🤔 Benchmark InfoSec Risks
Салют, мы как то с тобой смотрели кейс по рискам ИБ тут, а сейчас думаю самое время разобраться с benchmark рисков ИБ.
Я приведу типовое описание и классификацию, то есть она является универсальной и может быть адаптирована под конкретный проект и/или кейс.
Ключевая цель — снижение уровня риска в тех случаях, когда он угрожает бизнес-процессам.
Процесс описывает практику Shift Left (раннего вовлечения) на этапах проектирования, проработки технического решения и внесения изменений в архитектуру. Служит источником требований на уровне включения в PRD, мы его тут рассматривали. Основные этапы процесса: Идентификация, Анализ, Обработка рисков, Контроль и мониторинг.
Подход позволяет
- Контролировать масштабирование продукта
- Своевременно выявлять и покрывать риски, связанные с недопустимыми событиями
- Оптимизировать меры по снижению рисков
- Определить минимально достаточный объем мер, необходимых для эффективной работы с рисками на последующих этапах
Задачами управления рисками ИБ являются:
- Своевременное и полное выявление факторов, способных привести к появлению новых или изменению уровня текущих рисков на всех этапах
- Выработка оптимальных и минимально достаточных, необходимых ресурсов и эффективности мер по обеспечению ИБ
- Обеспечение своевременной и полной реализации мер
- При изменении требований, архитектуры, невозможности выполнения прежних мер ИБ, изменении законодательства или рыночных условий - пересматривать и актуализировать условия, поэтому предлагается несколько альтернативных решений
Меры разделяются в зависимости от специфики соответствующих требований к обеспечению ИБ, включая условия, ограничения и целесообразности, которые разделяются на: pre-conditions(предусловия), post-conditions(постусловия)
Стратегии работы с рисками ИБ
- Принятие: осознанное решение принять риск без дополнительных мер, если текущий уровень риска находится в пределах приемлемого уровня, установленного внутренней политикой компании
- Делегирование: передача ответственности за риск третьей стороне (например, через страхование киберрисков или аутсорсинг услуги с соответствующими SLA)
- Избежание: полный отказ от деятельности, несущей риск
- Минимизация: разработка и внедрение плана мер для снижения текущего уровня риска до целевого
Для fintech ключевые стандарты и практики в РФ на 2025
- Стандарты Банка России: закреплен принцип пропорциональности, который подразумевает, что масштаб мер по управлению рисками должен соответствовать их потенциальному ущербу (воздействию) для бизнеса и клиентов
- ISO 31000:2018 «Менеджмент рисков. Принципы и руководство»: определяет риск как «влияние неопределенности на цели», где «влияние» — это отклонение от ожидаемого (как положительное, так и отрицательное). Оценка риска по ISO 31000 включает анализ последствий (impact) и вероятности (likelihood)
- FAIR (Factor Analysis of Information Risk): выражение риска в финансовых показателях (рублях). FAIR прямо фокусируется на оценке величины потенциальных потерь (масштаб ущерба) от инцидента, а не на скорости их реализации. Это позволяет обосновать инвестиции в безопасность на языке, понятном бизнесу
Итого: у тебя теперь есть подсказка по стандартам и практикам для fintech РФ - принцип пропорциональности и focus на воздействие), оценка последствий, оценка ущерба в денежном выражении. Это принцип разделяют все профессиональные риск-менеджеры - именно потенциальный масштаб ущерба (в деньгах, репутации, клиентах, времени простоя) является первичным фактором для определения критичности риска и выделения ресурсов на его управление и компенсацию. Сам benchmark в закрепе поможет тебе проще реализовывать и оценивать риски внутри компании, в которой ты находишься ;)
#devsecops #pmi #reco #specialty #riskanalys #pmcases #compliance #gost