Открыть сервис

Управление рисками информационной безопасности

Управление рисками информационной безопасности — это непрерывный, систематический и структурированный процесс, направленный на выявление, оценку, анализ и минимизацию рисков, связанных с нарушением конфиденциальности, целостности и доступности информации. Данный процесс является ключевым элементом системы менеджмента информационной безопасности (СМИБ) организации и позволяет принимать обоснованные решения по защите информационных активов, балансируя затраты на меры защиты с потенциальным ущербом от реализации угроз.

Цели и задачи

Основной целью управления рисками ИБ является снижение вероятности и/или последствий неблагоприятных событий, связанных с информацией, до приемлемого уровня. Задачами процесса выступают:

История развития

Дисциплина управления рисками ИБ начала формироваться в 1970-х годах с появлением первых стандартов защиты компьютерных систем. В 1980-х годах, с ростом числа компьютерных преступлений, возникла потребность в формализованных методиках оценки. Ключевым этапом стала публикация в 1995 году стандарта BS 7799 (Великобритания), который позже лёг в основу международного стандарта ISO/IEC 27001 (первая версия — 2005 год). В России развитие регулируется серией национальных стандартов ГОСТ Р ИСО/МЭК 27001, а также методическими документами Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Банка России.

Ключевые этапы процесса

Процесс управления рисками ИБ, как правило, цикличен и включает следующие стадии:

1. Определение контекста

На этом этапе устанавливаются границы и критерии оценки рисков: стратегические цели организации, требования законодательства (например, Федеральный закон № 152-ФЗ «О персональных данных»), технические и организационные особенности системы.

2. Идентификация рисков

Проводится инвентаризация активов, выявление угроз (например, действия злоумышленников, отказы оборудования, ошибки персонала, стихийные бедствия) и уязвимостей (недостатки в настройках, отсутствие антивирусной защиты, слабые пароли). Результат — реестр рисков.

3. Анализ и оценка рисков

Риски оцениваются количественно (в денежном выражении) или качественно (по шкалам, например, «низкий», «средний», «высокий»). Учитываются два фактора:

Риски ранжируются по степени критичности. Риски, превышающие установленный порог, требуют обязательной обработки.

4. Обработка рисков

Выбор стратегии реагирования:

5. Мониторинг и пересмотр

Риски не статичны. Регулярный мониторинг (аудит, сбор событий безопасности, анализ инцидентов) позволяет выявлять новые угрозы и корректировать меры защиты.

Методологии и стандарты

Существует несколько общепризнанных подходов к управлению рисками ИБ:

Практическое применение в России

В Российской Федерации управление рисками ИБ является обязательным требованием для ряда организаций. В частности:

На практике процесс часто автоматизируется с помощью специализированного программного обеспечения (GRC-системы, системы управления уязвимостями).

Критика и сложности

Несмотря на широкое распространение, управление рисками ИБ подвергается критике:

Связь с другими дисциплинами

Управление рисками ИБ тесно связано с:

Источники

  1. ГОСТ Р ИСО/МЭК 27001-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
  2. ГОСТ Р ИСО/МЭК 27005-2010 «Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».
  3. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  4. Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
  5. Методические рекомендации по оценке рисков информационной безопасности (документы ФСТЭК России и Банка России).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →