Проект ISO 27016

Законодательство
Давеча столкнулся с очередной версией проекта нового стандарта ISO 27016 по организационной экономике ИБ. Стандарт ну очень достойный и нестандартный в своей нетехнической направленности. Начинается он со слов: «Успешное управление ИБ требует строгого понимания взаимосвязи технических (например, баланс рисков и безопасности) и экономических (например, баланс преимуществ и затрат) подходов во всех аспектах ИБ, начиная от планирования, дизайна и внедрения и заканчивая управлением, улучшением и завершением жизненного цикла. Концентрация только на технических подходах применения защитных мер без учета и понимания влияния экономических факторов на «технику» не обеспечит на должном уровне защиту информационных активов предприятия«.

Термин «экономика ИБ» часто воспринимается в двух смыслах — от банального бизнес-обоснования расходов на ИБ до поведения человека в условиях влияния различных угроз. Стандарт 27016 дополняет предыдущие стандарты 27-й серии и демонстрирует экономическую перспективу защиты информационных активов, помещая ее в социальное окружение, в котором существует организация. В заключение преамбулы сказано, что «в дополнение к традиционным внутренним организационным факторам, стандарт учитывает многие политические, социальные, регуляторные и другие внешние факторы, которые влияют  на то, как организация занимается защитой своих активов«. И это действительно так.

Структура проекта стандарта такова:

  • Бизнес-цели, связанные с ИБ. Интересный раздел, в котором приводится перечень из 13-ти возможных целей, связанных с ИБ и при этом понятных бизнесу. Здесь же говорится о том, как и в чем измерять достижение бизнес-целей. Помимо чисто финансовой отдачи, она может носить социальный, репутационный характер, рост лояльности заказчиков и т.д.
  • Цели управления ИБ
  • Цена ИБ
  • Достижения системы управления ИБ
  • Приложения
    • Идентификация стейкхолдеров и целей. В этой части постулируется тот факт, что заинтересованные стороны в компании могут быть разные и интересы у них могут быть разные и при демонстрации ценности ИБ этим стейкхолдерам это надо учитывать. Опять мы приходим к тому, что нужно искать общий язык.
    • Взаимосвязь между экономическими решениями и ключевыми факторами, влияющими на эти решения
    • Экономические соображения при общении с руководством. В этой части стандарта говорится о возможных финансовых показателях, связанных с ИБ — снижение производительности, штрафы, потеря бизнеса, мошенничество, кража интеллектуальной собственности и т.д.
    • Приложение экономики к разным циклу PDCA
    • Модели экономики ИБ
    • Экономика в оценке защитных мер. Приводится структура затрат на различные виды активностей ИБ — сертификацию, обучение и повышение осведомленности, анализ рисков, операционные затраты и т.д.
    • Пример расчета экономики.

Основное внимание уделяется общению безопасников со стейкхолдерами и тому, как им презентовать тему ИБ. Постулируется известная идея, что с бизнесом надо говорить на языке бизнеса, а не уязвимостей и «файрволов».

В стандарте даже упоминается понятие «асимметрии информации», о которой я уже писал пару лет назад. Не обошлось и без финансовых моделей оценки ИБ — ROI, NPV и других.

Подводя итог беглому анализу проекта стандарта ISO 27016 можно сказать, что он очень достоен и может быть взят за основу построения системы взаимоотношения безопасников с бизнесом.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    Алексей, с данным проектом документа можно "столкнуться" в открытых источниках?

    Ответить
  2. Unknown

    Наконец-то BSI "дорос". Чего от нас-то тогда требовать? )))

    Ответить
  3. Andrey Prozorov

    Да, было бы интересно почитать данный стандарт. С ним я еще не знаком, хотя свою подборку серии 27k обновляю регулярно…

    Ответить
  4. Andrey Prozorov

    Кстати, странно., по моим данным стандарт 27016 должен был быть вроде отраслевым (ISO/IEC 27016 (draft) "Information technology. Security techniques. Information security management systems guidelines for financial and insurance sectors")…

    Ответить
  5. Наташа Храмцовская

    На сайте ИСО он проходит как ISO/IEC WD TR 27016 Information technology — Security techniques — Information security management — Organizational economics, см. здесь

    Ответить
  6. Канва

    Здравствуйте, Алексей! Присоединяюсь к вопросу Валерия. Возможно ли ознакомится с данным проектом стандарта в открытых источниках? Интересует подход к описанию "…поведения человека в условиях влияния различных угроз".
    Спасибо!

    Ответить
  7. Алексей Лукацкий

    Андрей: По финансам — это 27015.

    всем: В открытых источниках проекта не искал, т.к. не требовалось 😉 У меня он от ISO напрямую.

    Ответить
  8. Unknown

    Бахвалишься? ))))

    Ответить
  9. Алексей Лукацкий

    Нет, констатирую. Может он и есть где-то, но я не искал

    Ответить
  10. ivan

    Интересно зачем писать "идентификация стейкхолдеров". На мой взгляд фраза "определениие заинтересованных сторон" и понятнее и как-то более по-русски

    Ответить
  11. Алексей Лукацкий

    Согласен. Но я переводил с листа — не до лингвистических изысков было 😉

    Ответить