В небольшой торговой компании уволили сисадмина. Он быстро нашёл работу у конкурентов, а бывший работодатель через год потерял всех заказчиков. Оказалось, обиженный сотрудник оставил себе полный доступ к сети: переписка руководства, база клиентов, договоры с поставщиками, отчёты — всё попало к конкурентам.

Работодатель обратился к специалистам по информационной безопасности — они подбирают программы и железо для защиты данных. Бизнесмену посчитали смету на 3 млн рублей: продвинутый файервол (защита сети от взлома через интернет), антивирус в максимальной комплектации, система против утечек данных, шифрование каналов связи.

Чтобы не переплатить за защиту информации, нужно оценить риски — понять, что и как защищать. Можно обратиться за оценкой к экспертам, но тогда придётся потратить на консультации 200-300 тыс. рублей. А можно оценить их самостоятельно — бесплатно, но по методике, которую используют сами эксперты.

Когда вы оцените риски по этой методике, то поймёте, на какие средства защиты нужно тратить деньги, а без каких можно обойтись. Специалисты по информационной безопасности не смогут навязать вам лишнее — вы сэкономите.

Оцените информационные активы

Информационные активы — это сведения о компании, которые представляют для неё ценность. Это финансовая информация, данные о продажах, закупках, базы данных клиентов, стратегические планы руководства, содержание корпоративного сайта. Занесите их в таблицу и оцените по трём показателям: конфиденциальность, целостность и доступность. Используйте 5-балльную шкалу.

Конфиденциальность — это то, насколько критична утечка секретной информации. Например, что будет, если база клиентов и контрактов попадёт к конкурентам? Если считаете, что это совсем не страшно, ставьте 1 балл. Если это тотальная катастрофа — 5 баллов.

Доступность — это то, насколько часто вы обращаетесь к данным. Например, ежегодный финансовый отчёт сотрудники открывают редко — ставим 1 балл. А доступ к базе товаров и цен нужен каждый день, иначе торговля остановится — 5 баллов.

Целостность — это то, насколько важно, чтобы в данных не было ошибок. Например, ошибка в архивных документах не критична, она ни на что не повлияет — ставим 1 балл. А если исказить цифры в 1С:Бухгалтерии, то можно продать товар по заниженной цене или напутать в налоговой отчётности — 5 баллов.

Теперь определите итоговую ценность каждого актива. Возьмите максимальный балл из трёх полученных. Например, у списка заказчиков конфиденциальность — 4, а целостность и доступность — по 2. Итоговый балл — 4.

1. Ценность информационных активов

Актив Ценность актива Итого
Конфиден-циальность Целостность Доступность
Списки заказчиков 4 2 2 4
Деловая переписка 3 2 2 3
Данные о зарплате 3 3 2 3
Налоговая отчётность 2 3 2 3
Содержание сайта 1 3 3 3
Данные с мобильных касс 2 5 5 5
Данные о прибылях и убытках 5 4 3 5
……  
……  
……

 

Определите информационные системы

Активы содержатся в разных информационных системах: 1С:Бухгалтерия, программа «клиент-банк», корпоративный портал, рабочие компьютеры сотрудников, файловые сервера, электронная почта, планшеты, смартфоны, ноутбуки, интернет-сайт, внешние носители информации (флешки, переносные жёсткие диски, карты памяти). Если будут защищены информационные системы, то и данные в них будут в безопасности. Чтобы понять, защищены ли ваши данные, составьте список систем, в которых хранится информация.

Информация может находиться одновременно в нескольких системах. Например, база клиентов обрабатывается в бухгалтерской программе, при этом хранится на файловом сервере. Информация одна, но системы разные, угрозы и защита для них тоже разные.

Составив список, определите ценность каждой информационной системы. Для этого возьмите значение самого ценного актива, который в ней обрабатывается или хранится. Например, на компьютерах сотрудников хранятся списки заказчиков (4) и деловая переписка (3). Их итоговая ценность — 4.

2. Ценность информационных систем

Информационные системы Активы Ценность системы
1С:Бухгалтерия списки заказчиков, данные о зарплате, налоговая отчётность, данные с мобильных касс, данные о прибылях и убытках 5
ПК сотрудников списки заказчиков, деловая переписка 4
Файловые серверы списки заказчиков, данные о зарплате, налоговая отчётность, данные с мобильных касс, данные о прибылях и убытках 5
Мобильные устройства деловая переписка 3
Сайт компании содержание сайта, налоговая отчётность 3
Электронная почта списки заказчиков, деловая переписка 4
…..
…..

Выясните, что угрожает информационным системам

Угрозы — это то, из-за чего информация может пострадать: кто-то или что-то может повредить ваши данные так, что бизнес понесёт убытки.

Определять угрозы нужно для тех информационных систем, чья ценность высока — 4 и 5 баллов. Про остальные системы можете забыть: если с ними что-то и случится, бизнес от этого не пострадает.

