Коммуникация рисков

Принятие риска

Процедура принятия риска (risk acceptance) должна гарантировать однозначное принятие и утверждение руководством организации плана обработки рисков и значения остаточных рисков. Это особенно важно в ситуации, когда корректирующие меры не принимаются или их принятие отложено, например, из-за высоких затрат.

Следует также отметить, что критерии принятия риска могут быть более многогранными, чем простое определение того, является ли остаточный риск выше или ниже единого порогового значения.

В случае необходимости критерии принятия риска могут быть пересмотрены. Руководитель, принимающий решения, может утвердить остаточный риск, не соответствующий стандартным критериям, однако должен дать комментарий с обоснованием своего решения.

Коммуникация рисков

Коммуникация рисков (информирование о рисках) – это обмен информацией о риске или совместное использование этой информации между лицом, принимающим решение, и другими причастными сторонами.

В процессе управления рисками ИБ важно, чтобы о рисках и их обработке информировалось руководство, принимающее решения, и другие причастные сотрудники. Эффективная коммуникация между причастными сторонами имеет важное значение, так как может оказывать существенное влияние на принимаемые решения.

Кроме того, обмен информацией о рисках позволяет:

· обеспечить доверие к результатам управления рисками и поддержку принимаемых решений;

· осуществлять сбор информации о рисках;

· достичь взаимопонимания между принимающим решения руководством и другими причастными сторонами и, как следствие, снизить вероятность или тяжесть последствий нарушений ИБ;

· повысить осведомленность сотрудников и выработать чувство ответственности у лиц, принимающих решения, и других причастных сторон.

Даже до начала обработки рисков ИБ точная информация об идентифицированных рисках может быть очень ценной для управления инцидентами ИБ и способствовать снижению потенциального ущерба. Осведомленность руководства и персонала о рисках, о характере мер, применяемых для снижения рисков, о проблемных областях в организации помогает максимально эффективно реагировать на инциденты и непредвиденные события.

Должны быть разработаны планы обмена информацией как для повседневной работы, так и для случаев чрезвычайных и кризисных ситуаций.

Детализированные результаты каждого вида деятельности, входящего в процесс управления рисками ИБ, а также результаты, полученные в двух точках принятия решений о рисках, должны быть документированы.