Оценка рисков кибербезопасности

Срок: 2-3 месяца
Стоимость: от 500 000₽
  • Подберём оптимальный подход и методику расчёта рисков с учётом специфики, целей и данных вашей компании.
  • Выявим актуальные для бизнеса риски КБ и переведём их в денежную оценку, понятную руководству.
  • Покажем, как методика работает на практике — на реальных сценариях и активах вашей компании.
портфель из 320 проектов в информационной безопасности
Более 320 проектов
реализовано
Команда инженеров по иб
Более 250 инженеров
в команде
15 лет на рынке информационной безопасности
Более 15 лет
на рынке ИБ

Выгода от услуги

Выявлены риски КБ, релевантные для специфики бизнес-процессов

Количественная оценка рисков КБ, сопоставимая с инвестициями, обеспечивает взвешенные управленческие решения

Определено направление развития КБ и приоритеты защиты с учетом интересов бизнеса

Этапы проекта

Обследование контрольной среды КБ

1. Обследование контрольной среды КБ

Результат:

  • Отчет об оценке уровня зрелости кибербезопасности
  • Направления для улучшения ИБ
Подробнее
Изучение специфики бизнес-процессов

2. Изучение специфики бизнес-процессов

Результат:

  • Перечень ключевых активов
  • Основные негативные для бизнеса события с т.з. ИБ
  • Бизнес-метрики процесса
Подробнее
Формирование сценариев реализации рисков КБ

3. Формирование сценариев реализации рисков КБ

Результат:

  • Перечень сценариев реализации рисков и их потенциальных последствий
Подробнее
Расчет уровня рисков КБ

4. Расчет уровня рисков КБ

Результат:

  • Оценка вероятности риска
  • Оценка последствий риска
  • Уровень риска
Подробнее
Определение мероприятий по обработке рисков

5. Определение мероприятий по обработке рисков

Результат:

  • Приоритизированный план мероприятий по обработке рисков в формате дорожной карты (диаграмма Ганта)
  • Презентация для руководства с краткими итогами проекта
Подробнее
опция

6. Автоматизация процесса управления рисками КБ

Результат:

  • Внедрена автоматизированная система управления рисками
Подробнее

Наш арсенал в работе с рисками ИБ

Эффективное управление рисками кибербезопасности — это не один инструмент, а система взаимосвязанных методов. Мы подбираем оптимальную комбинацию под задачи и специфику каждой компании:
Комбинация инструментов для управления рисками КБ
Комбинация инструментов для управления рисками КБ

1. Обследование контрольной среды КБ и определение её уровня зрелости

Анализируем, какие меры защиты уже существуют в компании и насколько они реально работают. Изучаем документацию, проводим интервью с ответственными сотрудниками, проверяем настройки ключевых средств защиты информации. На выходе — независимая оценка уровня зрелости кибербезопасности, которая показывает не то, что задекларировано, а то, что фактически функционирует.
Обследование контрольной среды КБ и определение её уровня зрелости
Пример результата определения уровня зрелости кибербезопасности
Пример результата определения уровня зрелости кибербезопасности

2. Изучение специфики бизнес-процессов и выявление негативных для бизнеса событий КБ

Погружаемся в бизнес-контекст: какие процессы критичны для компании, какие активы обеспечивают её работу, какие инциденты могут нанести невосполнимый ущерб. Совместно с бизнесом формулируем перечень негативных событий — тех сценариев, реализация которых поставит под угрозу операционную устойчивость, репутацию или финансовую стабильность компании.
Изучение специфики бизнес-процессов
Специфика бизнес-процессов и выявление негативных событий

3. Формирование и валидация сценариев реализации рисков КБ

На основе собранных данных формируем конкретные сценарии: кто может атаковать, через что, какой актив пострадает и к каким последствиям это приведёт. Каждый сценарий описывается в разрезе триады КЦД — нарушения конфиденциальности, целостности или доступности. Сценарии проходят валидацию с участием бизнеса и технических специалистов, чтобы отражать реальную картину угроз, а не абстрактный список рисков.

