Please enable JavaScript.
Coggle requires JavaScript to display documents.
МІЖНАРОДНИЙ СТАНДАРТ BS ISO/IEC 27005: 2011 - Coggle Diagram
МІЖНАРОДНИЙ СТАНДАРТ
BS ISO/IEC 27005: 2011
Даний стандарт:
• надає керівництво з менеджменту ризику інформаційної безпеки в організації, підтримуючи, зокрема вимоги до СМІБ відповідно до ISO/IEC 27001;
• не надає будь-якої конкретної методології по менеджменту ризику інформаційної безпеки;
• вибір підходу до менеджменту ризику здійснюється організацією, що застосовують цей стандарт і залежить, наприклад, від області застосування СМІБ, контексту менеджменту ризику або сфери діяльності.
• призначений для керівників і персоналу, що займається в організації питаннями менеджменту ризику інформаційної безпеки, а також, при необхідності, для зовнішніх сторін, що мають відношення до цього виду діяльності
ВСТУП
Цей інтернаціональний стандарт забезпечує рекомендації для менеджменту ризиком інформаційної безпеки в організації, особливо підтримуючи вимоги СМІБ згідно ISO/IEC 27001.
ОБЛАСТЬ (МЕЖІ) ЗАСТОСУВАННЯ
• Даний стандарт забезпечує рекомендації для менеджменту ризиків інформаційної безпеки, які включають інформацію і менеджмент ризиків безпеки технологій телекомунікації.
• Даний стандарт підтримує загальні концепції, визначені в ISO/IEC 27001, і призначений для сприяння адекватного забезпечення інформаційної безпеки на основі підходу, пов'язаного з менеджментом ризику.
• Знання концепцій, моделей, процесів і термінології, викладених в ISO/IEC 27001 і ISO/IEC 27002, важливо для повного розуміння даного стандарту.
• Даний стандарт застосовний для організацій всіх типів, які планують здійснювати менеджмент ризиків, які можуть скомпрометувати інформаційну безпеку організації.
ВИЗНАЧЕННЯ
• Наслідки (consequence)- результат події, що впливає на цілі.
• Менеджмент (control) - міра, яка змінює ризик.
• Подія (event)- виникнення або зміна певного набору обставин.
• Зовнішній контекст (external context) - зовнішнє середовище, в якій організація прагне до досягнення своїх цілей.
• Внутрішній контекст (internal context) - внутрішнє середовище, в якій організація прагне до досягнення своїх цілей.
• Рівень ризику (level of risk) - величина ризику або комбінації ризиків, виражена як поєднання наслідків і їх можливості виникнення.
• Можливість (likelihood) - імовірність настання деякої події.
• Залишковий ризик (residual risk) - ризик, що зберігається після обробки ризику.
• Ризик (risk) - вплив невизначеності на цілі.
• Аналіз ризику (risk analysis) - процес розуміння походження ризику і визначення рівня ризику.
• Оцінка ризику (risk assessment) - загальний процес ідентифікації ризику, аналізу ризику і оцінювання ризику.
• Обмін інформацією та консультування щодо ризику (risk communication and consultation) - безперервні і повторювані процеси, які проводить організація, для надання, поділу або отримання інформації, а так само ведення діалогу з зацікавленими сторонами щодо менеджменту ризику.
• Критерії ризику (risk criteria) - аспекти, відповідно до яких здійснюють оцінювання ризику.
• Оцінювання ризику (risk evaluation) - процес порівняння результатів аналізу ризику до встановлених критеріїв ризику для визначення, чи є ризик і/або його величина прийнятними або допустимими.
• Ідентифікація ризику (risk identification) - процес виявлення, дослідження та опису ризиків.
• Менеджмент ризику (risk management) - скоординована діяльність з керівництва та управління організацією щодо ризику.
• Обробка ризику (risk treatment) - процес зміни ризику.
• Зацікавлена сторона (stakeholder) - особа або організація, які можуть впливати, піддаватися впливу, або усвідомлюють, що на них впливає будь-яке рішення або дії.
СТРУКТУРА ІНТЕРНАЦІОНАЛЬНОГО СТАНДАРТУ
• Цей стандарт містить опис процесу менеджменту ризику інформаційної безпеки і пов'язаних з ним видів діяльності.
• Інформація про передумови створення стандарту наводиться в розділі 5.
• Основний огляд процесу ризик-менеджменту інформаційної безпеки дається в розділі 6.
