взаимосвязанных элементов. Мы подходим к задаче комплексно, объединяя методологическую экспертизу и практический опыт.
-
Ключевые фреймворки- ISO/IEC 27005
- ISO 31000
- Open FAIR™ Risk Analysis
- NIST SP 800-30
- Mitre ATT&CK
-
Подходы к идентификации рисков- Top-down (от недопустимых для бизнеса событий)
- Bottom-up (от несоответствий на операционном уровне)
-
Подходы к расчету рисков- Качественный (Высокий, Средний, Низкий)
- Количественный (100 р., 1000 р., 10 000 р.)
- Полуколичественный (качественные значения выражаются в количественных показателях)
-
Методики расчета рисков- Экспертно
- На основе статистики
- На основе математического распределения
- На основе декомпозиции на факторы
Этапы проекта
Подробный перечень шагов по реализации аудита
Этап 1. Оценка зрелости
Оценка зрелости
Анализ контрольной среды проводится в соответствии с международными стандартами по ИБ. Итогом является оценка уровня зрелости ИБ в Компаниии.
Читать далее
Анализ контрольной среды проводится в соответствии с международными стандартами по ИБ. Итогом является оценка уровня зрелости ИБ в Компаниии.
Читать далее
Диаграмма оценки зрелости КБ: пример
Этап 2. Оценка рисков ИБ
ШАГ 1
Устанавливаем контекст области оценки
Прежде чем искать риски, необходимо очертить границы: что именно оцениваем, в каком бизнес-контексте, какие цели и ограничения учитываем.
Читать далее
Читать далее
ШАГ 2
Идентифицируем активы
Определяем, что именно нуждается в защите: информационные системы, данные, процессы, инфраструктура.
Читать далее
Читать далее
ШАГ 3
Идентифицируем агентов угроз ИБ
Выявляем, кто или что может причинить вред: внешние злоумышленники, инсайдеры, технические сбои, человеческий фактор.
Читать далее
Читать далее
Реестр агентов угроз (нарушителей): пример
ШАГ 4
Идентифицируем сценарии рисков ИБ
На основе всех собранных данных формируются наиболее критичные и релевантные сценарии реализации рисков ИБ.
Читать далее
Читать далее
ШАГ 5
Оцениваем риски ИБ
Реестр рисков: пример
Каждый сценарий получает количественную или качественную оценку: вероятность реализации и масштаб потенциального ущерба.
Читать далее
Читать далее
Величина воздействия рассчитывается через бизнес-метрики, напрямую связанные со сценарием: количество затронутых клиентов и сделок, средняя прибыль, затраты на расследование инцидента, маркетинговые издержки на восстановление клиентской базы и иные релевантные показатели. Такой подход позволяет выразить последствия реализации риска в конкретных финансовых и репутационных терминах, понятных бизнесу, и обеспечить объективную приоритизацию рисков для последующей работы с ними.
Итоговая оценка каждого риска складывается из двух составляющих. Вероятность реализации определяется через вероятность события угрозы (как часто агент вступает в контакт с активом и насколько он склонен к действию) и уязвимость актива (насколько сила контролей способна противостоять потенциалу агента).
ШАГ 6
Обрабатываем риски ИБ и считаем RoSI
RoSI (return on security investment) – показатель возврата инвестиций в безопасность, который характеризует экономическую эффективность систем защиты информации.
Определяем стоимость реализации каждого из мероприятий и рассчитываем RoSI для обоснования бюджета перед руководством по формуле:
Определяем стоимость реализации каждого из мероприятий и рассчитываем RoSI для обоснования бюджета перед руководством по формуле:
Для удобства мониторинга рисков мы предоставляем инструмент в формате .xlsm:
Инструмент для оценки рисков ИБ
Этап 3. Проектирование целевого состояния
Определение целевого уровня зрелости ИБ
Профилирование компании с учетом ее контекста и особенностей реализации бизнес-процессов на основании следующих критериев: обработка чувствительной информации, масштаб инфраструктуры, распределенность филиальной сети, маркетинговая связь с головным предприятием. Целевой уровень зрелости определяется на основании контекста компании, особенностей ИТ-ландшафта с привязкой к трендовым рискам ИБ.
Результаты работ:
Целевой уровень зрелости, подкрепленный приоритетами из дорожной карты развития. Это позволит понять, каким должен быть результат развития ИБ через 2 – 3 года и оценить разрыв между текущим и желаемым состоянием.
Каждое мероприятие по обработке рисков оценивается по четырём критериям приоритизации. Это позволяет в первую очередь реализовывать те меры, которые дают максимальный защитный эффект при разумных затратах.