Для каждого сценария определяются:
  • связанные активы
  • задействованные агенты угрозы (нарушители)
  • последствия для бизнеса
  • владелец риска.
Формирование и валидация сценариев реализации рисков КБ
Определение сценариев реализации рисков КБ

4. Определение уровня рисков КБ (количественно / качественно)

Каждый сценарий получает оценку по двум параметрам: вероятности реализации и величине потенциального ущерба. В зависимости от целей и располагаемых данных применяется качественный, количественный или полуколичественный подход. Результат — приоритизированный реестр рисков, понятный как специалистам ИБ, так и руководству компании.
Определение уровня рисков КБ
Реестр рисков, пример

5. Формирование плана мероприятий по обработке рисков КБ и выстраивание дорожной карты развития КБ

Для каждого риска определяется стратегия обработки: снизить, принять, передать или избежать.
Стратегия обработки
Стратегия обработки
Для реализации обработки рисков формируется план конкретных мероприятий, каждое из которых оценивается по уровню влияния на риск, стоимости и срокам внедрения.
план конкретных мероприятий
План конкретных мероприятий
Итогом становится дорожная карта развития киберзащиты в формате диаграммы Ганта — с расстановкой приоритетов и, при необходимости, расчётом ROI для обоснования бюджета перед руководством
карта развития киберзащиты в формате диаграммы Ганта
Карта развития киберзащиты в формате диаграммы Ганта

Инструмент для оценки рисков ИБ

Для удобства мониторинга рисков мы предоставляем инструмент в формате .xlsm:
Оценка угроз кибербезопасности
Количество рисков и угроз информационной безопасности
Уровень зрелости контролей в кб
Общий уровень рисков информационной безопасности
Карта рисков иб
Доля рисков иб по недопустимым событиям
Количественные показатели способов обработки рисков иб

6. Автоматизация процесса управления рисками КБ

Процесс внедрен, однако настало время переходить от excel на новый уровень

Выгода

Централизованный контроль и прозрачность процесса управления рисками КБ

Удобство работы и повышение качества отчетности

Исключение человеческого фактора и повышение точности расчетов

Интеграция с другими системами (управление уязвимостями, активами, задачами)

Определяем требования к функционалу системы

На этом этапе фиксируются требования к функционалу: какие этапы процесса управления рисками должна поддерживать система, какие роли и права доступа необходимы, какие отчётные формы и дашборды нужны руководству, какие интеграции с существующими системами обязательны.


Результат — техническое задание, которое становится основой для всех последующих работ и исключает расхождение ожиданий с итоговым результатом.

Выполняем кастомизацию модулей системы под специфику процесса

Типовой функционал платформы редко совпадает с процессом управления рисками конкретной компании на сто процентов.


На этом этапе система адаптируется под утверждённую методику: настраиваются шкалы оценки вероятности и ущерба, логика расчёта уровня риска, классификаторы активов и агентов угроз, шаблоны сценариев и карточек рисков.

Внедряем, настраиваем интеграции и тестируем систему

Настроенная система разворачивается в инфраструктуре компании, выполняется интеграция с ключевыми источниками данных — Active Directory, CMDB, SIEM и другими релевантными системами.


Проводится функциональное тестирование: проверяется корректность расчётов, работа ролевой модели, отображение отчётов и дашбордов.

Заполняем данные по результатам оценки рисков КБ

Система без данных — это пустой инструмент. На финальном этапе в платформу переносятся результаты проведённой оценки рисков: реестр активов, перечень агентов угроз, сценарии рисков с оценками вероятности и ущерба, план мероприятий по обработке.


Данные структурируются в соответствии с настроенной моделью, после чего система готова к полноценной работе — мониторингу статусов, переоценке рисков и формированию отчётности для руководства.

Подключение источников данных:
Источники данных
Связи модулей:
связи модулей
связи модулей

Результат

Одним из ключевых результатов оценки рисков является возможность наглядно показать, как планируемые вложения в кибербезопасность сокращают совокупную сумму рисков компании в денежном выражении.

Читать далее
Не выбирай, а сочетай!

Один из первых вопросов, который возникает при запуске оценки рисков: насколько точной она должна быть? Нужны ли конкретные цифры в рублях — или достаточно понять, что одни риски высокие, а другие низкие? Ответ зависит от целей, располагаемых данных и зрелости процесса. А чаще всего — от их сочетания.
Пример из практики демонстрирует трёхлетнюю динамику, при этом логика инвестирования полностью прозрачна для бизнеса.

Такой формат представления результатов переводит разговор об ИБ в плоскость, понятную руководству и финансовому блоку: не «нам нужны деньги на защиту», а «вот сколько стоит бездействие и вот конкретная отдача от каждого этапа инвестиций».
динамика снижения рисков
Примеры количественного и качественного подхода:
Пример динамики снижения рисков

Оценка рисков: считать или чувствовать?

