Офіційне представництво концерну TÜV Austria на території України.

icon
04053, Київ,
посп. Берестейський 62-Б
Дивитись на карті
icon
Тел.: +380 50 41 96 912 Факс: 380 44 344 9526

Комплексний підхід до оцінки ризиків інформаційної безпеки

Хоча деякі експерти можуть стверджувати протилежне, не існує єдиного правильного способу забезпечити інформаційну безпеку вашої організації. Існують спільні ризики інформаційної безпеки для багатьох організацій, а також технології та процеси, розроблені для їх подолання. Наприклад, ми вважаємо, що більшість організацій використовують програмне забезпечення для захисту від шкідливих програм, а навчання персоналу повинно бути важливим процесом.

Однак, неможливо визначити, наскільки масштабним має бути цей захист і як його слід впроваджувати, доки ви не дізнаєтесь конкретні деталі про організацію. Серед питань, які ви повинні розглянути, – наскільки серйозною є загроза, який рівень ризику інформаційної безпеки становить кожна загроза та які бюджетні потреби вашої організації.

Відповіді на ці питання будуть відрізнятися в кожному конкретному випадку, і саме тому кожна організація повинна використовувати підхід, заснований на оцінці ризиків інформаційної безпеки.

У цій статті ми пояснюємо, що саме означає цей термін і які кроки ви можете зробити, щоб почати застосовувати цей підхід.

Що таке захист, заснований на оцінці ризиків інформаційної безпеки?

Забезпечити інформаційну безпеку було б легко, якби у вашому розпорядженні були безмежні кошти. Ви могли б створити індивідуальну СУІБ (систему управління інформаційною безпекою), яка б протидіяла кожній загрозі, з якою ви стикаєтесь, за допомогою комбінації технологій, процесів і навчання, і ви могли б найняти експертів для нагляду за кожним аспектом вашої системи.

На жаль, організації не мають необмежених грошей. Насправді, бюджети на інформаційну безпеку дедалі більше скорочуються на тлі кризи вартості життя, а це означає, що організаціям потрібно, щоб їхні системи були максимально економічно ефективними.

Найкращий спосіб досягти цього – провести оцінку ризиків кібербезпеки, щоб виявити найбільші загрози та визначити їх пріоритетність. Після цього ви можете вибрати відповідні засоби контролю для зменшення цих ризиків інформаційної безпеки і виділити частину свого бюджету на впровадження та підтримку цих засобів контролю.

Ці поради лежать в основі ISO 27001, міжнародного стандарту, який описує найкращі практики для СУІБ.

Дотримуючись підходу ISO 27001, заснованого на оцінці ризиків інформаційної безпеки, ви можете адаптувати свої засоби захисту до ваших конкретних потреб. Цей процес гарантує, що ви робите все можливе, щоб запобігти інцидентам безпеки якомога ефективніше.

Як впровадити ISO 27001?

Впровадити ISO 27001 не так просто, але й не так складно, як ви можете подумати. Процес може зайняти від трьох місяців до року, залежно від розміру вашої організації та команди впровадження.

Як і у випадку з інформаційною безпекою загалом, не існує єдиного правильного способу впровадження Стандарту. Але якщо вам здається, що це звучить складно, не варто боятися, адже є багато допомоги, в тому числі загальний дев’ятиступеневий процес, якого слід дотримуватися.

1. Завдання проекту

Проект імплементації повинен починатися з призначення керівника проекту, який разом з іншими співробітниками буде працювати над створенням мандату проекту. Це, по суті, набір відповідей на такі питання:

  • Чого ми сподіваємося досягти?
  • Скільки часу це займе?
  • Скільки це буде коштувати?
  • Чи є підтримка з боку керівництва?

2. Ініціювання проекту

Організації повинні використовувати свій проектний мандат для побудови більш чіткої структури, яка детально описує цілі інформаційної безпеки, команду проекту, план і реєстр ризиків інформаційної безпеки.

3. Ініціювання впровадження СУІБ

Наступним кроком є прийняття методології впровадження СУІБ. ISO 27001 визнає, що “процесний підхід” до постійного вдосконалення є найбільш ефективною моделлю управління інформаційною безпекою.

