3. Практика захисту інформації в сенсі керування інформаційними ризиками

На етапі керування ризиками розроблюється певна стратегія керування ризиками. Наприклад, можливі наступні підходи до керування інформаційними ризиками компанії:

• зменшення ризику;

• ухилення від ризику;

• зміна характеру ризику;

• прийняття ризику

Розглянемо зазначені підходи детальніше.

Зменшення ризиків. Численні ризики можливо значно зменшити за рахунок простих та дешевих контрзаходів. Наприклад, грамотне керування паролями знижує ризик НСД.

Ухилення від ризику. Від деяких класів ризику можна ухилитися. Наприклад, встановлення джерел безперебійного живлення дозволить уникнути ризику знищення інформації на ПЕОМ внаслідок знеструмлення електромережі офісу.

Зміна характеру ризику. Якщо не має можливості ухилитися від ризику або ефективно його зменшити, можна застосувати деякі заходи страхування. Наприклад застрахувати устаткування, яке оброблює інформацію від пожежі, укласти договір з постачальниками техніки про супроводження та компенсацію збитків, викликаних нештатними ситуаціями.

Прийняття ризику. Багато ризиків неможливо звести нанівець. На практиці після застосування стандартної низки контрзаходів, деякі ризики зменшуються але врешті ще залишаються значними. В зв’язку з цим, необхідно знати залишкову величину ризику.

За результатами виконання даного етапу для прийнятих до уваги інформаційних ризиків компанії повинна бути запропонована стратегія керування ризиками.

Наступний етап – обрання контрзаходів, що забезпечать режим ІБ. На цьому етапі обґрунтовано обирається комплекс різноманітних контрзаходів для захисту інформації, структурованих по нормативно-правовому, організаційно-управлінському, технологічному та апаратно-програмному рівням забезпечення інформаційної безпеки. В подальшому, обраний комплекс контрзаходів реалізується у відповідності з обраною стратегією керування інформаційними ризиками. Якщо здійснюється повний варіант аналізу ризиків, то для кожного ризику додатково оцінюється ефективність комплексу контрзаходів із захисту інформації.

Контрольні запитання

1. Від чого залежить успіх реалізації політики інформаційної безпеки?

2. Які основні тенденції розвитку служби ІБ у закордонних компаніях?

3. Які основні тенденції розвитку служби ІБ у вітчизняних компаніях?

4. У чому полягають задачі аналізу інформаційних ризиків та керування ними?

5. Хто генерує стратегію захисту інформаційних ресурсів компанії?

6. В чому зміст аудиту системи керування інформаційною безпекою?

7. Що розуміють під життєвим циклом безпеки ІТС?

8. Які основні підходи щодо керування інформаційними ризиками компанії?

9. У чому різниця між «зменшенням ризику» та «зміною характеру ризику»?