Услуга Axenix по количественной оценке ИБ-рисков
Компания Axenix (экс-Accenture) в рамках развития направления кибербезопасности анонсировала услугу количественной оценки рисков информационной безопасности. Это позволит заказчикам сократить вероятные потери от действий злоумышленников и оптимизировать расходы на обеспечение ИБ.
Согласно общепринятому подходу совокупные затраты на обеспечение информационной безопасности в организации не должны превышать размер потенциального ущерба от возможной DDoS-атаки, утечки данных, действий вредоносного ПО и других инцидентов, т.е. защита от киберугроз должна быть экономически эффективной.
ИБ-стратегии ведущих мировых компаний основываются на количественном расчете потенциального ущерба от киберугроз, выраженном в деньгах. В России этот тренд в стадии формирования. По оценкам Axenix, методологию количественной оценки рисков ИБ применяют сегодня не более 20% российских коммерческих организаций. Для ее успешной реализации требуется зрелая ИТ-инфраструктура, качественные программные решения соответствующего класса, а также специалисты с компетенциями одновременно в ИБ и в оценке рисков.
Как поясняют в Axenix, компания внедряет риск-ориентированный подход для бизнеса и корректирует стратегию ИБ с учетом количественных параметров. Эксперты проводят анализ и оценку рисков инфраструктуры заказчика, базирующуюся на международных стандартах и методологиях, таких как FAIR (Factor Analysis of Information Risk), практики ИБ (NIST, ISO и др.), стандарт CIS Controls v8. Специалисты Axenix могут провести разовую оценку рисков или комплексный проект по количественной оценке рисков ИБ, состоящий из пяти классических этапов.
Комплексный проект может длиться от шести месяцев и включает следующие стадии:
- профилирование риск-ландшафта – определяются маршруты информационных и финансовых потоков, критически важные бизнес-процессы и используемые системы;
- выявление потенциальных угроз и целей атак, технологий и сценариев возможных нападений, анализируется внутренняя статистика событий ИБ;
- формирование риск-сценариев, точное определение главных целей хакерских атак;
- составление перечня актуальных мер защиты ИТ-инфраструктуры – в этот момент можно оценить стоимость отдельных этапов и элементов ИБ-стратегии, временные и трудозатраты на ее осуществление, оптимизировать их;
- обучение сотрудников заказчика, чтобы в дальнейшем они могли самостоятельно вести мониторинг рисков на регулярной основе.
Как комментируют в Axenix, в России за 2022 г. заметно выросло количество кибератак и их мощность. При этом стоимость таких атак снижается, они становятся массовыми. Поэтому для любого бизнеса, нацеленного на уверенное развитие, компания советует строить стратегию ИБ по риск-ориентированной модели, с учетом всех потенциальных угроз и ущерба от них.