Всі види діяльності, пов'язані з менеджментом ризику інформаційної безпеки, представлені в розділі 6, описуються далі в наступних розділах:
• Встановлення контексту - в розділі 7;
• Оцінка ризику - в розділі 8;
• Обробка ризику - в розділі 9;
• Прийняття ризику - в розділі 10;
• Обмін інформацією щодо ризику - в розділі 11;
• Моніторинг та перегляд ризику - в розділі 12.
Додаткова інформація про види діяльності, пов'язаних з менеджментом ризику інформаційної безпеки, представлена в додатках.
Всі види діяльності, пов'язані з менеджментом ризику, представлені в розділах 7-12, структуровані таким чином:
• Вхідні дані - ідентифікується будь-яка інформація, необхідна для виконання діяльності.
• Дія - описується діяльність.
• Керівництво по реалізації - надається керівництво по виконанню дії.
• Деякі рекомендації даних посібників можуть не підходити до всіх випадків, тому можуть бути більш доречними інші варіанти дій.
• Вихідні дані - ідентифікується будь-яка інформація, отримана після виконання діяльності.
ІНФОРМАЦІЯ ПРО ПЕРЕДУМОВИ СТВОРЕННЯ СТАНДАРТУ
• Систематичний підхід до менеджменту ризику інформаційної безпеки необхідний для того, щоб ідентифікувати потреби організації, що стосуються вимог інформаційної безпеки та створити ефективну систему менеджменту інформаційної безпеки (СМІБ).
• Цей підхід повинен бути придатним до середовища організації і, зокрема, повинен підтримувати менеджмент ризиків для всієї організації.
• Менеджмент ризику інформаційної безпеки повинен бути безперервним процесом.
Менеджмент ризику інформаційної безпеки повинен сприяти наступному:
• ідентифікації ризиків;
• оцінки ризиків, виходячи з наслідків їх реалізації для бізнесу та ймовірності їх виникнення;
• вивчення ймовірності і потенційних наслідків цих ризиків;
• встановлення порядку пріоритетів в рамках обробки ризиків;
• встановлення пріоритетів заходів щодо зниження ризиків, які мають місце;
• залучення зацікавлених сторін до прийняття рішень про менеджмент ризиків і підтримання їх інформованості про стан менеджменту ризику;
• ефективність обраного моніторингу обробки ризиків;
• проведення регулярного моніторингу та перегляду процесу менеджменту ризиків;
• збору інформації для удосконалення підходу до менеджменту ризиків;
• підготовці менеджерів і персоналу в частині сфери ризиків і необхідних дій, що вживаються для їх зменшення.
ОГЛЯД ПРОЦЕСУ МЕНЕДЖМЕНТУ РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Процес менеджменту ризиків інформаційної безпеки складається з
• встановлення контексту (розділ 7),
• оцінки ризику (розділ 8),
• обробки ризику (розділ 9),
• прийняття ризику (Розділ 10),
• обмін інформацією щодо ризику (розділ 11),
• моніторингу та перегляду ризику (розділ 12).
.
o Процес менеджменту ризику інформаційної безпеки може бути ітеративним для таких видів діяльності, як оцінка ризику і/або обробка ризику.
o Контекст вперше встановлюється тоді, коли проводиться оцінка високорівневого ризику.
o Ефективність обробки ризику залежить від результатів оцінки ризику.
o Діяльність по прийняттю ризику повинна забезпечувати впевненість у тому, що залишкові ризики однозначно приймаються керівництвом організації.
o Важливо, щоб під час всього процесу менеджменту ризиків інформаційної безпеки і їх обробки здійснювалася передача інформації щодо ризику відповідному керівництву і операційному персоналу.
o У СМІБ встановлення контексту, оцінка ризику, розробка плану обробки ризику і прийняття ризику є частиною фази "планування".
Регулювання СМІБ і процес менеджменту ризиком
інформаційної безпеки
ВСТАНОВЛЕННЯ КОНТЕКСТУ
Загальний аналіз
o Вхідні дані: Вся інформація про організацію, доречна для встановлення контексту менеджменту ризику інформаційної безпеки.
o Дія: Повинен бути встановлений контекст менеджменту ризику інформаційної безпеки, що включає встановлення основних критеріїв, необхідних для менеджменту ризику інформаційної безпеки, визначення сфери дії і кордонів і встановлення відповідної структури для здійснення менеджменту ризику інформаційної безпеки.
o Керівництво по реалізації: Необхідно визначити мету менеджменту ризику інформаційної безпеки, так як вона впливає на загальний процес і на установку контексту.
Цією метою може бути:
• підтримка системи менеджменту інформаційної безпеки;
• правова відповідність і свідоцтво належної уваги;
• підготовка плану забезпечення безперервності бізнесу;
• підготовка плану реагування на інциденти;
• опис вимог інформаційної безпеки для продукту, послуги або механізму
Вихідні дані: Специфікація основних критеріїв, сфера дії і кордони, структура для процесу менеджменту ризику інформаційної безпеки.
