Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?

Nedávno jsem narazil na otázku, zda by měl být přístup k řízení bezpečnosti založen na rizicích nebo opatřeních.  

V zásadě se jedná o problém, který zahraniční literatura popisuje jako risk driven approach vs. control driven approach. Osobně jsem přesvědčen o tom, že pokud má být řízení informační bezpečnosti skutečně efektivní, tak je nutné zkombinovat oba tyto přístupy, neboť tyto přístupy nestojí proti sobě, ale vzájemně se doplňují.

Control driven approach

V tomto případě dochází k implementaci příslušných bezpečnostních opatření a jejich vyhodnocování na základě jejich pouhého uvedení v nějakém standardu, kdy musí být implementována všechna opatření, a pokud nejsou, tak musí být uvedeno, proč ne.

Risk driven approach

V tomto případě dochází k implementaci vybraných bezpečnostních opatření až na základě identifikovaných inherentních rizik a mělo by být zřejmé, jaká bude úroveň zbytkového rizika po jejich implementaci.

Kombinace obou přístupů

Oba přístupy mají samozřejmě své výhody a nevýhody, kterou jsou zachyceny v následující tabulce.

Control driven approach Risk driven approach
+Bezpečnostní opatření jsou uvedena ve standardu, takže je snadné učinit rozhodnutí, že mají být implementována. -Bezpečnostní opatření je nutné navrhnout ve vztahu k identifikovanému riziku, což nemusí být triviální.
-Mohou být implementována i opatření, která nejsou nezbytně nutná, a tudíž se zbytečně zvyšují náklady. +Jsou implementována jen opatření, která jsou nezbytně nutná, takže nedochází k neúčelnému vynaložení nákladů.
+Musí být zavedena všechna opatření uvedená ve standardu, takže by se nemělo stát, že nějaké bude scházet. -Nemusí být identifkována všechna rizika a tudíž nemusí být zavedena všechna potřebná opatření.
-Obtížně se odpovídá na otázku, proč investovat do zavedení daného opatření a jaké riziko se tím snižuje. +Každé opatření je odůvodněno nějakým rizikem, které se tímto snižuje.

Pokud soulad s normativem není vyžadován, je vždy vhodné implementovat základní sadu bezpečnostních opatření a následně provést identifikaci a analýzu rizik v oblastech uvedených ve standardu a tam rovněž vyhledat i vhodná opatření. Tím by mělo být zaručeno, že nic podstatného neopomenete.



Pokud vás tento příspěvek zaujal, sdílejte ho!
Share on Facebook
Facebook
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Email this to someone
email
Print this page
Print

Štítky:


K článku “Mělo by být řízení informační bezpečnosti postavené na rizicích nebo opatřeních?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: