Точный
Статус документа
Статус документа

ГОСТ Р 59503-2021/ISO/IEC TR 27016:2014 Информационные технологии (ИТ). Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации

Введение


В настоящем стандарте содержатся рекомендации по экономическому обеспечению информационной безопасности (ИБ) в виде процесса принятия решений, касающихся производства, распространения и потребления товаров и услуг, имеющих ограничения. Для принятия мер по защите информационных активов организации требуются ресурсы, которые в ином случае могли бы быть выделены на другие цели, не относящиеся к ИБ. Настоящий стандарт предназначен преимущественно для исполнительного руководства, выполняющего решения административного органа по стратегии и политике, например генеральных директоров (СЕО), глав правительственных организаций, финансовых директоров (CFO), главных операционных директоров (СОО), директоров по информационным технологиям (С10), директоров по ИБ (CISO) и прочих лиц, выполняющих схожие обязанности.

________________

Положения настоящего стандарта должны рассматриваться с учетом требований национальных нормативных правовых актов и стандартов Российской Федерации в области защиты информации.

Менеджмент ИБ часто рассматривается как комплекс мер в области информационных технологий с использованием технических средств управления (например, шифрования, межсетевых экранов, инструментов нейтрализации вторжений и вредоносного кода). Однако никакие меры по обеспечению ИБ не будут эффективны без использования широкого спектра других средств управления (т.е. физических средств управления, средств управления персоналом, политик, правил и т.п.). Для реализации всего этого спектра средств управления в рамках менеджмента ИБ необходимы решения о выделении достаточных ресурсов. В этом техническом отчете излагаются сведения, необходимые для решения задач ИБ в соответствии с комплексом стандартов ИСО/МЭК 27000. Подход заключается во внедрении экономической модели как ключевого элемента процесса принятия решений.

Наряду с методикой менеджмента рисков (см. ИСО/МЭК 27005) и возможностью измерения параметров ИБ (см. ИСО/МЭК 27004), экономические факторы следует рассматривать в контексте менеджмента ИБ в процессе планирования, развертывания, обслуживания и улучшения системы безопасности информационных активов организации. В частности, эффективное расходование средств на информационную безопасность невозможно без экономического обоснования.

Как правило, экономические преимущества менеджмента ИБ полностью или частично заключаются в следующем:

a) сведение к минимуму любого отрицательного воздействия на коммерческие задачи организации;

b) ограничение любых финансовых потерь приемлемым уровнем;

c) отсутствие необходимости в выделении дополнительных средств на покрытие рисков или непредвиденных расходов.

Менеджмент ИБ также может обеспечить преимущества, не связанные напрямую с материальными вопросами. Такие нематериальные преимущества немаловажны, но обычно остаются вне рамок финансово-экономического анализа. Преимущества подобного характера должны получить количественную оценку и стать частью экономического анализа. Примерами преимуществ являются:

a) возможность для организации участвовать в проектах, сопряженных с повышенным риском;

b) возможность для организации обеспечивать соблюдение законодательных и нормативных требований;

c) возможность для организации соответствовать ожиданиям потребителей;

d) возможность для организации соответствовать ожиданиям сообществ;

e) повышение репутации и доверия к организации;

f) гарантии полноты и точности финансовой отчетности.

Все более острой проблемой организаций становятся отрицательные финансовые и нефинансовые воздействия, являющиеся результатом ее неспособности обеспечить надежную защиту своих информационных активов. Среди прочих ценных аспектов менеджмента ИБ можно указать выявление прямой зависимости между затратами на средства управления, призванные предотвратить потери, и достигаемой благодаря этому экономией.

Ужесточение конкуренции вынуждает организации сосредоточиться на экономической подоплеке рисков.

Настоящий стандарт представляет собой дополнение к комплексу стандартов ИСО/МЭК 27000, обосновывающее экономический подход к защите информационных активов организации в контексте расширенной общественной и социальной среды ее деятельности.