Чтение онлайн

– основные критерии управления рисками;

– сферы действия и границы;

– организационную структуру управления рисками.

Руководство по реализации: Необходимо определить цель управления рисками ИБ, так как она влияет на общий процесс и на сферу применения, в частности. Этой целью может быть:

– поддержка СУИБ;

– правовое соответствие и свидетельство должного внимания;

– подготовка плана обеспечения непрерывности бизнеса;

– подготовка плана реагирования на инциденты;

– описание требований ИБ для продукта,

услуги или механизма.

Выходные данные: Спецификация основных критериев, сфера действия и границы, структура для процесса управления рисками ИБ.

1.1. Основные критерии

Должны быть разработаны следующие критерии управления рисками ИБ:

– оценки риска;

– воздействия риска;

– принятия риска.

Дополнительно организация должна оценить, доступны ли необходимые ресурсы для:

– выполнения оценки риска и установления плана обработки риска;

– определения и осуществления политики и процедуры, включая реализацию управления рисками;

– контроля мониторинга;

– мониторинга процесса управления рисками.

Критерии оценки риска

При разработке критериев оценки рисков необходимо учитывать следующее:

– стратегическая ценность обработки бизнес-информации;

– критичность затрагиваемых информационных активов;

– нормативно-правовые требования и договорные обязательства;

– важность для бизнеса доступности, конфиденциальности и целостности информации.

Кроме того, критерии оценки рисков могут использоваться для определения приоритетов для обработки рисков.

Критерии воздействия

Критерии воздействия должны разрабатываться и определяться, исходя из степени ущерба от события ИБ, учитывая следующее:

– уровень классификации информационного актива, на который оказывается влияние;

– нарушения ИБ (например, потеря конфиденциальности, целостности или доступности);

– ухудшение бизнес-операции;

– потеря ценности бизнеса и финансовой ценности;

– нарушение планов и конечных сроков;

– ущерб для репутации;

– нарушение нормативно-правовых или договорных требований.

Критерии принятия риска

Организация должна определять собственную шкалу уровней принятия риска.

При разработке критериев принятия риска следует учитывать, что они могут:

– включать многие пороговые значения с желаемым уровнем риска, но при условии, что при определённых обстоятельствах руководство будет принимать риски, находящиеся выше указанного уровня;

– выражаться как количественное соотношение оценённой выгоды к оценённому риску для бизнеса;

– включать требования для будущей дополнительной обработки, например, риск может быть принят, если имеется согласие на действия по его снижению до приемлемого уровня в рамках определённого периода времени.

Критерии

принятия риска должны устанавливаться с учётом:

– критериев бизнеса;

– правовых и регулирующих аспектов;

– операций;

– технологий;

– финансов;

– социальных и гуманитарных факторов.

1.2. Область применения и границы

Область применения процесса УИБ необходимо определять для обеспечения того, чтобы все значимые активы принимались в расчёт при оценке риска. Кроме того, необходимо определять границы для рассмотрения тех рисков, источники которых могут находиться за данными границами.

При определении области применения и границ должна учитываться следующая информация, касающаяся организации:

– стратегические цели бизнеса организации, стратегии и политики;

– процессы бизнеса;

– функции и структура организации;

– нормативно-правовые и договорные требования;

– политика ИБ;

– общий подход к управлению рисками;

– информационные активы;

– местоположение организации и географические характеристики;

– ограничения, влияющие на организацию;

– социальная и культурная среда.

Примерами области применения управления рисками ИБ могут быть ИТ-приложение, ИТ– инфраструктура, бизнес-процесс или определённая часть организации.

1.3. Организационная структура

Необходимо устанавить организационную структуру организации и обязанности ответственных лиц для процесса управления рисками ИБ.

Главными ролями и обязанностями в такой структуре являются:

– разработка процесса управления рисками ИБ в организации;

– идентификация и анализ заинтересованных сторон;

– определение ролей и обязанностей всех сторон, как внутренних, так и внешних;

– установление требуемых взаимосвязей между заинтересованными сторонами;

– определение путей принятия решений;

– определение документов, которые необходимо вести.

Входные данные: Установленные критерии, сфера действия и границы, организационная структура для процесса управления рисками ИБ.

Действие: Оценку риска обеспечивают следующие меры:

– идентификация рисков;

– измерение рисков;

– оценивание рисков.

Руководство по реализации: Риски должны быть идентифицированы, количественно определены или качественно описаны и расставлены в соответствии с приоритетами, исходя из критериев оценки риска и целей организации.

Риск представляет собой комбинацию последствий, вытекающих из нежелательного события, и вероятности возникновения события. Оценка риска количественно определяет или качественно описывает риски и даёт возможность руководителям расставлять риски в соответствии с приоритетами согласно установленным критериям.