Что такое информационный риск кратко

Обновлено: 04.07.2024

Риск информационной безопасности — это вероятность возникновения негативного события, которое нанесет ущерб организации или физическому лицу. Применительно к сфере информационной безопасности (ИБ) выделяют следующие последствия:

  • Утечка конфиденциальных данных в организации
  • Внешние атаки на информационные системы компании
  • Действия неблагонадежных сотрудников (человеческий фактор)
  • Доступ к потенциально опасным объектам во внешней сети
  • Получение информации при помощи технических средств
  • Вредоносное ПО (трояны, бэкдоры, блокировщики, шифраторы и т. д.)
  • Использование нелицензионных программных решений, зачастую содержащие не декларируемые возможности

Утечка данных в большинстве случаев связана с непониманием сотрудников возможных последствий при нарушении правил ИБ. Пример: рассылка коммерческой информации через незащищенный канал связи. Сетевые атаки, как правило, проводятся с целью воровства коммерческой тайны, шпионажа за конкурентами, вывода из строя критически важных для жертвы ресурсов и пр.

Человеческий фактор включает в себя не только ошибки сотрудников, но и умышленные действия, которые приводят к распространению конфиденциальной информации.

К опасным объектам относятся сайты, содержащие фишинговые скрипты, зловредное ПО или другие средства, которые нарушают информационную безопасность физического или юридического лица. К примеру, сотрудник зашел на веб-ресурс, созданный мошенниками, и оставил аутентификационные данные, которые в дальнейшем будут использоваться для шантажа.

Один из самых опасных типов вирусного ПО — шифровальщики. Они, например, могут зашифровать все важные служебные данные на компьютерах сотрудников. За дешифровку злоумышленники обычно требуют выкуп. Далеко не все антивирусные продукты способны обнаружить шифровальщика и тем более расшифровать зараженный файлы.

Инциденты ИБ могут сильно повредить бюджету и репутации компании, вплоть до банкротства. Для того, чтобы минимизировать вероятность инцидентов, проводится комплекс превентивных мероприятий, направленных на снижение рисков — аудит ИБ.

Аудит подразумевает анализ текущей ситуации в компании и выявление уязвимостей в ИТ-инфраструктуре. Разрабатывается концепция информационной безопасности объекта. Она включает в себя нормативные документы, политику информационной безопасности, а также приоритезацию рисков. Для повышения уровня ИБ применяют организационные и технические средства.

Управление информационными рисками — это комплекс мероприятий по объективной идентификации и оценке наиболее важных для компании информационных процессов, степени их защищенности и контроля.

Ценность, качественно настроенной технологии управления рисками сложно переоценить. Это один из базовых элементов в активе любой компании, имеющий прямое влияние на эффективность ее бизнес-процессов.

Существует множество стандартов различного уровня — международных и национальных, содержащих свод правил, указаний и нормативных документов, регулирующих процессы управления информационными рисками в той или иной ситуации.

Изучение информационной среды, в которой работают современные компании, показывает, что ИТ-риски условно делятся на две группы:

  1. Риски утечки или незаконного завладения конфиденциальными данными компании, способными ослабить ее конкурентоспособность;
  2. Риски программных или аппаратных сбоев и наличие потенциально слабых мест в коммуникационной структуре компании, способных привести к нестабильности и убыткам.

Именно в определении, минимизации и контроле подобных ситуаций и заключается качественное управление информационными рисками.

Нужно отметить, что конкретный план действий компании во время сбоев или организация системы защиты данных разрабатывается на основе уникальных условий, в которых работает компания.

Однако существует набор некоторых практических мер, применение которых оправданно в большинстве случаев:

  1. Наличие в штате компании, персонала ответственного за ИТ-безопасность;
  2. Разработка и внедрение протоколов и норм, четко регламентирующих действия компании для предотвращения рисков;
  3. Создание и поддержание в работоспособном состоянии аппаратного и программного резерва компании;
  4. Соблюдение установленных схем и порядка копирования данных, контроль состояния носителей;
  5. Мониторинг контактов сети предприятия с внешними сетями, повышенное внимание к защите интернет-шлюзов;
  6. Использование антивирусных комплексов с актуальными базами;
  7. Ранжирование данных по степени секретности и выработка иерархии прав доступа;
  8. Систематическое совершенствование всех элементов анализа рисков и методов по их минимизации.

Важно! Непрерывность выполнения всех обозначенных условий — это главное требование к структурам управления информационными рисками и защиты корпоративных сетей.

Информационные риски - один из важнейших видов риска современности, связанный с созданием, передачей, хранением и использованием информации.

Информационный риск – это возможность наступления случайного события, приводящего к нарушениям функционирования и снижению качества информации в информационной системе предприятия (ИСП), а также к неправомерному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию. Информационный риск оказывает отрицательное воздействие на результаты функционирования предприятия по определенной схеме.

ИТ-риски можно разделить на две категории:

· риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;

· риски технических сбоев работы аппаратного и программного обеспечения, каналов передачи информации, которые могут привести к убыткам.

Классификация информационных рисков

Все информационные риски можно классифицировать на различные группы на основании нескольких критериев:

1. По источникам информационные риски делятся на внутренние и внешние;

2. По характеру – на преднамеренные и непреднамеренные;

3. По виду – прямые или косвенные;

4. По результату – нарушение достоверности информации, нарушение актуальности информации, нарушение полноты информации, нарушение конфиденциальности и др.

5. По механизму воздействия: стихийные бедствия, аварии, ошибки специалистов и др.

Существует три пути причинения ущерба предприятию в результате реализации информационного риска. Ущерб может быть следствием использования в бизнес-процессе управляющей информации, качество которой в результате воздействия информационного риска снизилось до неприемлемого уровня. Например, применение недостоверной информации, нарушение доступности информации в течение времени, превышающего предельно допустимое, приведут к ущербу предприятия. Предприятия несут убытки за счет прямого воздействия информационных рисков на объекты информационной системы, в результате которого объекты приходят в неработоспособное состояние. Такие риски будем называть прямыми информационными рисками. Для восстановления их работоспособности предприятие вынуждено расходовать ресурсы. Примерами таких рисков являются уничтожение технических средств в результате аварий и стихийных бедствий, утраты программных средств, информационных баз данных и т. п.

Третьим путем причинения ущерба предприятию в результате реализации информационных рисков является изменение внешней среды, которое сказывается на эффективности функционирования предприятия. Так, например, при нарушении конфиденциальности информации ухудшается конъюнктура рынка, возможен срыв переговоров с партнерами и другие последствия, приносящие ущерб материальным или интеллектуальным ресурсам предприятия. Большой ущерб предприятию наносится при попадании во внешнюю среду сведений об имевших место информационных рисках, касающихся предприятия. В некоторых случаях деловой репутации предприятия наносится такой ущерб, который может привести к банкротству предприятия.

Информационные риски, которые наносят ущерб предприятию, являющийся следствием воздействия рисков на бизнес-процессы предприятия или внешнюю среду, будем называть косвенными информационными рисками.

Процесс минимизации ИТ-рисков:

· Выявление возможных проблемы, а затем определение способов их решения.

· Определение сроков интеграции новых технологий при необходимости, по причине преобразования или слияния организации.

· Оптимизация бизнес-процессов организации.

· Обеспечение защиты интеллектуальной собственности организации и ее клиентов.

· Разработка порядка действий при форс-мажорных обстоятельствах.

· Определение фактических потребностей информационных ресурсов.

Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка ИТ-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.




Политические риски.

Политический риск – это вероятность того, что изменения законодательных и нормативно-регулирующих актов внутри страны или за её пределами окажет негативное воздействие на прибыль, операции и перспективы фирмы, поскольку политический риск связан не только с конкретной страной, но и с соседними странами или регионами.

Политические риски подразделяются на группы:

Риск потери собственности (например, национализация или экспроприация без надлежащей компенсации).

Риск трансферта, связанный с ограничением экспорта продукции или ресурсов, с ограничениями относительно конвертации локальной валюты в иностранную и осуществлением расчётов по внешнеэкономическим контрактам.

Контрактный риск, т.е. риск расторжения контракта вследствие действий правительства страны, в которой находится компания-контрагент.

Риск изменения регулирующих норм (законодательной базы, изменение торгового режима и таможенной политики, изменения в налоговой системе, валютном регулировании, регулировании внешнеполитической деятельности страны).

Операционный риск, который затрагивает свободу действий руководителей компаний.

Риск военных действий, гражданских беспорядков, смены власти.

