Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
- Главная
- Национальный стандарт РФ ГОСТ Р 59503-2021/ISO/IEC TR 27016:2014 "Информационные технологии. Методы и средства обеспечения безопасности. Менеджмент информационной безопасности. Экономика информационной безопасности организации" (утв. и введен в действие приказом Федерального агентства по техническому регулированию и метрологии от 19 мая 2021 г. N 386-ст)
- Приложение В (справочное). Экономические решения и основные факторы принятия решений в отношении затрат
Приложение В (справочное). Экономические решения и основные факторы принятия решений в отношении затрат
Приложение В
(справочное)
Экономические решения и основные факторы принятия решений в отношении затрат
|
Дополнительные материалы |
Коммерческие задачи |
Решения в отношении затрат |
|||
|
Затраты на снижение рисков |
Затраты на сертификацию |
Организационные затраты на управление рисками |
Затраты на средство управления |
||
|
А |
Возможность для предприятий участвовать в проектах с повышенными рисками благодаря развитой системе управления рисками и снижению собственных рисков по сравнению с конкурентами |
Да. Системы, обеспечивающие снижение рисков, открывают возможности для деятельности в среде с повышенными рисками |
Да. Возможность продемонстрировать наличие сертификатов безопасности может способствовать вовлечению в мероприятия по безопасности партнеров по бизнесу |
Да. Партнеры по бизнесу с большей вероятностью примут участие в более рискованных проектах, если организация способна продемонстрировать более зрелую систему управления рисками |
Да. Как правило, применяется расширенный спектр средств управления, воздействующий на всю коммерческую деятельность (например, программа обучения). Стоимость каждого отдельного средства управления зависит от его типа, а также от зрелости системы ИБ организации |
|
В |
Возможность для предприятия обеспечить соответствие нормативным требованиям и избежать ограничений деятельности и штрафов |
Да. Отношения организации с регулирующими органами напрямую зависят от качества ее системы снижения рисков |
Возможно. Сертификация может напрямую способствовать выполнению нормативных требований |
Нет. Увеличение расходов организации на систему управления рисками не влияет напрямую на ее отношения с регулирующими органами |
Да. Как правило, применяется расширенный спектр средств управления, воздействующий на всю коммерческую деятельность, а также на отдельные технические средства управления. Стоимость каждого отдельного средства управления зависит от его типа, а также от зрелости системы ИБ организации |
|
С |
Повышение разноплановости, маневренности предприятия и скорости его реагирования на изменения, например благодаря повышению гибкости решений в области безопасности |
Нет. Снижение рисков не всегда повышает маневренность предприятия |
Нет. Сертификация не повышает маневренность предприятия |
Да. Увеличение расходов на управление операционными рисками может способствовать повышению способности предприятия использовать возможности с повышенным риском |
Нет. Как правило, средства управления не способствуют повышению маневренности предприятия. Влияние в большей степени относится к СМИБ и степени ее зрелости |
|
D |
Выход на приемлемый уровень прогнозируемых (будущих) убытков исходя из ожидаемого профиля риска, например благодаря снижению рисков (ожидаемые потери в годовом исчислении) |
Да. Снижение рисков напрямую определяет уровни ожидаемых убытков |
Нет. Сертификация не влияет непосредственно на снижение рисков и ожидаемые уровни убытков |
Да. Повышение расходов на управление операционными рисками в большей степени способно снизить риски и ожидаемые убытки |
Да. Средства управления могут непосредственно влиять на снижение рисков |
|
Е |
Ожидаемые потери в годовом исчислении (ALE) отражают результат ожидаемых значений (средних значений) убытков, а также их появления. Такие расчеты уровня риска не обеспечивают достаточных результатов для редко случающихся инцидентов и (или) инцидентов с большой степенью воздействия. Средства ИБ также должны учитывать подобные редко встречающиеся инциденты и (или) инциденты с большой степенью воздействия ввиду их существенного значения для ИБ. Расчет стоимости под риском. Показатель стоимости под риском может обеспечивать более приемлемые результаты по сравнению с ALE |
Да. Снижение рисков напрямую определяет уровни ожидаемых убытков |
Нет. Сертификация не влияет непосредственно на снижение рисков и ожидаемые уровни убытков |
Да. Повышение расходов на управление операционными рисками в большей степени способно снизить риски и ожидаемые убытки |
Да. Средства управления могут непосредственно влиять на снижение рисков |
|
F |
