Please enable JavaScript.
Coggle requires JavaScript to display documents.
Інформаційна технологія - Методи і засоби забезпечення безпеки -
…
Інформаційна технологія - Методи і засоби забезпечення безпеки -
Менеджмент ризику інформаційної безпеки - ISO 27005, частина 1 - Петленко М.С.
-
ВИЗНАЧЕННЯ
-
-
Ідентифікація ризику - Процес виявлення, дослідження та опису ризиків.
Оцінювання ризику - Процес порівняння результатів аналізу ризику (3.10) до встановлених критеріїв ризику (3.13) для визначення, чи є ризик і/або його величина прийнятними або допустимими.
Критерії ризику - Аспекти, відповідно до яких здійснюють оцінювання ризику
Обмін інформацією та консультування щодо ризику - Безперервні і повторювані процеси, які проводить організація, для надання, поділу або отримання інформації, а так само ведення діалогу з зацікавленими сторонами (3.18) щодо менеджменту ризику
Оцінка ризику - Загальний процес ідентифікації ризику (3.15), аналізу ризику (3.10) і
оцінювання ризику
-
-
Залишковий ризик - Ризик (3.9), що зберігається після обробки ризику
-
Рівень ризику - Величина ризику (3.9) або комбінації ризиків, виражена як поєднання
наслідків (3.1) і їх можливості (3.7) виникнення. [
Внутрішній контекст - Внутрішнє середовище, в якій організація прагне до досягнення своїх
цілей
Зовнішній контекст - Зовнішнє середовище, в якій організація прагне до досягнення своїх
цілей
-
Менеджмент - міра, яка змінює ризик (визначення 3.9).
Наслідки результат події (3.3), що впливає на цілі.
Зацікавлена сторона - Особа або організація, які можуть впливати, піддаватися впливу, або
усвідомлюють, що на них впливає будь-яке рішення або дії.
-
-
ВСТАНОВЛЕННЯ КОНТЕКСТУ
Загальний аналіз
: Вся інформація про організацію, доречна для встановлення
контексту менеджменту ризику інформаційної безпеки
Повинен бути встановлений контекст менеджменту ризику інформаційної безпеки, що включає встановлення основних критеріїв, необхідних для менеджменту ризику інформаційної безпеки
Необхідно визначити мету менеджменту ризику інформаційної безпеки, так як вона впливає на загальний процес і на установку контексту, зокрема. Цією метою може бути:
-
-
-
опис вимог інформаційної безпеки для продукту, послуги або механізму
-
Основні критерії
Повинен бути обраний або розроблений відповідний підхід менеджменту ризиком, який звертається до основних критеріїв, таким як: критерії оцінки ризику, вплив на критерії, критерії допустимості ризику.
Залежно від області застосування і цілей менеджменту ризиком можуть бути застосовані різні підходи. Також можуть бути різними підходи для кожної ітерації.
Критерії впливу повинні розроблятися і визначатися, виходячи зі ступеня збитку або витрат для організації, що викликаються подією, пов'язаною з інформаційною безпекою
Критерії прийняття ризику повинні бути розроблені і визначені. Критерії прийняття ризику найчастіше залежать від політик, намірів, цілей організації та інтересів причетних сторін.
-
-