Выстраивание системы управления рисками информационной безопасности

Выстроим процесс, который компания сможет вести самостоятельно.

Срок: 1–2 месяца
Стоимость: от 800 000 ₽
Получить консультацию Запросить диагностику
портфель из 320 проектов в информационной безопасности
Более 320 проектов
реализовано
Команда инженеров по иб
Более 250 инженеров
в команде
15 лет на рынке информационной безопасности
Более 15 лет
на рынке ИБ

Этапы управления рисками иб

Обследование контрольной среды КБ

1. Обследование текущей процедуры управления рисками

Результат:

  • Иерархия и зависимости процессов управления рисками ИБ в Компании
Подробнее
Проектирование этапов, определение ролей, полномочий

2. Проектирование этапов, определение ролей, полномочий

Результат:

  • Ролевая модель процесса
  • Этапы процесса
Подробнее
Выстраивание системы управления, включая жизненный цикл риска КБ

3. Выстраивание системы управления, включая жизненный цикл риска КБ

Результат:

  • Политика управления рисками КБ
  • Регламент управления рисками КБ
  • Методика определения уровня риска КБ
Подробнее
Оценка рисков КБ

4. Оценка рисков КБ

Результат:

  • Реестр рисков КБ
  • План обработки рисков КБ
  • Инструмент расчета рисков
Подробнее
Определение мероприятий по обработке рисков

5. Обучение оценке рисков КБ

Результат:

  • Обучающие материалы (памятки, схемы, шаблоны, каталоги)
  • Проведение обучающих встреч
Подробнее

1. Обследование текущей процедуры управления рисками

Прежде чем выстраивать новый процесс, необходимо понять, что уже существует. На этом этапе анализируется текущее состояние: есть ли в компании формализованный процесс управления рисками, как он устроен, какие практики сложились стихийно, где узкие места. Это позволяет также «встроить» процесс управления рисками информационной безопасности в общий процесс управления корпоративными рисками.
анализ и управление рисками информационной безопасности

2. Проектирование этапов, определение ролей, полномочий

На основе результатов обследования формируется целевая модель процесса анализа и управление рисками информационной безопасности: определяются его ключевые этапы, круг участников, их роли и границы ответственности. Четко фиксируется, кто инициирует оценку, кто её проводит, кто согласует решения и кто несёт итоговую ответственность за риск.
Проектирование этапов кибербезопасность управление сетевыми рисками

3. Выстраивание системы управления, включая жизненный цикл риска КБ

Риск проходит путь от выявления до обработки — этот путь должен быть формализован. На данном этапе описывается полный жизненный цикл риска кибербезопасности: идентификация, оценка, обработка, мониторинг и переоценка. Также устанавливаются критерии, по которым выбираются способы обработки.

Фрагмент схемы процесса (пример)

Проектирование этапов управления рисками иб
Процесс должен оставлять документальный след. На этом этапе определяется, какие артефакты сопровождают каждый шаг процесса: реестры, карточки рисков, протоколы решений, отчёты. Устанавливаются требования к их содержанию, форме и актуальности — чтобы документация была не формальностью, а рабочим инструментом.

Результатом этапа являются документы по управлению рисками информационной безопасности:

Политика

Нормативный документ, определяющий требования к управлению рисками ИБ

Верхнеуровневый документ, который:
  • отражает принцип риск-ориентированного подхода
  • содержит требования к управлению рисками КБ (идентификация, оценка, обработка, информирование, реализация плана обработки рисков, мониторинг)

Регламент

Нормативный документ, описывающий процесс управления рисками ИБ

Документ описывает процесс управления рисками КБ:
  • участники, их функции, полномочия
  • установление контекста управления рисками (определение области оценки рисков, используемых методик и критериев)
  • описание этапов управления рисками (идентификация, оценка, обработка, информирование, реализация плана обработки рисков, мониторинг)
  • отчетные формы

Методика

Нормативный документ, описывающий алгоритм расчета риска ИБ

Методика расчета рисков и критерии оценки рисков (количественный / качественный подходы к оценке)

4. Оценка рисков КБ

Следующим шагом является апробация сформированного процесса и методики оценки рисков.

Результатом этапа является реестр рисков ИБ, план обработки рисков и инструмент расчета рисков.

5. Обучение оценке рисков КБ

Процесс работает неэффективно из-за недостаточной вовлечённости?
Участники не понимают, как выявлять риски и какую роль они играют?

Обучаем, вовлекаем и превращаем управление рисками ИБ в повседневную практику.

Определяем целевые группы обучения

Не все участники процесса взаимодействуют с рисками одинаково - а значит, и обучение не может быть универсальным.


На этом этапе определяется, кто и в какой роли вовлечён в управление рисками: топ-менеджмент, владельцы бизнес-процессов, функции ИТ и ИБ и другие.


Для каждой группы формируется своя программа — с учётом уровня погружения и зоны ответственности.