Формирование и визуализация дорожной карты развития КБ на горизонт 2-3 года
По результатам формирования плана обработки рисков формируется дорожная карта реализации проектов ИБ в виде диаграммы Ганта
Дорожная карта реализации проектов по развитию ИБ: пример
Определение целевого состояния кибербезопасности
Процессная модель
Разработка целевой структуры процессов, документации и ключевых артефактов по ИБ с учетом контекста бизнеса компании и дорожной карты развития ИБ.
Результаты работ:
Состав и структура документации по ИБ, сформированные с учетом реальных условий работы компании. Это позволит понять, какие документы нужны, в каком порядке их разрабатывать и как они соотносятся между собой, не тратя ресурсы на избыточные артефакты.
Результаты работ:
Состав и структура документации по ИБ, сформированные с учетом реальных условий работы компании. Это позволит понять, какие документы нужны, в каком порядке их разрабатывать и как они соотносятся между собой, не тратя ресурсы на избыточные артефакты.
Кадровый дизайн
Формируем организационную структуру и ресурсный план кибербезопасности с учетом планов по развитию, закрепленных в дорожной карте.
Результаты работ:
Кадровая модель, определяющая минимальное количество работников функции ИБ на основании расчета эквивалента полной занятости (FTE). Это позволит избежать как дефицита ресурсов при реализации дорожной карты, так и избыточных затрат на персонал.
Результаты работ:
Кадровая модель, определяющая минимальное количество работников функции ИБ на основании расчета эквивалента полной занятости (FTE). Это позволит избежать как дефицита ресурсов при реализации дорожной карты, так и избыточных затрат на персонал.
Пример ключевых критериев, влияющих на численность функции ИБ и уровень компетенций персонала
Пример распределения ресурсов ИБ с учетом эквивалента полной занятости FTE
Ландшафт средств защиты информации (СЗИ)
Определение целевого состава СЗИ в разрезе каждого процесса ИБ с учетом мероприятий, определенных в дорожной карте развития ИБ.
Результаты работ:
Состав технических средств защиты, который учитывает текущий ИТ-ландшафт, приоритеты дорожной карты и применимые трендовые риски ИБ. Ландшафт СЗИ помогает компании планировать закупки: понимать какой инструмент влияет на снижение трендовых рисков ИБ и не тратить ресурсы, не соответствующие зрелости процессов.
Результаты работ:
Состав технических средств защиты, который учитывает текущий ИТ-ландшафт, приоритеты дорожной карты и применимые трендовые риски ИБ. Ландшафт СЗИ помогает компании планировать закупки: понимать какой инструмент влияет на снижение трендовых рисков ИБ и не тратить ресурсы, не соответствующие зрелости процессов.
Бесплатная консультация
У Вас остались вопросы?
Оставьте заявку и мы свяжемся с вами в ближайшее время.
Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь c политикой конфиденциальности. Не является публичной офертой.
Почему нам можно доверять
Сертификаты Infosecurity
FAQ
Аудит проверяет, выполняется ли соответствие применимым требованиям или лучшим практикам. Оценка рисков отвечает на более широкий вопрос: какие угрозы наиболее опасны именно для вашего бизнеса и каков будет ущерб от их реализации. Это управленческий инструмент, а не технический чеклист.
Полный цикл занимает около 2–3 месяцев. От Вашей стороны потребуется участие ключевых работников в интервью — представителей бизнеса, ИТ и ИБ, — а также предоставление документации.
Оценка рисков актуальна для любого бизнеса, у которого есть данные, клиенты и процессы, которые нельзя потерять. Для небольших компаний она особенно важна: ресурсов меньше, а цена неправильного приоритета выше. Мы адаптируем глубину и объём работ под реальный масштаб и бюджет.
По итогам вы получаете реестр рисков с количественной или качественной оценкой каждого, план обработки рисков с приоритизированными мероприятиями, выстроенными в дорожную карту развития информационной безопасности. Опционально — расчёт ROI от внедрения защитных мер для обоснования бюджета перед руководством.
Работа строится на признанных международных фреймворках: ISO/IEC 27005, NIST SP 800-30, Open FAIR™, Mitre ATT&CK и других. В зависимости от задач применяется качественный, количественный или полуколичественный подход к расчёту рисков.
Отраслевой контекст — один из ключевых элементов нашей методологии. На этапе интервью мы детально изучаем бизнес-процессы, стратегию и специфику компании, а при оценке агентов угроз и сценариев рисков опираемся на российскую и мировую статистику инцидентов именно в вашей отрасли.