Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Национальный стандарт РФ ГОСТ Р 59503-2021/ISO/IEC TR 27016:2014 "Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 386-ст)
- Приложение В (справочное). Экономические решения и основные факторы принятия решений в отношении затрат
Приложение В (справочное). Экономические решения и основные факторы принятия решений в отношении затрат
Приложение В
(справочное)
Экономические решения и основные факторы принятия решений в отношении затрат
|
Дополнительные материалы |
Коммерческие задачи |
Решения в отношении затрат |
|||
|
Затраты на снижение рисков |
Затраты на сертификацию |
Организационные затраты на управление рисками |
Затраты на средство управления |
||
|
А |
Возможность для предприятий участвовать в проектах с повышенными рисками благодаря развитой системе управления рисками и снижению собственных рисков по сравнению с конкурентами |
Да. Системы, обеспечивающие снижение рисков, открывают возможности для деятельности в среде с повышенными рисками |
Да. Возможность продемонстрировать наличие сертификатов безопасности может способствовать вовлечению в мероприятия по безопасности партнеров по бизнесу |
Да. Партнеры по бизнесу с большей вероятностью примут участие в более рискованных проектах, если организация способна продемонстрировать более зрелую систему управления рисками |
Да. Как правило, применяется расширенный спектр средств управления, воздействующий на всю коммерческую деятельность (например, программа обучения). Стоимость каждого отдельного средства управления зависит от его типа, а также от зрелости системы ИБ организации |
|
В |
Возможность для предприятия обеспечить соответствие нормативным требованиям и избежать ограничений деятельности и штрафов |
Да. Отношения организации с регулирующими органами напрямую зависят от качества ее системы снижения рисков |
Возможно. Сертификация может напрямую способствовать выполнению нормативных требований |
Нет. Увеличение расходов организации на систему управления рисками не влияет напрямую на ее отношения с регулирующими органами |
Да. Как правило, применяется расширенный спектр средств управления, воздействующий на всю коммерческую деятельность, а также на отдельные технические средства управления. Стоимость каждого отдельного средства управления зависит от его типа, а также от зрелости системы ИБ организации |
|
С |
Повышение разноплановости, маневренности предприятия и скорости его реагирования на изменения, например благодаря повышению гибкости решений в области безопасности |
Нет. Снижение рисков не всегда повышает маневренность предприятия |
Нет. Сертификация не повышает маневренность предприятия |
Да. Увеличение расходов на управление операционными рисками может способствовать повышению способности предприятия использовать возможности с повышенным риском |
Нет. Как правило, средства управления не способствуют повышению маневренности предприятия. Влияние в большей степени относится к СМИБ и степени ее зрелости |
|
D |
Выход на приемлемый уровень прогнозируемых (будущих) убытков исходя из ожидаемого профиля риска, например благодаря снижению рисков (ожидаемые потери в годовом исчислении) |
Да. Снижение рисков напрямую определяет уровни ожидаемых убытков |
Нет. Сертификация не влияет непосредственно на снижение рисков и ожидаемые уровни убытков |
Да. Повышение расходов на управление операционными рисками в большей степени способно снизить риски и ожидаемые убытки |
Да. Средства управления могут непосредственно влиять на снижение рисков |
|
Е |
Ожидаемые потери в годовом исчислении (ALE) отражают результат ожидаемых значений (средних значений) убытков, а также их появления. Такие расчеты уровня риска не обеспечивают достаточных результатов для редко случающихся инцидентов и (или) инцидентов с большой степенью воздействия. Средства ИБ также должны учитывать подобные редко встречающиеся инциденты и (или) инциденты с большой степенью воздействия ввиду их существенного значения для ИБ. Расчет стоимости под риском. Показатель стоимости под риском может обеспечивать более приемлемые результаты по сравнению с ALE |
Да. Снижение рисков напрямую определяет уровни ожидаемых убытков |
Нет. Сертификация не влияет непосредственно на снижение рисков и ожидаемые уровни убытков |
Да. Повышение расходов на управление операционными рисками в большей степени способно снизить риски и ожидаемые убытки |