Формируем обучающие материалы

Разрабатываются содержательные, практически ориентированные материалы: презентации, инструкции, справочники, шаблоны.


Всё создаётся под специфику компании — без лишней теории и с акцентом на то, что участникам действительно нужно знать для работы.

Проводим обучающие встречи

Материалы передаются через живое взаимодействие: обучающие сессии с каждой целевой группой, разбор практических кейсов, ответы на вопросы.


Цель — не поставить галочку, а добиться реального понимания.

Каталоги для оценки (пример)

Каталоги для оценки (пример)

Компрометация чувствительных данных
Нарушение конфиденциальности
Нарушитель реализовал целевую атаку на ИТ-инфраструктуру с использованием скомпрометированных учетных записей, известных уязвимостей ПО и конфигураций, недостатков разграничения сетевого и логического доступа, в результате чего получил несанкционированный доступ к чувствительным данным и скопировал их с целью продажи
Утечка конфиденциальной информации, представляющей ценность для компании (стратегических планов, деталей ценообразования)
Утечка исходного кода разрабатываемого ПО
Утечка критичных данных пользователей и клиентов (персональные, финансовые, аутентификационные данные)

Описание последствий в части ИБ

Тип последствий в части ИБ

Сценарий реализации

Негативные для бизнеса события с т.з. ИБ

Типы нарушителей и соответствующие сценарии угроз

Пример каталога нарушителей

Хакерская группировка

Хакерская группировка

Преступные группа, совершающая кибератаки по заказу конкурентов или других государств.


Когда выбрать:

Угроза проникновения внешнего нарушителя в ИТ-инфраструктуру Компании и реализации масштабной атаки:

  • массовой утечки чувствительной информации;
  • модификации (подмены) значительного объема информации.
Работник (рядовой)

Работник (рядовой)

Штатный работник компании без привилегированных прав доступа, но с доступом к чувствительной коммерческой информации.


Когда выбрать:

Угроза несанкционированных действий / непреднамеренных ошибок работника с непривилегированными правами доступа, однако являющегося специалистом бизнес-направления (например, менеджер по работе с клиентами).

Администратор ИР/СЗИ

Администратор ИР/СЗИ

Штатный работник компании с привилегированными правами доступа к информационным ресурсам и / или СЗИ.


Когда выбрать:

Угроза несанкционированных действий / непреднамеренных ошибок работника с привилегированными правами доступа.

Проблемы управления рисками информационной безопасности

Кейс №1

ИБ не существует в вакууме — её риски должны быть неразрывно связаны с бизнес-процессами. Но что, если сам бизнес не проявляет интереса к участию в процессе управления рисками ИБ?

Для эффективной работы необходимо выстроить «3 линии защиты».
3 линии защиты от риска и процесс управления рисками информационной безопасности

Кейс №2

Кто должен нести ответственность за риск ИБ и как его заставить это делать?

Распределение ответственности можно сопоставить с уровнем риска. Передача полномочий должна быть формализована в Компании через официальные документы и процессы.
кто несет ответственность за риск

Кейс №3

Где вообще искать риски ИБ?

Чтобы управление рисками не превращалось в формальность, важно задать правильную точку отсчёта.
ИТ- и ИБ-процессы должны быть выстроены так, чтобы любые отклонения автоматически трактовались как риски ИБ
  • Невозможность устранения уязвимости
  • Внедрение изменений без тестирования
  • Отсутствие АВЗ на части устройств
Ключевые изменения в бизнес-процессах, в том числе затрагивающие ИБ и ИТ, должны проходить через риск-анализ
  • Появление нового сервиса
  • Привлечение третих сторон
  • Изменение состава активов
Комплаенс-изменения должны рассматриваться с точки зрения связанных рисков ИБ
  • Изменение требований применимых стандартов ИБ
  • Изменения в применимом законодательстве

Методика расчета риска

Мы разрабатываем методику оценки рисков КБ с учётом особенностей Вашей компании: специфики бизнеса, наличия бизнес-метрик, корпоративных требований, а также целей оценки — будь то сравнение инвестиций с уровнем риска, быстрая диагностика или оперативное реагирование на возникающие угрозы.

Читать далее
Ущерб в качественном подходе оценивается экспертно (низкий / средний / высокий) либо через критичность активов. Количественный подход позволяет выразить ущерб в рублях — экспертно или через разложение на прямые потери (влияние на бизнес-метрики, санкции, претензии) и косвенные. Если точных данных нет, качественным оценкам присваиваются числовые эквиваленты —это полуколичественный подход.

Оценка ущерба

управление рисками информационной безопасности организации
Вероятность оценивается аналогично: качественно — экспертно или на основе статистики через математическое распределение; количественно — в процентах, также экспертно или статистически. При необходимости качественные значения переводятся в количественные.