Сначала выясните, кто может угрожать ценным системам. Для этого разделите возможных нарушителей на группы — так будет проще понять, как они могут воздействовать. Обычно достаточно разделить нарушителей на внешних (хакеры, сотрудники конкурентов, уволенные работники) и внутренних (сотрудники компании). Когда поймёте, кто может угрожать системам — поймёте, как именно они могут это сделать.

Теперь опишите, как нарушители могут украсть, уничтожить или исказить данные в конкретной информационной системе. Способы могут быть очевидными — например, сотрудник скопирует файлы на флешку. Но бывают и сложными — хакер перехватит данные по незашифрованному каналу. Если вы не разбираетесь во всех технических тонкостях, то можете что-то упустить. Чтобы этого не случилось, подключите вашего ИТ-специалиста. Если его нет — воспользуйтесь каталогом, который разработали эксперты.

Каталог угроз

Физический доступ:

  • сотрудник украдёт компьютер, флешку или другой носитель информации;
  • посторонний украдёт компьютер, флешку или другой носитель информации;
  • посторонний проникнет в офис и украдёт информацию.

Утечка конфиденциальной информации:

  • сотрудник специально отправит конфиденциальную информацию через мессенджер, электронную почту, раскроет секреты фирмы на форумах в интернете;
  • сотрудник случайно передаст конфиденциальную информацию посторонним людям — лично или через интернет;
  • сотрудник потеряет ноутбук, флешку, жёсткий диск;
  • с помощью специального оборудования и программ посторонний перехватит сведения, которые вы передадите через интернет;
  • сотрудники фирмы, которая ремонтирует компьютеры, обслуживает 1С или настраивает интернет, получат конфиденциальную информацию.

Несанкционированный доступ:

  • сотрудник использует чужой пароль, чтобы получить конфиденциальную информацию;
  • посторонний войдёт в корпоративную сеть по чужому паролю;
  • сотрудник или посторонний используют чужой пароль, чтобы получить доступ к резервным копиям файло;
  • сотрудник или посторонний, используя чужой пароль, запустят в корпоративную сеть вирус.

Недоступность ИТ-сервисов и утрата информационных активов:

  • из-за аварии на электросетях не будут работать компьютеры;
  • пропадёт интернет;
  • новая программа или её обновление выведут компьютеры из строя;
  • сотрудник специально или случайно сотрёт важные файлы;
  • посторонний уничтожит важные данные;
  • сотрудник случайно внесёт неверные данные;
  • сотрудник специально исказит информацию, подменит файлы.

Нарушителей и угрозы из этого списка занесите в таблицу. Если вы детально представляете негативные сценарии, опишите их подробно. Например: вы потеряли ключевого клиента, потому что посторонний подобрал пароль к электронной почте и украл данные из деловой переписки. В остальных случаях сделайте общее описание ситуации. Например: бухгалтерия не может работать из-за того, что сотрудник стёр информацию в 1С.

В итоге таблица превратится в набор возможных негативных сценариев для компании.

3. Возможные негативные сценарии

Информационные системы Нарушитель Угроза Последствия
1С:Бухгалтерия Посторонний Подберёт пароль и скопирует базу клиентов Компания потеряет ключевого клиента
1С:Бухгалтерия Посторонний Запустит вирус, который уничтожит данные Бухгалтер не сможет работать
1С:Бухгалтерия Сотрудник Скопирует данные на флешку Конкуренты получат базу клиентов, детали сделок
1С:Бухгалтерия Сотрудник Случайно или специально сотрёт данные Бухгалтер не сможет работать
1С:Бухгалтерия Сотрудник Скопирует данные на флешку В случае увольнения сможет шантажировать работодателя, угрожать передать информацию конкурентам
……
ПК сотрудников Сотрудник Скопирует данные на флешку Конкуренты получат детали сделок
ПК сотрудников Посторонний Скопирует данные при ремонте Конкуренты получат детали сделок
…..
Файловые серверы
……
Электронная почта
…..
……
……

Переведите риски в деньги

Дальше важно понять, что защищать в первую очередь и сколько на это потратить сил и денег. Для этого оцените риски в рублях: сколько компания потеряет, если сотрудник сольёт базу клиентов конкурентам. Потом определите вероятность того, что сотрудник это сделает.

Эксперты советуют применять вербально-числовую шкалу — по ней вы вычислите вероятность. Как это сделать: из таблицы выберите утверждение, которое подходит вам больше всего. При этом подставляйте конкретный временной промежуток — например, один год. Оценивать вероятность за бесконечное время не надо — тогда она будет 100%.

