Стандарт ISO/IEC 27005 — это международный стандарт, который разработан Международной организацией по стандартизации и Международной электротехнической комиссией, он содержит совокупность рекомендаций по эффективной практике управления рисками для информации.
Введение
Стандарт ISO/IEC 27005:2018 представляет собой уже третью ревизию, так как, первая версия стандарта вышла в 2005 году, а вторая была опубликована в 2011 году.
Данный документ ввел ряд новых специфичных терминов, связанных с рисками. К примеру, средством защиты именуется мера, которая изменяет риск. В понятие контекстов (context) включены внешний контекст, который означает внешнюю среду работы организации (к примеру, политическую, экономическую, культурную среду). И внутренний контекст, который означает внутреннюю среду работы организации (внутренние процессы, политики, стандарты, системы, цели и культуру организации, а также договорные обязательства).
Риском является результат неточности при достижении целей, причем неточность следует понимать как состояние недостаточности информации, которая относится к определенному событию, его последствиям или вероятности его наступления. А уровнем риска является величина риска, которая выражена в произведении последствий заметных событий и вероятности возникновения данных событий.
Остаточным риском является риск, который остался после завершения процедуры, связанной с обработкой рисков. Оценкой риска считается общий процесс идентификации рисков, то есть, поиска, определения и описания риска, анализа, то есть, выявления природы риска и расчета его уровня, и оценки опасности, то есть, сравнения итогов анализа риска с рисковыми критериями, для того чтобы определить допустимость его величины.
Обработкой рисков является процесс, связанный с модификацией рисков, который состоит из следующих аспектов:
- возможность избежать риски путем отказа от действий, способных привести к этим рискам;
- возможность принять или увеличить риск, для того чтобы достигнуть цели бизнеса;
- возможность устранить источники риска;
- возможность изменить вероятность реализации риска;
- возможность изменить ожидаемые последствия от реализации риска;
- возможность переноса (разделения) риска;
- возможность сохранить риск.
Стандарт ISO/IEC 27005
Процесс управления рисками информационной безопасности с позиции авторов стандарта ISO/IEC 27005:2018 характеризуется следующим набором особенностей:
- Оценка рисков выполняется при учете возможных последствий рисков для бизнеса и вероятностей возникновения рисков. Должна выполняться идентификация рисков, а также должен осуществляться их анализ и сравнение (с учетом выбранного уровня толерантности).
- Вероятность и последствия рисков должны быть доведены до заинтересованных сторон и приняты ими.
- Установлен приоритет, связанный с обработкой рисков и конкретных действий по снижению рисков.
- В процесс принятия решений, связанных с управлением рисками, должны вовлекаться заинтересованные стороны, которых затем также следует информировать о статусе управления рисками.
- Должна выполняться оценка эффективности проведенной обработки рисков.
- Должны контролироваться и периодически пересматриваться риски и сам процесс управления ими.
- На базе поступающей новой информации процесс управления рисками должен постоянно улучшаться.
- Необходимо проводить обучение сотрудников и руководящих работников относительно рисков и предпринимаемых действий для их снижения.
Сам процесс, связанный с управлением рисками, включает следующие шаги (процессы), соответствующие заданному в стандарте ISO 27001 подходу PDCA (Plan — Do — Check — Act):
- Процесс определения контекста.
- Процесс оценки рисков.
- Процесс разработки плана, связанного с обработкой рисков.
- Процесс принятия рисков.
- Процесс внедрения сформированного плана обработки рисков.
- Процесс непрерывного мониторинга и пересмотра рисков.
- Процесс поддержки и улучшения процесса управления рисками информационной безопасности.
Входными данными при определении контекста может быть любая релевантная риск-менеджменту информация об организации. В границах этого процесса должен выбираться подход к управлению рисками, который обязан включать в себя критерии оценки рисков, критерии оценки отрицательного влияния, критерии принятия рисков. Помимо этого, необходимо выполнить оценку и выделить требуемые для реализации этого процесса ресурсы.
Критерии оценки рисков необходимо вырабатывать, для того чтобы оценить риски информационной безопасности в организации. При этом следует учитывать стоимость информационных активов, требования к их конфиденциальности, целостности, доступности, роль информационных процессов бизнеса, требования законодательства и договорных обязательств, ожидания заинтересованных сторон, возможные отрицательные последствия репутации организации.
Критерии оценки отрицательного влияния обязаны учитывать степень ущерба или затрат организации на восстановление после реализованного риска информационной безопасности с учетом уровня значимости актива информационных технологий, нарушения информационной безопасности, то есть, потери этим активом свойств конфиденциальности, целостности, доступности. А также следует учитывать вынужденные простои процессов бизнеса, экономические потери, нарушение планов и сроков сдачи, ущерб репутации, нарушение требований законодательства и договорных обязательств.
Критерии принятия рисков следует понимать как отношение ожидаемой выгоды от бизнеса к ожидаемому риску. Причем для различных классов рисков могут быть использованы разные критерии. К примеру, риски, связанные с несоответствием законодательным актам, можно в принципе не принимать, а высокие финансовые риски следует принять, когда они выступают как часть договорных обязательств.