Почему посещая службы информационной безопасности в организациях, например, с очередным аудитом, нельзя обнаружить ни реестра информационных рисков ни плана их обработки? Ответ очевиден. Потому что эти службы не управляют рисками ИБ, а занимаются они тем, чем и должны заниматься: расследуют инциденты, управляют доступом, контролируют защищенность, фильтруют почту, борются с вредоносным ПО и т.п. Никакого противоречия здесь нет. Все дело в том, что задача службы ИБ состоит не в управлении рисками ИБ, а в их уменьшении до приемлемого уровня, определяемого руководством организации.
Данная статья представляет собой переработанный отрывок из книги Александра Астахова "Искусство управления информационными рисками". При ее подготовке использовались также материалы из блога Автора, находящегося по адресу: http://iso27000.ru/blogi/aleksandr-astahov
Почему служба информационной безопасности не должна отвечать за управление рисками информационной безопасности.
Процесс управления рисками, как известно, включает в себя два ключевых подпроцесса: оценку и обработку рисков, а также ряд вспомогательных подпроцессов. Руководители ИБ, как можно предположить, не всегда бывают заинтересованны в экономически оправданной безопасности и объективной оценке экономического эффекта их деятельности.