Лучшие онлайн игры ONGAB logo
Ты не пройдёшь: анализ рисков информационной безопасности: обложка
Ур. 30 Поддержать Подписаться

Ты не пройдёшь: анализ рисков информационной безопасности

Мир игрового железа

  •    •  
Поддержать Подписаться
0 337 0 0
1

Риски безопасности были всегда. Дворцовая стража, пограничники, охранники фабрик и складов — все они служат одной цели: уберечь имущество и людей, которые находятся внутри. Они стараются, чтобы заговорщики, террористы, грабители и прочие подобные личности никому не навредили, ничего не сломали и не утащили.

Нужны сторожа и в цифровом пространстве. Ведь там хранятся наиболее ценные сегодня ресурсы: терабайты информации. Информации, благодаря которой функционируют и развиваются современные институты и предприятия. Информации, которая погубит компанию в случае утечки.

Индустриям требуются специалисты по рискам информационной безопасности. Научиться оперативно выявлять, анализировать и оценивать такие риски для дальнейшего сокращения, передачи или утилизации можно на курсах дополнительного профессионального образования. Здесь же мы лишь рассмотрим категории угроз и процедуру их анализа.

Проблемы цифрового века

Риск информационной безопасности — сочетание неблагоприятного для предприятия события с вероятностью его наступления. Это может быть утечка личных данных или корпоративной тайны, несанкционированное удаление или порча файлов, кража оборудования и тому подобное. Такая деятельность призвана нанести ущерб: в случае её успеха компания понесёт убытки в сотни тысяч рублей, а её рабочие и управляющие станут мишенями для недоброжелателей.

Помнишь того жутковатого дизайнера, которого ты уволил на днях? Нет? Ничего, скоро вспомнишь…

Подобное может произойти случайно или стать результатом целенаправленного труда. Кто-то положил палец не на ту кнопку, и теперь надо восстанавливать важный файл. Хорошо, если на сервере есть диск для резервных копий: тогда всё можно вернуть. А бывает, что человек годами входит в доверие. Смотришь на него и не считаешь его угрозой. Но потом замечаешь, что твои конкуренты слишком усиливаются, и начинаешь подозревать кого-то в сливе информации. В обоих случаях компания теряет деньги и время.

Недоброжелатели стремятся нарушить конфиденциальность, целостность и доступность ресурсов компании. Последние делятся на две категории:

  • нематериальные — информация, организационные процессы;
  • материальные — серверное оборудование, программное обеспечение, каналы передачи, системы хранения данных, персонал.

И все они связаны. Тот, кто атакует вторые ресурсы, повреждает первые, и наоборот.

Учимся разбираться в рисках

На курсах «РБК» слушатели ознакомятся с различными методиками анализа рисков. Они твёрдо усвоят разницу между незначительными и неприемлемыми рисками и научатся по-быстрому обрабатывать последние. Здесь лишь скажем, что у этих методик много общего. Процесс оценки всегда делится на следующие восемь этапов:

  1. Инициализация. В начале специалист должен всё спланировать и получить доступ к ресурсам — в том числе человеческим, ибо полностью автоматизировать процесс пока невозможно.

  2. Определение ценности активов. Здесь специалист инвентаризирует инфраструктуру компании, описывает и оценивает активы. При этом он должен придерживаться принципов целостности, конфиденциальности и доступности информации.

  3. Составление модели нарушителя. Специалист изучает историю инцидентов и сведения из открытых источников и на основании этой информации выявляет потенциальные угрозы для организации. Далее он присваивает каждой из них характеристику — в том числе вероятность её наступления в процентах.

  4. Выявление уязвимостей. Специалист ищет «слабые места» в технической и организационной инфраструктуре предприятия. Тут ему помогают замечания и несоответствия, которые выявили во время аудита.

  5. Анализ защитных мер. Далее специалисту предоставляют перечень действующих в компании организационных и технических механизмов «обороны», и он изучает их эффективность.

  6. Собственно оценка рисков. На этом этапе специалист сортирует негативные сценарии на основании их последствий: от незначительных до абсолютно неприемлемых.

  7. Планирование обработки неприемлемых рисков. Специалист описывает и предлагает управляющим методы полного исключения наиболее опасных сценариев. Директора сами должны решить, что из этого им подойдёт, а что нет. Всё зависит от затрат на внедрение и бюджета компании. На что уйдёт больше денег: на реализацию той или иной меры или на устранение последствий инцидента, который эта мера призвана предотвратить?

  8. Отчётность. Наконец, специалист составляет документ, в котором описывает результаты анализа, перечень неприемлемых рисков и план их обработки.

0

0 комментариев
Оставлять комментарии могут только зарегистрированные пользователи
Материалы в тему
×
Новая лига, вступаем =) Mass Effect
Закрыть все