Please enable JavaScript.
Coggle requires JavaScript to display documents.
BS ISO/IEC 27005: 2011 Часть 2 - Coggle Diagram
BS ISO/IEC 27005: 2011 Часть 2
ОЦІНКА РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Загальний опис оцінки ризику інформаційної безпеки
Встановлені основні критерії, сфера дії і межі, структура
для процесу менеджменту ризику інформаційної безпеки
Ризики повинні бути ідентифіковані, кількісно визначені або якісно описані і розставлені, відповідно до пріоритетів згідно критеріям оцінювання ризику і доречним для організації цілям
Керівництво з реалізації
аналіз ступеня ризику
оцінювання ризику
ідентифікацію ризику
Ризик являє собою комбінацію наслідків, що
випливають з небажаної події, і ймовірності виникнення події
Перелік оцінених ризиків, розставлених відповідно до
пріоритетів і відповідно до критеріїв оцінювання ризику
Аналіз ризику
Ідентифікація ризику
Ідентифікація існуючих засобів контролю
Документування засобів контролю, планів реалізації
обробки ризику
Існуючі та заплановані засоби контролю слід ідентифікувати.
Введення в ідентифікацію ризиків
Ідентифікація активів
Область застосування і межі які підлягають проведенню
оцінці ризику, перелік складових частин, що включає власників, місце розташування, функцію і т.д
Повинні бути ідентифіковані активи, що входять у встановлену область застосування [пов'язане з ISO/IEC 27001, 4.2.1 перерахування d) 1)]
Ідентифікація уразливості
Переліки відомих загроз, переліки активів і існуючих
засобів контролю
Необхідно ідентифікувати уразливості, які можуть бути
використані загрозами щоб завдати шкоди активам або організації [пов'язано з ISO/IEC 27001, 4.2.1 перерахування d) 3)]
Керівництво по реалізації
організація робіт
процеси і процедури
сталі норми управління
персонал
фізичне середовище
конфігурація інформаційної системи
апаратні засоби, програмне забезпечення та апаратура зв'язку
залежність від зовнішніх сторін
Ідентифікація наслідків
Перелік активів, перелік бізнес-процесів, перелік загроз і
вразливостей, де це доречно, пов'язаних з активами, і їхня соціальна значимість.
Повинні бути ідентифіковані наслідки для активів, які можуть бути результатом втрати конфіденційності, цілісності та доступност.
Ідентифікація загроз
: Інформація про погрози, отримана в результаті аналізу
інциденту, від власників активів користувачів, а також з інших джерел, включаючи реєстри зовнішніх загроз
Загрози і їх джерела повинні бути ідентифіковані [пов'язано з
ISO/IEC 27001, 4.2.1 перерахування d) 2)]
Вимірювання ризику
Методологія вимірювання ризику
Кількісна оцінка
Якісна оцінка
Оцінка наслідків
Перелік ідентифікованих сценарієм значущих інцидентів,
включаючи ідентифікацію загроз, , вразливостей і порушених активів, наслідків для активів і бізнес-процесів
Вплив бізнесу на організацію, яка може бути результатом
можливих або фактичних інцидентів ІБ, має бути оцінений з урахуванням наслідків порушення інформаційної безпеки, таких як втрата конфіденційності, цілісності або доступності активів
Після ідентифікації всіх активів, які переглядаються, цінність,
привласнена цим активам, повинна враховуватися при оцінці наслідків.
Оцінка ймовірності інциденту
Перелік ідентифікованих доречних сценаріїв інцидентів,
включаючи ідентифікацію загроз, активи, які зачіпаються, використовувані уразливості і наслідки для активів і бізнес-процесів
Повинна бути оцінена ймовірність дії сценаріїв інцидентів
Вимірювання рівня ризику
Перелік сценаріїв інцидентів з їх наслідками, стосуються
активів, і бізнес-процесів і їх ймовірності (кількісних або якісних).
Повинно бути здійснено вимір рівня ризиків для всіх значущих
сценаріїв інцидентів [пов'язане з ISO/IEC 27001, 4.2.1 перерахування е) 4)].
Перелік ризиків з присвоєними рівнями значень
Оцінювання ризику
Перелік ризиків з присвоєними рівнями значень і критерії
оцінювання ризику
Рівні ризиків повинні порівнюватися з критеріями оцінювання
ризику і критеріями прийняття ризику [пов'язане з ISO/IEC 27001, 4.2.1 перерахування е) 4)]
Перелік ризиків, з призначеними пріоритетами в
відповідності до критеріїв оцінювання ризику щодо сценаріїв інцидентів, які призводять до цих ризиків.