Для того чтобы обеспечить информационную безопасность следует не только разобраться в преимуществах множества решений, позволяющих решить ту или иную задачу – Вам необходимо ответить на следующие вопросы:

  • Что нужно защищать?
  • От чего (кого) нужно защищаться?
  • Каковы последствия нарушений ИБ?
  • Как защищаться?
  • Какие средства защиты выбрать?

Мы знаем, как получить ответы на эти вопросы.

Именно анализ рисков информационной безопасности позволит вам оценить основные критичные факторы, негативно влияющие на ключевые бизнес-процессы компании, и выработать эффективные решения для их минимизации.

Этапы анализа

Мы опытным путем выявили наиболее эффективное построение процесса анализа рисков информационной безопасности. Наша схема анализа включает пять основных этапов:

  • Оценка активов компании

    На этом этапе наши эксперты определяют активы компании, которые являются наиболее ценными с точки зрения информационной безопасности (ИБ). В процессе идентификации активов также будет определена их ценность, т.е. величина потерь компании в случае нарушения безопасности актива. В результате – мы составляем полный перечень объектов защиты с описанием степени их значимости для компании.

  • Определение источников проблем

    На данном этапе основной своей задачей мы считаем идентификацию и категорирование следующих параметров:

    • модель угроз, позволяющая определить все возможные способы, с помощью которых нарушитель может получить несанкционированный доступ к защищаемой информации
    • модель нарушителя, устанавливающая потенциальных нарушителей ИБ. К нарушителям относятся как внешние пользователи, не имеющие доступа к информационным ресурсам компании, так и внутренние, которые могут получать данные на вполне законных основаниях
    • определение уязвимостей, направленное на выявление слабых мест через которые возможен несанкционированный доступ к защищаемым объектам
  • Оценка рисков

    После того, как нами определены активы компании и потенциальные источники проблем, мы оцениваем вероятность реализации угроз. Оценка осуществляется на основании свойств уязвимостей и групп нарушителей, от которых исходят угрозы.

  • Выбор мер и средств защиты

    Немаловажной задачей является выбор решений обеспечения информационной безопасности. Давая рекомендации по использованию того или иного решения мы учитываем его способность справиться не только с текущими, но и с будущими угрозами

  • Выбор оптимальных решений

    При выборе средств защиты информации часто сложно соблюсти баланс между желанием минимизировать затраты на средства защиты и создать надежную защиту данных. Бывает и так, что стоимость применяемого средства защиты существенно превосходит тот актив, который оно защищает. Наши эксперты предлагают оптимальные решения, которые адекватны существующим угрозам, эффективно защищают активы компании и не являются избыточными с точки зрения экономической обоснованности.

Результаты анализа

По результатам анализа рисков информационной безопасности мы предоставим вам, как заказчику, объективную картину по следующим направлениям:

  • текущее состояние информационной безопасности и соответствии применяемому в компании стандарту ИБ
  • наиболее проблемные области обеспечения ИБ в компании и существующие угрозы ИБ
  • оценка последствий реализации существующих угроз
  • рекомендации по устранению выявленных недостатков
  • рекомендации обоснованного выбора адекватных средств защиты активов
  • методология непрерывного анализа рисков в компании