Макрополитический риск затрагивает всех экономических субъектов данной страны без исключения и оценивается по политическим, социальным, экономическим, юридическим параметрам в каждой стране.

Микрополитический риск касается только предприятий, обладающих определенными характеристиками, и его оценка производится для каждой операции в отдельности.

Также политические риски можно разделить на:

· риск, вызванный регулятивными мерами, затрагивающими всех субъектов;

· риск, вызванный дискриминационными мерами, ставящими одни предприятия в более выгодное положение по сравнению с другими;

· риск, вызванный выборочным вмешательством, которое влияет на деятельность одного определенного предприятия.

Наиболее общая классификация основывается на разделении политических рисков, возникших в результате непредвиденных событий под влиянием общей ситуации в стране, и рисков, вызванных действиями органов власти. Эта классификация объединяет практически все виды политических рисков:

· непредвиденные события (революция, смена власти, изменения в правительстве, война, политические беспорядки, гражданская война, ущерб, причиненный иностранным сотрудникам);

· действия органов власти:

· политического характера (конфискация активов, введение эмбарго, изменение законодательства);

· административного характера (аннулирование лицензий);

· макроэкономического характера (запрет на конвертацию или перевод средств за границу, кардинальные изменения в проводимой экономической политике);

· микроэкономического или финансового характера (одностороннее расторжение контракта государственным предприятием, неплатеж со стороны государственных покупателей, несоблюдение арбитражных постановлений, непоставка продукции).

Информационные риски - один из важнейших видов риска современности, связанный с созданием, передачей, хранением и использованием информации.

Информационный риск – это возможность наступления случайного события, приводящего к нарушениям функционирования и снижению качества информации в информационной системе предприятия (ИСП), а также к неправомерному использованию или распространению информации во внешней среде, в результате которых наносится ущерб предприятию. Информационный риск оказывает отрицательное воздействие на результаты функционирования предприятия по определенной схеме.

ИТ-риски можно разделить на две категории:

· риски, вызванные утечкой информации и использованием ее конкурентами или сотрудниками в целях, которые могут повредить бизнесу;

· риски технических сбоев работы аппаратного и программного обеспечения, каналов передачи информации, которые могут привести к убыткам.

Классификация информационных рисков

Все информационные риски можно классифицировать на различные группы на основании нескольких критериев:

1. По источникам информационные риски делятся на внутренние и внешние;

2. По характеру – на преднамеренные и непреднамеренные;

3. По виду – прямые или косвенные;

4. По результату – нарушение достоверности информации, нарушение актуальности информации, нарушение полноты информации, нарушение конфиденциальности и др.

5. По механизму воздействия: стихийные бедствия, аварии, ошибки специалистов и др.

Существует три пути причинения ущерба предприятию в результате реализации информационного риска. Ущерб может быть следствием использования в бизнес-процессе управляющей информации, качество которой в результате воздействия информационного риска снизилось до неприемлемого уровня. Например, применение недостоверной информации, нарушение доступности информации в течение времени, превышающего предельно допустимое, приведут к ущербу предприятия. Предприятия несут убытки за счет прямого воздействия информационных рисков на объекты информационной системы, в результате которого объекты приходят в неработоспособное состояние. Такие риски будем называть прямыми информационными рисками. Для восстановления их работоспособности предприятие вынуждено расходовать ресурсы. Примерами таких рисков являются уничтожение технических средств в результате аварий и стихийных бедствий, утраты программных средств, информационных баз данных и т. п.

Третьим путем причинения ущерба предприятию в результате реализации информационных рисков является изменение внешней среды, которое сказывается на эффективности функционирования предприятия. Так, например, при нарушении конфиденциальности информации ухудшается конъюнктура рынка, возможен срыв переговоров с партнерами и другие последствия, приносящие ущерб материальным или интеллектуальным ресурсам предприятия. Большой ущерб предприятию наносится при попадании во внешнюю среду сведений об имевших место информационных рисках, касающихся предприятия. В некоторых случаях деловой репутации предприятия наносится такой ущерб, который может привести к банкротству предприятия.

Информационные риски, которые наносят ущерб предприятию, являющийся следствием воздействия рисков на бизнес-процессы предприятия или внешнюю среду, будем называть косвенными информационными рисками.

