факты
August 5

Доктрина как притвориться, что вы контролируете ситуацию

Процесс планирования с точки зрения организации — это метод управления рисками внутри организации. Цель этого процесса — помочь организациям выявить соответствующие риски, сформулировать защитные меры и соответствующим образом реализовать план снижения рисков.

Целевая аудитория включает менеджеров и экспертов в области информационной безопасности и киберзащиты.

Применяются различные методы оценки и управления рисками, в зависимости от размера организации, соответствия законодательным и нормативным требованиям и другими параметрами. Например, к организациям категории А относятся организации, у которых объем ущерба, причинённого кибер-инцидентом, не превышает 1,5 млн долларов США, а к организациям категории Б – организации, у которых размер ущерба, причинённого кибер-инцидентом, может стоить более 1,5 млн долларов США.

Для организаций категории А применяется простой и быстрый процесс определения целей защиты, специально предназначенных для организаций этой категории.

Для организаций категории B применяется не только процесс оценки рисков, но понимание необходимых мер защиты по матрице рисков и склонности к риску, изучение текущей ситуации с точки зрения принятых в отрасли рекомендаций по защите и формулирование плана работы для снижения рисков.

Конечный результат работы заключается в том, что организация определяет карту организационных рисков и то, какие средства контроля необходимы для снижения этих рисков, включая правильные приоритеты для реализации плана работы. Эти средства контроля станут основой для построения плана работы, распределения ресурсов и соответствующей подготовки организации.

Ключевые компоненты процесса планирования

Ключевые компоненты процесса планирования в организации включают:

📌 Разграничение деятельности: понимание цифровых активов организации и места их хранения для определения подлежащего защита набора объектов.

📌 Оценка рисков: выявление соответствующих рисков для организации, анализ этих рисков и их оценка для понимания их потенциального воздействия и вероятности.

📌 Управление риском: принятие решения о стратегии борьбы с выявленными рисками

📌 Построение плана работы: после того как риски идентифицированы и определена стратегия борьбы с ними, организация должна разработать план работы по устранению рисков. Этот план может включать внедрение процессов, приобретение решений и обучение сотрудников.

📌 Непрерывный аудит и контроль: реализация плана работы должна регулярно пересматриваться, чтобы гарантировать его эффективность и актуальность. Это включает в себя проверку новых информационных активов, реализованных средств контроля и необходимых управленческих данных.

📌 Привлечение юрисконсульта: юрисконсульт организации должен быть привлечён на ранних стадиях процесса планирования, чтобы обеспечить соблюдение законодательных и нормативных требований и быть интегрированным в ключевые процессы принятия решений.

📌 Принятие решений, подкреплённое доказательствами: организация должна использовать независимых аудиторов и экспертов, чтобы справиться с различными угрозами и гарантировать, что принятие решений подкреплено доказательствами, которые обеспечат реалистичную картину ситуации с безопасностью.

📌 Минимизация вторжения в частную жизнь: Структура управления предлагает директору по ИБ широкую свободу действий для снижения уровня риска до приемлемого значения, одновременно сводя к минимуму вторжение в частную жизнь.