Сегодня мы публикуем советы по управлению рисками ИБ на практике, которыми поделился руководитель ИБ НТФФ ПОЛИСАН, Николай Казанцев.

Николай описал систему, которая используется на предприятиях для постоянного отслеживания рисков ИБ. Управление ими делится на три основных этапа:

●  Формирование рисков;

●  Оценка рисков;

●  План их обработки.

Интересно, что на первом этапе не собираются специалисты, чтобы перечислить все возможные риски! Учесть их все далеко не просто даже для очень опытных сотрудников, поэтому используются такие базы данных, как:

● bdu.fstec.ru;

● attack.mitre.org;

● capec.mitre.org;

● owasp.org;

● cwe.mitre.org.

При обработке базы данных определяется возможная угроза, из-за чего она возникает и где именно осуществляется. Один из примеров формирования рисков:

Риск вычисляют по формуле:

[Риск = Величина угрозы*Вероятность реализации уязвимости*приоритет АКТИВа*Влияние защитных мер]

После численное значение переводится в качественное от 0 – отсутствует до 4 – критическое.

Для реализации третьего этапа для каждого риска и защитной меры ведутся карточки.

В карточке риска перечислены все возможные риски.

А в защитных мерах прописывается:

● статус (реализовано/нет);
● периодичность выполнения;
● тип (технические/физические);
● инструмент для реализации;
● отдел, ответственный за исполнение.

На основе данных карточек выстраивается план обработки. Пример:

Затем риск классифицируется и записывается его история.

Благодаря данной системе видно, на какие риски надо обратить больше внимания, а на какие тратится слишком много ресурсов компании.

Данная система хоть и качественно оценивает риски, но является динамической, постоянно учитывающей риски и их текущее состояние.

При управлении рисками важно помнить, что они должны быть понятны не только отделам ИТ/ИБ, но и всем членам компании.