количественный и качественный подход
количественный и качественный подход

FAQ

Это зависит от трёх факторов: какие данные у вас уже есть, какие решения должны приниматься на основе результатов и насколько зрел процесс управления рисками в компании. Мы разбираем это на старте проекта и фиксируем выбранную комбинацию методов в методике до начала оценки.

Сертификаты Infosecurity

Нам доверяют

Команда

Елизавета Маркова
Опыт в сфере ИБ
Специалист по ИБ – 6 лет
Ведущий консультант – 3 года
Компетенции
  • Построение систем менеджмента ИБ
  • Проведение оценки рисков ИБ
  • Разработка документации по ИБ
  • Проведение аудитов по ИБ
  • Проведение оценки зрелости процессов ИБ
  • Разработка контента для обучающих курсов по ИБ
Алексей Чуриков
Опыт в сфере ИБ
Инженер внедрения - 4 года
Ведущий консультант / Архитектор – 8 лет
Компетенции
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Аудит и формализация процессов ИБ
  • Разработка корпоративных стандартов по ИБ для группы компаний
  • Построение систем менеджмента непрерывности бизнеса
Арина Азовцева
Опыт в сфере ИБ
Специалист по ИБ – 4 года
Компетенции
  • Оценка рисков ИБ
  • Оценка зрелости ИБ
  • Формализация процессов ИТ\ИБ
Образование
МГТУ им. Н.Э. Баумана

Компетенции
  • Построение систем менеджмента ИБ
  • Проведение оценки рисков ИБ
  • Разработка документации по ИБ
  • Проведение аудитов по ИБ
  • Проведение оценки зрелости процессов ИБ
  • Разработка контента для обучающих курсов по ИБ

Курсы и сертификаты
  • Certified Information Systems Auditor (CISA)
  • Certified in Risk and Information Systems Control (CRISC)
  • ISO/IEC 27001 Lead Auditor

Релевантный опыт реализации
  • Внедрение и сопровождение систем менеджмента ИБ, разработка документации по ИБ, проведение аудитов по ИБ;
  • Выстраивание процесса управления рисками и проведение оценки рисков ИБ в организациях из различных отраслей – финансовый сектор, ритейл, операторы связи;
  • Проведение оценки зрелости процессов ИБ для организаций финансового сектора;
  • Разработка контента для профильноориентированных курсов повышения осведомленности работников в области ИБ для промышленной организации.
Елизавета Маркова
Опыт в сфере ИБ
Специалист по ИБ – 6 лет
Ведущий консультант – 3 года
Образование
ФГБОУ ВПО «Рязанский государственный радиотехнический университет»

Компетенции
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Аудит и формализация процессов ИБ
  • Разработка корпоративных стандартов по ИБ для группы компаний
  • Построение систем менеджмента непрерывности бизнеса

Курсы и сертификаты
  • ISO/IEC 27001 LeadImplementer
  • ISO/IEC 27001 LeadAuditor

Релевантный опыт реализации
  • Внедрение систем менеджмента ИБ более чем в 20 компаниях различных отраслей – ядерная энергетика, государственный сектор, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Выстраивание систем управления рисками ИБ, оценка рисков ИБ – операторы связи, ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Аудит и формализация процессов ИБ более чем в 30 компаниях различных отраслей - ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Проведение BIA, разработка планов непрерывности деятельности для компаний из различных отраслей – ретейл, автомобилестроение, аутсорсинговые компании.
  • Методологическое сопровождение внедрения GRC-систем.
Алексей Чуриков
Опыт в сфере ИБ
Инженер внедрения - 4 года
Ведущий консультант / Архитектор – 8 лет
Образование
ФГБОУ ВО «МГТУ им. Г. И. Носова»

Компетенции
  • Оценка рисков ИБ
  • Оценка зрелости ИБ
  • Формализация процессов ИТ\ИБ

Релевантный опыт реализации
  • Участие в организации и проведении встреч в рамках аудита ИБ заказчика.
  • Проведение качественной и количественной оценки рисков ИБ.
  • Разработка практических рекомендаций по внедрению технических контролей и организационных мер.
  • Проведение сравнительного анализа текущих процессов ИБ заказчика с лучшими отраслевыми практиками и требованиями стандартов. Подготовка стратегических рекомендаций по повышению уровня зрелости ИБ.
  • Разработка внутренних организационно-распорядительных документов в области обеспечения ИБ.
Арина Азовцева
Опыт в сфере ИБ
Специалист по ИБ – 4 года

Бесплатная консультация

У Вас остались вопросы?

Оставьте заявку и мы свяжемся с вами в ближайшее время.

Новости и события