Да. Средства управления могут непосредственно влиять на снижение рисков |
|
F |
Ожидаемые потери в годовом исчислении (ALE) отражают результат ожидаемых значений (средних значений) убытков, а также их появления. Такие расчеты уровня риска не обеспечивают достаточных результатов для очень редко случающихся инцидентов и (или) инцидентов с очень большой степенью воздействия. При этом средства ИБ также должны учитывать подобные очень редко случающиеся инциденты и (или) инциденты с очень большой степенью воздействия. Расчет средних ожидаемых убытков может обеспечивать более приемлемые результаты по сравнению c ALE |
Да. Снижение рисков напрямую определяет уровни ожидаемых убытков |
Нет. Сертификация не влияет непосредственно на снижение рисков и ожидаемые уровни убытков |
Да. Повышение расходов на управление операционными рисками в большей степени способно снизить риски и ожидаемые убытки |
Да. Средства управления могут непосредственно влиять на снижение рисков |
|
G |
Поддержание репутации и цены акций предприятия путем повышения элементов доверия, например прохождением сертификации для выполнения требований стандартов и снижения рисков с возможными серьезными последствиями для репутации предприятия |
Да. Возможность снижения репутационных рисков |
Да. Прохождение сертификации может способствовать улучшению репутации |
Да. Повышение расходов на управление операционными рисками может способствовать улучшению репутации, особенно для будущих сотрудников |
Нет. Средства управления не оказывают прямого влияния на цену акций. Влияние в большей степени относится к СМИБ и степени ее зрелости |
|
Н |
Сведение к минимуму ожидаемых операционных затрат на работу системы ИБ и управления рисками, например благодаря повышению эффективности |
Нет. Снижение рисков может не привести к повышению эффективности операций |
Нет. Сертификация может не привести к снижению операционных издержек |
Нет. Увеличение расходов на управление рисками может не привести к прямому повышению эффективности |
Нет. Средства управления напрямую не способствуют повышению эффективности, связанному с управлением рисками. Влияние в большей степени относится к СМИБ и степени ее зрелости, в том числе к повышению уровня осведомленности, измерениям, аудитам и т.п. |
|
I |
Обеспечение полноты и точности отчетности по управлению информационными рисками |
Да. Увеличение вложений в меры обеспечения способно помочь в выявлении неэффективной обработки рисков и способствовать дальнейшим улучшениям |
Да. Сертификация обеспечивает некоторое повышение надежности процессов |
Да. Увеличение численности персонала повышает функциональность мер по обеспечению |
Нет. Средства управления не влияют напрямую на управление рисками. Влияние в большей степени относится к СМИБ и степени ее зрелости, в том числе к повышению уровня осведомленности, измерениям, аудитам и т.п. |
|
J |
Защита персонала от личной ответственности, например путем проведения комплексной юридической оценки для устранения возможной ответственности директоров |
Да. Недостаточные вложения в снижение рисков могут приводить к неосмотрительным действиям директоров |
Да. Получение сертификатов внешних организаций может дать директорам возможность продемонстрировать результаты правового аудита |
Да. Недостаточные вложения в управление рисками могут приводить к неосмотрительным действиям директоров |
Да. Средства управления ролями и ответственностью за обеспечение ИБ |
|
K |
Соответствие ожиданиям сообществ в качестве поставщика инфраструктуры и услуг путем защиты их информации |
Да. Возможность снижения рисков для информации клиентов |
Да. Для повышения уровня защиты информации клиентов может использоваться сертификация |
Нет. Повышение расходов на управление рисками не приводит напрямую к улучшению защиты информации клиентов |
Нет. Средства управления напрямую не влияют на повышение уровня ожиданий сообществ. Влияние в большей степени относится к СМИБ и степени ее зрелости, в том числе к повышению уровня осведомленности, измерениям, аудитам и прочего для предоставления обратной связи сообществу |
|
L |
Предоставление возможностей трудоустройства членам сообществ |
Да. Вложения в снижение рисков обеспечивают возможности для трудоустройства занятых в этой сфере |
Нет. Сертификация не влияет напрямую на возможности для трудоустройства |
