Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
Эффективность обработки риска зависит от результатов оценки риска. Возможно, что обработка риска не будет сразу же приводить к приемлемому уровню остаточного риска. В этой ситуации может потребоваться, если необходимо, другая итерация оценки риска с изменёнными параметрами контекста (например, оценка риска, принятие риска или критерии влияния), за которой последует дополнительная обработка риска (точка принятия решения о приемлемости риска №2).
Деятельность по принятию риска должна обеспечивать уверенность в том, что остаточные риски однозначно принимаются руководством
Важно, чтобы во время всего процесса управления рисками ИБ и их обработки осуществлялся обмен информацией относительно риска между руководством и персоналом. Даже до обработки рисков информация об идентифицированных рисках может быть очень ценной для осуществления управления инцидентами и может способствовать снижению потенциального ущерба.
На этапе планирования СУИБ осуществляются установление контекста, оценка риска, разработка плана обработки риска и принятие риска. На этапе реализации СУИБ осуществляются действия по снижению риска до приемлемого уровня в соответствии с планом обработки риска. На этапе проверки СУИБ осуществляются мониторинг и пересмотр обработки риска по результатам обработки инцидентов и изменений обстоятельств. На этапе улучшения СУИБ осуществляются любые корректирующие действия по усовершенствованию, включая повторное инициирование процесса управления рисками ИБ.
Следующая таблица суммирует действия по управлению рисками ИБ, относящиеся к 4-м этапам функционирования СУИБ:
1. Установление контекста (сферы применения)
Входные данные: Вся информация об организации, уместная для установления сферы применения управления рисками ИБ.
Действие: Для установления контекста организации необходимо определить:
– основные критерии управления рисками;
– сферы действия и границы;
– организационную структуру управления рисками.
Руководство по реализации: Необходимо определить цель управления рисками ИБ, так как она влияет на общий процесс и на сферу применения, в частности. Этой целью может быть:
– поддержка СУИБ;
– правовое соответствие и свидетельство должного внимания;
– подготовка плана обеспечения непрерывности бизнеса;
– подготовка плана реагирования на инциденты;
– описание требований ИБ для продукта, услуги или механизма.
Выходные данные: Спецификация основных критериев, сфера действия и границы, структура для процесса управления рисками ИБ.
1.1. Основные критерии
Должны быть разработаны следующие критерии управления рисками ИБ:
– оценки риска;
–
– принятия риска.
Дополнительно организация должна оценить, доступны ли необходимые ресурсы для:
– выполнения оценки риска и установления плана обработки риска;
– определения и осуществления политики и процедуры, включая реализацию управления рисками;
– контроля мониторинга;
– мониторинга процесса управления рисками.
Критерии оценки риска
При разработке критериев оценки рисков необходимо учитывать следующее:
– стратегическая ценность обработки бизнес-информации;
– критичность затрагиваемых информационных активов;
– нормативно-правовые требования и договорные обязательства;
– важность для бизнеса доступности, конфиденциальности и целостности информации.
Кроме того, критерии оценки рисков могут использоваться для определения приоритетов для обработки рисков.
Критерии воздействия
Критерии воздействия должны разрабатываться и определяться, исходя из степени ущерба от события ИБ, учитывая следующее:
– уровень классификации информационного актива, на который оказывается влияние;
– нарушения ИБ (например, потеря конфиденциальности, целостности или доступности);
– ухудшение бизнес-операции;
– потеря ценности бизнеса и финансовой ценности;
– нарушение планов и конечных сроков;
– ущерб для репутации;
– нарушение нормативно-правовых или договорных требований.
Критерии принятия риска
Организация должна определять собственную шкалу уровней принятия риска.
При разработке критериев принятия риска следует учитывать, что они могут:
– включать многие пороговые значения с желаемым уровнем риска, но при условии, что при определённых обстоятельствах руководство будет принимать риски, находящиеся выше указанного уровня;
– выражаться как количественное соотношение оценённой выгоды к оценённому риску для бизнеса;
– включать требования для будущей дополнительной обработки, например, риск может быть принят, если имеется согласие на действия по его снижению до приемлемого уровня в рамках определённого периода времени.
Критерии принятия риска должны устанавливаться с учётом:
– критериев бизнеса;
– правовых и регулирующих аспектов;
– операций;
– технологий;
– финансов;
– социальных и гуманитарных факторов.
1.2. Область применения и границы
Область применения процесса УИБ необходимо определять для обеспечения того, чтобы все значимые активы принимались в расчёт при оценке риска. Кроме того, необходимо определять границы для рассмотрения тех рисков, источники которых могут находиться за данными границами.