Давеча столкнулся с очередной версией проекта нового стандарта ISO 27016 по организационной экономике ИБ. Стандарт ну очень достойный и нестандартный в своей нетехнической направленности. Начинается он со слов: "Успешное управление ИБ требует строгого понимания взаимосвязи технических (например, баланс рисков и безопасности) и экономических (например, баланс преимуществ и затрат) подходов во всех аспектах ИБ, начиная от планирования, дизайна и внедрения и заканчивая управлением, улучшением и завершением жизненного цикла. Концентрация только на технических подходах применения защитных мер без учета и понимания влияния экономических факторов на "технику" не обеспечит на должном уровне защиту информационных активов предприятия".
Термин "экономика ИБ" часто воспринимается в двух смыслах - от банального бизнес-обоснования расходов на ИБ до поведения человека в условиях влияния различных угроз. Стандарт 27016 дополняет предыдущие стандарты 27-й серии и демонстрирует экономическую перспективу защиты информационных активов, помещая ее в социальное окружение, в котором существует организация. В заключение преамбулы сказано, что "в дополнение к традиционным внутренним организационным факторам, стандарт учитывает многие политические, социальные, регуляторные и другие внешние факторы, которые влияют на то, как организация занимается защитой своих активов". И это действительно так.
Структура проекта стандарта такова:
В стандарте даже упоминается понятие "асимметрии информации", о которой я уже писал пару лет назад. Не обошлось и без финансовых моделей оценки ИБ - ROI, NPV и других.
Подводя итог беглому анализу проекта стандарта ISO 27016 можно сказать, что он очень достоен и может быть взят за основу построения системы взаимоотношения безопасников с бизнесом.
Термин "экономика ИБ" часто воспринимается в двух смыслах - от банального бизнес-обоснования расходов на ИБ до поведения человека в условиях влияния различных угроз. Стандарт 27016 дополняет предыдущие стандарты 27-й серии и демонстрирует экономическую перспективу защиты информационных активов, помещая ее в социальное окружение, в котором существует организация. В заключение преамбулы сказано, что "в дополнение к традиционным внутренним организационным факторам, стандарт учитывает многие политические, социальные, регуляторные и другие внешние факторы, которые влияют на то, как организация занимается защитой своих активов". И это действительно так.
Структура проекта стандарта такова:
- Бизнес-цели, связанные с ИБ. Интересный раздел, в котором приводится перечень из 13-ти возможных целей, связанных с ИБ и при этом понятных бизнесу. Здесь же говорится о том, как и в чем измерять достижение бизнес-целей. Помимо чисто финансовой отдачи, она может носить социальный, репутационный характер, рост лояльности заказчиков и т.д.
- Цели управления ИБ
- Цена ИБ
- Достижения системы управления ИБ
- Приложения
- Идентификация стейкхолдеров и целей. В этой части постулируется тот факт, что заинтересованные стороны в компании могут быть разные и интересы у них могут быть разные и при демонстрации ценности ИБ этим стейкхолдерам это надо учитывать. Опять мы приходим к тому, что нужно искать общий язык.
- Взаимосвязь между экономическими решениями и ключевыми факторами, влияющими на эти решения
- Экономические соображения при общении с руководством. В этой части стандарта говорится о возможных финансовых показателях, связанных с ИБ - снижение производительности, штрафы, потеря бизнеса, мошенничество, кража интеллектуальной собственности и т.д.
- Приложение экономики к разным циклу PDCA
- Модели экономики ИБ
- Экономика в оценке защитных мер. Приводится структура затрат на различные виды активностей ИБ - сертификацию, обучение и повышение осведомленности, анализ рисков, операционные затраты и т.д.
- Пример расчета экономики.
В стандарте даже упоминается понятие "асимметрии информации", о которой я уже писал пару лет назад. Не обошлось и без финансовых моделей оценки ИБ - ROI, NPV и других.
Подводя итог беглому анализу проекта стандарта ISO 27016 можно сказать, что он очень достоен и может быть взят за основу построения системы взаимоотношения безопасников с бизнесом.
