Please enable JavaScript.
Coggle requires JavaScript to display documents.
СТАНДАРТ ISO/IEC 27005 (Ч.1) - Coggle Diagram
СТАНДАРТ ISO/IEC 27005 (Ч.1)
Область застосування
Даний стандарт забезпечує рекомендації для менеджменту ризиків інформаційної безпеки, які включають інформацію і менеджмент ризиків безпеки технологій телекомунікації.
Даний стандарт підтримує загальні концепції, визначені в ISO/IEC 27001, і призначений для сприяння адекватного забезпечення інформаційної безпеки на основі підходу, пов'язаного з менеджментом ризику.
Даний стандарт застосовний для організацій всіх типів, які планують здійснювати менеджмент ризиків, які можуть скомпрометувати інформаційну безпеку організації.
Нормативні посилання
ISO/IEC 27001: 2005, Інформаційна технологія - Методи і засоби забезпечення безпеки - Системи менеджменту інформаційної безпеки - Вимоги.
ISO/IEC 27002: 2005, Інформаційна технологія - Методи і засоби забезпечення безпеки - Кодекс усталеної практики для менеджменту інформаційної безпеки.
Визначення
Наслідки (consequence)-результат події, що впливає на цілі.
Менеджмент (control)-міра, яка змінює ризик.
Подія (event)-Виникнення або зміна певного набору обставин.
Зовнішній контекст (external context)-Зовнішнє середовище, в якій організація прагне до досягнення своїх цілей
Внутрішній контекст (internal context):
Внутрішнє середовище, в якій організація прагне до досягнення своїх цілей
Рівень ризику (level of risk)-Величина ризику або комбінації ризиків, виражена як поєднання наслідків і їх можливості виникнення.
Можливість (likelihood)-Імовірність настання деякої події.
Залишковий ризик (residual risk)-Ризик, що зберігається після обробки ризику
Ризик (risk)-Вплив невизначеності на цілі.
Аналіз ризику (risk analysis)-Процес розуміння походження ризику і визначення рівня ризику
Оцінка ризику (risk assessment)-Загальний процес ідентифікації ризику, аналізу ризику і оцінювання ризику
Обмін інформацією та консультування щодо ризику (risk communication and consultation)-Безперервні і повторювані процеси, які проводить організація, для надання, поділу або отримання інформації, а так само ведення діалогу з зацікавленими сторонами щодо менеджменту ризику
Критерії ризику (risk criteria)-Аспекти, відповідно до яких здійснюють оцінювання ризику
Оцінювання ризику (risk evaluation)-Процес порівняння результатів аналізу ризику до встановлених критеріїв ризику для визначення, чи є ризик і/або його величина прийнятними або допустимими.
Ідентифікація ризику (risk identification)-Процес виявлення, дослідження та опису ризиків.
Менеджмент ризику (risk management)-Скоординована діяльність з керівництва та управління організацією щодо ризику.
Обробка ризику (risk treatment)-Процес зміни ризику.
Зацікавлена сторона (stakeholder)-Особа або організація, які можуть впливати, піддаватися впливу, або усвідомлюють, що на них впливає будь-яке рішення або дії.
Структура інтернаціонального стандарту
Всі види діяльності, пов'язані з менеджментом ризику інформаційної безпеки, представлені в розділі 6, описуються далі в наступних розділах:
Встановлення контексту - в розділі 7;
Оцінка ризику - в розділі 8;
Обробка ризику - в розділі 9;
Прийняття ризику - в розділі 10;
Обмін інформацією щодо ризику - в розділі 11;
Моніторинг та перегляд ризику - в розділі 12.
Всі види діяльності, пов'язані з менеджментом ризику, представлені в розділах 7-12, структуровані таким чином:
Дія - описується діяльність.
Керівництво по реалізації - надається керівництво по виконанню дії.
Деякі рекомендації даних посібників можуть не підходити до всіх випадків, тому можуть бути більш доречними інші варіанти дій.
Вихідні дані - ідентифікується будь-яка інформація, отримана після виконання діяльності.
Вхідні дані - ідентифікується будь-яка інформація, необхідна для виконання діяльності.
Передумови створення стандарту
Менеджмент ризику інформаційної безпеки повинен сприяти наступному:
ідентифікації ризиків;
оцінки ризиків, виходячи з наслідків їх реалізації для бізнесу та ймовірності їх виникнення;
вивчення ймовірності і потенційних наслідків цих ризиків;
встановлення порядку пріоритетів в рамках обробки ризиків;
встановлення пріоритетів заходів щодо зниження ризиків, які мають місце;
залучення зацікавлених сторін до прийняття рішень про менеджмент ризиків і підтримання їх інформованості про стан менеджменту ризику;
ефективність обраного моніторингу обробки ризиків;
проведення регулярного моніторингу та перегляду процесу менеджменту ризиків;
збору інформації для удосконалення підходу до менеджменту ризиків;
підготовці менеджерів і персоналу в частині сфери ризиків і необхідних дій, що вживаються для їх зменшення.
Менеджмент ризиків інформаційної безпеки
Планування (Plan)
Встановлення контексту
Оцінки ризику
Розробка плану обробки ризику
Прийняття ризику
Здійснення (Do)
Реалізація плану обробки ризику
Перевірка (Check)
Безперервний моніторинг і розгляд ризиків
Дія (Act)
Підтримка і поліпшення ризиків інформаційної безпеки
Процес менеджменту
Встановлення контексту
Загальний аналіз
Вхідні дані: Вся інформація про організацію, доречна для встановлення контексту менеджменту ризику інформаційної безпеки.
Дія: Повинен бути встановлений контекст менеджменту ризику інформаційної безпеки, що включає встановлення основних критеріїв, необхідних для менеджменту ризику інформаційної безпеки, визначення сфери дії і кордонів і встановлення відповідної структури для здійснення менеджменту ризику інформаційної безпеки
Основні критерії
Критерії оцінки ризику
Критерії впливу
Критерії прийняття ризику
Область застосування і границі
При визначенні сфери застосування і меж повинна враховуватися наступна інформація, що стосується організації:
стратегічні цілі бізнесу організації, стратегії і політики;
процеси бізнесу;
функції і структура організації;
правові, регулюючі та договірні вимоги, що застосовуються до організації;
політика інформаційної безпеки організації;
загальний підхід до менеджменту ризику організації;
інформаційні активи;
місце розташування організації і географічні характеристики;
обмеження, що впливають на організацію;
очікування причетних сторін;
соціокультурне середовище;
інтерфейси (тобто обмін інформацією з середовищем).
Організаційна структура менеджменту ризику інформаційної безпеки.