OPSEC (аббревиатура от Operations Security — операционная или процедурная безопасность) — это процесс выявления и защиты критически важной информации.
Принципы OPSEC изначально разработали вооруженные силы США, чтобы избежать утечки разнородных данных, которые в совокупности могли бы выдать некую общую важную секретную информацию. Однако сегодня их активно применяют как ИБ-специалисты, чтобы снизить риск утечки конфиденциальных сведений, так и киберпреступники, чтобы избежать обнаружения.
Пять этапов OPSEC
Операционную безопасность как процесс обычно разбивают на пять этапов, которые следует регулярно повторять:
- Определение критически важных данных. На этом этапе выясняют, какая информация может заинтересовать недоброжелателей, а также утечка каких сведений способна нанести наибольший ущерб организации.
- Анализ ландшафта угроз. Специалисты прогнозируют, кто может быть заинтересован в краже критически важных данных, выявленных на первом этапе, — киберпреступники, конкуренты или даже штатные сотрудники.
- Анализ уязвимостей. На следующем этапе, с учетом разработанного ранее ландшафта угроз, определяют слабые места, которые могут стать причиной утечки информации, если угрозы будут реализованы.
- Оценка рисков. Выявив слабые места, специалисты оценивают, с какой вероятностью каждое из них может стать причиной утечки критически важных данных и каков будет ущерб в случае такой утечки. Исходя из этого, уязвимости ранжируют по степени опасности, и становится ясно, какие из них необходимо устранить в первую очередь.
- Разработка и принятие контрмер. На финальном этапе специалисты организации разрабатывают план устранения угроз и снижения рисков утечки данных. Он может включать установку новых ИБ-продуктов, разработку политик безопасности, обновление должностных инструкций и другие шаги. Запланированные меры приводятся в исполнение.