Please enable JavaScript.

Coggle requires JavaScript to display documents.

Лр.10 МІЖНАРОДНІ СТАНДАРТ BS ISO/IEC 27005: 2011 Ч.2 - Coggle Diagram

- - - - 8.2.1.1 Введення в ідентифікацію ризиків - Метою ідентифікації ризику є визначення того, що могло б статися, якщо нанести потенційну шкоду, для того щоб отримати уявлення про те, як, де і чому могла мати місце ця шкода.
      - 8.2.1.2 Ідентифікація активів
        
        Дія: Повинні бути ідентифіковані активи, що входять у встановлену область застосування [пов'язане з ISO/IEC 27001, 4.2.1 перерахування d) 1)].
        
        Керівництво по реалізації:Активом є щось, що має цінність для організації і, отже, що потребує захисту. При ідентифікації активів слід мати на увазі, що інформаційна система складається не тільки з апаратних і програмних засобів.
        
        Вхідні дані: Область застосування і межі які підлягають проведенню оцінці ризику, перелік складових частин, що включає власників, місце розташування, функцію і т.д.
      - 8.2.1.3 Ідентифікація загроз
        
        Вхідні дані: Інформація про погрози, отримана в результаті аналізу інциденту, від власників активів, користувачів, а також з інших джерел, включаючи реєстри зовнішніх загроз.
        
        Дія: Загрози і їх джерела повинні бути ідентифіковані [пов'язано з ISO/IEC 27001, 4.2.1 перерахування d) 2)].
        
        Керівництво по реалізації: Загроза має потенціал заподіяння шкоди активів, таким як інформація, процеси і системи. Загрози можуть бути природного походження або від дій людей, вони можуть бути випадковими або навмисними. Повинні бути ідентифіковані і випадкові, і навмисні джерела загроз. Загроза може виникати як з самої організації, так і поза її межами. загрози повинні ідентифікуватися як в загальному вигляді, так і по виду (наприклад, неавторизовані дії, фізичний збиток, технічні збої), а потім, де це доречно, окремі загрози ідентифікуються всередині родового класу. Це означає, що жодна загроза, включаючи несподівані загрози, будуть враховані, але обсяг необхідної роботи, незважаючи на це, обмежений.
        
        Вихідні дані: Перелік загроз з ідентифікацією виду і джерела.
      - 8.2.1.4 Ідентифікація існуючих засобів контролю
        
        Дія: Існуючі та заплановані засоби контролю слід ідентифікувати.
        
        Вихідні дані: Перелік всіх існуючих і планованих засобів контролю, їх знаходження і стан використання.
        
        Вхідні дані: Документування засобів контролю, планів реалізації обробки ризику.
      - 8.2.1.5 Ідентифікація уразливості
        
        Дія: Необхідно ідентифікувати уразливості, які можуть бути використані загрозами, щоб завдати шкоди активам або організації [пов'язано з ISO/IEC 27001, 4.2.1 перерахування d) 3)].
        
        Керівництво по реалізації: Уразливості можуть бути ідентифіковані в наступних областях:
        
        • організація робіт;
        
        • процеси і процедури;
        
        • сталі норми управління;
        
        • персонал;
        
        • фізичне середовище;
        
        • конфігурація інформаційної системи;
        
        • апаратні засоби, програмне забезпечення та апаратура зв'язку;
        
        • залежність від зовнішніх сторін.
        
        Вхідні дані: Переліки відомих загроз, переліки активів і існуючих засобів контролю.
        
        Вихідні дані: Перелік вразливостей, пов'язаних з активами, погрозами і засобами контролю; перелік вразливостей, які не пов'язані з ідентифікованою загрозою, яка підлягає розгляду.
      - 8.2.1.6 Ідентифікація наслідків
        
        Дія: Повинні бути ідентифіковані наслідки для активів, які можуть бути результатом втрати конфіденційності, цілісності та доступності [див. ISO/IEC 27001, 4.2.1 перерахування d) 4)]. Наслідком може бути втрата ефективності, несприятливі операційні умови, втрата бізнесу, збиток, нанесений репутації і т.д.
        
        Вихідні дані: Перелік сценаріїв інцидентів з їх наслідками, пов'язаними з активами і бізнес-процесами.
        
        Вхідні дані: Перелік активів, перелік бізнес-процесів, перелік загроз і вразливостей, де це доречно, пов'язаних з активами, і їхня соціальна значимість.
    - - 8.2.2.1 Методологія вимірювання ризику - Аналіз ризику може бути здійснений з різним ступенем деталізації в залежності від критичності активів, поширеності відомих вразливостей і колишніх інцидентів, які стосувалися організації. Методологія вимірювання може бути якісною або кількісною, або їх комбінацією, в залежності від обставин.
      - 8.2.2.2 Оцінка наслідків
        
        Дія: Вплив бізнесу на організацію, яка може бути результатом можливих або фактичних інцидентів ІБ, має бути оцінений з урахуванням наслідків порушення інформаційної безпеки, таких як втрата конфіденційності, цілісності або доступності активів [пов'язане з ISO/IEC 27001, 4.2.1 перерахування е) 1)].
        
        Керівництво по реалізації: Керівництво по реалізації:
        
        Вхідні дані: Перелік ідентифікованих сценарієм значущих інцидентів, включаючи ідентифікацію загроз, вразливостей і порушених активів, наслідків для активів і бізнес-процесів.
      - 8.2.2.3 Оцінка ймовірності інциденту
        
        Дія: Повинна бути оцінена ймовірність дії сценаріїв інцидентів
        
        Керівництво по реалізації: Після ідентифікації сценаріїв інцидентів необхідно оцінити ймовірність кожного сценарію і виникаючий вплив, використовуючи якісні або кількісні методи оцінки.
        
        Вхідні дані: Перелік ідентифікованих доречних сценаріїв інцидентів, включаючи ідентифікацію загроз, активи, які зачіпаються, використовувані уразливості і наслідки для активів і бізнес-процесів. Крім того, список всіх існуючих і планованих засобів контролю, їх ефективності і стану реалізації та використання.
        
        Вихідні дані: Імовірність дії сценаріїв інцидентів (кількісна або якісна).
      - 8.2.2.4 Вимірювання рівня ризику
        
        Дія: Повинно бути здійснено вимір рівня ризиків для всіх значущих сценаріїв інцидентів [пов'язане з ISO/IEC 27001, 4.2.1 перерахування е) 4)].
        
        Вихідні дані: Перелік ризиків з присвоєними рівнями значень.
        
        Вхідні дані: Перелік сценаріїв інцидентів з їх наслідками, стосуються активів, і бізнес-процесів і їх ймовірності (кількісних або якісних).