• LinkedIn
  • Facebook
  • Mail
+375 17 28 28 959
МультиТек Инжиниринг информационная безопасность
  • О компании
    • О компании
    • Миссия и ценности
    • Лицензии и сертификаты
    • Нам доверяют
    • Политики MTE
      • Политика в области качества и защиты информации
      • Политика в отношении обработки персональных данных
      • Политика в отношении обработки cookie
      • Политика видеонаблюдения
    • Руководство
    • Партнёры
    • Брошюра компании
  • Услуги и Решения
    • Интегрированные системы защиты информации
    • Центр управления информационной безопасностью (ЦУИБ)
    • Центр кибербезопасности
    • Мониторинг, корреляция и анализ событий ИБ (SIEM)
    • Платформа оркестрации, автоматизации ИБ и реагирования на инциденты (SOAR)
    • Система инвентаризации и управления жизненным циклом информационных активов (ACP)
    • Платформа управления, моделирования рисков и аудита информационной безопасности (SGRC)
    • Платформа комплексной работы с данными киберразведки (TIP)
    • Повышение осведомленности о кибербезопасности (Security Awareness)
    • Защита информации в АСУ ТП
    • Защита ИТ-инфраструктуры
    • Защита
      информации
    • Консалтинг информационной безопасности
    • Система противодействия мошенничеству (anti-fraud)
  • Пресс-центр
  • Блоги
  • Карьера
  • Контакты
  • Поиск
  • Меню Меню
эксперты R-Vision и MTEDesigned by fullvector / Freepik
эксперты R-Vision/MTE

Риск-ориентированный подход к информационной безопасности

22 декабря, 2020/в Блог MTE / эксперты R-Vision/MTE

Долгое время в информационной безопасности практиковался подход, когда основной целью было выполнение регуляторных требований или по-другому – compliance. Любая компания обязана соблюдать требования тех или иных регуляторов и стандартов в зависимости от специфики своей деятельности. Однако в некоторых случаях дословное выполнение действующих требований не только бывает невозможным, но ещё и нецелесообразным с учетом специфики конкретной организации. Нередки ситуации, когда реализация требования может обойтись слишком дорого по сравнению с потенциальными потерями в случае ущерба или даже серьезно навредить бизнесу. Не всегда имеется достаточное количество ресурсов, чтобы полностью выполнить все требования. В таких случаях к соблюдению нормативного документа следует подходить тщательно выбирая, на что сделать упор.

Сегодня во многих компаниях активно практикуется риск-ориентированный подход, когда решения о реализации мер защиты и совершенствовании системы ИБ принимается на основе оценки рисков, проводимой согласно принятым в индустрии методологиям и лучшим практикам. Качественно выстроенный процесс риск-менеджмента позволит руководителю ИБ самостоятельно определять необходимый набор мер для снижения недопустимых рисков и поможет как сэкономить бюджет, не тратя его впустую на защиту непрофильных направлений, систем или бизнес-процессов, так и обосновать выделение дополнительных ресурсов на защиту новых сфер деятельности компании, не забывая при этом про compliance.

В общей сложности в мире существует несколько десятков разного рода методик и подходов к управлению и оценке рисков ИБ. Наиболее известными являются следующие: ISO 27005, NIST SP800-30, РС БР ИББС-2.2, OCTAVE, F.A.I.R (Factor Analysis of Information Risk), RiskIT. Большинство из имеющихся нормативных и отраслевых требований не предписывают необходимость использования для оценки рисков какой-то конкретной методологии, оставляя выбор на усмотрение специалистов в организации.

Риск-менеджмент – это регулярный цикличный процесс. Рекомендованная периодичность для проведения оценки рисков составляет от года до 3-х лет, в зависимости от специфики и размера организации. В случае серьезных изменений инфраструктуры, процессов или бизнес-моделей ее нужно пересматривать. В крупных компаниях она может производиться ежеквартально.

Процесс оценки рисков начинается с инвентаризации активов и определения их ценности. Далее, исходя из актуальной модели нарушителя и имеющихся предпосылок, организация должна определить перечень потенциальных рисков. Этот перечень ранжируется с помощью определения уровня рисков – величины, классически выводимой на основе сопоставления возможного ущерба и вероятности его наступления. Так, риску, реализация которого с большой вероятностью может принести 1 млн. ущерба, отдадут больший приоритет, нежели риску, потенциально наносящему 2 млн. ущерба, но с очень маленькой вероятностью. Затем выбираются варианты обработки оцененных рисков – например, снижение их уровня с помощью подбора защитных мер, и просчитывается бюджет.

