Please enable JavaScript.
Coggle requires JavaScript to display documents.
МІЖНАРОДНИЙ СТАНДАРТ BS ISO/IEC 27005: 2011 Частина 3 - Coggle Diagram
МІЖНАРОДНИЙ СТАНДАРТ
BS ISO/IEC 27005: 2011
Частина 3
ОБРОБКА РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Загальний опис обробки ризику
Вхідні дані: Перелік ризиків з призначеними пріоритетами відповідно з критеріями оцінювання ризику щодо сценаріїв інцидентів, які призводять до цих ризиків.
Керівництво по реалізації:
Для обробки ризику є чотири варіанти
• зниження ризику
• збереження ризику
• уникнення (запобігання) ризику
• перенесення ризику
Діяльність обробки ризику
Варіанти обробки ризику повинні вибиратися на основі
o результатів оцінки ризику,
o очікуваної вартості реалізації цих варіантів
o очікуваної вигоди від цих варіантів.
Чотири варіанти обробки ризиків не є взаємовиключними.
Деякі види обробки ризиків можуть бути ефективними для більш ніж одного ризику.
План обробки ризику повинен чітко визначати порядок пріоритетів, в якому повинна реалізовуватися обробка окремих ризиків.
Варіанти обробки ризику повинні враховувати:
o найбільш відповідні шляхи комунікації з цими сторонами.
o як ризик усвідомлюється зацікавленими сторонами;
Всі обмеження - організаційні, технічні, структурні та інші, які повинні бути визначені протягом діяльності, пов'язаної з встановленням контексту, слід брати до уваги протягом обробки ризику.
Вихідні дані: План обробки ризику і залишкові ризики – предмет обговорення для прийняття рішення керівництвом організації.
Дія: Повинні бути обрані засоби контролю для
o зменшення,
o збереження,
o уникнення
o перенесення ризиків
o визначення план обробки ризиків.
Зниження ризику
Керівництво по реалізації
Повинні бути вибрані відповідні і обґрунтовані засоби контролю для того, щоб задовольняти вимогам, ідентифікованим за допомогою оцінки ризику і процесу обробки ризику.
Такий вибір повинен враховувати
o критерії прийняття ризиків
o правові, регулюючі та договірні вимоги.
В цілому, засоби контролю можуть забезпечувати один або декілька з наступних видів захисту:
o виправлення,
o виключення,
o попередження,
o зменшення впливу,
o стримування,
o виявлення,
o відновлення,
o моніторинг
o інформованість.
При формуванні рекомендацій і в процесі реалізації повинні прийматися в розрахунок різні обмеження. Типовими обмеженнями є:
• тимчасові обмеження;
• фінансові обмеження;
• технічні обмеження;
• операційні обмеження;
• культурні обмеження;
• етичні обмеження;
• обмеження, пов'язані з навколишнім середовищем;
• юридичні обмеження;
• простота використання;
• кадрові обмеження;
• обмеження, що стосуються інтеграції нових та існуючих засобів контролю
Дія: Рівень ризику повинен бути знижений за допомогою вибору засобу контролю так, щоб залишковий ризик міг бути повторно оцінений як допустимий.
Збереження ризику
Дія: Рішення зберегти ризик, не роблячи подальшого дії, слід приймати в залежності від оцінювання ризику.
Керівництво по реалізації: Якщо рівень ризику відповідає критеріям прийняття ризику, то немає необхідності реалізовувати додаткові засоби контролю і ризик може бути збережений.
Запобігання ризику
Дія: Слід відмовитися від діяльності або умови, що викликає конкретний ризик.
Керівництво по реалізації: Коли ідентифіковані ризики вважаються занадто високими може бути прийнято рішення про повне запобігання ризику шляхом
• припинення програми
• або відмови від запланованої
• або існуючої діяльності,
• або сукупності дій
• або зміни умов, при яких проводиться діяльність (дії).
Перенесення ризику
Дія: Ризик повинен бути переданий тій стороні, яка може найбільш ефективно здійснювати менеджмент конкретного ризику.
Керівництво по реалізації:
Перенесення ризику включає в себе рішення розділити певні ризики з зовнішніми сторонами.
Перенесення ризику може створювати нові ризики або модифікувати існуючі ідентифіковані ризики.
ПРИЙНЯТТЯ РИЗИКУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
.
Дія: Повинно бути прийнято і формально зареєстровано рішення про прийнятті ризиків і відповідальності за це рішення.
Керівництво по реалізації:
• У планах обробки ризику повинно описуватися те, як оцінювати ризики, які слід обробляти для того, щоб відповідати критеріям прийняття ризиків.
• Важливо, щоб відповідальні менеджери переглядали і підтримували пропоновані плани обробки ризику і випливаючі з них залишкові ризики, а також реєстрували всі умови, пов'язані з підтримкою прийнятих рішень.
• У деяких випадках рівень залишкового ризику може не відповідати критеріям прийняття ризику, оскільки застосовувані критерії не враховують превалюючі обставини
Вхідні дані: План обробки ризику і оцінка залишкового ризику є об'єктом рішення керівництва організації про прийняття ризику.
Вихідні дані: Перелік прийнятих ризиків з обґрунтуванням тих ризиків, які не відповідають стандартним критеріям прийняття ризику організації.
ОБМІН ІНФОРМАЦІЄЮ ЩОДО РИЗИКУ ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ
Керівництво по реалізації:
Обмін інформацією щодо ризику являє собою діяльність,
• пов'язану з досягненням угоди про те,
• як здійснювати менеджмент ризиків
• шляхом обміну та/або спільного використання інформації
• про ризик між особами, які приймають рішення, та іншими причетними сторонами.
