Управление рисками информационной безопасности
Согласно определению ISO/IEC 27005:2008 риски информационной безопасности – это потенциальные возможности использования уязвимостей актива или группы активов конкретной угрозой для причинения ущерба организации. Другими словами, риски информационной безопасности – это вероятные потери организации в результате инцидентов.
Риски информационной безопасности связаны с нарушениями конфиденциальности, целостности и доступности информационных активов компании. Они являются, как правило, результатом промышленного шпионажа, саботажа, кибератак на информационные ресурсы, а также целевых атак на компьютеры организации.
- Конкуренты выходят на рынок быстрее
- Сокращение рыночной доли компании, отток клиентов к конкурентам
- Потеря бизнеса
- Нарушение непрерывности производственных и бизнес-процессов
- Финансовые потери (недополученная прибыль, расходы на нейтрализацию последствий и т.д.)
- Распространение негатива как внутри компании, так и за ее пределами
- Информационные вбросы негативного или компрометирующего характера («черный PR»)
- Клевета в отношении компании и должностных лиц
- Разглашение секретной информации в соцмедиа
- Потеря доверия к веб-ресурсам компании (вследствие DDoS-атак)
- Слив конфиденциальной информации нелояльными сотрудниками
- Проигранные конкурсы и тендеры
- Мошенничество с использованием корпоративных ресурсов компании
- Халатность персонала при работе с конфиденциальной информацией
- Переход сотрудников к конкурентам с наработками и базами данных
- Отток клиентов на ресурсы конкурирующих компаний
- Недоступность веб-ресурсов компании (нарушение доступности)
- Несоответствие требованиям регуляторов, влекущее за собой санкции
- Утечки персональных и конфиденциальных данных, приводящие к судебным искам
- Использование сотрудниками корпоративных ресурсов в противозаконных целях
- Промышленный шпионаж и следующие за ним длительные и дорогостоящие судебные тяжбы
- Невозможность доказать в судебном порядке факт совершения сотрудником преступления
Для оценки рисков необходимо определить, какие бизнес-процессы в организации наиболее критичны, а какие - менее (так называемый Business Impact Analysis). Какие угрозы и уязвимости могут повлиять на непрерывность бизнес-процессов и как минимизировать вероятность этих угроз?
В рамках комплекса мер в области управления рисками информационной безопасности компания InfoWatch обеспечивает:
- Оценку рисков утечки конфиденциальной информации
- Разработку модели угроз утечки информационных активов
- Разработку процедур реагирования на инциденты
- Подготовку рекомендаций по развитию процесса защиты от утечек
- Внедрение технических средств защиты
В результате внедрения и использования решений InfoWatch компания получает уверенность в безопасности конфиденциальных данных, системное понимание информационных потоков организации, снижение бизнес-рисков.
- Уверенность в безопасности ценных и конфиденциальных данных
- Понимание внутренних и внешних информационных потоков в организации
- Выявление фактов внутреннего фрода (сговоров, мошенничества, промышленного шпионажа и т.д.)
- Определение степени лояльности персонала к компании
- Защищенные конфиденциальные данные, веб-ресурсы и инфраструктура предприятия
