Еще раз о преимуществах риск-ориентированного подхода к управлению информационной безопасностью

О многочисленных преимуществах риск-ориентированного подхода к управлению информационной безопасностью (для тех, для кого это не очевидно) уже много раз писалось, в том числе и мной. Для одного из потенциальных клиентов пришлось сделать небольшое резюме на эту тему. Может быть пригодится не только ему.

Риск-ориентированный подход к решению задач управления информационной безопасностью лежит в основе всех международных и отраслевых стандартов на системы менеджмента (ISO 27001, ГОСТ Р 27001, СТО БР ИББС, Basel II, UK Turnbull Guidance, SOX, COSO ERM-Integrated Framework и т.д.) и обеспечивает применяющей его организации существенные преимущества. Применение риск-ориентированного подхода позволяет:

• Из огромного количества существующих требований, предписаний и средств защиты информации выбрать те, которые действительно необходимы организации и наилучшим образом соответствуют ее потребностям
• Правильно интерпретировать сформулированные в самом общем виде требования безопасности, содержащиеся в законодательных актах, нормативных документах и стандартах, применительно к конкретной организации
• Принимать осознанные, своевременные и экономически-обоснованные решения относительно применения защитных мер, базируясь на систематическом анализе всех факторов, влияющих на возможность реализации угроз безопасности, и степени воздействия этих угроз на бизнес
• Оценивать экономическую эффективность и целесообразность принимаемых мер по обеспечению информационной безопасности
• Правильно расставлять приоритеты, формировать планы и бюджеты на безопасность, с учетом возврата инвестиций, ожидаемых от реализации защитных мер, уменьшающих существующие риски
• Оптимизировать и сокращать расходы организации на обеспечение информационной безопасности и соответствия требованиям, при одновременном повышении общей эффективности системы защиты информации и системы управления информационной безопасностью
• Осуществлять анализ возврата инвестиций в информационную безопасность и поставить систему премирования для службы информационной безопасности в зависимость от обеспечиваемого коэффициента возрата инвестиций, как основного показателя эффективности ее функционирования

Для организаций, не применяющих риск-ориентированный подход к управлению информационной безопасностью, характерны следующие особенности:

• Решения по реализации защитных мер принимаются интуитивно, исходя из общих соображений, основываясь на маркетинговых компаниях производителей средств защиты информации и без анализа экономической целесообразности и эффективности
• Бюджеты на обеспечение информационной безопасности формируются по остаточному принципу, т.к. информационная безопасность является расходной статьей для организации
• Бюджеты на информационную безопасность расходуются неэффективно, часто впустую
• Отсутствует взаимосвязь между интересами бизнеса, интересами службы информационной безопасности и интересами ИТ подразделения
• Оценка эффективности службы информационной безопасности организации либо не производится, либо никак не связана с экономической отдачей от деятельности данной службы
• Система премирования специалистов по информационной безопасности никак не связана с эффективностью их деятельности (которую руководство организации не умеет измерять), что приводит к демотивированности этих сотрудников
• При принятии решений многие риски информационной безопасности не учитываются, либо недооцениваются, в то время как другие риски переоцениваются, т.к. у лиц, принимающих решения, отсутствует объективная картина существующих рисков и инструменты для их измерения
• Решения по реализации многих защитных мер принимаются уже после того, как инцидент произошел и причинил серьезный ущерб организации (реактивная практика управления)
• Управление рисками информационной безопасности подменяется обеспечением соответствия многочисленным и зачастую противоречивым требованиям безопасности, что приводит к процветанию бюрократии, замене реальной безопасности «бумажной» безопасностью, неэффективному расходованию средств и разочарованию со стороны руководства организации

16-06-2011  | Permalink |  Comments (2)