Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

На этапе планирования СУИБ осуществляются установление контекста, оценка риска, разработка плана обработки риска и принятие риска. На этапе реализации СУИБ осуществляются действия по снижению риска до приемлемого уровня в соответствии с планом обработки риска. На этапе проверки СУИБ осуществляются мониторинг и пересмотр обработки риска по результатам обработки инцидентов и изменений обстоятельств. На этапе улучшения СУИБ осуществляются любые корректирующие действия по усовершенствованию, включая повторное инициирование процесса управления рисками ИБ.

Следующая таблица суммирует действия по управлению рисками ИБ, относящиеся к 4-м этапам функционирования СУИБ:

Входные данные: Вся информация об организации, уместная для установления сферы применения управления рисками ИБ.

Действие: Для установления контекста организации необходимо определить:

– основные критерии управления рисками;

– сферы действия и границы;

– организационную структуру управления рисками.

Руководство по реализации: Необходимо определить цель управления рисками ИБ, так как она влияет на общий процесс и на сферу применения, в частности. Этой целью может быть:

– поддержка СУИБ;

– правовое соответствие и свидетельство должного внимания;

– подготовка плана обеспечения непрерывности бизнеса;

– подготовка плана реагирования на инциденты;

– описание требований ИБ для продукта, услуги или механизма.

Выходные данные: Спецификация основных критериев, сфера действия и границы, структура для процесса управления рисками ИБ.

1.1. Основные критерии

Должны быть разработаны следующие критерии управления рисками ИБ:

– оценки риска;

– воздействия риска;

– принятия риска.

Дополнительно организация должна оценить, доступны ли необходимые ресурсы для:

– выполнения оценки риска и установления плана обработки риска;

– определения и осуществления политики и процедуры, включая реализацию управления рисками;

– контроля мониторинга;

– мониторинга процесса управления рисками.

Критерии оценки риска

При разработке критериев оценки рисков необходимо учитывать следующее:

– стратегическая ценность обработки бизнес-информации;

– критичность затрагиваемых информационных активов;

– нормативно-правовые требования и договорные обязательства;

– важность для бизнеса доступности, конфиденциальности и целостности информации.

Кроме того, критерии оценки рисков могут использоваться для определения приоритетов для обработки рисков.

Критерии воздействия

Критерии воздействия должны разрабатываться и определяться, исходя из степени ущерба от события ИБ, учитывая следующее:

– уровень классификации информационного актива, на который оказывается влияние;

– нарушения ИБ (например, потеря конфиденциальности, целостности или доступности);

– ухудшение бизнес-операции;

– потеря ценности бизнеса и финансовой ценности;

– нарушение планов и конечных сроков;

– ущерб для репутации;

– нарушение нормативно-правовых или договорных требований.

Критерии принятия риска

Организация должна определять собственную шкалу уровней принятия риска.

При разработке критериев принятия риска следует учитывать, что они могут:

– включать многие пороговые значения с желаемым уровнем риска, но при условии, что при определённых обстоятельствах руководство будет принимать риски, находящиеся выше указанного уровня;

– выражаться как количественное соотношение оценённой выгоды к оценённому риску для бизнеса;

– включать требования для будущей дополнительной обработки, например, риск может быть принят, если имеется согласие на действия по его снижению до приемлемого уровня в рамках определённого периода времени.

Критерии принятия риска должны устанавливаться с учётом:

– критериев бизнеса;

– правовых и регулирующих аспектов;

– операций;

– технологий;

– финансов;

– социальных и гуманитарных факторов.

1.2. Область применения и границы

Область применения процесса УИБ необходимо определять для обеспечения того, чтобы все значимые активы принимались в расчёт при оценке риска. Кроме того, необходимо определять границы для рассмотрения тех рисков, источники которых могут находиться за данными границами.

При определении области применения и границ должна учитываться следующая информация, касающаяся организации:

– стратегические цели бизнеса организации, стратегии и политики;

– процессы бизнеса;

– функции и структура организации;

– нормативно-правовые и договорные требования;

– политика ИБ;