Управление киберрисками: фреймворки и практики

Кибербезопасность как управление рисками

Абсолютной безопасности нет. Задача — управлять рисками: снизить вероятность атаки, минимизировать ущерб при успешной атаке, обеспечить восстановление.

Формула: Cyber Risk = Threat (угрозы) × Vulnerability (уязвимости) × Asset Value (ценность актива).

NIST Cybersecurity Framework

Наиболее используемый фреймворк (NIST CSF) — пять функций:

Identify: инвентаризация активов, понимание рисков. «Что мы защищаем?»

Protect: контроли для снижения рисков. MFA, шифрование, обучение персонала, управление доступом.

Detect: мониторинг для выявления инцидентов. SIEM (Security Information and Event Management) — агрегация и анализ логов.

Respond: план реагирования на инциденты. Кто что делает, как уведомлять, как изолировать.

Recover: восстановление после инцидента. Backups, disaster recovery, business continuity.

ISO 27001

Международный стандарт управления информационной безопасностью. Сертификация — подтверждение зрелости системы ИБ для клиентов, партнёров, регуляторов. Требует: ISMS (Information Security Management System), risk assessment, набор контролей (Annex A: 93 контроля).

Страхование киберрисков

Cyber Insurance — быстрорастущий рынок ($13 млрд в 2022, прогноз $84 млрд в 2030). Покрывает: расходы на расследование инцидента; уведомление клиентов; юридические расходы; выплаты выкупа (дискуссионно); потери от перерыва бизнеса.

Требования страховщиков: наличие MFA, EDR (Endpoint Detection and Response), регулярные бэкапы, план реагирования на инциденты.

Практическое задание

Банк готовится к аудиту на соответствие ISO 27001. Внутренний аудит выявил: (1) нет инвентаризации всех IT-активов, (2) 30% сотрудников не прошли обучение по информационной безопасности, (3) нет формального плана реагирования на инциденты. Разработайте план устранения несоответствий в течение 3 месяцев.