Счастлив тот, кто услышав о своих недостатках, может исправиться (с) У. Шекспир
Вирусы криптовымогатели, плагины майнинга, фишинговые мобильные приложения все чаще показывают нам, на что они способны и на что мы не способны.

При внедрении систем кибербизопасности, компании часто копируют готовые решения. Однако то, что помогает одним компаниям, может навредить другим. В различных компаниях, как правило, складываются уникальные пазлы из различных IT систем, устройств, видов информации, ценностной оценки информации.

Одни компании воспринимают безопасность исключительно, как установку программных средств защиты. Установка брендмауэра и программного обеспечения для обнаружения вторжения часто используется как эффективное средство защиты информации и борьбы с хакерами. Но если сотрудник оставляет пароль на фишинговом сайте или по неосторожности (либо специально) раскрывает свои пароли третьим лицам, даже самое продвинутое программное обеспечение не решит проблему кибербезопасности.

Другие компании тратят непомерные средства на безопасность там, где она не требуется. Размещение вооруженной охраны по периметру здания звучит впечатляюще, однако если основной угрозой является несанкционированный удаленный доступ к объектам интеллектуальной собственности или конфиденциальной информации, такая безопасность имеет мало значения.

Кибербезопасность — это процесс, а не продукт. Процесс строится путем определения потенциальных угроз и применения к ним адекватных мер безопасности.

Процесс кибербезопасности не может быть стандартизирован. На примере нескольких шагов расскажу, с чего должна начинаться кибербезопасность:

1. Идентификация информационных ресурсов


Для того, чтобы начать применять информационную безопасность, необходимо в первую очередь определить, в отношении каких объектов мы будем тратить свои усилия. Часто компании даже не представляют, в каких неожиданных местах можно обнаружить конфиденциальную информацию. Ищем ответы на следующие вопросы:

  • Какую информацию, сети, процессы мы собираемся защищать?
  • Какие информационные системы задействованы и где они расположены?
  • Какие требования законодательства должны соблюдаться (например, Закон “О персональных данных”, Закон «Об информации, информатизации и защите информации» и т.п.)?

2. Периодическая оценка рисков


Следующим шагом является оценка потенциальных рисков, угрожающих информационной безопасности. Сюда входит:

  • Выявление всех вероятных внутренних и внешних угроз.
  • Оценка вероятности того, что угроза материализуется.
  • Оценка потенциального ущерба, в случае наступления инцидента.
  • Оценка политик и процедур внутри компании на случай возникновения инцидента.

Риски оцениваются исходя из характера бизнеса, ценности хранимой информации для бизнеса и партнеров, размеров и объемов сделок и их количества. Целью оценки на данном этапе является определение уровня приемлемого риска. Понимание этого уровня дает возможность оценки необходимых финансовых вложений в борьбу с потенциальными рисками.

3. Разработка и реализация программы безопасности


На основе результатов оценки рисков разрабатывается и реализуется программа безопасности. Программа безопасности состоит из физических, технических и административных мер безопасности для управления и установки контроля над рисками, выявленными в ходе оценки.

Помните, программа безопасности разрабатывается для снижения рисков до приемлемого уровня.

Резюме


7 фатальных ошибок, приводящих компании к провалам в кибербезопасности:

  • использование только программных средств защиты (антивирусы, брендмауэры);
  • использование шаблонных политик безопасности;
  • отсутствие данных об учете и месте хранится конфиденциальной информации;
  • не знание требований законодательства по обороту и хранению данных;
  • отсутствие ценностной оценки информации для бизнеса;
  • отсутствие понимания приемлемого уровня риска;
  • невозможность рассчитать разумный уровень затрат для поддержания и контроля разумного уровня риска.

Комментарии (5)


  1. vilgeforce
    14.02.2018 15:09

    И где разбор полетов для инцидентов с WannaCry и NotPetya в свете перечисленных трех шагов?..


  1. VolCh
    14.02.2018 17:46

    Вот всегда интересно было, как оценить вероятность того, что, например, конкуренты подкупят кого-то из сотрудников, для создания бреши, пойдя на уголовное преступление? По Марксу? Если 300% прибыли, то пойдут?


    1. DenLeto
      15.02.2018 10:52

      Согласен.хоть 10 лет человек работает-всегда есть вероятность подкупа.Нужен разбор как проводить ИБ среди сотрудников.


      1. VolCh
        15.02.2018 15:04

        В некоторых случаях чем больше человек работает, тем выше такая вероятность. С одной стороны, он всё большей информацией владеет, даже если официально доступа к ней не имеет. С другой стороны, у него могут быть обиды на руководстов типа "не ценят", "не повышают" и т. п.


  1. teecat
    15.02.2018 10:40

    Оценка вероятности того, что угроза материализуется.


    Самое интересное место с учетом того, что уровень угроз можно признать зачастую неизвестным