Доктрина как притвориться, что вы контролируете ситуацию
Процесс планирования с точки зрения организации — это метод управления рисками внутри организации. Цель этого процесса — помочь организациям выявить соответствующие риски, сформулировать защитные меры и соответствующим образом реализовать план снижения рисков.
Целевая аудитория включает менеджеров и экспертов в области информационной безопасности и киберзащиты.
Применяются различные методы оценки и управления рисками, в зависимости от размера организации, соответствия законодательным и нормативным требованиям и другими параметрами. Например, к организациям категории А относятся организации, у которых объем ущерба, причинённого кибер-инцидентом, не превышает 1,5 млн долларов США, а к организациям категории Б – организации, у которых размер ущерба, причинённого кибер-инцидентом, может стоить более 1,5 млн долларов США.
Для организаций категории А применяется простой и быстрый процесс определения целей защиты, специально предназначенных для организаций этой категории.
Для организаций категории B применяется не только процесс оценки рисков, но понимание необходимых мер защиты по матрице рисков и склонности к риску, изучение текущей ситуации с точки зрения принятых в отрасли рекомендаций по защите и формулирование плана работы для снижения рисков.
Конечный результат работы заключается в том, что организация определяет карту организационных рисков и то, какие средства контроля необходимы для снижения этих рисков, включая правильные приоритеты для реализации плана работы. Эти средства контроля станут основой для построения плана работы, распределения ресурсов и соответствующей подготовки организации.
Ключевые компоненты процесса планирования
Ключевые компоненты процесса планирования в организации включают:
📌 Разграничение деятельности: понимание цифровых активов организации и места их хранения для определения подлежащего защита набора объектов.
📌 Оценка рисков: выявление соответствующих рисков для организации, анализ этих рисков и их оценка для понимания их потенциального воздействия и вероятности.
📌 Управление риском: принятие решения о стратегии борьбы с выявленными рисками
📌 Построение плана работы: после того как риски идентифицированы и определена стратегия борьбы с ними, организация должна разработать план работы по устранению рисков. Этот план может включать внедрение процессов, приобретение решений и обучение сотрудников.
📌 Непрерывный аудит и контроль: реализация плана работы должна регулярно пересматриваться, чтобы гарантировать его эффективность и актуальность. Это включает в себя проверку новых информационных активов, реализованных средств контроля и необходимых управленческих данных.
📌 Привлечение юрисконсульта: юрисконсульт организации должен быть привлечён на ранних стадиях процесса планирования, чтобы обеспечить соблюдение законодательных и нормативных требований и быть интегрированным в ключевые процессы принятия решений.
📌 Принятие решений, подкреплённое доказательствами: организация должна использовать независимых аудиторов и экспертов, чтобы справиться с различными угрозами и гарантировать, что принятие решений подкреплено доказательствами, которые обеспечат реалистичную картину ситуации с безопасностью.
📌 Минимизация вторжения в частную жизнь: Структура управления предлагает директору по ИБ широкую свободу действий для снижения уровня риска до приемлемого значения, одновременно сводя к минимуму вторжение в частную жизнь.