Политика управления рисками информационной безопасностью описана в международном стандарте ISO/IEC 27005:2008. В документе указаны цели, которые преследует данный непрерывный процесс:
- определение активов, оценка их ценности;
- выявление угрозы активам и уязвимости в системе защиты;
- прогнозирование вероятности реализации угроз, расчет и их предупреждение.
Оценка рисков информационной безопасности производится поэтапно (этапы заключаются в идентификации угроз, уязвимостей и активов) разными методами управления, указанными в стандарте, что позволяет производить качественный или количественный анализ угроз, определение факторов риска системы, поиск оптимального решения путем кластеризации. Стоит отметить, что четкой методики расчета величин рисков нет, поэтому согласно стандартам и лучшему зарубежному опыту, организации должны принимать все возможные действия, чтобы предотвратить их, а именно: соблюдение всеми сотрудниками организации кибергигиены и внутренних положений безопасности, использование современных средств защиты от новейших атак и угроз, а также использования систем управления рисками информационной безопасности.
На сегодняшний день такое понятие, как риск информационной безопасности напрямую связан с автоматизацией рабочего процесса, поэтому и управление данными рисками также должно быть автоматизировано посредством ПО для этих целей (анализ уязвимости, защита информации, прочее).
Процесс внедрения ПО позволяет организовать такие важные моменты, как идентификацию риска, оценку его проявления, последствия, выстроить последовательность действий, вовлечь необходимых лиц, произвести мониторинг, отследить важные моменты, выявить нужную информацию, обучить сотрудников необходимыми действиями для снижения деградации организации. Надежная платформа защиты данных Lepide Data Security Platform, в которой заложены все стандарты и основы безопасности, будет выполнять необходимые проверки, что помогает своевременно исправить неправильные настройки и соответствовать стандартам ИБ.
