Разместить здесь вашу рекламу


Подход «БАРС Груп» к управлению рисками информационной безопасности

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

В 2016 году наша команда начала проект по внедрению риск-ориентированного подхода в управлении информационной безопасностью в «БАРС Груп», сопровождением которого мы занимаемся и на данный момент. Основные цели на старте проекта — переход к проактивному управлению информационной безопасностью и эффективное использование ограниченных ресурсов для снижения основных рисков. Спойлер! Наши цели были успешно достигнуты, но сегодня поговорим о другом. Я хочу поделиться определенными алгоритмами и методами, которые были выработаны при внедрении этого подхода. Меня зовут Ильдар Гарипов, я являюсь руководителем службы информационной безопасности в «БАРС Груп». Начнем!

Организационная структура комитета

Первое, что было сделано для внедрения риск-менеджмента — получена поддержка руководства и возможность привлечения ключевых работников (экспертов) компании в процесс реализации риск-менеджмента. Нами был сформирован комитет по управлению рисками ИБ, в него вошли следующие работники: исполнительный директор, руководитель службы информационной безопасности, ИТ-директор, финансовый директор, руководитель юридической службы, технический директор, HR-директор.

Основные этапы

Далее был разработан процесс управления рисками. В качестве источников знаний использовались следующие ГОСТы:

  • ГОСТ Р ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. 

  • ГОСТ Р ИСО/МЭК 27002-2012. Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности. 

  • ГОСТ Р ИСО/МЭК 27005-2010. Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности. 

  • ГОСТ Р ИСО 31000-2010. Менеджмент риска. Принципы и руководство. 

  • ГОСТ Р 51897-2011. Менеджмент риска. Термины и определения.

После разработки процедуры было проведено обучение для комитета, чтобы сформировать общее понимание и единый подход.

Подход к оценке и расчету рисков

Основная задача при выборе методики оценки рисков для нас — простота и удобство, так как сложные методики могли породить ошибки в вычислениях и исказить значение риска при его расчете. Нами была выбрана качественная методика, где для оценки и расчета риска необходимо знать две переменные величины: вероятность и ущерб. Расчет проводился методом экспертных оценок. 

Первый шаг — определение вероятности возникновения угроз для конкретного информационного актива. Для снижения погрешности метода экспертных оценок добавили методику выбора вариантов:

Второй шаг — выявление ущерба, который может нанести конкретная уязвимость информационному активу.

На основании оценки ущерба и вероятности возникновения риска рассчитывали значение (величину) риска, используя следующую таблицу.

Ранжирование риска производили на основе значения риска и цветовой маркировки.

Например, произошла кража актива в результате сбоя системы контроля доступа. В данном случае владельцем риска будет выступать руководитель административного отдела. Уровень риска — 4, то есть средний. Для того, чтобы минимизировать этот риск необходимо проработать с арендодателем схемы взаимодействия по охране помещения в случае отключения системы контроля доступа.

Итог

Используя описанный подход к управлению рисками информационной безопасности, мы определяем приоритетные задачи, направленные на повышение уровня информационной безопасности с учетом требований бизнеса и фокусируемся на конкретных задачах. Данный цикл мы провели уже несколько раз — анализируем полученные результаты и вносим корректирующие мероприятия, направленные на улучшение процесса.

Источник: https://habr.com/ru/company/barsgroup/blog/675134/


Интересные статьи

Интересные статьи

С ростом популярности операционных систем, растет также и необходимость в обеспечении безопасности системы. С каждым днём количество атак увеличивается, а каждое обновление несет в себе новые «дыры» в...
Привет, Хабр!Меня зовут Дмитрий Матлах. Я тимлид в AGIMA. Мы с коллегами обратили внимание, что в сообществе часто возникает вопрос о том, как совместить на одном проекте Bitrix-компоненты и реактивны...
Часто встречаемые сегодня вопросно-ответные чатботы основываются на машинном обучении по примерам запросов. Например, чтобы научить бота распознавать запрос получения информации об оформлении справки ...
Поскольку компании переносят рабочие файлы в облако для поддержки удаленных сотрудников, они часто создают возможности для злоумышленников. Это наиболее распространенные ошибки, котор...
Я общался с десятками QA-инженеров из разных компаний и каждый из них рассказывал о том, что у них используют разные системы и инструменты для баг-трекинга. Мы тоже пробовали несколько из них и я...