Журнал "Information Security/ Информационная безопасность" #6, 2025

Для оценки рисков могут использоваться различные методики. Один из крае- угольных камней – оценка ценности актива. К ней можно подходить по-разно- му, но в любом случае важно привлекать владель- цев бизнес-процессов. Ключевой результат оценки – формирование плана обработки рисков, который определяет дорож- ную карту развития кибер- безопасности. Информационная без- опасность становится не набором отдельных инициа- тив, а полноценным элемен- том большой системы управления, который под- держивает интересы бизне- са и способен адаптировать- ся к изменениям в инфра- структуре и ландшафте угроз. Именно такой подход позволяет компании сохра- нять устойчивость и пред- сказуемость в долгосрочной перспективе. ствия, экономит время команды ИБ и помогает поддерживать единые правила безопасности во всей организации. Контроль соблюдения требований Внутренние стандарты упро- щают дальнейшее прохождение проверок. Важно планировать аудит не "по списку подразде- лений", а исходя из критичных бизнес-активов с учетом их значимости, технических зави- симостей и реальных ресурсов команды. На практике это озна- чает необходимость: l планировать и вести кален- дарь проверок с учетом доступ- ных ресурсов: сроков, ответ- ственных, объема работ, прио- ритетов (особенно при большом количестве объектов – филиа- лов, ДЗО, удаленных площад- кок); l организовывать регулярные оценки подразделений и ДЗО по внутренним стандартам, чтобы заранее выявлять слабые места и снижать риски перед внешними проверками; l преобразовывать результаты проверок в четкий план дей- ствий. Важно не просто зафик- сировать замечания, а оформ- лять их в виде задач с ответ- ственными, сроками, критерия- ми выполнения и контролем статуса; l анализировать итоги внут- ренних оценок и аудитов: выявлять типовые нарушения, их повторяемость и причины, чтобы устранить системные про- блемы. Результаты внутренних ауди- тов являются источником для улучшений. Они помогают кор- ректировать процессы, плани- ровать мероприятия по устра- нению выявленных нарушений и по необходимости обновлять внутренние стандарты ИБ. Таким образом вы обеспечите устойчивую связь между тре- бованиями, их реальным испол- нением и непрерывным разви- тием СУИБ. Обоснование ИБ-страте- гии через оценку рисков Обоснование стратегии ИБ через оценку рисков позволяет вести диалог с бизнесом на понятном ему языке: опериро- вать не количеством выявлен- ных уязвимостей и процентом соответствия требованиям, а обсуждать влияние киберрис- ков на бизнес-активы и крити- чески важные процессы. Риск- ориентированный подход выво- дит кибербезопасность за рамки задач только ИБ и ИТ, превра- щая ее в инструмент управления для руководства: какие риски приоритетны, каковы послед- ствия их игнорирования и какой эффект даст инвестиция. Для оценки рисков могут использоваться различные мето- дики. Один из краеугольных кам- ней – оценка ценности актива. К ней можно подходить по-раз- ному, но в любом случае важно привлекать владельцев бизнес- процессов, поскольку у CISO не всегда есть полный контекст и возможность получить досто- верные данные о последствиях для актива в случае наступления негативных событий. Пожалуй, это одна из наиболее сложных задач в данной области, поскольку находится на стыке интересов владельца актива и подразделения ИБ. Ключевой результат оценки – формирование плана обра- ботки рисков, который опреде- ляет дорожную карту развития кибербезопасности. Сопостав- ляя стоимость рекомендован- ных защитных мер с оценкой негативных последствий и ожи- даемым снижением уровня риска, можно выбрать наиболее выгодные меры с точки зрения бизнеса. Стандартизация ИБ Даже при сильной экспертизе департаменту ИБ трудно быть эффективным, если процессы живут "в головах", в разрознен- ных таблицах и почте. На уровне управления нужны прозрач- ность и повторяемость. Так, в ходе развития СУИБ в орга- низации и накопления практи- ческого опыта важным этапом становится стандартизация про- цессов. Она помогает зафикси- ровать достигнутый уровень зрелости ИБ и далее его совер- шенствовать. Стандартизация охватывает следующие моменты: l ориентация на задачи бизне- са, когда в фокусе внимания критичные бизнес-активы, а не отдельные технических задачи кибербеза; l формирование единой базы документов и знаний: политик, стандартов, методик, типовых замечаний и т. д., чтобы не терять контекст (сфера распро- странения, статус, ответствен- ный, срок действия) и снова использовать наработки; l наличие реестра результатов аудитов, оценок рисков и сви- детельств для сохранения и отслеживания цикла изменений; l контроль эффективности про- цессов, выявление узких мест и проблемных зон; l обеспечение прозрачности статусов всех задач и нагрузки на специалистов, подразуме- вающей рациональное распре- деление ресурсов. Заключение Рассмотренный подход к системе управления ИБ поз- воляет связать регуляторные и внутренние требования с кон- кретными бизнес-активами и мерами защиты, выстроить регулярные циклы оценки рис- ков и контроля соответствия, задать понятные роли и метри- ки. В результате – информа- ционная безопасность стано- вится не набором отдельных инициатив, а полноценным эле- ментом большой системы управления, который поддер- живает интересы бизнеса и спо- собен адаптироваться к изме- нениям в инфраструктуре и ландшафте угроз. Именно такой подход позволяет компании сохранять устойчивость и пред- сказуемость в долгосрочной перспективе. Перечисленные выше задачи в ходе построения СУИБ удобно решаются в продуктах класса SGRC 1 . Такие системы исполь- зуются как единая рабочая среда, в которой можно вести учет активов, поддерживать внутренние стандарты и их мап- пинг на нормативные требова- ния, проводить регулярные оценки рисков, управлять ауди- тами и самооценками, плани- ровать задачи по устранению замечаний, хранить свидетель- ства и контролировать показа- тели деятельности подразделе- ния. Системы SGRC становятся действительно полезными, когда нужно не просто подгото- вить отчет ради отчетности или создать модель угроз для галоч- ки, а когда организация готова к системному управлению ИБ и выстраиванию регулярных процессов. l • 23 SGRC www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ R-VISION см. стр. 78 NM Реклама 1 https://rvision.ru/products/sgrc