Ожидаемые потери в годовом исчислении (ALE) отражают результат ожидаемых значений (средних значений) убытков, а также их появления. Такие расчеты уровня риска не обеспечивают достаточных результатов для очень редко случающихся инцидентов и (или) инцидентов с очень большой степенью воздействия. При этом средства ИБ также должны учитывать подобные очень редко случающиеся инциденты и (или) инциденты с очень большой степенью воздействия. Расчет средних ожидаемых убытков может обеспечивать более приемлемые результаты по сравнению c ALE |
Да. Снижение рисков напрямую определяет уровни ожидаемых убытков |
Нет. Сертификация не влияет непосредственно на снижение рисков и ожидаемые уровни убытков |
Да. Повышение расходов на управление операционными рисками в большей степени способно снизить риски и ожидаемые убытки |
Да. Средства управления могут непосредственно влиять на снижение рисков |
|
G |
Поддержание репутации и цены акций предприятия путем повышения элементов доверия, например прохождением сертификации для выполнения требований стандартов и снижения рисков с возможными серьезными последствиями для репутации предприятия |
Да. Возможность снижения репутационных рисков |
Да. Прохождение сертификации может способствовать улучшению репутации |
Да. Повышение расходов на управление операционными рисками может способствовать улучшению репутации, особенно для будущих сотрудников |
Нет. Средства управления не оказывают прямого влияния на цену акций. Влияние в большей степени относится к СМИБ и степени ее зрелости |
|
Н |
Сведение к минимуму ожидаемых операционных затрат на работу системы ИБ и управления рисками, например благодаря повышению эффективности |
Нет. Снижение рисков может не привести к повышению эффективности операций |
Нет. Сертификация может не привести к снижению операционных издержек |
Нет. Увеличение расходов на управление рисками может не привести к прямому повышению эффективности |
Нет. Средства управления напрямую не способствуют повышению эффективности, связанному с управлением рисками. Влияние в большей степени относится к СМИБ и степени ее зрелости, в том числе к повышению уровня осведомленности, измерениям, аудитам и т.п. |
|
I |
Обеспечение полноты и точности отчетности по управлению информационными рисками |
Да. Увеличение вложений в меры обеспечения способно помочь в выявлении неэффективной обработки рисков и способствовать дальнейшим улучшениям |
Да. Сертификация обеспечивает некоторое повышение надежности процессов |
Да. Увеличение численности персонала повышает функциональность мер по обеспечению |
Нет. Средства управления не влияют напрямую на управление рисками. Влияние в большей степени относится к СМИБ и степени ее зрелости, в том числе к повышению уровня осведомленности, измерениям, аудитам и т.п. |
|
J |
Защита персонала от личной ответственности, например путем проведения комплексной юридической оценки для устранения возможной ответственности директоров |
Да. Недостаточные вложения в снижение рисков могут приводить к неосмотрительным действиям директоров |
Да. Получение сертификатов внешних организаций может дать директорам возможность продемонстрировать результаты правового аудита |
Да. Недостаточные вложения в управление рисками могут приводить к неосмотрительным действиям директоров |
Да. Средства управления ролями и ответственностью за обеспечение ИБ |
|
K |
Соответствие ожиданиям сообществ в качестве поставщика инфраструктуры и услуг путем защиты их информации |
Да. Возможность снижения рисков для информации клиентов |
Да. Для повышения уровня защиты информации клиентов может использоваться сертификация |
Нет. Повышение расходов на управление рисками не приводит напрямую к улучшению защиты информации клиентов |
Нет. Средства управления напрямую не влияют на повышение уровня ожиданий сообществ. Влияние в большей степени относится к СМИБ и степени ее зрелости, в том числе к повышению уровня осведомленности, измерениям, аудитам и прочего для предоставления обратной связи сообществу |
|
L |
Предоставление возможностей трудоустройства членам сообществ |
Да. Вложения в снижение рисков обеспечивают возможности для трудоустройства занятых в этой сфере |
Нет. Сертификация не влияет напрямую на возможности для трудоустройства |
Да. Повышение вложений в управление рисками создает дополнительные возможности для трудоустройства |
Нет. Средства управления напрямую не влияют на расширение возможностей для трудоустройства членов сообществ. Влияние в большей степени относится к СМИБ и степени ее зрелости, в том числе к повышению уровня осведомленности, измерениям, аудитам и т.п. |
|
М |
Отсутствие требований в отношении расходов на снижение риска и аудиты, а также дополнительные меры контроля, благодаря обеспечению приемлемых | ||||