Справочник от Автор24
Найди эксперта для помощи в учебе
Найти эксперта
+2

Стандарт ISO/IEC 27005

Стандарт ISO/IEC 27005 — это международный стандарт, который разработан Международной организацией по стандартизации и Международной электротехнической комиссией, он содержит совокупность рекомендаций по эффективной практике управления рисками для информации.

Введение

Стандарт ISO/IEC 27005:2018 представляет собой уже третью ревизию, так как, первая версия стандарта вышла в 2005 году, а вторая была опубликована в 2011 году.

Данный документ ввел ряд новых специфичных терминов, связанных с рисками. К примеру, средством защиты именуется мера, которая изменяет риск. В понятие контекстов (context) включены внешний контекст, который означает внешнюю среду работы организации (к примеру, политическую, экономическую, культурную среду). И внутренний контекст, который означает внутреннюю среду работы организации (внутренние процессы, политики, стандарты, системы, цели и культуру организации, а также договорные обязательства).

Риском является результат неточности при достижении целей, причем неточность следует понимать как состояние недостаточности информации, которая относится к определенному событию, его последствиям или вероятности его наступления. А уровнем риска является величина риска, которая выражена в произведении последствий заметных событий и вероятности возникновения данных событий.

Остаточным риском является риск, который остался после завершения процедуры, связанной с обработкой рисков. Оценкой риска считается общий процесс идентификации рисков, то есть, поиска, определения и описания риска, анализа, то есть, выявления природы риска и расчета его уровня, и оценки опасности, то есть, сравнения итогов анализа риска с рисковыми критериями, для того чтобы определить допустимость его величины.

Обработкой рисков является процесс, связанный с модификацией рисков, который состоит из следующих аспектов:

  • возможность избежать риски путем отказа от действий, способных привести к этим рискам;
  • возможность принять или увеличить риск, для того чтобы достигнуть цели бизнеса;
  • возможность устранить источники риска;
  • возможность изменить вероятность реализации риска;
  • возможность изменить ожидаемые последствия от реализации риска;
  • возможность переноса (разделения) риска;
  • возможность сохранить риск.
«Стандарт ISO/IEC 27005» 👇
Помощь эксперта по теме работы
Найти эксперта
Решение задач от ИИ за 2 минуты
Решить задачу
Помощь с рефератом от нейросети
Написать ИИ

Стандарт ISO/IEC 27005

Процесс управления рисками информационной безопасности с позиции авторов стандарта ISO/IEC 27005:2018 характеризуется следующим набором особенностей:

  1. Оценка рисков выполняется при учете возможных последствий рисков для бизнеса и вероятностей возникновения рисков. Должна выполняться идентификация рисков, а также должен осуществляться их анализ и сравнение (с учетом выбранного уровня толерантности).
  2. Вероятность и последствия рисков должны быть доведены до заинтересованных сторон и приняты ими.
  3. Установлен приоритет, связанный с обработкой рисков и конкретных действий по снижению рисков.
  4. В процесс принятия решений, связанных с управлением рисками, должны вовлекаться заинтересованные стороны, которых затем также следует информировать о статусе управления рисками.
  5. Должна выполняться оценка эффективности проведенной обработки рисков.
  6. Должны контролироваться и периодически пересматриваться риски и сам процесс управления ими.
  7. На базе поступающей новой информации процесс управления рисками должен постоянно улучшаться.
  8. Необходимо проводить обучение сотрудников и руководящих работников относительно рисков и предпринимаемых действий для их снижения.

Сам процесс, связанный с управлением рисками, включает следующие шаги (процессы), соответствующие заданному в стандарте ISO 27001 подходу PDCA (Plan — Do — Check — Act):

  1. Процесс определения контекста.
  2. Процесс оценки рисков.
  3. Процесс разработки плана, связанного с обработкой рисков.
  4. Процесс принятия рисков.
  5. Процесс внедрения сформированного плана обработки рисков.
  6. Процесс непрерывного мониторинга и пересмотра рисков.
  7. Процесс поддержки и улучшения процесса управления рисками информационной безопасности.

Входными данными при определении контекста может быть любая релевантная риск-менеджменту информация об организации. В границах этого процесса должен выбираться подход к управлению рисками, который обязан включать в себя критерии оценки рисков, критерии оценки отрицательного влияния, критерии принятия рисков. Помимо этого, необходимо выполнить оценку и выделить требуемые для реализации этого процесса ресурсы.

Критерии оценки рисков необходимо вырабатывать, для того чтобы оценить риски информационной безопасности в организации. При этом следует учитывать стоимость информационных активов, требования к их конфиденциальности, целостности, доступности, роль информационных процессов бизнеса, требования законодательства и договорных обязательств, ожидания заинтересованных сторон, возможные отрицательные последствия репутации организации.

Критерии оценки отрицательного влияния обязаны учитывать степень ущерба или затрат организации на восстановление после реализованного риска информационной безопасности с учетом уровня значимости актива информационных технологий, нарушения информационной безопасности, то есть, потери этим активом свойств конфиденциальности, целостности, доступности. А также следует учитывать вынужденные простои процессов бизнеса, экономические потери, нарушение планов и сроков сдачи, ущерб репутации, нарушение требований законодательства и договорных обязательств.

Критерии принятия рисков следует понимать как отношение ожидаемой выгоды от бизнеса к ожидаемому риску. Причем для различных классов рисков могут быть использованы разные критерии. К примеру, риски, связанные с несоответствием законодательным актам, можно в принципе не принимать, а высокие финансовые риски следует принять, когда они выступают как часть договорных обязательств.

Дата написания статьи: 20.04.2023
Получи помощь с рефератом от ИИ-шки
ИИ ответит за 2 минуты
Все самое важное и интересное в Telegram

Все сервисы Справочника в твоем телефоне! Просто напиши Боту, что ты ищешь и он быстро найдет нужную статью, лекцию или пособие для тебя!

Перейти в Telegram Bot