2014-02-09
459
Для создания СМЗИ организация должна сделать следующее.
a) Определить область приложения и границы СМЗИ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологий, также включая детали и обоснования любых исключений из области применения.
b) Определить политику в отношении СМЗИ в терминах характеристик бизнеса, организации, ее местоположения, активов и технологий, которая:
1) включает в себя структуру определения целей и устанавливает общий смысл руководства и принципов действия в отношении защиты информации;
2) учитывает деловые и законодательные или нормативные требования, а также договорные обязательства по защите;
3) учитывает контекст стратегического менеджмента рисков организации, в котором будет происходить создание и поддержание СМЗИ в рабочем состоянии;
4) устанавливает критерии, по которым будет оцениваться значительность риска;
5) и была утверждена руководством.
ПРИМЕЧАНИЕ: Для целей этого международного стандарта, политика в отношении СМЗИ рассматривается как расширенная версия политики в области защиты информации. Обе эти политики можно описать в одном документе.
|
|
|
c) Определить подход к оценке риска в организации.
1) Определить методологию оценки риска, которая подходит для СМЗИ, а также соответствует установленным деловым требованиям защиты информации, законодательным и нормативным требованиям.
2) Разработать критерии принятия рисков и определить приемлемые уровни риска.
Выбранная методология оценки риска должна гарантировать, что оценки риска дают сравнимые и воспроизводимые результаты.
ПРИМЕЧАНИЕ: Есть различные методологии оценки риска. Примеры методологий оценки риска обсуждаются в ISO/IEC TR 13335-3, Information technology — Guidelines for the management of IT Security — Techniques for the management of IT Security.
d) Выявить риски.
1) Выявить активы в рамках области приложения СМЗИ, а также владельцев[6] этих активов.
2) Выявить угрозы для этих активов.
3) Выявить уязвимые места, которые могут быть использованы угрозами.
4) Выявить негативные влияния, которые могут привести к потери конфиденциальности, целостности и доступности активов.
e) Проанализировать риск и оценить значительность риска.
1) Оценить негативные влияния на деловые процессы организации, которые могут быть результатом сбоев в защите, принимая во внимание последствия потери конфиденциальности, целостности или доступности активов.
2) Оценить реалистичную вероятность случаев нарушения защиты, происходящих в свете преобладающих угроз и уязвимых мест, и негативные влияния, связанные с этими активами, а также реализуемые на текущий момент средства управления.
|
|
|
3) Оценить уровни риска.
4) Определить, являются ли риски приемлемыми или требуют обработки с использованием критериев принятия риска, установленных в c) 2).
f) Выявить и оценить возможности для обработки рисков.
Возможные действия включают следующее:
1) применение подходящих средств управления;
2) сознательное и объективное принятие рисков, при условии, что они четко соответствуют политике организации и удовлетворяют критериям для принятия рисков (см. c)2));
3) избегание риска; и
4) передача связанных деловых рисков другим сторонам, например, страховщикам, поставщикам.
g) Выбрать цели и средства управления рисками.
Цели и средства управления должны быть выбраны и реализованы для обеспечения процесса оценки и обработки рисков. Этот выбор должен учитывать критерии для принятия рисков (см. c)2)), а также законодательные, нормативные и договорные требования.
Выбор целей и средств управления может осуществляться из Приложения A.
Списки целей управления и средств управления, приведенные в Приложении A, не являются исчерпывающими, также можно выбрать дополнительные цели управления и средства управления.
ПРИМЕЧАНИЕ: В Приложении A содержится всеобъемлющий список целей и средств управления, которые обычно значимы в организациях. Пользователи этого международного стандарта направляются к Приложению A как к отправной точке для выбора управления, с целью гарантировать, что ни одна из важных возможностей управления не была упущена.
h) Утвердить у руководства предлагаемые остаточные риски.
i) Получить разрешение руководства на реализацию и работу СМЗИ.
j) Подготовить Заявление о применимости.
Должно быть подготовлено заявление о применимости, которое включает в себя следующее:
1) цели управления и средства управления, выбранные в g), а также причины их выбора;
2) цели управления и средства управления, реализуемые на данный момент (см. e)2)); и
3) исключение любых целей управления и средств управления из Приложения A, а также обоснование для их исключения.
ПРИМЕЧАНИЕ: Заявление о применимости представляет собой свод решений, касающихся обработки рисков. Обоснование исключений обеспечивает перекрестный контроль того, что никакие средства управления не были неумышленно упущены.
