Оценка кибер-рисков и их последствий

Наша компания выполняет работы по оценке кибер-рисков для целей создания программы управления рисками и страхования от кибер-угроз, а также повышению качества управления рисками.

В зависимости от вида актива и индустрии набор оказываемых услуг может варьироваться, но базовыми услугами для каждого вида актива остаются следующие работы:

Выявление списка возможных кибер-угроз для последующей оценки их последствий

Проводится аудит ИТ инфраструктуры, всех процедур, инструкций и регламентов, принятые в компании по обеспечению кибер-безопасности.

Угрозы безопасности информации определяются по результатам оценки возможностей внешних и внутренних нарушителей, анализа возможных уязвимостей ИТ систем, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности) компании.

Определяется диверсификации угроз по виду затрагиваемой информации (государственная тайна, коммерческая тайна, инсайдерская информация, ДСП, персональные данные, «информация, требующая специальной защиты», иная). Учитываются структурно-функциональные характеристики всех ИТ систем, применяемые решения и особенности их функционирования.

После анализа и верификации угроз выполняется их ранжирование. Ранжирование выполняется в качественных характеристиках.

Дополнительно возможно изучение безопасности управляющих IT систем промышленного оборудования (АСУ).

Результатом проведенной работы является верифицированный список возможных кибер-угроз безопасности информации компании, который будет использоваться для последующей оценки кибер-рисков.

По Вашему желанию мы готовы взаимодействовать с другой компанией, которая выявит и предоставит необходимую информацию по кибер-угрозам.

Расчет стоимости реализации кибер-рисков и максимально возможного вреда для компании

Данная услуга является ключевой в рамках оценки риска реализации кибер-угроз. Она включает в себя расчет и оценку финансового убытка при реализации согласованного на предыдущем этапе списка кибер-угроз.

Выполняется расчет всех видов расходов по восстановлению работоспособности (затраты на человеческие, технические, материальные и другие ресурсы).

Проводится оценка риска ответственности перед третьими лицами, оценка репутационного риска, оценка риска перерыва производства и оценка возможных штрафов, налагаемых регуляторными органами. Конкретный набор оцениваемых видов ущерба предварительно согласовывается.

Формируется количественная и/или финансовая оценка кибер-рисков компании, включая риски в отношении персональных данных (нарушение конфиденциальности информации, нарушение целостности информации и нарушение доступности информации). Риски, которые невозможно оценить в количественном выражении оцениваются качественно.

Результатом проведенной работы является стоимость кибер-рисков компании в денежном эквиваленте (при различных сценариях) в разрезе бизнес-направлений/юридических лиц, что позволяет провести количественное сравнение стоимости кибер-рисков с возможными затратами компании на защиту данных.

Обобщение результатов выявление кибер-угроз и расчета максимального вреда при реализации кибер-рисков

Готовится единый сюрвейерский отчет с описанием рисков с учетом практики страхования кибер-рисков. В отчете приводится список возможных для страхования кибер-рисков. Все риски описываются, указываются их характеристики и максимально возможные величины.

Результатом данной работы является отчет об оценке кибер-рисков в понятном страховому сообществу формате.

Разработка и внедрение в компании механизмов управления непрерывностью бизнеса и восстановления после реализации кибер-угроз (создание программ обеспечения непрерывности бизнеса, аварийного восстановления и кризисного реагировании)

Анализируются бизнес-процессы, выделяются точки критичности, ранжируются по степени влияния на непрерывность бизнеса. Оценивается их воздействия на бизнес. На основе данных, составляется карта ключевых бизнес-процессов с наложенными на них рисками, показывающая, в каких из них выявлены определенные нарушения функционирования, которые потенциально приведут к убыткам. Готовятся планы:

  • Incident management (IM), или управление инцидентами — оперативный уровень обеспечения непрерывности бизнеса.
  • Business continuity & disaster recovery management, или управление непрерывностью бизнеса и аварийным восстановлением.
  • Crisis & emergency management, или управление чрезвычайными (кризисными) ситуациями.

Для расчета экономического эффекта от внедрения мер определяется и сравнивается стоимость простоя бизнес-процессов: допустимое время восстановления/простоя, целевая точка восстановления, уровень непрерывности бизнеса — % от режима штатной работы.

Планирование работ в рамках управления рисками

Совместно с компанией разрабатываются и создаются

  • Принципы выбора организационных и технических решений управления кибер-рисками
  • Планы управления непрерывностью бизнеса и восстановления бизнеса интегрированные в общие бизнес-процессы компании
  • Принципы отказоустойчивости и резервирования ЦОД
  • Регламенты сопровождения и эксплуатации систем обеспечения кибер-защищенности и непрерывности бизнеса
  • Встраивание процессов в корпоративную культуру
  • Обучение сотрудников

Результатом являются структурированные планы по усилению контроля над рисками, существующими у компании. Данная работа крайне важна для страховых компаний при презентации риска.

Указанные выше виды работ могут выполняться как вместе, так и по отдельности. Выполнение работ возможно как с IT-специалистами заказчика, так и с IT-подрядчиками по созданию IT инфраструктуры.

У ВАС ВОЗНИКЛИ ВОПРОСЫ ИЛИ НУЖНА КОНСУЛЬТАЦИЯ?

Наши услуги

Промышленным предприятиям
Опасные производственные объекты и ГТС
Страховым компаниям и брокерам
состав группы компаний рискТЭКонсалт

Контактные данные

У ВАС ВОЗНИКЛИ ВОПРОСЫ ИЛИ НУЖНА КОНСУЛЬТАЦИЯ?