Риски информационной безопасности

Риски информационной безопасности – совокупность факторов, при наступлении которых на информационную безопасность оказывается отрицательное воздействие, связанное с несением потерь различного рода (финансовые, репутационные, организационные и т. д.). К перечню рисков информационной безопасности принято относить:

• похищения конфиденциальных сведений;
• утраты или недоступности определенной информации;
• эксплуатации неполноценных или частично испорченных данных;
• незаконного необнаруженного использования вычислительных и информационных ресурсов;
• размещения в открытом доступе сведений, оказывающих негативное влияние на репутацию компании.

Чтобы снизить вероятность возникновения ситуаций, связанных с рисками информационной безопасности, специалистами по кибербезопасности могут быть проведены в рамках конкретной системы или сети следующие виды работ:

• детальное исследование информационной системы;
• оценка и изучение полученных сведений, формирование моделей киберугроз и нарушителей информбезопасности;
• обнаружение ИБ-рисков;
• создание рекомендательной документации по снижению найденных рисков информационной безопасности.

При реализации различных ИБ-рисков конкретная организация может столкнуться с различными видами ущерба: финансовым (утрата прибыли, компенсации по исковым требованиям и т. д.), нематериальным (репутационные потери, уменьшение уровня доверия к компании). В следующей таблице приведены интегральные параметры ущерба, расчет которых велся по величинам финансового ущерба и уровня воздействия наступившего события на репутационную составляющую:

Основная цель управления рисками информационной безопасности для любой организации – поддержка их на приемлемом для компании уровне. Чтобы решить эту задачу, необходимо формирование комплексной системы информационной безопасности.