Please enable JavaScript.
Coggle requires JavaScript to display documents.
ISO/IEC 27005: 2011 - Coggle Diagram
ISO/IEC 27005: 2011
ВИЗНАЧЕННЯ
Наслідки (consequence)
Результатом події може бути один або більше наслідків
Наслідки можуть бути виражені якісно і кількісно
Наслідки можуть бути ранжовані від позитивних до негативних. Однак
стосовно аспектів безпеки наслідки завжди негативні
Початкові наслідки можуть вирости через ланцюгову реакцію
Менеджмент (control)
Засоби менеджменту для інформаційної безпеки включають будь-який процес, політику, процедуру, практику або організаційну структуруу, яка може бути адміністративною, технічною, керуючою, або законодавчо прийнятою, які змінюють ризик інформаційної безпеки
Засобів менеджменту, можливо, не завжди виявляють намічений або
прийнятий ефект зміни
Менеджмент також використовується як синонім для гарантії або контрзаходів
Подія (event)
Подія може виникати один раз або кілька і може мати кілька причин
Подія може полягати в тому, що що-небудь не сталося
Подія може іноді згадуватися як «інцидент» або «подія»
Зовнішній контекст (external context)
культурне, соціальне, політичне, правове, законодавче, фінансове, технологічне, економічне, природне і ринкове середовище на міжнародному, регіональному, національному або локальному рівні
основні чинники і тенденції, що впливають на цілі організації
взаємозв'язок із зацікавленими сторонами, їх сприйняття і цінності
Внутрішній контекст (internal context)
керівництво, організаційну структуру, функції і зобов'язання
культуру організації
взаємозв'язок з внутрішніми зацікавленими сторонами, їх сприйняття і цінності
стандарти, керівні вказівки і моделі, прийняті організацією
інформаційні системи, інформаційні потоки і процеси прийняття рішень
форму і обсяг контрактних взаємин
можливості, що розглядаються в відношенні ресурсів і знань
політику, цілі та стратегії для їх досягнення
Рівень ризику (level of risk)
Величина ризику або комбінації ризиків, виражена як поєднання наслідків і їх можливості виникнення.
Можливість (likelihood)
У термінології менеджменту ризику термін «можливість»
використовується відносно можливості того, що може статися, або певний, виміряний або встановлений об'єктивно або суб'єктивно, якісно чи кількісно, або описаний з використанням загальних умов або математично випадок
Англійський термін «likelihood» не має прямого еквівалента в деяких мовах,
замість нього часто використовують термін «probability». Однак, в англійському мові термін «probability» часто інтерпретують у вузькому
сенсі, як математичний термін. Отже, в термінології менеджменту ризику термін «likelihood» використовують з тим наміром, що він повинен мати ту
ж найширшу інтерпретацію, яку термін «probability» має у багатьох мовах, крім англійської мови.
Залишковий ризик (residual risk)
Залишковий ризик може також називатися як «зберігається ризик».
Залишковий ризик може містити в собі неідентифікованих ризик
Ризик (risk)
Цілі можуть мати різні аспекти (наприклад, фінансові цілі, цілі охорони
здоров'я і безпеки, екологічні цілі) і можуть застосовуватися на різних рівнях
Ризик зазвичай характеризується можливими подіями (3.3) і наслідками (3.1)
або їх поєднанням
Ризик зазвичай виражається у вигляді сполучення наслідків події
Вплив - це відхилення від передбачуваного (позитивного і/або негативного)
Невизначеність - це недостатність (навіть часткова) інформації, пов'язаної з розумінням події або знаннями про нього, його наслідками або можливістю виникнення
нформаційна безпека асоціюється з потенціалом загроз, які
використовують уразливості інформаційного активу або групу
інформаційних активів і таким чином завдають шкоди організації
Аналіз ризику (risk analysis)
Процес розуміння походження ризику і визначення рівня ризику
Оцінка ризику (risk assessment)
Загальний процес ідентифікації ризику, аналізу ризику і оцінювання ризику
Обмін інформацією та консультування щодо ризику (risk
communication and consultation)
Безперервні і повторювані процеси, які проводить організація, для надання, поділу або отримання інформації, а так само ведення діалогу з зацікавленими сторонами щодо менеджменту ризику
Критерії ризику (risk criteria)
Аспекти, відповідно до яких здійснюють оцінювання ризику
Оцінювання ризику (risk evaluation)
Процес порівняння результатів аналізу ризику до встановлених критеріїв ризику для визначення чи є ризик і/або його величина прийнятними або допустимими.
Ідентифікація ризику (risk identification)
Процес виявлення, дослідження та опису ризиків.
Менеджмент ризику (risk management)
Скоординована діяльність з керівництва та управління організацією щодо ризику
Обробка ризику (risk treatment)
Процес зміни ризику.
Зацікавлена сторона (stakeholder)
Особа або організація, які можуть впливати, піддаватися впливу, або усвідомлюють, що на них впливає будь-яке рішення або дії.
ІНФОРМАЦІЯ ПРО ПЕРЕДУМОВИ СТВОРЕННЯ СТАНДАРТУ
встановлення порядку пріоритетів в рамках обробки ризиків
встановлення пріоритетів заходів щодо зниження ризиків, які мають місце
вивчення ймовірності і потенційних наслідків цих ризиків
залучення зацікавлених сторін до прийняття рішень про
менеджмент ризиків і підтримання їх інформованості про стан менеджменту ризику
оцінки ризиків, виходячи з наслідків їх реалізації для бізнесу та ймовірності їх виникнення
ефективність обраного моніторингу обробки ризиків
ідентифікації ризиків
проведення регулярного моніторингу та перегляду процесу менеджменту ризиків
збору інформації для удосконалення підходу до менеджменту ризиків
підготовці менеджерів і персоналу в частині сфери ризиків і необхідних дій, що вживаються для їх зменшення
ВСТАНОВЛЕННЯ КОНТЕКСТУ
Керівництво по реалізації
підготовка плану забезпечення безперервності бізнесу
підготовка плану реагування на інциденти
правова відповідність і свідоцтво належної уваги
опис вимог інформаційної безпеки для продукту, послуги або
механізму
підтримка системи менеджменту інформаційної безпеки;
Основні критерії
виконання оцінки ризику і встановлення плану обробки ризику
контроль моніторингу
визначення і здійснення політики і процедури, включаючи
реалізацію обраного менеджменту
моніторинг процесу менеджменту ризиком інформаційний
безпеки
Критерії оцінки ризику
стратегічна цінність обробки бізнес-інформації
критичність порушених інформаційних активів
правові та регулюючі вимоги і договірні зобов'язання
операційна важливість і важливість для бізнесу доступності,
конфіденційності і цілісності
очікування сприйняття причетних сторін, а також негативні
наслідки для "невловимого (того, який неможливо відчути капіталу" і репутації
Критерії впливу
рівень класифікації інформаційного активу, на який виявляється
вплив
порушення інформаційної безпеки
втрата цінності бізнесу та фінансової цінності
погіршені операції
порушення планів і кінцевих термінів
порушення законодавчих, регулюючих або договірних вимог
збиток для репутації
Критерії прийняття ризику
критерії прийняття ризику можуть виражатися як співвідношення
кількісно оціненої вигоди до кількісно
оціненого ризику
різні критерії прийняття ризику можуть застосовуватися до різних класів ризику, наприклад, ризики, які можуть мати результатом невідповідність директивам і законам, не можуть бути прийняті в той час як прийняття ризиків високого рівня може бути дозволено якщо це визначено в договірній вимозі
критерії прийняття ризику можуть включати багато порогових
значень, з бажаним цільовим рівнем ризику але за умови, що при певних обставинах вище керівництво буде приймати ризики, що знаходяться вище зазначеного рівня
критерії прийняття ризику можуть включати вимоги, що
стосуються майбутньої додаткової обробки, наприклад ризик
може бути прийнятий, якщо є схвалення і згода на здійснення дії по його зниження до прийнятного рівня в рамках певного періоду часу
Організаційна структура менеджменту ризику інформаційної безпеки
встановлення необхідних взаємозв'язків між організацією і
причетними сторонами, а також інтерфейсів для організаційних, функцій менеджменту ризиків високого рівня (наприклад, менеджмент операційного ризику), а також інтерфейсів з іншими значущими проектами і видами діяльності
визначення шляхів ескалації прийняття рішень
визначення ролей і обов'язків всіх сторін, як внутрішніх, так і
зовнішніх по відношенню до організації
визначення, які підлягають ведення документи потребують
ведення
ідентифікація і аналіз причетних сторін
розробка процесу ризик-менеджменту інформаційної безпеки, придатного для цієї організації
ОБЛАСТЬ (МЕЖІ) ЗАСТОСУВАННЯ
Даний стандарт забезпечує рекомендації для менеджменту ризиків інформаційної безпеки які включають інформацію і менеджмент ризиків
безпеки технологій телекомунікації
Даний стандарт підтримує загальні концепції, визначені в ISO/IEC 27001, і призначений для сприяння адекватного забезпечення інформаційної безпеки на основі підходу, пов'язаного з менеджментом ризику
Знання концепцій, моделей, процесів і термінології, викладених в ISO/IEC 27001 і ISO/IEC 27002, важливо для повного розуміння даного інтернаціонального стандарту
Даний стандарт застосовний для організацій всіх типів (наприклад, комерційних підприємств, державних установ, некомерційних організацій), які планують здійснювати менеджмент ризиків, які можуть скомпрометувати інформаційну безпеку організації.
НОРМАТИВНІ ПОСИЛАННЯ
ISO/IEC 27001: 2005, Інформаційна технологія - Методи і засоби забезпечення безпеки - Системи менеджменту інформаційної безпеки - Вимоги
ISO/IEC 27002: 2005, Інформаційна технологія - Методи і засоби забезпечення безпеки - Кодекс усталеної практики для менеджменту інформаційної безпеки.
СТРУКТУРА ІНТЕРНАЦІОНАЛЬНОГО СТАНДАРТУ
Цей стандарт містить опис процесу менеджменту ризику інформаційної безпеки і пов'язаних з ним видів діяльності
ОГЛЯД ПРОЦЕСУ МЕНЕДЖМЕНТУ РИЗИКІВ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