Така інформація включає в себе, але не обмежується
• існуванням,
• природою,
• формою,
• ймовірністю,
• серйозністю,
• обробкою
• прийнятність ризиків
Ефективний обмін інформацією між причетними сторонами має велике значення, оскільки вона може робити істотний вплив на рішення, які повинні бути прийняті.
Обмін інформацією щодо ризику є двонаправленим
Усвідомлення ризику може відрізнятися через відмінності в
• припущеннях,
• поняттях,
• потреби,
• проблеми
• занепокоєння причетних сторін, які пов'язані з ризиком або обговорюваними проблемами.
Обмін інформацією щодо ризику повинен здійснюватися з метою досягнення наступного:
• забезпечення довіри до результатів менеджменту ризику організації;
• збору інформації про ризик;
• спільного використання результатів оцінки ризику та подання плану обробки ризику;
• запобігання або зниження виникнення і наслідків порушень інформаційної безпеки через відсутність взаєморозуміння між особами, які приймають рішення, та причетними сторонами;
• підтримки прийняття рішень;
• отримання нових знань про інформаційну безпеку;
• координації з іншими сторонами і планування реагування для зменшення наслідків будь-якого інциденту;
• вироблення почуття відповідальності по відношенню до ризиків у осіб, які приймають рішення, та причетних сторін;
• підвищення обізнаності
Організація повинна розробляти плани обміну інформацією щодо ризику, як для нормального функціонування, так і для надзвичайних ситуацій.
Дія: Приймаючі рішення особи та інші причетні сторони повинні обмінюватися і/або спільно використовувати інформацію про ризик.
Вхідні дані: Вся інформація про ризики, отримана в результаті дій по менеджменту ризику
Вихідні дані: Постійне розуміння процесу менеджменту ризику інформаційної безпеки організації.
МОНІТОРИНГ ТА ПЕРЕГЛЯД РИЗИКУ ІНФОРМАЦІЙНОЇ
БЕЗПЕКИ
Моніторинг, аналіз факторів ризику
Дія: Процес ризик-менеджменту інформаційної безпеки повинен постійно піддаватися моніторингу, перегляду та поліпшення необхідним і відповідним чином.
Керівництво по реалізації:
Постійний моніторинг і перегляд необхідні для забезпечення впевненості в тому, що контекст, результат оцінки ризику і обробки ризику, а також плани менеджменту залишаються доречними і відповідають обставинам.
Організація повинна регулярно перевіряти, що критерії, використовувані для вимірювання ризику і його елементів, як і раніше залишаються дійсними і узгоджуються з бізнес-цілями, стратегіями і політиками, і що зміни бізнес-контексту беруться до уваги на адекватному рівні під час процесу ризик-менеджменту інформаційної безпеки.
Ця діяльність по моніторингу та перегляду повинна приділяти увагу наступним:
• правовому контексту і контексту навколишнього середовища;
• контексту конкуренції;
• підходу до оцінки ризику;
• цінності і категоріям активів;
• критеріям впливу;
• критеріям оцінювання ризику;
• критеріям прийняття ризику;
• повної вартості експлуатації активів;
• необхідних ресурсів.
Моніторинг менеджменту ризику може мати результатом модифікацію або доповнення підходу, методології або інструментальних засобів, що використовуються в залежності від наступного:
• ідентифікованих змін;
• ітерації оцінки ризику;
• цілі процесу ризик-менеджменту інформаційної безпеки
• об'єкта процесу ризик-менеджменту інформаційної безпеки
Вхідні дані: Вся інформація про ризики, отримана в результаті дій по менеджменту ризику
Вихідні дані: Безперервна значимість процесу ризик-менеджменту інформаційної безпеки для бізнес-цілей організації.
Моніторинг та перегляд факторів ризику
Дія: Ризики і їх фактори повинні піддаватися моніторингу та перегляду з метою ідентифікації будь-яких змін в контексті організації на ранній стадії, і підтримувати перегляд всієї картини ризику.
Керівництво по реалізації:
Організації повинні забезпечувати, щоб проводився безперервний моніторинг наступних факторів:
• нові активи, які були включені в область дії менеджменту ризику;
• необхідна модифікація цінності активів, наприклад, внаслідок зміни бізнес-вимог;
• нових загроз, які можуть бути активними поза і всередині організації, і які ще не оцінювалися;
• ймовірності того, що нові або збільшені уразливості можуть дозволити загрозам використовувати ці нові або змінені уразливості;
• ідентифіковані уразливості для визначення тих вразливостей, які стають схильними до нових або повторно виникаючих загроз;
• підвищений вплив наслідків оцінених загроз, вразливостей і ризиків, об'єднання яких має результатом неприйнятний рівень ризику;
• інциденти інформаційної безпеки
.
• Нові загрози, вразливості або зміни ймовірності або наслідків можуть збільшувати ризики, які раніше були оцінені як низькі.
• Процес перегляду низьких і прийнятих ризиків повинен розглядати кожен ризик окремо, а також всі ці ризики як сукупне ціле, щоб оцінювати їх потенційний сумарний вплив.
• Головні зміни, що впливають на організацію, повинні служити підставою для більш специфічного перегляду.
• Організація повинна переглядати всі ризики регулярно, а також, коли мають місце значні ризики.
Вхідні дані: Вся інформація про ризики, отримана в результаті дій по менеджменту ризику
Вихідні дані: Безперервне узгодження менеджменту ризиків з бізнесцілями організації та критеріями прийняття ризику.