Отношение к риск-менеджменту и оценке рисков ИБ среди российских ИТ и ИБ-специалистов иначе как скептическим назвать сложно. Все знают, что это важно, и во многих стандартах (в западных, а теперь уже и в наших) говорится о необходимости оценивать и отслеживать риски информационной безопасности. Однако как это делать правильно и, самое главное, как доказать руководству, что полученный результат действительно полезен и отражает действительность, а не является просто формальным умозаключением?

Безусловно, скептическое отношение сформировалось не на пустом месте. Традиционно информационная безопасность находилась либо в ведении ИТ-отдела, либо под крылом службы безопасности. При этом только в немногих компаниях вопросы ИБ находили поддержку и понимание среди руководителей высшего звена. Неумение специалистов по ИТ объясняться с высшим руководством, а порой и слабое знание предметной области не позволяли им донести до руководителей правильное понимание необходимости оценки и мониторинга рисков, связанных с ИБ. Отчасти в формировании такого отношения виноваты и некоторые консалтинговые организации, выдававшие за оценку рисков обычные экспертные проверки, а иногда и вообще определявшие это все как «комплексный аудит информационной безопасности», который, опять же, основывался исключительно на опыте и знаниях выполнявших его специалистов и не опирался на какой-либо методологический подход. Однако давайте попробуем расставить все по местам. Сейчас уже ясно, что аудит, оценка рисков, оценка уязвимости, тесты на проникновение — это все совершенно разные вещи. На это указывают практически все существующие стандарты по безопасности: ISO 27001, PCI DSS, СТО БР ИББС, ISO 13335, NIST SP 800−30 и др.

Ключевые слова: ISO, IT, аудит, бизнес, ИБ, рынок

Статьи по теме

• Как сделать ИТ-аутсорсинг прозрачным?
  Несмотря на то, что ИТ-аутсорсинг способен значительно оптимизировать расходы на поддержку ИТ-инфраструктуры, развитие данного рынка в России происходит не столь высокими темпами. Одной из причин являются опасения потери либо компрометации критически важных данных. В этой связи может обратить на себя внимание новая концепция Managed Services – более гибкая модель аутсорсинга непрофильных ИТ-систем, позволяющая строго регламентировать [...]
• Управление продажами в ИТ: 10 шагов к успеху
  Тема кризиса становится все более популярной среди руководителей ИТ-продаж и сейлз-менеджеров. До кризиса все ошибки нивелировал экстенсивно растущий на нефтяных деньгах рынок. Сегодня неэффективное управление продажами неминуемо приведет компанию к краху. Особенно остро эта проблема может проявиться при продажах крупных и сложных ИТ-проектов, организационного консалтинга, связанного с изменениями бизнес-процессов и внедрением ИТ-систем, различных ИТ-сервисов и [...]
• Преимущества ИТ в авиации
  Большинство новых ИТ-инициатив авиапредприятий направлены на повышение лояльности пассажиров. Тем печальнее, что пользу от дорогостоящих CRM-систем, систем поддержки специальных маркетинговых программ, электронных билетов и т.д. все еще может перекрыть негативный опыт столкновения с человеческим фактором. Когда регистрация проходит нервно, багаж теряется, рейс задерживается, или сервис на борту оставляет желать лучшего. Тем не менее, повышение качества [...]
• От безысходности
  «У нас еще в студенческие годы появилась идея интересного софт-проекта «Таск-менеджера Мегаплан» по оптимизации управления компаниями, вспоминает г-н Уколов. Мы начали искать инвестора. Но денег никто не дал». После первой неудачи выпускники МЭСИ Михаил Уколов и Олег Рыбалов (ныне финансовый директор «Ютинет.Ру») решили не ждать милостей от инвесторов и заработать самостоятельно. Поскольку оба [...]

Pages: 1 2 3 4 5 6 7

Эта запись была создана в Среда, февраля 11, 2009 в 16:54 и добавлена в раздел Рынок IT. Понравилась заметка? Подписывайтесь на обновления через RSS 2.0 канал. Вы можете оставить комментарий, или trackback к этой записи.