Преимущества риск-ориентированного подхода к управлению информационной безопасностью

Риск-ориентированный подход к решению задач управления информационной безопасностью лежит в основе всех международных и отраслевых стандартов на системы менеджмента (ISO 27001, ГОСТ Р 27001, СТО БР ИББС, Basel II, UK Turnbull Guidance, SOX, COSO ERM-Integrated Framework и т.д.) и обеспечивает применяющей его организации существенные преимущества. Применение риск-ориентированного подхода позволяет:

  • Из огромного количества существующих требований, предписаний и средств защиты информации выбрать те, которые действительно необходимы организации и наилучшим образом соответствуют ее потребностям
  • Правильно интерпретировать сформулированные в самом общем виде требования безопасности, содержащиеся в законодательных актах, нормативных документах и стандартах, применительно к конкретной организации
  • Принимать осознанные, своевременные и экономически-обоснованные решения относительно применения защитных мер, базируясь на систематическом анализе всех факторов, влияющих на возможность реализации угроз безопасности, и степени воздействия этих угроз на бизнес
  • Оценивать экономическую эффективность и целесообразность принимаемых мер по обеспечению информационной безопасности
  • Правильно расставлять приоритеты, формировать планы и бюджеты на безопасность, с учетом возврата инвестиций, ожидаемых от реализации защитных мер, уменьшающих существующие риски
  • Оптимизировать и сокращать расходы организации на обеспечение информационной безопасности и соответствия требованиям, при одновременном повышении общей эффективности системы защиты информации и системы управления информационной безопасностью
  • Осуществлять анализ возврата инвестиций в информационную безопасность и поставить систему премирования для службы информационной безопасности в зависимость от обеспечиваемого коэффициента возрата инвестиций, как основного показателя эффективности ее функционирования

Для организаций, не применяющих риск-ориентированный подход к управлению информационной безопасностью, характерны следующие особенности:

  • Решения по реализации защитных мер принимаются интуитивно, исходя из общих соображений, основываясь на маркетинговых компаниях производителей средств защиты информации и без анализа экономической целесообразности и эффективности
  • Бюджеты на обеспечение информационной безопасности формируются по остаточному принципу, т.к. информационная безопасность является расходной статьей для организации
  • Бюджеты на информационную безопасность расходуются неэффективно, часто впустую
  • Отсутствует взаимосвязь между интересами бизнеса, интересами службы информационной безопасности и интересами ИТ подразделения
  • Оценка эффективности службы информационной безопасности организации либо не производится, либо никак не связана с экономической отдачей от деятельности данной службы
  • Система премирования специалистов по информационной безопасности никак не связана с эффективностью их деятельности (которую руководство организации не умеет измерять), что приводит к демотивированности этих сотрудников
  • При принятии решений многие риски информационной безопасности не учитываются, либо недооцениваются, в то время как другие риски переоцениваются, т.к. у лиц, принимающих решения, отсутствует объективная картина существующих рисков и инструменты для их измерения
  • Решения по реализации многих защитных мер принимаются уже после того, как инцидент произошел и причинил серьезный ущерб организации (реактивная практика управления)
  • Управление рисками информационной безопасности подменяется обеспечением соответствия многочисленным и зачастую противоречивым требованиям безопасности, что приводит к процветанию бюрократии, замене реальной безопасности «бумажной» безопасностью, неэффективному расходованию средств и разочарованию со стороны руководства организации