Оценка и управление рисками ИБ
Количественная оценка рисков ИБ и интеграция процесса управления рисками в корпоративную систему
Услуга направлена на создание и внедрение у заказчика формализованного процесса управления рисками ИБ на базе лучших практик ISO 27005, ISO 27001 и ISO 31000 с возможностью применения количественных методов (в т.ч. FAIR) для обоснования затрат на ИБ. Такой процесс формирует единый риск-ориентированный контур: позволяет системно выявлять и описывать сценарии рисков, сопоставлять их с установленными риск-критериями организации, выбирать оптимальные варианты обработки и поддерживать требуемый уровень защищённости и соответствия регуляторным требованиям.
Основа нашего подхода — связать требования ISO 27005 (установление контекста, определение риск-критериев, циклы риск-менеджмента, работа с риск-сценариями) с уже действующими у заказчика ИБ-процессами и корпоративным риск-менеджментом. Суть подхода: сначала выявляются риски ИБ, затем оценивается, как именно они могут повлиять на бизнес-цели и работу организации.
Таким образом формируется полный цикл управления рисками: риск нашли → проанализировали, к чему он приведёт для бизнеса → сравнили с установленными в компании критериями приемлемости → выбрали, что с ним делать (снизить, принять, передать) → зафиксировали решение и ответственных → через время вернулись и пересмотрели, актуален ли риск и меры по нему.
Кому полезна услуга:
- организациям, которым необходимо соответствие ISO 27001:2022 и обоснование выбора мер защиты через формальный процесс оценки рисков ИБ;
- финансовым организациям, подпадающим под требования ГОСТ Р 57580.1–4, требования Банка России и НСПК, которым нужен реестр рисков ИБ, обосновывающий риск-ориентированный выбор мер защиты ИБ;
- компаниям, которым необходимо расставить приоритеты по уже запланированным мероприятиям ИБ в зависимости от уровня риска ИБ для ключевых бизнес-целей организации;
- ИБ-подразделениям, которым нужен понятный инструмент для обсуждения приоритетов ИБ с бизнесом и топ-менеджментом в терминах бизнес-рисков;
- организациям, которые хотят перейти от простого списка угроз к системной работе с риск-сценариями в соответствии с подходами ISO/IEC 27005:2022
Описание этапов работ
Этап 1. Установление контекста и риск-критериев (по разд. 6 ISO/IEC 27005:2022)
Специалисты компании «Информзащита» выполняют:
- анализ внешнего и внутреннего контекста организации: цели, регуляторы, контрагенты, архитектура ИТ/ИБ;
- выявление требований заинтересованных сторон и документов, определяющих обязательные меры защиты (ISO/IEC 27001:2022, Приложение A, отраслевые стандарты, договорные требования);
- установление и документирование критериев риска ИБ: шкалы последствий (конфиденциальность, целостность, доступность), шкалы вероятности и правил определения уровня риска;
- согласование критериев приемлемости и уровней делегирования (кто может принять риск, в каких границах) — в связке с риск-аппетитом организации;
- выбор подхода к идентификации рисков: сценарный (event-based) для стратегических рисков и/или на базе ИТ-активов (asset-based) для низкоуровневых ИБ-рисков.
Результат этапа: описанный и согласованный с заказчиком порядок оценки рисков ИБ, совместимый с ISO 27001, и единые шкалы, по которым дальше будут оцениваться все риски.
Этап 2. Идентификация активов, владельцев и риск-сценариев (по разд. 7.2 ISO/IEC 27005:2022)
На этом этапе мы:
- формируем реестр информационных и ИТ-активов;
- фиксируем действующие организационные и технические меры ИБ — для учёта их влияния на уровень риска;
- выявляем релевантные угрозы и уязвимости;
- описываем риск-сценарии в терминах ISO/IEC 27005:2022: «источник риска → событие → нежелательное последствие», с привязкой к целям и бизнес-процессам;
- определяем владельцев рисков, имеющих полномочия на выбор варианта обработки.
