В современном понимании «информационная безопасность» в большей степени ассоциируется с обеспечением устойчивого функционирования бизнес-процессов организации, которые реализуются с помощью различных элементов информатизации, нежели с конкретным набором мер и действий, направленных на предотвращение реализации угроз. Защита информационной инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой организации, сегодня является одной из значительных задач любого руководителя организации.

Во все времена обеспечение информационной безопасности будет осуществляться в условиях трех ресурсных «не»:

НЕдостаточно времени

НЕдостаточно денег

НЕдостаточно специалистов

С целью оптимизации ресурсов и более точного формулирования задач обеспечения информационной безопасности в понимании управления организацией предлагаем рассмотреть методику митигации информационных рисков.

Митигация или митигирование информационных рисков – уменьшение вероятности наступления рискового события, связанного с элементами информационной инфраструктуры организации, и минимизация последствий его возможного наступления. Процесс митигации информационных рисков совершенно не всегда должен быть направлен на исключение тех или иных событий, которые могут привести к значительным последствиям для деятельности организации будь то выпуск, например, продукции оборонного назначения или оказание услуг оператора связи. Часто, достаточным результатом снижения последствий от реализации угроз безопасности будет их смягчение как механизмом управления информационными рисками.

Программа митигации информационных рисков может быть разработана для любой организации, которая имеет элементы информационной инфраструктуры, обеспечивающей ее бизнес-процессы, и попадает в сферу действия федерального законодательства в сфере защиты информации. Результатом разработки программы митигации информационных рисков становится матрица рисков, позволяющая оценить относительную значимость каждого риска (по сравнению с другими рисками), а также выделить риски, которые являются критическими и требуют разработки мероприятий по их управлению.

Ниже приведен пример типичных информационных рисков, которым требуется митигация, а также используемые нашими экспертами методические подходы при разработке программы митигации информационных рисков.

Типы информационных рисков, которым требуется митигация

Методы

Регуляторные риски, связанные с изменением законодательства, недостаточным или противоречивым регулированием в сфере

  • Определение всего множества законодательных нормативных документов в области информационной безопасности, которые актуальны и применимы к деятельности Заказчика

  • Формулирование перечня вероятной административной и уголовной ответственности при реализации требований в области информационной безопасности

  • Разработка стратегии выполнения требований действующего законодательства в части информационной безопасности с учетом особенностей деятельности Заказчика

Риски, связанные с закреплением ответственности сторон, распределение ответственности, включая риски трудового законодательства

  • Построение моделей распределения полномочий при обеспечении информационной безопасности («как есть» и «как должно быть») на основе результатов анализа организационной структуры Заказчика

  • Рассмотрение и оценка корректности распределения ответственности, реализованной в трудовых отношениях работников Заказчика и локальных нормативных актах Заказчика

  • Анализ действующих локальных нормативных актов Заказчика, заключенных договоров (связанных с элементами информационной инфраструктуры) на предмет возникновения ситуации превышения или отсутствия полномочий и иных противоречий

  • Установление возможных рисков возникновения ответственности у юридических лиц, являющихся дочерними (учрежденных Заказчиком), при реализации компьютерных инцидентов

Риски непубличных правоотношений (нарушение конфиденциальности данных, защита которых регулируется законодательством, в том числе в области использования объектов интеллектуальной собственности)

  • Установление статуса и законности прав владения элементами информационной инфраструктуры

  • Выявление и формулирование недопустимых событий, их атрибуция с точки зрения событий безопасности информационной инфраструктуры

  • Определение ключевых и целевых систем

  • Проведение оценки защищенности элементов информационной инфраструктуры

Наши услуги

Отраслевой центр компетенций по информационной безопасности в промышленности предоставляет следующие услуги:

  • 01

    Аудит информационной безопасности

  • 02

    Разработка моделей потенциального нарушителя и возможных угроз безопасности информации

  • 03

    Определение величины возможного ущерба в случае возникновения инцидентов

  • 04

    Категорирование объектов КИИ

  • 05

    Формирование требований к системе ЗИ и разработка ТЗ на систему ЗИ

  • 06

    Проектирование систем ЗИ

  • 07

    Разработка организационно-распорядительной документации

  • 08

    Внедрение (в т.ч. Подготовка к вводу в эксплуатацию)

Специалисты Отраслевого центра компетенций по ИБ в промышленности владеют методами разработки программ митигации информационных рисков для организаций во всех отраслях промышленности. За более подробной информацией о содержании, сроках разработки, стоимости и внедрении программы митигации информационных рисков вы можете обращаться через форму, расположенную ниже

Есть вопросы или нужна консультация?

Заполните форму, и мы обязательно свяжемся с вами, чтобы ответить на все вопросы

Мы используем файлы cookie для того, чтобы предоставить Вам больше возможностей при использовании сайта. Политика использования файлов cookie