Целью внедрения методики является оптимизация процесса обработки рисков информбезопасности в финансовых организациях.
"Проще говоря, методика призвана стать основой для финансовых организаций, в которых оценка рисков информационной безопасности пока осуществлялась бессистемно, а также помочь всем финансовым организациям сделать данный процесс более прозрачным и структурированным. В дальнейшем мы планируем расширить требования по оценке рисков информбезопасности и на другие виды финансовых организаций: страховые организации, рынок ценных бумаг", — рассказал начальник Управления кибербезопасности Агентства РК по регулированию и развитию финансового рынка Роман Перминов.
Процесс оценки рисков разделен на два этапа — выявление критичных информационных активов и оценка рисков информбезопасности для данных активов.
Первый этап предполагает выявление организациями всех собственных информационных активов и оценка их ценности с точки зрения ценности их защиты.
На втором этапе специалисты организации определяют свойственные критичным информационным активам уязвимости, а также угрозы для их информационной безопасности.
На основании этих данных оцениваются вероятность реализации угрозы и, далее, уровень риска информбезопасности. Всё это прописано в методике.
Основной выгодой от внедрения этой методики будет повышение защищенности финансовых организаций и их устойчивости в противодействии угрозам информационной безопасности.
Фото: tgraph.io