Результат этапа: реестр активов и реестр риск-сценариев ИБ с указанием владельцев и исходных мер защиты.
Этап 3. Анализ и оценка рисков ИБ (идентификация → анализ → оценка из разд. 7 ISO/IEC 27005:2022)
Выполняется:
- оценка последствий для конфиденциальности, целостности и доступности с переводом в бизнес-метрику (штрафы, простой сервиса, потеря данных, репутация);
- оценка остаточного уровня риска с учётом актуального профиля угроз и эффективности уже внедрённых средств защиты;
- расчёт уровня риска по согласованной с заказчиком матрице;
- сравнение с критериями приемлемости и приоритизация рисков к обработке;
- при необходимости – количественная оценка (в т.ч. по методике FAIR: частота событий, величина потерь, диапазоны), для монетарного обоснования инвестиций в ИБ и демонстрации монетарного диапазона возможного ущерба для бизнеса от реализации риска ИБ.
Результат этапа: реестр рисков ИБ с оцененным уровнем риска (качественно/количественно), причинами, последствиями и приоритетами обработки.
Этап 4. Обработка рисков и сопоставление с ISO/IEC 27001:2022 Приложение A (разд. 8 ISO/IEC 27005:2022)
По каждому неприемлемому риску мы, совместно с Заказником:
- выбираем оптимальный вариант обработки риска: снизить, избежать, передать (страхование/аутсорсинг), принять;
- подбираем и обосновываем необходимые управленческие и технические меры ИБ;
- сравниваем выбранные меры с контролями ISO/IEC 27001:2022 Приложение A и формируем перечень применимости (SoA), чтобы показать, что выбор мер основан на результатах оценки рисков;
- формируем план обработки рисков ИБ с указанием сроков, ответственных и ресурсов.
Результат этапа: утверждаемый план обработки рисков ИБ и материалы для руководства (какие риски, чем закрываем, сколько стоит, какой остаточный риск остаётся).
Этап 5. Внедрение, мониторинг и пересмотр
Чтобы соответствовать циклам риск-менеджмента из ISO 27005 (стратегический и операционный), мы:
- описываем периодичность и триггеры повторной оценки (новые сервисы, инциденты, изменения в угрозах);
- настраиваем отчётность по рискам ИБ для ИБ-подразделения и топ-менеджмента;
- при необходимости интегрируем процесс управления рисками ИБ в общекорпоративную систему риск-менеджмента.
Результат для заказчика
- формализованный и документированный процесс оценки и управления рисками ИБ, соответствующий ISO 27005 и поддерживающий требования ISO/IEC 27001;
- реестр ИТ-активов и риск-сценариев с оценкой их ценности и влияния на бизнес;
- реестр рисков ИБ с оценкой допустимости и приоритетами;
- согласованные критерии риска и правила их пересмотра;
- план (дорожная карта) обработки рисков с привязкой к контролям ISO 27001 Приложение A;
- отчётные материалы для топ-менеджмента для обоснования бюджета на ИБ и выбора мер;
- снижение операционных и регуляторных рисков за счёт того, что меры ИБ выбираются по результатам оценки рисков.
Компания «Информзащита» предоставляет методическую поддержку, адаптирует подход ISO 27005 под отрасль и действующие у заказчика процессы и при необходимости подключает количественные методы оценки рисков ИБ (в т.ч. FAIR) — чтобы напрямую связать ИБ-риски с бизнес-целями и управленческими решениями.
Услуга направлена на создание и внедрение у заказчика формализованного процесса управления рисками ИБ на базе лучших практик ISO 27005, ISO 27001 и ISO 31000 с возможностью применения количественных методов (в т.ч. FAIR) для обоснования затрат на ИБ. Такой процесс формирует единый риск-ориентированный контур: позволяет системно выявлять и описывать сценарии рисков, сопоставлять их с установленными риск-критериями организации, выбирать оптимальные варианты обработки и поддерживать требуемый уровень защищённости и соответствия регуляторным требованиям.
Новости и материалы по теме