Несмотря на то, что риск-менеджмент должен проводиться на регулярной основе, на практике отдел информационной безопасности не может уделять ему всё своё внимание. Обычно риск-менеджмент – это лишь одна из его задач, поэтому крайне важно найти приемлемый баланс имеющихся человеческих и временных ресурсов и использовать инструменты, которые помогут выполнять эту задачу быстро и эффективно.

Для проведения оценки рисков исторически использовалось два типа универсальных средств: электронные таблицы и GRC-системы. Уже давно на рынке появились специализированные программы для автоматизации управления информационной безопасностью, включая управление рисками – SGRC платформы. Давайте посмотрим плюсы и минусы всех трех инструментов.

Электронные таблицы, проще говоря, Excel используются в 90% случаев проведения любых оценок рисков, не только информационной безопасности. Это универсальный доступный инструмент, применяемый крупнейшими аудиторскими компаниями в проектах для своих клиентов. При всем удобстве на первый взгляд, у этого инструмента есть целый ряд недостатков. Во-первых, при накоплении достаточного числа исторических данных, анализ которых крайне важен в оценке рисков, таблицы становится тяжело поддерживать и осуществлять быстрый поиск нужной информации. Во-вторых, со временем шаблоны начинают «обрастать» большим количеством вкладок, формул и макросов, которые нередко не интуитивны в использовании и могут начать тормозить. Потеря контакта с автором шаблона может стать серьёзной угрозой всему процессу риск-менеджмента в случае отсутствия актуальной инструкции. Но тем не менее многие организации активно пользуются электронными таблицами в силу отсутствия опыта, за неимением других вариантов или из экономии на GRC-системах.

GRC-системы ориентированы на процессы менеджмента организации. Они видятся как огромный конструктор, полноценное внедрение и настройка которого занимает несколько лет. Это очень дорогой инструментарий, который чаще всего могут позволить только достаточно крупные компании. При этом даже приобретя GRC-систему, организации не всегда могут полноценно использовать ее в силу своей незрелости. Другой важный фактор – отсутствие достаточных компетенций: специалистов по GRC крайне мало, и они очень дороги. По совокупности этих причин такие системы пока что не нашли широкого применения.

Для автоматизации процесса управления информационной безопасностью были разработаны продукты класса Security GRC (SGRC). По сути, они предоставляют функциональность GRC-систем, но в конкретной области применения. SGRC платформы охватывают все процессы информационной безопасности, позволяя управлять рисками без отрыва от других важных процессов, таких как проведение аудитов, контроль информационных активов, мониторинг состояния информационной безопасности в организации.

В отличие от электронных таблиц, в SGRC-платформах предустановлены лучшие практики, методологии проведения оценки, внесены каталоги угроз, предпосылок, защитных мер и т.д., что позволяет быстро проводить и актуализировать оценки рисков. SGRC позволяет получить полную картину по рискам, на которой будет четко видно риски, возможный ущерб и перечень мероприятий, позволяющих снизить риски до приемлемого уровня, а также автоматически просчитан необходимый бюджет. Правильно построенная карта рисков позволит выбрать именно те меры защиты, которые действительно актуальны и принесут больше пользы. Стоит отметить, что SGRC-платформы позволяют автоматизировать не только расчеты, но и сам процесс планирования, сбора информации, взаимодействие участников и визуализацию результата проведенной оценки. Наглядный результат в виде графиков и дашбордов помогает в принятии решений и защите бюджета на информационную безопасность.

Компания МультиТек Инжиниринг готова провести пилотирование решения R-Vision SGRC.

3 663
Поделиться записью
  • Поделиться Facebook
  • Поделиться LinkedIn

Услуги и Решения

  • Центр управления информационной безопасностью (ЦУИБ)
  • Центр кибербезопасности
  • Платформа для управления, моделирования рисков и аудита информационной безопасности (SGRC)
  • Платформа оркестрации, автоматизации ИБ и реагирования на инциденты (SOAR)
  • Платформа для комплексной работы с данными киберразведки (TIP)
  • Система инвентаризации и управления жизненным циклом информационных активов (ACP)
  • Мониторинг, корреляция и анализ событий информационной безопасности (SIEM)
  • Контроль за действиями привилегированных пользователей (PAM)
  • Управление учетными записями и правами пользователей (IDM)
  • Защита от утечек информации (DLP)
  • Система противодействия мошенничеству (anti-fraud)
  • Защита информации в АСУ ТП
  • Консалтинг информационной безопасности
  • Повышение осведомленности о кибербезопасности (Security Awareness)

МультиТек Инжиниринг

  • О компании
  • Миссия и ценности
  • Лицензии и Сертификаты
  • Нам доверяют
  • Политика в области качества и защиты информации
  • Политика в отношении обработки персональных данных
  • Политика в отношении обработки cookie
  • Политика видеонаблюдения
  • Руководство
  • Партнёры
  • Брошюра компании

О компании

  • О компании
  • Миссия и ценности
  • Лицензии и Сертификаты
  • Нам доверяют
  • Политика в области качества и защиты информации
  • Политика в отношении обработки персональных данных
  • Политика в отношении обработки cookie
  • Политика видеонаблюдения
  • Руководство
  • Партнёры
  • Брошюра компании

Пресс-центр

  • Новости компании

Блоги

  • Проектирование и создание системы защиты информацииImage by vectorjuice on Freepik
    Проектирование и создание системы защиты информации. Практический опыт11 апреля, 2025 - 13:49
  • Центр кибербезопасностиImage by vectorjuice on Freepik
    Центр кибербезопасности. От проектирования до эксплуатации. Часть 3. Эксплуатация4 марта, 2025 - 13:37
  • Центр кибербезопасности МультиТек ИнжинирингImage by vectorjuice on Freepik
    Центр кибербезопасности. От проектирования до эксплуатации. Часть 2. Создание24 января, 2025 - 13:49

Услуги и Решения

  • Центр управления информационной безопасностью (ЦУИБ)
  • Центр кибербезопасности
  • Платформа для управления, моделирования рисков и аудита информационной безопасности (SGRC)
  • Платформа оркестрации, автоматизации ИБ и реагирования на инциденты (SOAR)
  • Платформа для комплексной работы с данными киберразведки (TIP)
  • Система инвентаризации и управления жизненным циклом информационных активов (ACP)
  • Мониторинг, корреляция и анализ событий информационной безопасности (SIEM)
  • Контроль за действиями привилегированных пользователей (PAM)
  • Управление учетными записями и правами пользователей (IDM)
  • Защита от утечек информации (DLP)
  • Система противодействия мошенничеству (anti-fraud)
  • Защита информации в АСУ ТП
  • Консалтинг информационной безопасности
  • Повышение осведомленности о кибербезопасности (Security Awareness)

Контакты

ООО «МультиТек Инжиниринг»

220030, Республика Беларусь,
г. Минск, ул. Революционная, 24Б-28

info@mte-cyber.by

Техническая поддержка
support@mte-cyber.by

+375 17 28 28 959

© Копирайт - МультиТек Инжиниринг
Киберустойчивость — это наш подходКИБЕРУСТОЙЧИВОСТЬ - ЭТО НАШ ПОДХОД. МултьтиТек ИнжинирингDesigned by GarryKillian / FreepikС новым годом поздравления от МультиТек ИнжинирингПоздравляем с Новым Годом и Рождеством Х...
Прокрутить наверх

Сайт использует файлы cookie для обеспечения удобства пользователей сайта, его улучшения, предоставления персонализированных рекомендаций. Подробнее о настройках файлов Cookie

ПринятьОтклонитьПодробнее

Cookie и настройки приватности



Как мы используем cookies

Мы можем запросить сохранение файлов cookies на вашем устройстве. Мы используем их, чтобы знать, когда вы посещаете наш сайт, как вы с ним взаимодействуете, чтобы улучшить и индивидуализировать ваш опыт использования сайта.

Чтобы узнать больше, нажмите на ссылку категории. Вы также можете изменить свои предпочтения. Обратите внимание, что запрет некоторых видов cookies может сказаться на вашем опыте испольхования сайта и услугах, которые мы можем предложить.

Необходимые Cookies сайта

These cookies are strictly necessary to provide you with services available through our website and to use some of its features.

Because these cookies are strictly necessary to deliver the website, refusing them will have impact how our site functions. You always can block or delete cookies by changing your browser settings and force blocking all cookies on this website. But this will always prompt you to accept/refuse cookies when revisiting our site.

We fully respect if you want to refuse cookies but to avoid asking you again and again kindly allow us to store a cookie for that. You are free to opt out any time or opt in for other cookies to get a better experience. If you refuse cookies we will remove all set cookies in our domain.

We provide you with a list of stored cookies on your computer in our domain so you can check what we stored. Due to security reasons we are not able to show or modify cookies from other domains. You can check these in your browser security settings.

Другие сторонние сервисы

We also use different external services like Google Webfonts, Google Maps, and external Video providers. Since these providers may collect personal data like your IP address we allow you to block them here. Please be aware that this might heavily reduce the functionality and appearance of our site. Changes will take effect once you reload the page.

Google Webfont Settings:

Google Map Settings:

Google reCaptcha Settings:

Vimeo and Youtube video embeds:

Политика конфиденциальности

Подробнее о нашей политике конфиденциальности и файлах cookies вы можете прочесть на странице Политики конфиденциальности.

Политика в области качества и защиты информации
Open Message Bar