4.2 Обробка ризиків безпеки Перш ніж розглянути обробку якогось ризику, організація повинна вибрати критерії визначення прийнятності чи неприйнятності ризиків. Ризики можуть бути прийняті, якщо, наприклад вони оцінюються як низькі, або коли вартість обробки невигідна для організації. Такі рішення необхідно реєструвати. Щодо кожного з виявлених ризиків, слідом за оцінкою ризиків, необхідно приймати рішення по його обробці. Можливі варіанти обробки ризиків включають в себе: a. застосування відповідних заходів і засобів контролю та управління для зниження ризиків; b. свідоме та об'єктивне прийняття ризиків в тому випадку, якщо вони, безсумнівно, задовольняють політиці і критеріям організації щодо прийняття ризиків; c. запобігання ризикам шляхом недопущення дій, які можуть стати причиною виникнення ризиків; d. перенесення взаємодіючих ризиків шляхом поділу їх з іншими сторонами, наприклад страховиками або постачальниками. Що стосується тих ризиків, щодо яких було прийнято рішення про їх обробці із застосуванням відповідних заходів і засобів контролю та управління, ці заходи і засоби контролю і управління слід вибирати і реалізовувати таким чином, щоб вони відповідали вимогам, ідентифікованим оцінкою ризиків. Заходи і засоби контролю і управління повинні забезпечувати впевненість у тому, що ці ризики знижені до прийнятного рівня, беручи до уваги: a. вимоги та обмеження національних і міжнародних законів і норм; b. цілі організації; c. експлуатаційні вимоги і обмеження; d. вартість реалізації і експлуатації стосовно знижує ризик повинна залишатися пропорційної вимогам і обмеженням організації; 17 e. необхідність збереження балансу між інвестиціями в реалізацію і експлуатацію заходів і засобів контролю та управління і збитком, який може мати місце в результаті недостатньої безпеки. Заходи і засоби контролю і управління можуть бути обрані з цього стандарту або інших сукупностей заходів і засобів контролю та управління, можуть бути створені нові заходи і засоби контролю і управління з метою задоволення специфічних потреб організації. Необхідно визнати, що деякі заходи і засоби контролю і управління не можуть бути застосовані для кожної інформаційної системи або середовища, і не можуть бути застосовані для всіх організацій. Як приклад, в 10.1.3 описується, як обов'язки можуть бути розділені, щоб запобігти шахрайству та помилки. У невеликих організаціях може бути відсутнім можливість поділу всіх обов'язків, і можуть знадобитися інші способи досягнення тієї ж самої мети управління. Як інший приклад в 10.10 описується спосіб здійснення моніторингу роботи системи та збору доказів. Описані заходи і засоби контролю і управління, наприклад реєстрація подій, можуть вступати в протиріччя з чинним законодавством, наприклад щодо забезпечення конфіденційності щодо клієнтів або на робочому місці. Заходи і засоби контролю і управління інформаційної безпеки повинні розглядатися на етапі специфікації і розробки системних та проектних вимог. Відмова від цього може призводити до додаткових витрат і менш ефективним рішенням, а в гіршому випадку, до нездатності досягнення адекватної безпеки. Слід мати на увазі, що ніяка сукупність заходів і засобів контролю та управління не може досягати повної безпеки, і що необхідно реалізовувати додаткові дії по менеджменту, щоб здійснювати моніторинг, оцінку та підвищення дієвості та ефективності заходів і засобів контролю і управління безпеки для підтримки цілей організації