2020-09-24
191
Общие положения
В «Стратегии экономической безопасности Российской Федерации на период до 2030 года», утвержденной Указом Президента РФ от 13 мая 2017 г. № 20, предусматривается формирование системы управления рисками в целях своевременного выявления вызовов и угроз экономической безопасности, оперативного реагирования на них, выработки управленческих решений и рекомендаций.
Если рассматривать Российскую Федерацию в целом, основными задачами системы управления рисками являются:
1) выявление и оценка существующих и потенциальных вызовов и угроз экономической безопасности;
2) оценка ресурсов, необходимых и достаточных для предотвращения вызовов и угроз экономической безопасности;
3) планирование мер по реализации государственной политики в сфере обеспечения экономической безопасности, определение задач федеральных органов исполнительной власти, субъектов естественных монополий, государственных корпораций, компаний с преобладающим участием Российской Федерации и иных заинтересованных организаций по осуществлению этих мер;
|
|
|
4) выработка, контроль за реализацией и оценка эффективности мер по противодействию экономическим санкциям, введенным в отношении российских юридических и (или) физических лиц, отраслей экономики Российской Федерации, а также ответных мер в отношении государств, которые вводят указанные санкции.
Система управления рисками проецируется на различные отрасли экономики, в том числе на отрасль информационных технологий (ИТ), а также на предприятия и организации (включая специализированные предприятия и организации отрасли ИТ) и подразделения предприятий и организаций различных отраслей, включая ИТ подразделения. Таким образом, можно говорить об управлении рисками информационной безопасности (по другой распространенной терминологии – менеджменте рисков информационной безопасности) в составе системы управления информационной безопасностью (системы менеджмента информационной безопасности – СМИБ). Напоминаем, что СМИБ является управляющим блоком в составе системы обеспечения информационной безопасности.
Рассматривая данный вопрос, будем понимать под риском информационной безопасности (information security risk) возможность того, что угроза информационной безопасности сможет воспользоваться уязвимостью актива или группы активов организации и тем самым нанесет организации ущерб. Управление рисками информационной безопасности предполагает в первом приближении скоординированные действия по руководству и управлению в отношении рисков в информационной сфере с целью их минимизации, то есть по снижению вероятности наступления события риска и по снижению ущерба при реализации риска до приемлемого уровня.
Менеджмент рисков информационной безопасности в отношении
