Несмотря на то, что разработка стратегии снижения вероятности и минимизации последствий ведется всегда специалистами отдела информационной безопасности, грамотное выполнение этого этапа невозможно без комплексного видения целей и задач всей организации. Связано это с тем, что у специалистов по информационной безопасности недостаточно сведений о долгосрочных целях компании и влияния тех или иных информационных рисков на них. Поэтому ответственность за принятие стратегии должна, в конечном счете, возлагаться на высшее руководство организации, которое должно данную стратегию согласовывать.
Вполне понятно, что первоначальная разработка стратегии, которая будет согласовываться с руководством организации, ляжет именно на отдел информационной безопасности. Однако для уменьшения количества последующих итераций согласования целесообразно сразу привлечь к консультациям кого-то из совета директоров (идеально – директора по безопасности, если в компании такой имеется, на него же потом можно возложить и согласование стратегии с другими руководителями компании).
После того, как стратегия управления информационными рисками разработана, к её реализации должны приступать два подразделения компании – ИТ-отдел и отдел информационной безопасности. ИБ-служба обеспечивает оперативное управление рисками в сфере ИБ и реагирует на инциденты в соответствии с разработанными ранее политиками информационной безопасности, ИТ-отдел обеспечивает работоспособность необходимых для функционирования ИБ-службы технических средств.
Впрочем, помимо этого у ИТ-отдела могут быть собственные задачи, связанные с управлением ИБ-рисками, например, с управлением риском утраты данных (ведь создание резервных копий важных данных и последующее восстановление их из резервной копии традиционно являются задачами, решаемыми ИТ-отделом).
В рамках реализации стратегии управления ИБ-рисками имеет смысл не делать ИТ-отдел подчиненным отделу ИБ и наоборот, поскольку в абсолютном большинстве случаев в любой компании задачи этих отделов достаточно сильно различаются, и то, что является важным для отдела ИБ может, например, показаться совершенно лишним руководителю отдела ИТ.