Когда речь заходит об информационных рисках, часто от руководителей разного уровня приходится слышать о том, что для их организации никаких таких рисков не существует. Поэтому, думаю, будет совсем не лишним поговорить немного об информационных рисках. Чтобы понять, какие риски есть, всё-таки придется провести кое-какое исследование...
Вы можете обратиться к консалтерам, которые сделают всё за вас и красиво обоснуют с точностью до запятой каждую полученную цифру. И это будет очень хороший, но вместе с тем и весьма недешёвый вариант. Но если с деньгами туго, можно попробовать оценить риски самостоятельно. Как показывает практика, для большинства компаний эта задача вполне может решаться и без привлечения сторонних экспертов.
В общем случае процесс оценки рисков выглядит так: построение модели информационной инфраструктуры организации, выявление взаимозависимостей отдельных информационных ресурсов; сопоставление угроз и уязвимостей, которые могут приводить к реализации указанных угроз для каждого ресурса; оценка вероятности реализации каждой угрозы и её возможных последствий. Последний пункт этого списка – самый сложный на практике, поскольку для определения вероятности и стоимости реализации угрозы (а особенно такой угрозы, как утечка информации) необходима статистика, которой в распоряжении организации может и не быть. Впрочем, распространённые методики оценки рисков, которые легко можно найти в специализированной литературе и даже во Всемирной паутине, позволяют оценить риски и без применения большого объёма статистических данных.
После оценки вероятности и стоимости необходимо оценить также степень критичности каждой из угроз для всей информационной системы в целом (для этого можно применить собственную шкалу с положительными баллами). Результирующую степень риска можно положить как произведение трёх величин: вероятности, стоимости и критичности. Соответственно, защищать нужно в первую очередь те информационные ресурсы, для которых степень риска максимальна. То есть, необходимо выделить какой-то максимально допустимый уровень угрозы, выше которого защита должна быть особенно мощной. На практике этот уровень вычисляется исходя из выделенного на нужды ИБ бюджета.
На этом этапе может неожиданно оказаться, что в списке ресурсов, защищать которые рекомендует законодательство, не очень много ресурсов из другого списка – того, который составили вы сами на основе оценки рисков. В этом нет ничего страшного и странного – законы и ГОСТы меняются гораздо медленнее, чем реальные угрозы.
Р. Идов,
ведущий аналитик компании SearchInform