Важнейшей задачей в развитии и защиты бизнеса является поддержание в актуальном состоянии информации об угрозах. Современные угрозы характеризуются высокой динамикой и специалисты нашей компании предлагают услуги по анализу, классификации, моделированию и ранжированию угроз различного характера, включая:
- угрозы совершения в отношении объектов, активов и персонала заказчика противоправных действий (хищения, саботаж, терроризм и пр.),
- угрозы информационной безопасности и сохранности информационных ресурсов организации (киберпреступления, конкурентная разведка, социальная инженерия, несанкционированный доступ к информации, нарушение требований регуляторов предметной сфере и пр.)
- угрозы техногенного характера (нарушения режимов работы оборудования, нарушения цепочек поставок, чрезвычайные ситуации, связанные с опасными веществами и материалами и пр.),
- угрозы природного характера (стихийные бедствия),
- внешние угрозы (высокая социальная напряженность в регионе, расположение рядом с объектами заказчика опасных производств, репутационные риски в результате размещения ложной информации о деятельности организации в социальных сетях и СМИ и пр.),
- внутренние угрозы,
- страновые риски (риски изменения законодательства и требований регуляторов, риски внешнеэкономической деятельности и пр.).
Информация об угрозах, включая информацию о вероятности наступления ущерба в результате реализации данных угроз (рисков), типовых сценариев реализации угроз (инцидентов), может являться основой системы управления рисками организации, программ поддержки непрерывности бизнеса, концепции безопасности, планов и программ безопасности, внутренних регламентирующих документов организации.
Типовой состав мероприятий по анализу и оценке угроз:
- определение и согласование с заказчиком перечня рассматриваемых угроз,
- сбор данных из внутренних и внешних источников, включая:
- выявление и анализ степени уязвимости объектов защиты (активы, персонал, информационные ресурсы и пр.),
- анализ нормативной базы,
- анализ статистических и исторических данных,
- классификация угроз и выявление их взаимосвязи,
- определение типовых сценариев реализации угроз,
- создание онтологической модели угроз,
- определение текущей степени уязвимости объекта защиты угрозам,
- анализ текущих мер, предпринимаемых для нивелирования угроз,
- моделирование отдельных видов угроз с применением средств автоматизации и информационной модели объекта (гиперссылка),
- определение размера потенциального ущерба от реализации угроз,
- ранжирование угроз по степени критичности,
- расчет и оценка рисков.
В нашей работе мы используем отечественные и мировые практики и подходы к анализу угроз и расчету рисков, и имеем опыт применения данного подхода в промышленности, энергетике и транспортной отраслях. По итогам оценки рисков специалисты нашей компании могут рекомендовать перечень мероприятий по снижению рисков, а также реализовать корпоративную систему управления рисками и обеспечения непрерывности бизнеса.