Однак, він не визначає методологію, а натомість дозволяє організаціям використовувати будь-який метод, який вони обирають, що може означати продовження використання їхньої існуючої моделі. Більш детально про впровадження ISO 27001 читайте в цій статті.

4. Структура управління

На цьому етапі вам знадобиться більш широке розуміння структури СУІБ. Частково це передбачає визначення сфери застосування системи, яка буде залежати від контексту.

Зверніть увагу, що сфера діяльності вашої організації також повинна враховувати віддалених працівників та інструменти, які вони використовують, наприклад, хмарні сервери. У зв’язку зі стрімким зростанням кількості працівників, які працюють вдома після пандемії COVID-19, організації повинні тримати це питання на контролі.

Робочий простір постійних працівників, які працюють вдома, повинен підлягати оцінці ризиків для виявлення загроз інформаційній безпеці так само, як і офіс у вашому приміщенні.

5. Базові критерії безпеки

Тепер вам потрібно визначити ваші основні потреби в безпеці – тобто мінімальний рівень захисту, який дозволить вам забезпечити безпеку бізнесу.

Ви можете зробити це, переглянувши свою оцінку ризиків і проаналізувавши, які активи використовуються у ваших основних бізнес-процесах. Будь-які засоби контролю, що запобігають ризикам, які в іншому випадку зробили б актив непридатним для використання, сформують ваші базові критерії безпеки.

6. Управління ризиками інформаційної безпеки

ISO 27001 дозволяє організаціям широко визначати власні процеси управління ризиками.

Найпоширеніший спосіб зробити це – розглянути ризики, пов’язані з конкретними активами, або ризики, представлені в конкретних сценаріях. У кожного підходу є свої плюси і мінуси, і деяким організаціям набагато краще підійде один метод, ніж інший.

Ми, як правило, рекомендуємо використовувати підхід, заснований на оцінці активів, оскільки він більше відповідає спрямованості стандарту ISO 27001 на оцінювання активів.

Розробка переліку інформаційних активів – це гарне місце для початку, але якщо у вашій організації вже є такий перелік, то більша частина роботи вже буде зроблена.

Який би підхід ви не обрали, є п’ять аспектів, які необхідно охопити:

  • Створення системи оцінки ризиків
  • Ідентифікація ризиків
  • Аналіз ризиків
  • Оцінювання ризиків
  • Вибір варіантів управління ризиками

7. План управління ризиками інформаційної безпеки

Це процес створення засобів контролю безпеки, які захищатимуть інформаційні активи вашої організації.

Щоб забезпечити ефективність цих засобів контролю, вам потрібно перевірити, чи здатен персонал працювати або взаємодіяти із засобами контролю, а також чи знає він про свої обов’язки щодо інформаційної безпеки.

Вам також необхідно розробити процес визначення, перегляду та підтримки компетенцій, необхідних для досягнення цілей вашої СУІБ. Це передбачає проведення аналізу потреб та визначення бажаного рівня компетентності.

8. Вимірювання, моніторинг та аналіз інформаційної безпеки

Щоб СУІБ була корисною, вона повинна відповідати цілям інформаційної безпеки. Організаціям необхідно вимірювати, контролювати та аналізувати ефективність системи, щоб зрозуміти, що працює, а що можна покращити.

Це передбачає визначення метрик або інших методів оцінки ефективності та впровадження засобів контролю.

В ідеалі ви повинні мати базовий рівень для вимірювання цих результатів, що означає збір статистики інформаційної безпеки перед початком проекту впровадження СУІБ.

Якщо це неможливо, вам доведеться покладатися на будь-які дані, які у вас є – які можуть включати анекдотичну інформацію – і встановлювати короткострокові цілі.

9. Сертифікація

Після впровадження СУІБ організації повинні пройти сертифікацію в акредитованому органі сертифікації. Ми, TIC Ukraine можемо допомогти вам з отриманням сертифікату. Це доведе зацікавленим сторонам, що СУІБ є ефективною і що організація розуміє важливість інформаційної безпеки.

Аудитор перевіряє документацію системи управління організації, і якщо все в порядку, він переходить до аудиту на місці, щоб перевірити процедури на практиці. В цій статті ми розповідаємо про переваги сертифікації СУІБ ISO 27001.