Основні критерії
Залежно від області застосування і цілей менеджменту ризиком можуть бути застосовані різні підходи. Також можуть бути різними підходи для кожної ітерації.
Повинен бути обраний або розроблений відповідний підхід менеджменту ризиком, який звертається до основних критеріїв, таким як:
• критерії оцінки ризику,
• вплив на критерії,
• критерії допустимості ризику.
Додатково організація повинна оцінити, чи доступні необхідні ресурси для:
• виконання оцінки ризику і встановлення плану обробки ризику;
• визначення і здійснення політики і процедури, включаючи
• реалізацію обраного менеджменту;
• контроль моніторингу;
• моніторинг процесу менеджменту ризиком інформаційний безпеки.
Критерії оцінки ризику
Повинні розроблятися критерії для оцінювання ризиків інформаційної безпеки організації, з огляду на наступне:
• стратегічна цінність обробки бізнес-інформації;
• критичність порушених інформаційних активів;
• правові та регулюючі вимоги і договірні зобов'язання;
• операційна важливість і важливість для бізнесу доступності,
• конфіденційності і цілісності;
• очікування сприйняття причетних сторін, а також негативні наслідки для "невловимого (того, який неможливо відчути) капіталу" і репутації.
Критерії впливу
Критерії впливу повинні розроблятися і визначатися, виходячи зі ступеня збитку або витрат для організації, що викликаються подією, пов'язаною з інформаційною безпекою, з огляду на наступне:
• рівень класифікації інформаційного активу, на який виявляється вплив;
• порушення інформаційної безпеки (наприклад, втрата
• конфіденційності, цілісності і доступності);
• погіршені операції (внутрішні або третіх сторін);
• втрата цінності бізнесу та фінансової цінності;
• порушення планів і кінцевих термінів;
• збиток для репутації;
• порушення законодавчих, регулюючих або договірних вимог
Критерії прийняття ризику
Критерії прийняття ризику найчастіше залежать від
• політик,
• намірів,
• цілей організації
• інтересів причетних сторін.
При розробці слід враховувати наступне:
• критерії прийняття ризику можуть включати багато порогових значень, з бажаним цільовим рівнем ризику, але за умови, що вище керівництво буде приймати ризики, що знаходяться вище зазначеного рівня;
• критерії прийняття ризику можуть виражатися як співвідношення кількісно оціненої вигоди (або іншої вигоди бізнесу) до кількісно оціненого ризику;
• різні критерії прийняття ризику можуть застосовуватися до різних класів ризику
• критерії прийняття ризику можуть включати вимоги, що стосуються майбутньої додаткової обробки
Критерії прийняття ризику повинні встановлюватися з урахуванням наступного:
• критеріїв бізнесу;
• правових та регулюючих аспектів;
• операцій;
• технологій;
• фінансів;
• соціальних і гуманітарних чинників.
Область застосування і границі
Область застосування процесу менеджменту інформаційної безпеки необхідно визначати для забезпечення того, щоб всі значущі активи приймалися в розрахунок при оцінці ризику.
При визначенні сфери застосування і меж повинна враховуватися наступна інформація, що стосується організації:
• стратегічні цілі бізнесу організації, стратегії і політики;
• процеси бізнесу;
• функції і структура організації;
• правові, регулюючі та договірні вимоги, що застосовуються до організації;
• політика інформаційної безпеки організації;
• загальний підхід до менеджменту ризику організації;
• інформаційні активи;
• місце розташування організації і географічні характеристики;
• обмеження, що впливають на організацію;
• очікування причетних сторін;
• соціокультурне середовище;
• інтерфейси (тобто обмін інформацією з середовищем).
Організаційна структура менеджменту ризику інформаційної
безпеки
Головні ролі і обов'язки, властиві такої організаційної структури:
• розробка процесу ризик-менеджменту інформаційної безпеки, придатного для цієї організації;
• ідентифікація і аналіз причетних сторін;
• визначення ролей і обов'язків всіх сторін, як внутрішніх, так і зовнішніх по відношенню до організації;
• встановлення необхідних взаємозв'язків між організацією і причетними сторонами, а також інтерфейсів для організаційних функцій менеджменту ризиків високого рівня, а також інтерфейсів з іншими значущими проектами і видами діяльності;
• визначення шляхів ескалації прийняття рішень;
• визначення, які підлягають ведення документи потребують ведення.
Ця організаційна структура повинна схвалюватися відповідним керівництвом організації.
