Уровни зрелости бизнеса в отношении рисков

image_pdfimage_print

На выбор подхода к оценке рисков в организации, помимо характера ее бизнеса и уровня информатизации бизнес-процессов, также оказывает влияние ее уровень зрелости. Управление рисками – это бизнес-задача, инициируемая руководством организации в силу своей информированности и степени осознания проблем, смысл которой заключается в защите бизнеса от реально существующих угроз.

По степени осознания можно условно выделить несколько уровней зрелости организаций:

  1. На первом уровне осознание как таковое отсутствует, в организации предпринимаются фрагментарные меры по обеспечению ИБ, инициируемые и реализуемые ИТ специалистами на свой страх и риск.
  2. На втором уровне в организации определена ответственность за ИБ, делаются попытки применения интегрированных решений с централизованным управлением и внедрения отдельных процессов управления ИБ.
  3. Третий уровень характеризуется применением процессного подхода к управлению ИБ, описанного в стандартах. Система управления ИБ становится настолько значимой для организации, что рассматривается как необходимый составной элемент системы управления организацией. Однако полноценной системы управления ИБ еще не существует, т.к. отсутствует базовый элемент этой системы – процессы управления рисками.
  4. Для организаций с наивысшей степенью осознания проблем ИБ характерно применение формализованного подхода к управлению рисками ИБ, отличающегося наличием документированных процессов планирования, реализации, мониторинга и совершенствования СУИР.

Такое упрощенное описание уровней зрелости в определенной степени соотносится с моделями зрелости организации, в свое время предложенными Группой Гартнер (Gartner Group), Ассоциацией Аудита и Контроля Информационных Систем (ISACA) и Университетом Карнеги Меллон (Carnegie Mellon University). Несмотря на некоторые различия в этих моделях, все они сходятся в том, что осознанный формализованный подход к управлению информационными рисками применяется организациями с наивысшим уровнем зрелости. В то же время большинство российских организаций пока находятся на начальных уровнях.

Автор

Александр Астахов

Эксперт по информационной безопасности, автор книг и статей, предприниматель, основатель группы GlobalTrust, компании Protectiva, портала ISO27000.RU.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *