Управление рисками информационной безопасности - непрерывный процесс, основной задачей которого является нахождение, оценка и снижение рисков вероятного возникновения угроз разглашения или похищения конфиденциальных и коммерчески ценных сведений об организации.

Управление рисками ИТ необходимо для:

• объективной оценки уровня обеспечения безопасности данных в настоящий момент;
• поиска наиболее уязвимых для угроз участков;
• оценки оптимальных расходов на поддержание ИБ компании.

Ключевые задачи, которые призвано решить искусство управления информационными рисками:

• прогнозирование предполагаемых нарушителей информационной безопасности и угроз;
• определение действий, необходимых для минимизации наступления рисков;
• формирование модели взаимодействия информационной системы и бизнес-процессов компании для определения наиболее ценных активов;
• оценка информационных рисков, направленных на критически важные активы;
• создание плана понижения рисков ИБ;
• анализ остаточных рисков после реализации мер по их предотвращению.

Риски информационной безопасности и особенности их управления

В процессе внедрения СУИБ (системы управления информационной безопасностью) руководство каждого предприятия должно задуматься и о системе управления рисками. Эксперты по ИБ не могут продемонстрировать единство мнений в этом вопросе. Если одни не признают возможность применения количественных методов оценки рисков, то другие, проводя анализ информационных рисков, не используют качественные, третьи же в принципе против проведения оценки рисков.

Специалисты порой склонны обвинять представителей российского бизнеса в недостаточном внимании к вопросу безопасности в области информации, ссылаясь на сложности, обусловленные получением правдивых сведений о каких-либо активах, в частности, о деловой репутации организации. Порой аналитики говорят, что информационные риски представляют собой столь серьезную опасность, что на управление ими следует тратить столько, сколько компания может себе позволить, либо же выделять средства, остающиеся после всех основных расходов. На самом деле это вызвано неумением обосновать конкретный объем расходов на управление рисками. Это приводит к тому, что компании по-разному управляют рисками, применяя разные подходы.

Роль активов при управлении информационными рисками

В бизнесе понятие риска связано с возможности причинения компании ущерба. Это могут быть как материальные убытки, так и косвенные, выраженные в упущенной выгоде, которые могут повлечь за собой весьма серьезные последствия. Порой недостаток контроля над рисками информационной безопасности приводил к краху компаний, которые вынуждены были даже покидать рынок.

Для достижения бизнес-целей компания имеет и применяет определенные ключевые ресурсы - активы. Актив – это то, что ценно для конкретной организации и помогает ей получать прибыль. Активы могут и способствовать получению средств, и помогать их сберегать.

Активы могут быть:

• материальными,
• трудовыми,
• финансовыми,
• информационными.

В настоящее время принято выделять еще и дополнительный актив, а именно процессы, фактически являющиеся агрегированными активами, которые оперируют остальными активами предприятия с целью выполнения бизнес-задач.