Обеспечить информационную безопасность стараются все современные предприятия. Угрозой может стать не только технический сбой, но и неограниченный доступ всех сотрудников к любой информации. Такие информационные риски в свою очередь влекут за собой опасность возникновения ущерба либо убытков в результате несанкционированного доступа заинтересованных лиц к конфиденциальным сведениям.
Именно поэтому их нужно тщательно анализировать, управлять ими, а этот процесс, к сожалению, не так прост, как может показаться на первый взгляд. Начальник отдела информационной безопасности должен решить, в каких именно направлениях следует двигаться с целью эффективного выполнения своих обязанностей – обеспечения информационной безопасности компании. Кажется, что это несложно, ведь сегодня существует ряд понятных и стандартных подходов к решению проблем безопасности, например, защита периметров, защита от инсайдеров, от форс-мажорных обстоятельств. Также существует, казалось бы, огромное количество продуктов, которые позволяют защититься от практически любой угрозы (например, сигнализации, датчики присутствия, сканеры отпечатков пальцев и другие охранные приборы и программы).
Однако существует ряд проблем, которые мешают так легко и просто справляться с вопросами управления риском в системе информационной безопасности:
- немалый масштаб организации и подразделений, которые нуждаются в информационной защите и не поддаются унификации;
- огромное количество потенциальных целей для мошенников и нарушителей;
- разнообразие методов и средств обеспечения информационной безопасности (что же выбрать?);
- наличие разнородных мнений со стороны руководителя, работников подразделений о том, каким образом следует решать вопросы информационной безопасности.
Все это способно поставить в тупик даже профессионала в деле обеспечения безопасности информации, а в случае неверно принятого решения именно ему придется отвечать за все, что произошло.
Куда более рациональным решением будет принятие стандарта ISO 27001, который предоставляет возможность бизнесу устанавливать, применять, контролировать, пересматривать и поддерживать очень эффективную систему менеджмента информационной безопасности. ИСО 27001 также поможет выявить угрозы безопасности, рассчитать риски и принимать в дальнейшем решения на основании главных бизнес-целей компании. Все это даст возможность максимально автоматизировать управление рисками в системе информационной безопасности, что позволит уменьшить сами риски, а также помочь в принятии эффективных решений при существующих угрозах.