Да. Повышение вложений в управление рисками создает дополнительные возможности для трудоустройства |
Нет. Средства управления напрямую не влияют на расширение возможностей для трудоустройства членов сообществ. Влияние в большей степени относится к СМИБ и степени ее зрелости, в том числе к повышению уровня осведомленности, измерениям, аудитам и т.п. |
|
М |
Отсутствие требований в отношении расходов на снижение риска и аудиты, а также дополнительные меры контроля, благодаря обеспечению приемлемых параметров работы |
Да. Снижение рисков является средством, позволяющим избежать необходимости выделения средств на нейтрализацию рисков и проведение аудитов |
Нет. Маловероятно, что сертификация напрямую повлияет на уменьшение потребности в выделении средств на нейтрализацию рисков и проведение аудитов |
Нет. Увеличение расходов на управление рисками не приводит непосредственно к снижению требований в отношении выделения средств на нейтрализацию рисков и проведение аудитов |
Нет. Средства управления не влияют напрямую на необходимость в выделении средств на нейтрализацию рисков и проведение аудитов (за исключением случаев, когда такие средства управления отсутствуют) |
|
N |
Отсутствие воздействий на внешние стороны, такие как поставщики инфраструктуры и услуг |
Да. Общее снижение рисков может привести к уменьшению рисков воздействия на внешние стороны, поставщиков инфраструктуры и услуг |
Нет. Сертификация не приводит к непосредственному уменьшению воздействия на внешние стороны |
Нет. Увеличение расходов на управление рисками не приводит непосредственно к уменьшению риска для внешних сторон |
Да. Средства контроля могут напрямую содействовать предотвращению воздействий |
|
О |
Системы для управления политиками, процедурами безопасности и прочим, а также их распространения |
Да. Возможность снижения риска ошибок из-за человеческого фактора |
Да. Является предметом аудита для прохождения сертификации и оказывает соответствующее влияние |
Нет. К повышению затрат на организацию управления рисками не приводит |
Нет. Средства управления напрямую не влияют на обучение. Влияние в большей степени относится к СМИБ и степени ее зрелости, в том числе к повышению уровня осведомленности, измерениям, аудитам и т.п. |
|
Р |
Системы идентификации и (или) аутентификации и управления доступом для контроля идентификаторов пользователей, прав доступа и (или) разрешений и т.п. для систем приложений |
Да. Возможность снижения риска утраты конфиденциальности и целостности информации, а также повышения затрат на обработку информации и соответствующие технические решения |
Нет. Может быть предметом аудита при прохождении сертификации |
Нет. К повышению затрат на организацию управления рисками не приводит |
Да. Применяются соответствующие средства управления |
|
Q |
Системы управления уязвимостями и изменениями для обновления мер защиты при помощи исправлений безопасности |
Да. Возможность снижения рисков, связанных с утратой конфиденциальности и целостности. Возможность повышения расходов на обработку данных, а также технические решения |
Нет. Может быть предметом аудита при прохождении сертификации |
Нет. К повышению затрат на организацию управления рисками не приводит |
Да. Применяются соответствующие средства управления |
|
R |
Инциденты с оценочной стоимостью, достаточной для обоснования создания СМИБ, способной обеспечить общую экономию. Оценка данных производится с применением осторожного, рационального подхода с целью преодоления кризиса управления; одного лишь снижения затрат, связанных с инцидентами, бывает достаточно для обоснования расходов на СМИБ, хотя ими экономическая модель не исчерпывается |
Да. Учет инцидентов в процессах обработки рисков повышает уровень сложности, но также обеспечивает более точные результаты оценки |
Нет. Может быть предметом аудита при прохождении сертификации |
Да. Может привести к увеличению организационных затрат на управление рисками |
Да. Применяются соответствующие средства управления |
|
S |
Работа с рисками ИБ и средствами управления в соответствии с требованиями рынка, законодательства или нормативного регулирования |
Да. Должно быть основным элементом процесса обработки рисков |
Да. Часть процесса сертификации |
Да. Возможно повышение уровня управления рисками в организации |
Да. Применяются средства управления соответствием требованиям |