Риск-ориентированный подход к решению задач управления информационной безопасностью лежит в основе всех международных и отраслевых стандартов на системы менеджмента (ISO 27001, ГОСТ Р 27001, СТО БР ИББС, Basel II, UK Turnbull Guidance, SOX, COSO ERM-Integrated Framework и т.д.) и обеспечивает применяющей его организации существенные преимущества. Применение риск-ориентированного подхода позволяет:
- Из огромного количества существующих требований, предписаний и средств защиты информации выбрать те, которые действительно необходимы организации и наилучшим образом соответствуют ее потребностям
- Правильно интерпретировать сформулированные в самом общем виде требования безопасности, содержащиеся в законодательных актах, нормативных документах и стандартах, применительно к конкретной организации
- Принимать осознанные, своевременные и экономически-обоснованные решения относительно применения защитных мер, базируясь на систематическом анализе всех факторов, влияющих на возможность реализации угроз безопасности, и степени воздействия этих угроз на бизнес
- Оценивать экономическую эффективность и целесообразность принимаемых мер по обеспечению информационной безопасности
- Правильно расставлять приоритеты, формировать планы и бюджеты на безопасность, с учетом возврата инвестиций, ожидаемых от реализации защитных мер, уменьшающих существующие риски
- Оптимизировать и сокращать расходы организации на обеспечение информационной безопасности и соответствия требованиям, при одновременном повышении общей эффективности системы защиты информации и системы управления информационной безопасностью
- Осуществлять анализ возврата инвестиций в информационную безопасность и поставить систему премирования для службы информационной безопасности в зависимость от обеспечиваемого коэффициента возрата инвестиций, как основного показателя эффективности ее функционирования
Для организаций, не применяющих риск-ориентированный подход к управлению информационной безопасностью, характерны следующие особенности:
- Решения по реализации защитных мер принимаются интуитивно, исходя из общих соображений, основываясь на маркетинговых компаниях производителей средств защиты информации и без анализа экономической целесообразности и эффективности
- Бюджеты на обеспечение информационной безопасности формируются по остаточному принципу, т.к. информационная безопасность является расходной статьей для организации
- Бюджеты на информационную безопасность расходуются неэффективно, часто впустую
- Отсутствует взаимосвязь между интересами бизнеса, интересами службы информационной безопасности и интересами ИТ подразделения
- Оценка эффективности службы информационной безопасности организации либо не производится, либо никак не связана с экономической отдачей от деятельности данной службы
- Система премирования специалистов по информационной безопасности никак не связана с эффективностью их деятельности (которую руководство организации не умеет измерять), что приводит к демотивированности этих сотрудников
- При принятии решений многие риски информационной безопасности не учитываются, либо недооцениваются, в то время как другие риски переоцениваются, т.к. у лиц, принимающих решения, отсутствует объективная картина существующих рисков и инструменты для их измерения
- Решения по реализации многих защитных мер принимаются уже после того, как инцидент произошел и причинил серьезный ущерб организации (реактивная практика управления)
- Управление рисками информационной безопасности подменяется обеспечением соответствия многочисленным и зачастую противоречивым требованиям безопасности, что приводит к процветанию бюрократии, замене реальной безопасности «бумажной» безопасностью, неэффективному расходованию средств и разочарованию со стороны руководства организации
