Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов О том, почему службы ИБ не управляют и не должны управлять рисками ИБ
Protectiva Compliance Manager
Навигация
 

О том, почему службы ИБ не управляют и не должны управлять рисками ИБ

Автор: Александр Астахов опубликовано: 28-06-2009 последнее изменение: 28-06-2009

Почему посещая службы информационной безопасности в организациях, например, с очередным аудитом, нельзя обнаружить ни реестра информационных рисков ни плана их обработки? Ответ очевиден. Потому что эти службы не управляют рисками ИБ, а занимаются они тем, чем и должны заниматься: расследуют инциденты, управляют доступом, контролируют защищенность, фильтруют почту, борются с вредоносным ПО и т.п.

Никакого противоречия здесь нет. Все дело в том, что задача службы ИБ состоит не в управлении рисками ИБ, а в их уменьшении до приемлемого уровня, определяемого руководством организации. Поясню в чем разница.

Процесс управления рисками, как известно, включает в себя два ключевых подпроцесса: оценку и обработку рисков, а также ряд вспомогательных подпроцессов. Служба ИБ не может отвечать за оценку рисков ИБ потому что, как было показано в предыдущем посте "Нужна ли руководителям ИБ экономически оправданная безопасность?", она не заинтересована в объективной оценке. Безопасникам выгодно, чтобы риски всегда оценивались по-максимому.

Обработка рисков, что также не тайна, включает в себя четыре взаимно-неисключающих действия: уменьшение риска, принятие (сохранение) риска, передача риска и избежание риска. Служба ИБ из всего этого может отвечать только за уменьшение риска, т.е. за планирование и реализацию конкретных контрмер.

Управление рисками - это функция более высокого уровня нежели текущая деятельность по обеспечению информационной безопасности. Эта функция должна осуществляться руководством организации совместо с риск-менеджером, который и должен нести ответственность за формирование и поддержание в актуальном состоянии ключевых документов: реестра рисков и плана их обработки. Служба ИБ, также как и ИТ и бизнес-подразделения и владельцы активов должны активно участвовать в оценке рисков, но владельцем этого процесса должен быть риск-менеджер.

Ключевые роли по управлению информационной безопасностью в организации должны распределяться следующим образом:

  • Руководство - поддержка и анализ СУИБ, утвреждение политики ИБ, распределение ключевых ролей и ответственности, определение критериев принятия рисков, общих контроль и т.п.
  • Управляющий комитет по ИБ - стратегическое управление, утверждение ключевых документов и бюджета ИБ
  • Служба риск-менеджмента - оценка рисков, подготовка и контроль реализации решений Руководства по обработке рисков, коммуникация и мониторинг рисков и т.п.
  • Служба ИБ - оперативное управление, реализация мероприятий по обеспечению ИБ и уменьшению соответствующих рисков
  • Служба внутреннего аудита - независимый контроль и оценка эффективности деятельности всех подразделений, включая риск-менеджмент, ИБ, ИТ и других участников процессов обеспечения ИБ
  • Служба ИТ - реализация программно-технических механизмов контроля ИБ в зоне своей ответственности совместо или под контролем службы ИБ

Такое распределение ответственности является наиболее обоснованным, обеспечивающим взаимных контроль и исключающим конфликт интересов.

Последнее время, когда руководители ИБ высказывают обоснованные сомнения в возможности реализации в рамках их подразделений процессов по управлению рисками ИБ, я их успокаиваю: "Продолжайте заниматься текучкой, управление рисками - не ваша задача."

Comments (0)

Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2020 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex