Доктрина как притвориться, что вы контролируете ситуацию

Процесс ‎планирования‏ ‎с ‎точки ‎зрения ‎организации ‎—‏ ‎это ‎метод‏ ‎управления‏ ‎рисками ‎внутри ‎организации.‏ ‎Цель ‎этого‏ ‎процесса ‎— ‎помочь ‎организациям‏ ‎выявить‏ ‎соответствующие ‎риски,‏ ‎сформулировать ‎защитные‏ ‎меры ‎и ‎соответствующим ‎образом ‎реализовать‏ ‎план‏ ‎снижения ‎рисков.

Целевая‏ ‎аудитория включает ‎менеджеров‏ ‎и ‎экспертов ‎в ‎области ‎информационной‏ ‎безопасности‏ ‎и‏ ‎киберзащиты.

Применяются ‎различные‏ ‎методы ‎оценки‏ ‎и ‎управления‏ ‎рисками,‏ ‎в ‎зависимости‏ ‎от ‎размера ‎организации, ‎соответствия ‎законодательным‏ ‎и ‎нормативным‏ ‎требованиям‏ ‎и ‎другими ‎параметрами.‏ ‎Например, ‎к‏ ‎организациям ‎категории ‎А ‎относятся‏ ‎организации,‏ ‎у ‎которых‏ ‎объем ‎ущерба,‏ ‎причинённого ‎кибер-инцидентом, ‎не ‎превышает ‎1,5‏ ‎млн‏ ‎долларов ‎США,‏ ‎а ‎к‏ ‎организациям ‎категории ‎Б ‎— ‎организации,‏ ‎у‏ ‎которых‏ ‎размер ‎ущерба,‏ ‎причинённого ‎кибер-инцидентом,‏ ‎может ‎стоить‏ ‎более‏ ‎1,5 ‎млн‏ ‎долларов ‎США.

Для ‎организаций ‎категории ‎А‏ ‎применяется ‎простой‏ ‎и‏ ‎быстрый ‎процесс ‎определения‏ ‎целей ‎защиты,‏ ‎специально ‎предназначенных ‎для ‎организаций‏ ‎этой‏ ‎категории.

Для ‎организаций‏ ‎категории ‎B‏ ‎применяется ‎не ‎только ‎процесс ‎оценки‏ ‎рисков,‏ ‎но ‎понимание‏ ‎необходимых ‎мер‏ ‎защиты ‎по ‎матрице ‎рисков ‎и‏ ‎склонности‏ ‎к‏ ‎риску, ‎изучение‏ ‎текущей ‎ситуации‏ ‎с ‎точки‏ ‎зрения‏ ‎принятых ‎в‏ ‎отрасли ‎рекомендаций ‎по ‎защите ‎и‏ ‎формулирование ‎плана‏ ‎работы‏ ‎для ‎снижения ‎рисков.

Конечный‏ ‎результат ‎работы‏ ‎заключается ‎в ‎том, ‎что‏ ‎организация‏ ‎определяет ‎карту‏ ‎организационных ‎рисков‏ ‎и ‎то, ‎какие ‎средства ‎контроля‏ ‎необходимы‏ ‎для ‎снижения‏ ‎этих ‎рисков,‏ ‎включая ‎правильные ‎приоритеты ‎для ‎реализации‏ ‎плана‏ ‎работы.‏ ‎Эти ‎средства‏ ‎контроля ‎станут‏ ‎основой ‎для‏ ‎построения‏ ‎плана ‎работы,‏ ‎распределения ‎ресурсов ‎и ‎соответствующей ‎подготовки‏ ‎организации.

Ключевые ‎компоненты‏ ‎процесса‏ ‎планирования

Ключевые ‎компоненты ‎процесса‏ ‎планирования ‎в‏ ‎организации ‎включают:

📌 Разграничение ‎деятельности: понимание ‎цифровых‏ ‎активов‏ ‎организации ‎и‏ ‎места ‎их‏ ‎хранения ‎для ‎определения ‎подлежащего ‎защита‏ ‎набора‏ ‎объектов.

📌 Оценка ‎рисков: выявление‏ ‎соответствующих ‎рисков‏ ‎для ‎организации, ‎анализ ‎этих ‎рисков‏ ‎и‏ ‎их‏ ‎оценка ‎для‏ ‎понимания ‎их‏ ‎потенциального ‎воздействия‏ ‎и‏ ‎вероятности.

📌 Управление ‎риском: принятие‏ ‎решения ‎о ‎стратегии ‎борьбы ‎с‏ ‎выявленными ‎рисками

📌 Построение‏ ‎плана‏ ‎работы: после ‎того ‎как‏ ‎риски ‎идентифицированы‏ ‎и ‎определена ‎стратегия ‎борьбы‏ ‎с‏ ‎ними, ‎организация‏ ‎должна ‎разработать‏ ‎план ‎работы ‎по ‎устранению ‎рисков.‏ ‎Этот‏ ‎план ‎может‏ ‎включать ‎внедрение‏ ‎процессов, ‎приобретение ‎решений ‎и ‎обучение‏ ‎сотрудников.

📌 Непрерывный‏ ‎аудит‏ ‎и ‎контроль: реализация‏ ‎плана ‎работы‏ ‎должна ‎регулярно‏ ‎пересматриваться,‏ ‎чтобы ‎гарантировать‏ ‎его ‎эффективность ‎и ‎актуальность. ‎Это‏ ‎включает ‎в‏ ‎себя‏ ‎проверку ‎новых ‎информационных‏ ‎активов, ‎реализованных‏ ‎средств ‎контроля ‎и ‎необходимых‏ ‎управленческих‏ ‎данных.

📌 Привлечение ‎юрисконсульта: юрисконсульт‏ ‎организации ‎должен‏ ‎быть ‎привлечён ‎на ‎ранних ‎стадиях‏ ‎процесса‏ ‎планирования, ‎чтобы‏ ‎обеспечить ‎соблюдение‏ ‎законодательных ‎и ‎нормативных ‎требований ‎и‏ ‎быть‏ ‎интегрированным‏ ‎в ‎ключевые‏ ‎процессы ‎принятия‏ ‎решений.

📌 Принятие ‎решений,‏ ‎подкреплённое‏ ‎доказательствами: организация ‎должна‏ ‎использовать ‎независимых ‎аудиторов ‎и ‎экспертов,‏ ‎чтобы ‎справиться‏ ‎с‏ ‎различными ‎угрозами ‎и‏ ‎гарантировать, ‎что‏ ‎принятие ‎решений ‎подкреплено ‎доказательствами,‏ ‎которые‏ ‎обеспечат ‎реалистичную‏ ‎картину ‎ситуации‏ ‎с ‎безопасностью.

📌 Минимизация ‎вторжения ‎в ‎частную‏ ‎жизнь: Структура‏ ‎управления ‎предлагает‏ ‎директору ‎по‏ ‎ИБ ‎широкую ‎свободу ‎действий ‎для‏ ‎снижения‏ ‎уровня‏ ‎риска ‎до‏ ‎приемлемого ‎значения,‏ ‎одновременно ‎сводя‏ ‎к‏ ‎минимуму ‎вторжение‏ ‎в ‎частную ‎жизнь.