Риски информационной безопасности


Риск – это возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления.

Риск информационной безопасности представляет собой возможность нарушения ИБ с негативными последствиями.

Основными рисками информационной безопасности являются:

КомпанияARinteg предлагает весь комплекс услуг по оценке и снижению рисков информационной безопасности заказчиков, включая:

В ходе выполнения проектов по оценке рисков информационной безопасности, эксперты ARinteg учитывают то, что риски ИБ могут иметь различную цену (вызывать разный ущерб).

Оценка рисков информационной безопасности


Риск – предполагаемое событие, способное принести ущерб или убыток. Оценка риска – это процесс определения уровня ущерба или убытка в количественной или качественной форме.

Управление рисками является основой для формирования любой современной системы управления информационной безопасностью.

Пример оценки рисков информационной безопасности на предприятии


Следующий перечень содержит некоторые примеры угроз и уязвимостей, связанных с целями и механизмами контроля из ISO/IEC 27002:2005. Этот перечень не является исчерпывающим и должен рассматриваться только в качестве примера, однако его более чем достаточно для проведения высокоуровневой оценки рисков.

Один из наиболее важных принципов заключается в том, что организация должна самостоятельно выбрать подходы к оценке и управлению рисками, которые должным образом учитывают и идентифицируют полный диапазон угроз и уязвимостей, имеющих отношение к ее бизнес-окружению и могут включать все или часть угроз и уязвимостей, приведенных в следующем перечне.

Физический несанкционированный доступ в помещения организации, в кабинеты и серверные комнаты, к оборудованию, бумажным документам, запоминающим устройствам, носителям информации и т.п.

Кража или повреждение компьютерного оборудования и носителей информации инсайдерами.

Кража или повреждение компьютерного оборудования и носителей информации внешними злоумышленниками.

Постороннее лицо может получить физический доступ к комплексу средств защиты с целью переконфигурирования либо создания возможности обхода средств защиты.

Кража бумажных документов инсайдерами.

Кража бумажных документов внешними злоумышленниками.

Злоупотребление средствами аудита.

Злоупотребление средствами обработки информации.

Злоупотребление ресурсами или активами.

Несанкционированное использование программного обеспечения.

Использование сетевых средств несанкционированным образом.

Неосторожное или умышленное злоупотребление оборудованием по причине отсутствия разделения обязанностей или их неисполнения.

Утечка конфиденциальной информации из сети по каналам связи (e-mail, web, chat/IM и т.п.).

Утечка конфиденциальной информации на мобильных устройствах, носителях информации, ноутбуках и т.п.

Прослушивание внешних каналов связи злоумышленниками.

Нарушение конфиденциальности данных, передаваемых по линиям связи, проходящим вне контролируемой зоны, осуществляемого внешними нарушителями путем пассивного прослушивания каналов связи (подключение к каналам связи и перехват информации возможен во многих местах).

Нарушение конфиденциальности данных, передаваемых по линиям связи, проходящим внутри контролируемой зоны, осуществляемого внутренними нарушителями путем пассивного прослушивания каналов связи с использованием специализированных программных средств («снифферов»).

Аутентификационная информация или конфиденциальные данные могут быть модифицированы либо перехвачены вследствие активного или пассивного прослушивания в системе внешних коммуникаций либо во внутренней сети.

Перехват информации на линиях связи путем использования различных видов анализаторов сетевого трафика.

Замена, вставка, удаление или изменение данных пользователей в информационном потоке.

Перехват информации, например пользовательских паролей, передаваемой по каналам связи, с целью ее последующего использования для обхода средств сетевой аутентификации.

Статистический анализ сетевого трафика (например, наличие или отсутствие определенной информации, частота передачи, направление, типы данных и т.п.

Неумышленное раскрытие конфиденциальной информации сотрудниками компании.

Несанкционированное раскрытие информации о местонахождении площадок/зданий/офисов, содержащих критичные или конфиденциальные средства обработки информации.

Раскрытие конфиденциальной информации подрядчиками или партнерами компании.

Побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации.