6. Планирование (1-й этап «РDСА»)

Этап планирования СУИБ обеспечивают следующие мероприятия:

– определение целей ИБ и мер по их достижению;

– действия по обработке рисков и возможностей.

Определение целей ИБ и мер по их достижению

Организация должна установить цели ИБ для соответствующих функций и на соответствующих уровнях.

Цели ИБ должны:

– соответствовать политике ИБ;

– быть измеримыми (если это возможно);

– принимать во внимание действующие требования ИБ, результаты оценки и обработки рисков;

– быть известны соответствующему персоналу организации;

– обновляться по мере необходимости.

Организация должна сохранять документированную информацию о целях ИБ.

При планировании мер по достижению целей ИБ организация должна определить:

– что будет сделано;

– какие ресурсы потребуются;

– кто будет нести ответственность;

– когда меры будут реализованы;

– как будут оцениваться результаты.

Действия по обработке рисков и возможностей

При планировании СУИБ организация должна учитывать аспекты и требования, указанные в контексте организации, и определить риски и возможности, которые должны быть направлены на:

– обеспечение того, чтобы СУИБ позволило достигать желаемых результатов;

– предотвращение или уменьшение нежелательных эффектов;

– обеспечение непрерывного совершенствования.

Организация должна планировать:

– процессы оценки и обработки рисков;

– действия по осуществлению и интеграции работ в процессах СУИБ и оценке их результативности.

Оценка рисков ИБ

Организация должна определить и внедрить процесс оценки рисков ИБ, состоящий из разработки критериев, определения, анализа рисков и сравнения его результатов с критериями для рисков ИБ.

На основании процесса оценки рисков ИБ организации следует:

– установить и поддерживать критерии для рисков ИБ, которые состоят из критериев для проведения оценки и принятия рисков ИБ;

– определить риски ИБ:

• применить процесс оценки рисков ИБ для выявления рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СУИБ (§);

• определить владельцев рисков;

– проанализировать риски ИБ:

• определить реалистичную вероятность возникновения рисков §;

• определить потенциальные последствия, которые могут возникнуть в случае возникновения рисков §;

• определить уровни риска;

– оценить риски ИБ:

• сравнить результаты анализа рисков с установленными критериями для рисков;

• установить приоритеты по обработке рисков для проанализированных рисков;

– гарантировать, что повторная оценка рисков ИБ позволит получить логичные, обоснованные и сопоставимые результаты.

Организация должна сохранять документированную информацию о процессе оценки рисков ИБ.

Обработка рисков ИБ

Организация должна определить и внедрить процесс обработки рисков ИБ, состоящий из выбора варианта обработки, его реализации и принятия остаточных рисков ИБ.

На основании процесса обработки рисков ИБ организации следует:

– выбрать подходящий вариант обработки рисков ИБ, принимая во внимание результаты оценки рисков;

– определить все элементы управления, которые необходимы для реализации выбранного варианта обработки рисков ИБ;

– сравнить определенные элементы управления с теми, которые приведены в Приложении А и убедиться в том, что не были упущены необходимые элементы;

– разработать Положение о Применимости (англ. Statement of Applicability, SoA), которое содержит необходимые элементы управления и обоснования их включения (независимо от того, реализованы они или нет), а также обоснования исключений элементов управления из Приложения А;

– сформулировать план по обработке рисков ИБ;

– согласовать с владельцами рисков план по обработке рисков ИБ и получить (от владельцев рисков) согласие на принятие остаточных рисков ИБ.

Организация должна сохранять документированную информацию о процессе обработки рисков ИБ.

Данный текст является ознакомительным фрагментом.