Процесс минимизации ИТ-рисков:

· Выявление возможных проблемы, а затем определение способов их решения.

· Определение сроков интеграции новых технологий при необходимости, по причине преобразования или слияния организации.

· Оптимизация бизнес-процессов организации.

· Обеспечение защиты интеллектуальной собственности организации и ее клиентов.

· Разработка порядка действий при форс-мажорных обстоятельствах.

· Определение фактических потребностей информационных ресурсов.

Обязательным условием успешного риск-менеджмента в области информационных технологий является его непрерывность. Поэтому оценка ИТ-рисков, а также разработка и обновление планов по их минимизации должны производиться с определенной периодичностью, например раз в квартал. Периодический аудит системы работы с информацией (информационный аудит), проводимый независимыми экспертами, будет дополнительно способствовать минимизации рисков.

Политические риски.

Политический риск – это вероятность того, что изменения законодательных и нормативно-регулирующих актов внутри страны или за её пределами окажет негативное воздействие на прибыль, операции и перспективы фирмы, поскольку политический риск связан не только с конкретной страной, но и с соседними странами или регионами.

Политические риски подразделяются на группы:

Риск потери собственности (например, национализация или экспроприация без надлежащей компенсации).

Риск трансферта, связанный с ограничением экспорта продукции или ресурсов, с ограничениями относительно конвертации локальной валюты в иностранную и осуществлением расчётов по внешнеэкономическим контрактам.

Контрактный риск, т.е. риск расторжения контракта вследствие действий правительства страны, в которой находится компания-контрагент.

Риск изменения регулирующих норм (законодательной базы, изменение торгового режима и таможенной политики, изменения в налоговой системе, валютном регулировании, регулировании внешнеполитической деятельности страны).

Операционный риск, который затрагивает свободу действий руководителей компаний.

Риск военных действий, гражданских беспорядков, смены власти.

Макрополитический риск затрагивает всех экономических субъектов данной страны без исключения и оценивается по политическим, социальным, экономическим, юридическим параметрам в каждой стране.

Микрополитический риск касается только предприятий, обладающих определенными характеристиками, и его оценка производится для каждой операции в отдельности.

Также политические риски можно разделить на:

· риск, вызванный регулятивными мерами, затрагивающими всех субъектов;

· риск, вызванный дискриминационными мерами, ставящими одни предприятия в более выгодное положение по сравнению с другими;

· риск, вызванный выборочным вмешательством, которое влияет на деятельность одного определенного предприятия.

Наиболее общая классификация основывается на разделении политических рисков, возникших в результате непредвиденных событий под влиянием общей ситуации в стране, и рисков, вызванных действиями органов власти. Эта классификация объединяет практически все виды политических рисков:

· непредвиденные события (революция, смена власти, изменения в правительстве, война, политические беспорядки, гражданская война, ущерб, причиненный иностранным сотрудникам);

· действия органов власти:

· политического характера (конфискация активов, введение эмбарго, изменение законодательства);

· административного характера (аннулирование лицензий);

· макроэкономического характера (запрет на конвертацию или перевод средств за границу, кардинальные изменения в проводимой экономической политике);

· микроэкономического или финансового характера (одностороннее расторжение контракта государственным предприятием, неплатеж со стороны государственных покупателей, несоблюдение арбитражных постановлений, непоставка продукции).

Здравствуйте! Если вы открыли эту статью, значит у вас уже имеется представление о необходимости обеспечения информационной безопасности (ИБ). И вы понимаете, что обеспечение ИБ является не самоцелью, а одним из процессов для достижения целей организации и минимизации потенциального ущерба. При этом одним из более действенных способов аргументировать затраты на обеспечение ИБ является оценка рисков ИБ.

Итак, введем понятие: риск – влияние неопределенности на достижение поставленных целей (ГОСТ Р ИСО 31000-2019).

При этом риск ИБ определяется через возможность того, что угрозы будут реализовываться через использование уязвимостей и, тем самым, наносить ущерб организации. Как правило, идентификации угроз, уязвимостей и ущерба достаточно для идентификации рисков ИБ. В дальнейших статьях мы увидим, что идентификация этих составляющих может вызвать некоторые трудности.

Что же представляет собой управление рисками ИБ? В общем случае процесс включает в себя следующие этапы:

Установление контекста: определение области оценки рисков ИБ, установление внешних и внутренних факторов.

