Please enable JavaScript.
Coggle requires JavaScript to display documents.
27005(3) - Coggle Diagram
27005(3)
ОБРОБКА РИЗИКІВ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Загальний опис обробки ризику
Вхідні дані: Перелік ризиків з призначеними пріоритетами відповідно з критеріями оцінювання ризику щодо сценаріїв інцидентів, які призводять до цих ризиків.
Дія: Повинні бути обрані засоби контролю для зменшення, збереження, уникнення або перенесення ризиків і визначення план обробки ризиків.
Керівництво по реалізації:
зниження ризику
збереження ризику
уникнення (запобігання) ризику
перенесення ризику
Зниження ризику
Дія: Рівень ризику повинен бути знижений за допомогою вибору засобу контролю так, щоб залишковий ризик міг бути повторно оцінений як допустимий.
Збереження ризику
Дія: Рішення зберегти ризик, не роблячи подальшого дії, слід приймати в залежності від оцінювання ризику.
Запобігання ризику
Дія: Слід відмовитися від діяльності або умови, що викликає конкретний ризик.
Перенесення ризику
Дія: Ризик повинен бути переданий (перенесений) тій стороні, яка може найбільш ефективно здійснювати менеджмент конкретного ризику, в залежності від оцінювання ризику
ОБМІН ІНФОРМАЦІЄЮ ЩОДО РИЗИКУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Вхідні дані: Вся інформація про ризики, отримана в результаті дій по менеджменту ризику
Дія: Приймаючі рішення особи та інші причетні сторони повинні обмінюватися і/або спільно використовувати інформацію про ризик
Обмін інформацією щодо ризику повинен здійснюватися з метою досягнення наступного
забезпечення довіри до результатів менеджменту ризику організації;
збору інформації про ризик;
спільного використання результатів оцінки ризику та подання плану обробки ризику
запобігання або зниження виникнення і наслідків порушень інформаційної безпеки через відсутність взаєморозуміння між особами, які приймають рішення, та причетними сторонами
підтримки прийняття рішень
отримання нових знань про інформаційну безпеку
координації з іншими сторонами і планування реагування для зменшення наслідків будь-якого інциденту
підвищення обізнаності
ПРИЙНЯТТЯ РИЗИКУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Вхідні дані: План обробки ризику і оцінка залишкового ризику є об'єктом рішення керівництва організації про прийняття ризику.
Дія: Повинно бути прийнято і формально зареєстровано рішення про прийнятті ризиків і відповідальності за це рішення
МОНІТОРИНГ ТА ПЕРЕГЛЯД РИЗИКУ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Моніторинг та перегляд факторів ризику
Вхідні дані: Вся інформація про ризики, отримана в результаті дій по менеджменту ризику
Дія: Ризики і їх фактори (тобто цінність активів, вплив, загрози, вразливості, ймовірність виникнення) повинні піддаватися моніторингу та перегляду з метою ідентифікації будь-яких змін в контексті організації на ранній стадії, і підтримувати перегляд всієї картини ризику.
Організації повинні забезпечувати, щоб проводився безперервний моніторинг наступних факторів:
нові активи, які були включені в область дії менеджменту ризику
необхідна модифікація цінності активів, наприклад, внаслідок зміни бізнес-вимог
нових загроз, які можуть бути активними поза і всередині організації, і які ще не оцінювалися
ймовірності того, що нові або збільшені уразливості можуть дозволити загрозам використовувати ці нові або змінені уразливості
ідентифіковані уразливості для визначення тих вразливостей, які стають схильними до нових або повторно виникаючих загроз
Моніторинг, аналіз факторів ризику
Вхідні дані: Вся інформація про ризики, отримана в результаті дій по менеджменту ризику
Дія: Процес ризик-менеджменту інформаційної безпеки повинен постійно піддаватися моніторингу, перегляду та поліпшення необхідним і відповідним чином.
Ця діяльність по моніторингу та перегляду повинна приділяти увагу
правовому контексту і контексту навколишнього середовища
контексту конкуренції
підходу до оцінки ризику;
цінності і категоріям активів
критеріям впливу
критеріям оцінювання ризику
критеріям прийняття ризику
повної вартості експлуатації активів