Вопрос, вынесенный в заголовок, нельзя назвать праздным, особенно когда речь идет о достаточно крупных компаниях. Мы попробуем рассмотреть его, впрочем, применительно к любым организациям, независимо от их отраслевой принадлежности и численности работающих в них людей.
Безусловно, изложить подробно теорию и практику риск-менеджмента в сфере информационной безопасности, даже относящуюся только к вопросу распределения ответственности, в одной статье невозможно, поэтому тем, кто хочет изучить вопрос более глубоко, стоит обратиться к специальной литературе. Мы же начнем разговор с определения понятия риска.
В теории риск-менеджмента можно встретить разные понятия бизнес-рисков, но коль скоро мы говорим об информационной безопасности, то можно вполне справедливо сказать, что под бизнес-риском мы понимаем риск возникновения любого инцидента, связанного с информационной безопасностью. Это может быть утечка конфиденциальной информации, внешняя атака на корпоративную сеть, утеря важных данных...
Нужно отличать понятие риска от понятия вероятности. Дело в том, что риск помимо вероятности наступления неблагоприятного события включает в себя еще и категорию неблагоприятности наступивших последствий события. Наиболее просто и удобно выражать эту категорию в денежном эквиваленте, хотя, конечно, не всегда бывает достаточно просто посчитать финансовый ущерб от инцидента в сфере ИБ.
< ... >
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»
