В идеале меры по обеспечению ИБ должны опережать развитие угроз. Поэтому в стратегии управления безопасностью компании следует учесть необходимость повышения качества СУИБ и запланировать для этих целей соответствующие ресурсы.
«В подавляющем большинстве российских компаний система управления рисками ИБ находится в зачаточном состоянии. Перечислим признаки такой ситуации.
Нет четкой определенной политики, методологии и процедуры управления рисками ИБ. Отсутствует реестр информационных рисков, на котором основаны декларация о применимости механизмов контроля и план обработки рисков. Как следствие, внутренние проверки ИБ проводятся хаотично и бессистемно, а выдаваемые рекомендации субъективны, фрагментарны и не имеют достаточного экономического обоснования. При этом вполне могут быть обнаружены как технические уязвимости, так и организационные недостатки в работе СУИБ предприятия. Однако отдельные и наиболее критичные информационные системы и бизнес-процессы могут полностью выпасть из поля зрения. А при таком подходе подсчитать возврат инвестиций в реализацию механизмов ИБ, оценить остаточные риски, определить уровень приемлемого риска и правильно обозначить приоритеты в сфере обеспечения ИБ не представляется возможным.
Руководство компании в своей политике ИБ четко не определяет стандарты, нормативные документы, законодательные и бизнес-требования, контрактные обязательства, которым организация должна следовать для обеспечения ИБ. В итоге нет конкретных утвержденных руководством критериев, в соответствии с которыми должно осуществляться управление рисками.
Руководство компании доверяет проведение анализа ИБ недостаточно подготовленным специалистам и отказывается инвестировать в их обучение и сертификацию. В такой динамично развивающейся области, как ИБ, человек, полгода нигде не обучавшийся, уже безнадежно отстает, и креатива от него ожидать сложно. При этом руководители рассуждают примерно так: «Мы взяли на работу высококвалифицированного специалиста. Если его профессиональной подготовки недостаточно для выполнения им своих обязанностей, тогда зачем мы платим ему такую высокую зарплату?» Многие руководители, будучи людьми старшего поколения, мыслят категориями безвозвратно ушедшего индустриального века, когда человек, получив однажды образование и специальность, пользовался этими знаниями на протяжении всей трудовой деятельности, с годами «наслаивая» на них свой собственный опыт. Их воспитание и образование не позволяют понять, что правила ведения бизнеса в новом информационном веке изменились».
«В продвинутых компаниях управление рисками ИБ осуществляется примерно следующим образом.
Департамент ИБ отвечает за разработку и внедрение политик, процедур безопасности, идентифицирует риски и угрозы в области ИБ, выполняет ряд специфических функций, таких как криптозащита, а также проводит мониторинг инцидентов ИБ (например, попыток вторжений в корпоративную сеть) ежедневно и даже в режиме онлайн.
Департамент информационных технологий (IT) отвечает за техническое внедрение и сопровождение информационных систем, а также за реализацию технических мер контроля безопасности в соответствии с требованиями департамента ИБ.
Департамент внутреннего аудита проводит периодические проверки выполнения требований корпоративных политик, регламентов и процедур, в том числе в области IT и ИБ. Например, распределяются ли права доступа в соответствии с утвержденными регламентами, осуществляется ли резервное копирование данных, происходит ли ознакомление пользователей с требованиями ИБ?
Департамент управления рисками обеспечивает общую методологию управления корпоративными рисками и взаимодействует с департаментом ИБ с целью интеграции рисков IT и ИБ в общую карту рисков организации».