4. Вербально-числовая шкала для определения вероятности того, что угроза станет реальностью

Описание Коэффициент
Невозможно.
Ничего подобного никогда не происходило — ни в вашем бизнесе, ни в отрасли. Теоретически это могут сделать крутые спецы: хакеры, агенты ЦРУ. Но смысла в этом нет.
0
Маловероятно.
С этим вы ещё не сталкивались, но знаете, что такое возможно. Если это произойдет, не страшно: конкуренты на этом не заработают.
Например, сотрудник попытается слить базу клиентов, а она и так у всех есть.
0,2
Возможно.
С вами или кем-то другим из отрасли это происходило хотя бы раз. Если случится снова, конкуренты на этом заработают. Сценарий может быть такой: вы служба такси, и ваши компьютеры атакуют хакеры. Или произойдёт авария, исчезнет интернет. Диспетчеры не смогут принимать и распределять заказы в системе. Пока вы будете с этим разбираться, клиенты уйдут к конкурентам, бизнес понесёт убытки.
0,4
Очень даже возможно.
Такое происходило с вами несколько раз. Конкурентам это на руку, и они готовы заплатить, чтобы это случилось. Сотрудники могут слить важную для бизнеса информацию легко — для этого не нужно быть продвинутым пользователем, достаточно иметь доступ к документам. Также это может произойти случайно: например, кто-то из работников или вы сами оставите важные бумаги или пароли от почты на столе с полиграфией для клиентов.
0,6
Крайне вероятно.
Такое случается у вас несколько раз в год. Ваши недоброжелатели (сотрудники или конкуренты) заинтересованы в этом — это принесёт им моральное удовлетворение или прибыль. Например, сотрудники уводят клиентов в другую компанию и получают за это откат. Или сёрфят по зараженным сайтам, из-за чего постоянно летят ваши компьютеры, вы не можете работать с клиентами.
0,8

После того, как вы определили сумму ущерба в деньгах (У) и коэффициент вероятности (В), посчитайте величину риска (Р): Р=У×В.

5. Подсчёт суммы риска

Риск Ущерб Вероятность Сумма риска
Риск 1 2 000 000 ₽ 0,2 400 000 ₽
Риск 2 300 000 ₽ 0,4 120 000 ₽
Риск 3 800 000 ₽ 0,6 480 000 ₽
Риск 4 200 000 ₽ 0,8 160 000 ₽
Риск 5
Риск 10 160 000 ₽
Риск 11 40 000 ₽
Итого рисков ……

В итоге ваша таблица превратится в перечень рисков, оценённых в рублях. Это деньги, которые вы как минимум не заработаете, а как максимум — их придётся вынуть из оборота и потратить на устранение последствий.

Посмотрите на итоговую сумму рисков в таблице. Готовы ли вы её принять? Если нет, остаётся только снижать риски.

Снижайте риски и расходы

В первую очередь примите меры предосторожности. Не пускайте посторонних в офис, защитите пароли, ограничьте их распространение, обучите сотрудников основам безопасности. Поможет даже простая рассылка с предупреждением об эпидемии нового вируса и призывом не открывать подозрительные вложения. ИТ-специалист может регулярно проводить семинары и инструктаж новых сотрудников. Это не требует больших затрат.

Для серьёзной защиты нужны антивирусы, программы от утечек информации, специальное железо. Оценка, которую вы провели, поможет поставить чёткую задачу специалистам по информационной безопасности. Они подберут конкретное средство защиты, а не предложат делать всё сразу — расходы уменьшатся.

Сравните смету с суммой риска — так вы поймёте, окупятся ли вложения. Например, для победы над новыми вирусами производители предлагают системы класса Sandbox. Они эффективны, но стоят не меньше двух миллионов рублей. Если сумма рисков сопоставима или меньше этой суммы, выгоднее использовать средство подешевле — даже если оно не защитит вашу информацию полностью.

Памятка

Защита информации обойдётся дешевле, если знать, что и от чего защищать. Вот как это выяснить:

  1. Составьте список информационных активов. Оцените по 5-балльной шкале конфиденциальность, доступность и целостность каждого актива. В каждой тройке выберите самый большой балл — это итоговая ценность актива.
  2. Определите информационные системы, в которых работаете с активами. Ценность каждой системы равна ценности самого ценного актива. Защитите системы, которым поставили 4 или 5 — они самые ценные.
  3. Подумайте, что может угрожать ценным информационным системам. Тут нужен опыт — поручите это сисадмину или используйте каталог угроз.
  4. Оцените, сколько денег потеряете, если что-то случится с ценной информацией. Подумайте, насколько вероятно, что это случится за год. Рассчитайте сумму риска по формуле Риск = Ущерб × Вероятность угрозы.
  5. Покупая антивирус или файервол, сравните его стоимость с суммой риска: если потратите на них меньше, чем на восстановление ущерба берите; если больше — нет.
Жиза советует
Следить за выходом новых статей в телеграм-канале «Жизы»

Подробнее

На правах рекламы ООО “Эвотор”

Жиза советует