Оценка рисков ИБ, включающая в себя:

идентификацию риска ИБ;

анализ риска ИБ;

сравнительную оценку риска ИБ;

оценку остаточного риска (при необходимости).

Обработка рисков ИБ (снижение, перенос, уклонение, принятие).

Мониторинг и пересмотр рисков ИБ.

Документирование и отчетность.

Для наглядного понимания процесса управления рисками приведем упрощенный жизненный пример, не связанный с ИБ.

Но процесс еще не завершен. Скажем, что вы приняли решение вернуться за зонтиком. С риском заболеть вы справились, но появился остаточный риск – опоздать на работу. В нашем случае, как во многих современных ИТ-компаниях, никто даже и не заметит вашего опоздания (гибкий график hello!), поэтому смело принимаете остаточный риск.

Мы осуществили оценку и обработку риска, а также принятие остаточного риска. Не будем забывать о мониторинге и пересмотре рисков. Завтра Вас отправят в командировку в Екатеринбург, и риск заболеть будет зависеть уже совершенно от других факторов.

Для чего же оценивать риски ИБ? Эта оценка послужит обоснованием руководству организации при определении мероприятий по обработке рисков ИБ, которые являются составляющей обеспечения ИБ, и затрат на них.

Понятно, что оценка рисков ИБ не столь очевидна, как понимание того, нужно взять с собой зонтик или нет. Как же быть? На сегодняшний день существует достаточное количество методик оценки рисков ИБ. Давайте выберем некоторые из них и проведем сравнение:

Критерий сравнения

ISO 27005

СТО БР ИББС + 716-П

OCTAVE

FAIR

Область деятельности организации (сфера применения)

Стандарт применим к организациям любых масштабов и областей деятельности

Стандарт применим к организациям любых масштабов и областей деятельности

Стандарт применим к организациям финансового сектора

Стандарт применим к организациям любых масштабов и областей деятельности

Стандарт применим для крупных организаций

Требует больших затрат и высокой квалификации персонала

Не требует больших затрат, но требует высокой квалификации сотрудников отдела ИБ

Требует больших затрат и высокой квалификации персонала

Не требует больших затрат, но требует высокой квалификации персонала, поскольку оценка рисков осуществляется силами организации без привлечения сторонних лиц

Требует больших затрат и высокой квалификации персонала

Наличие шкал для оценки рисков ИБ

Стандарт содержит примеры

Наличие методик обработки рисков ИБ

Присутствует пример методики

Отсутствуют методики обработки риски

Стандарт содержит примеры

Отсутствуют методики обработки риски

Присутствует пример методики

Согласованность с НПА РФ

Требует адаптации для применения в рамках исполнения НПА.
Российский ГОСТ не обновлялся с 2010 года, требует актуализации

Требует сильной адаптации с целью исполнения НПА

СТО БР ИББС входит в перечень стандартов РФ (добровольных).
716-П является обязательным положением для кредитных организаций и банковской группы

Требует сильной адаптации с целью исполнения НПА

Требует сильной адаптации с целью исполнения НПА

Связанность со смежными методологиям (IT, общие риски, экономические риски и др.)

Не имеет прямой связи со смежными методологиями, требуется адаптация

В контуре методологий OCTAVE существует несколько методик оценки рисков, которые применяются в зависимости от масштаба организации и целей оценки рисков

Не имеет прямой связи со смежными методологиями, требуется адаптация

Возможность использования методики для коммерческих целей

Возможно использование для проведения внутренней оценки рисков после приобретения эталонного экземпляра

Возможно использование для проведения внутренней оценки рисков

Возможно использование для проведения внутренней оценки рисков, в том числе при реализации требований 716-П

Методика общедоступна, но ее коммерческое использование ограничено

Методика общедоступна, но ее коммерческое использование ограничено

Чтобы вы смогли принять решение, какую из приведенных методик оценки рисков ИБ использовать в вашей организации, мы подготовили серию обзоров. Ознакомиться с ними вы сможете в ближайшее время.

Если у вас останутся вопросы, вы можете проконсультироваться с нашими экспертами. Если вы поймете, что ни одна из этих методик не подходит для вашей организации или у вас просто нет ресурсов, чтобы самостоятельно провести оценку рисков ИБ, вы можете воспользоваться нашими услугами.

Читайте также: