Управление информационной безопасностью. Стандарты СУИБ
Шрифт:
3.3. Предотвращение риска
Когда идентифицированные риски считаются слишком высокими или расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение об отказе от деятельности или изменении условий, при которых проводится эта деятельность.
Например, в отношении рисков, вызываемых стихийными бедствиями, наиболее выгодной альтернативой может быть физическое перемещение средств обработки информации туда, где этот риск не существует.
3.4. Перенос
Перенос риска – это передача риска сторонней организации, которая может наиболее эффективно управлять им. Перенос риска может создавать новые риски или модифицировать существующие, поэтому может быть необходима дополнительная обработка риска.
Перенос может быть осуществлён с помощью страхования, которое будет поддерживать последствия, или заключения договора с внешней организацией для проведения мониторинга системы и предотвращения угрозы, прежде чем она приведёт к ущербу.
4. Принятие риска ИБ
Входные данные: План обработки риска и оценка остаточного риска являются объектами решения руководства организации о принятии риска.
Действие: Должно быть принято и формально зарегистрировано решение о принятии рисков и ответственности за это решение.
Руководство по реализации: После обработки риска необходимо определить остаточные риски и осуществить принятие риска. Если остаточные риски удовлетворяют критериям принятия риска организации, руководство принимает решение о принятии риска.
Если остаточные риски не удовлетворяют критериям принятия риска организации, возможны следующие варианты решения руководства:
– дальнейшая обработка риска до снижения его уровня до приемлемого;
– принятие риска с обязательным обоснованием такого решения.
Выходные данные: Перечень принятых рисков с обоснованием тех рисков, которые не соответствуют критериям принятия риска.
5. Обмен информацией о рисках
Входные данные: Вся информация о рисках, полученная в результате управления рисками.
Действие: Принимающие решение представители организации и внешних организаций должны обмениваться информацией о рисках и совместно ее использовать.
Руководство по реализации: Обмен информацией о рисках представляет собой деятельность, связанную с достижением соглашения всех участвующих сторон о том, как осуществлять совместное управление рисками путём использования всей известной информации о рисках.
Обмен информацией будет обеспечивать уверенность в том, что все участвующие стороны понимают, на основании чего принимаются решения и причины необходимости определённых
Обмен информацией должен осуществляться с целью достижения:
– обеспечения доверия к результатам управления рисками;
– сбора информации о рисках;
– совместного использования результатов оценки рисков и представления плана их обработки;
– предотвращения или снижения вероятности возникновения и последствий нарушений ИБ из-за отсутствия взаимопонимания между сторонами;
– поддержки принятия решений;
– получения новых знаний об ИБ;
– координации действий по реагированию для уменьшения последствий какого-либо инцидента;
– выработки чувства ответственности сторон по отношению к рискам;
– повышения осведомлённости.
Координация сторон может быть достигнута посредством формирования соответствующих коллегиальных органов (комитетов), на заседании которых могут проходить обсуждения вопросов о рисках и выработке решений по обработке и принятию рисков.
Выходные данные: Постоянное понимание и координация процесса управления рисками ИБ.
6. Мониторинг и улучшение
Цель мониторинга рисков состоит в наблюдении за прогрессом выполнения принятых планов (предотвращения рисков и смягчения их последствий), количественными параметрами, условиями, определяющими применение плана обработки рисков, и в информировании ответственных лиц в случае наступления риска.
Мониторинг рисков – процесс отслеживания идентифицированных рисков, мониторинга остаточных рисков, идентификации новых рисков, исполнения плана обработки рисков и оценки его эффективности. Непрерывный мониторинг может поддерживаться внешними сервисами, которые обеспечивают информацию о новых угрозах или уязвимостях.
Необходимо проводить непрерывный мониторинг следующих факторов:
– новые активы, которые были включены в сферу действия управления рисками;
– изменение ценности активов, например, вследствие изменившихся бизнес-требований;
– новых угроз, которые могут быть активными вне и внутри организации, и которые ещё не оценивались;
– вероятности того, что новые или увеличившиеся уязвимости могут позволить угрозам их использовать;
– идентифицированные уязвимости для определения тех уязвимостей, которые становятся подверженными новым или повторно возникающим угрозам;
– повышенное влияние последствий оценённых угроз, уязвимостей и рисков, объединение которых имеет результатом неприемлемый уровень риска;