Please enable JavaScript.
Coggle requires JavaScript to display documents.
СТАНДАРТ ISO/IEC 27005 (Ч.4) - Coggle Diagram
СТАНДАРТ ISO/IEC 27005 (Ч.4)
Додаток А
Аналіз організації
Вивчення організації дає можливість відтворити характерні елементи, що визначають особливості організації. Це стосується мети, бізнесу, призначення, цінностей і стратегій організації.
Перелік обмежень, що впливають на організацію
Слід брати до уваги всі обмеження, що впливають на організацію і що визначають цілі її інформаційної безпеки. Їх джерело може перебувати в межах організації, і в даному випадку вона має деякий контроль над ними, або за межами організації і, отже, не може контролюватися.
Перелік законодавчих та регулюючих норм, що стосуються діяльності організації
Повинні визначатися регулюючі вимоги, які стосуються видів діяльності організації. До їх числа можуть бути віднесені закони, постанови, спеціальні інструкції, що належать до сфери діяльності організації, або внутрішніх/зовнішніх норм.
Перелік обмежень, що впливають на область застосування
При ідентифікації обмежень бажано перерахувати ті, які впливають на область застосування, і визначити ті, на які все-таки можливий деякий вплив.
Додаток B
Приклади ідентифікації активу
Ідентифікація первинних активів
Дана діяльність полягає в ідентифікації основних активів (бізнес-процеси і бізнес-діяльність, інформація). Така ідентифікація здійснюється представниками спільної робочої групи, яка бере участь в процесі (менеджери, фахівці в сфері інформаційних систем, користувачі і ін.).
Перелік і опис допоміжних засобів
Сфера розгляду складається з активів, які повинні бути ідентифіковані та описані. Цим активам притаманні уразливості, які можуть бути використані загрозами, націленими на погіршення основних активів сфери розгляду (процесів та інформації).
Визначення цінності активів
Рішення про те, яку шкалу використовувати: кількісну або якісну, насправді є питанням організації, але вона повинна бути доречна для оцінюваних активів. Обидва види визначення цінності можуть бути використані для одного і того ж активу.
Оцінка впливу
Інцидент безпеки може впливати більш ніж на один актив або тільки на частину активу. Вплив пов'язано зі ступенем успішності інциденту. Як наслідок, існує суттєва відмінність між цінністю активу і впливом, що відбувається в результаті інциденту. Вплив розглядається як має або негайний (операційний) ефект, або майбутній (бізнес-) ефект, який включає фінансові та ринкові наслідки.
Додаток С
Приклади типових загроз
Навмисні
Випадкові
Екологічні
Додаток D
Приклади уразливості
Апаратні засоби
Програмне забезпечення
Мережа
Персонал
Сайт організації
Методи оцінки технічних вразливостей
• автоматизовані інструментальні засоби пошуку вразливостей
• тестування та оцінювання безпеки
• тестування на проникнення
• перевірка кодів
Додаток Е
Оцінка ризиків ІБ високого рівня
Високорівнева оцінка дає можливість визначення пріоритетів і хронології дій.
Детальна оцінка ризику ІБ
Приклад матриці з зумовленими значеннями
Приклад ранжирування заходів загроз ризику
Приклад оцінки цінності для ймовірності і можливих наслідків ризиків
Додаток F
Обмеження для зниження ризику
Фінансові
Технічні
Операційні
Культурні
Етичні
Навколишнє середовище
Юридичні
Простота використання
Кадрові
Інтеграція нових та існуючих засобів контролю