Оценка вероятности

управление рисками безопасности информационных систем организаций

Выгода от услуги

Системность вместо реактивности

Оценка рисков КБ перестаёт быть ситуативным ответом на возникающие угрозы, становится неотъемлемой частью корпоративной деятельности. Процесс работает непрерывно - независимо от того, случился инцидент или нет.

Методология, адаптированная под компанию

Вместо универсальных шаблонов, которые плохо ложатся на реальную специфику бизнеса, выстраивается собственный подход к оценке — с учётом отраслевого контекста, структуры активов и реального профиля угроз.

Руководство принимает решения на основе данных

Топ-менеджмент на регулярной основе получает актуальную, структурированную информацию о рисках — достаточную для того, чтобы принимать взвешенные управленческие решения: где усилить защиту, где принять риск, а где скорректировать стратегию управления риском информационной безопасности. Кибербезопасность перестаёт быть «чёрным ящиком», и становится понятным инструментом управления.

FAQ

Разовая оценка — это срез на момент времени: вы получаете реестр рисков и план мероприятий, но процесс на этом заканчивается. Выстраивание системы управления рисками информационной безопасности — это создание работающего механизма внутри компании: с ролями, регламентами, методикой и культурой, которые позволяют управлять рисками самостоятельно, непрерывно и без внешней поддержки.

Сертификаты Infosecurity

Нам доверяют

Команда

Образование
МГТУ им. Н.Э. Баумана

Компетенции
  • Построение систем менеджмента ИБ
  • Проведение оценки рисков ИБ
  • Разработка документации по ИБ
  • Проведение аудитов по ИБ
  • Проведение оценки зрелости процессов ИБ
  • Разработка контента для обучающих курсов по ИБ

Курсы и сертификаты
  • Certified Information Systems Auditor (CISA)
  • Certified in Risk and Information Systems Control (CRISC)
  • ISO/IEC 27001 Lead Auditor

Релевантный опыт реализации
  • Внедрение и сопровождение систем менеджмента ИБ, разработка документации по ИБ, проведение аудитов по ИБ;
  • Выстраивание процесса управления рисками и проведение оценки рисков ИБ в организациях из различных отраслей – финансовый сектор, ритейл, операторы связи;
  • Проведение оценки зрелости процессов ИБ для организаций финансового сектора;
  • Разработка контента для профильноориентированных курсов повышения осведомленности работников в области ИБ для промышленной организации.
Елизавета Маркова
Опыт в сфере ИБ
Специалист по ИБ – 6 лет
Ведущий консультант – 3 года
Образование
ФГБОУ ВПО «Рязанский государственный радиотехнический университет»

Компетенции
  • Построение систем менеджмента ИБ
  • Построение систем управления рисками ИБ, оценка рисков ИБ
  • Аудит и формализация процессов ИБ
  • Разработка корпоративных стандартов по ИБ для группы компаний
  • Построение систем менеджмента непрерывности бизнеса

Курсы и сертификаты
  • ISO/IEC 27001 LeadImplementer
  • ISO/IEC 27001 LeadAuditor

Релевантный опыт реализации
  • Внедрение систем менеджмента ИБ более чем в 20 компаниях различных отраслей – ядерная энергетика, государственный сектор, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Выстраивание систем управления рисками ИБ, оценка рисков ИБ – операторы связи, ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Аудит и формализация процессов ИБ более чем в 30 компаниях различных отраслей - ядерная энергетика, государственный сектор, крупнейшие ИТ-компании, авиаотрасль, облачные провайдеры, разработчики ПО.
  • Проведение BIA, разработка планов непрерывности деятельности для компаний из различных отраслей – ретейл, автомобилестроение, аутсорсинговые компании.
  • Методологическое сопровождение внедрения GRC-систем.
Алексей Чуриков
Опыт в сфере ИБ
Инженер внедрения - 4 года
Ведущий консультант / Архитектор – 8 лет
Образование
ФГБОУ ВО «МГТУ им. Г. И. Носова»

Компетенции
  • Оценка рисков ИБ
  • Оценка зрелости ИБ
  • Формализация процессов ИТ\ИБ

Релевантный опыт реализации
  • Участие в организации и проведении встреч в рамках аудита ИБ заказчика.
  • Проведение качественной и количественной оценки рисков ИБ.
  • Разработка практических рекомендаций по внедрению технических контролей и организационных мер.
  • Проведение сравнительного анализа текущих процессов ИБ заказчика с лучшими отраслевыми практиками и требованиями стандартов. Подготовка стратегических рекомендаций по повышению уровня зрелости ИБ.
  • Разработка внутренних организационно-распорядительных документов в области обеспечения ИБ.
Арина Азовцева
Опыт в сфере ИБ
Специалист по ИБ – 4 года

Бесплатная консультация

У Вас остались вопросы?

Оставьте заявку и мы свяжемся с вами в ближайшее время.

Новости и события