Новое подразделение компании CIFT - Департамент обеспечения информационной безопасности предлагает прогрессивный подход…

В то время, как идут споры, возможно ли создать общую методологию обоснования затрат, специалисты CIFT уже используют для решения этой задачи собственные разработки в области количественной оценки рисков.

Как известно, основной целью деятельности по обеспечению ИБ является экономически оптимальное снижение рисков, связанных с использованием информационных технологий. Достижение этой цели требует, во-первых, четкого представления об использовании информационных ресурсов - то есть их категорирование, а, во-вторых, построения нового или реинжиниринга уже существующего на предприятии бизнес-процесса обеспечения ИБ.
Именно такой подход к обеспечению информационной безопасности используется специалистами Департамента обеспечения информационной безопасности компании CIFT. Он основывается на категорировании информационных ресурсов по степени критичности и последующей количественной оценке рисков, как одном из важнейших этапов аудита ИБ.
Подход к количественной оценке рисков был представлен CIFT на конференции «Информационная безопасность», которая состоялась 11 октября в Деловом Выставочном Центре Атриум Палас Отеля (Екатеринбург). Нестандартный подход к вопросам обеспечения ИБ, а также продемонстрированное умение сотрудников CIFT решать конкретные сложные задачи заслужили высокую оценку слушателей – специалистов по ИБ уральских предприятий. Доклад заместителя начальника Департамента обеспечения информационной безопасности CIFT Дмитрия Истомина занял первое место, по итогам голосования участников конференции.
«В своем выступлении Дмитрий Истомин затронул тему, которая действительно является проблемой, причем, ею мало кто занимается. Оценка рисков именно в таком, количественном, выражении может стать финансовым обоснованием затрат подразделения информационной безопасности перед высшим руководством», - отметил Павел Гениевский, исполнительный директор «Метробанка», ответственный секретарь ABISS и один из участников конференции.
Директор Департамента обеспечения ИБ компании CIFT Сергей Вихарев считает количественную оценку рисков одним из важнейших этапов аудита информационной безопасности: «О ней очень многие говорят, а, в действительности, занимаются лишь единицы, ведь предсказать точную сумму потерянных в случае инцидента денежных средств достаточно сложно. Мы же, не только оцениваем вероятность угроз, но и можем спрогнозировать убытки в случае реализации этих угроз. Такой подход позволяет четко рассчитать экономическую целесообразность внедрения тех или иных решений и спроектировать оптимальную, финансово обоснованную систему предотвращения инцидентов».
Практическая ценность подхода, презентованного специалистами Департамента обеспечения ИБ, подтверждается большим интересом со стороны участников конференции.
Логинов Алексей Владимирович, финансовое управление городского округа МО «Город Лесной»: «Оценкой рисков ИБ мы пока не занимались, но было интересно послушать в докладе Дмитрия Истомина о том, как это строится: о подходе, методологии, определении экономической целесообразности тех или иных решений. Интересно было бы проработать этот подход для применения в нашей организации».
На основе количественной оценки рисков специалисты Департамента обеспечения ИБ компании CIFT проектируют индивидуальные решения, обеспечивающие информационную безопасность бизнес-процессов, и в конечном итоге, непрерывность бизнеса.
Сергей Вихарев, CIFT: «Защита информации как самоцель перестает быть актуальной. В случае реализации угрозы, существенный урон наносится не столько информационной системе, сколько собственно бизнес-процессам, достижению бизнес-результатов и, зачастую, имиджу компании. Вот почему приоритеты бизнеса - отправная точка наших решений по обеспечению информационной безопасности».

Подробнее о Департаменте обеспечения информационной безопасности http://www.cift.ru/?Front=Docs&Docs-ID=3336&Docs-Reset=1

Опубликовано: 24 октября 2007 г.

Ключевые слова: нет

Извините, комментариев пока нет