Федеральное агентство по техническому регулированию и метрологии

     
     Информационная технология

МЕТОДЫ И СРЕДСТВА ОБОСПЕЧЕНИЯ БЕЗОПАСНОСТИ

Менеджмент риска информационной безопасности

Information technology. Security techniques. Information security risk management

     

Дата введения

     

Предисловие

Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения"

Сведения о стандарте

1 ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл") и Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") на основе собственного аутентичного перевода стандарта, указанного в пункте 4

2 ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ приказом Федерального агентства по техническому регулированию и метрологии от " ___ " ______ 200_ N _____

4 Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27005:2008 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (ISO/IEC 27005:2008 "Information technology - Security techniques - Information security risk management")

Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.5)

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты, сведения о которых представлены в дополнительном приложении

5 ВЗАМЕН ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/МЭК ТО 13335-4-2007

Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте национального органа Российской Федерации по стандартизации в сети Интернет

Введение

Данный национальный стандарт предоставляет руководство по менеджменту риска информационной безопасности в организации, поддерживая, в частности требования к СМИБ в соответствии с ИСО/МЭК 27001. Однако, данный национальный стандарт не предоставляет какой-либо конкретной методологии по менеджменту риска информационной безопасности. Выбор подхода к менеджменту риска осуществляется организацией и зависит, например, от области применения СМИБ, контекста менеджмента риска или сферы деятельности. Ряд существующих методологий может использоваться в рамках структуры, описанной в данном стандарте для реализации требований СМИБ.

Данный национальный стандарт предназначен для руководителей и персонала, занимающегося в организации вопросами менеджмента риска информационной безопасности, а также, при необходимости, для внешних сторон, имеющих отношение к этому виду деятельности.

     1 Область применения

Данный национальный стандарт предоставляет руководство по менеджменту риска информационной безопасности.

Данный национальный стандарт поддерживает общие концепции, определенные в ИСО/МЭК 27001, и предназначен для содействия адекватного обеспечения информационной безопасности на основе подхода, связанного с менеджментом риска.

Знание концепций, моделей, процессов и терминологии, изложенных в ИСО/МЭК 27001 и ИСО/МЭК 27002, важно для полного понимания данного национального стандарта.

Данный национальный стандарт применим для организаций всех типов (например, коммерческих предприятий, государственных учреждений, некоммерческих организаций), планирующих осуществлять менеджмент рисков, которые могут скомпрометировать информационную безопасность организации.

     2 Нормативные ссылки

Следующие упомянутые документальные источники необходимы для применения данного документа. Для документов с обозначенной датой применимо только упоминаемое издание. Для документов без обозначенной даты применимо последнее издание упомянутого документа (включая любые поправки).

ИСО/МЭК 27001:2005, Информационная технология - Методы и средства обеспечения безопасности - Системы менеджмента информационной безопасности - Требования.

ИСО/МЭК 27002:2005, Информационная технология - Методы и средства обеспечения безопасности - Кодекс установившейся практики для менеджмента информационной безопасности.

     3 Термины и определения

Для целей данного документа применимы термины и определения, приведенные в ИСО/МЭК 27001, ИСО/МЭК 27002 и ниже.

3.1 влияние (impact): Неблагоприятное изменение уровня достигнутых бизнес-целей.

3.2 риск информационной безопасности (information security risk): Возможность того, что данная угроза будет использовать уязвимости актива или группы активов и, тем самым, нанесет вред организации.

Примечание - Он измеряется исходя из комбинации вероятности события и его последствия.

3.3 предотвращение риска (risk avoidance): Решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее.

[ИСО/МЭК Руководство 73:2002*

______________

* В Российской Федерации действует ГОСТ Р 51897

3.4 коммуникация риска (risk communication): Обмен информацией о риске или совместное использование этой информации между лицом, принимающим решение и другими причастными сторонами.

[ИСО/МЭК Руководство 73:2002]

3.5 количественная оценка риска (risk estimation): Процесс присвоения значений вероятности и последствий риска

[ИСО/МЭК Руководство 73:2002]

Примечания

1 В контексте данного национального стандарта для количественной оценки риска вместо термина "процесс" используется термин "деятельность".

2 В контексте данного национального стандарта для количественной оценки риска вместо термина "вероятность (правдоподобие)" используется термин "вероятность".

3.6  идентификация риска (risk identification): Процесс нахождения, составления перечня и описания элементов риска.

[ИСО/МЭК Руководство 73:2002]

Примечание - В контексте данного национального стандарта для идентификации риска вместо термина "процесс" используется термин "деятельность".

3.7 снижение риска (risk reduction): Действия, предпринятые для уменьшения вероятности негативных последствий или того и другого вместе, связанных с риском.

[ИСО/МЭК Руководство 73:2002]

Примечание - В контексте данного национального стандарта для снижения риска вместо термина "вероятность (правдоподобие)" используется термин "вероятность".

3.8 сохранение риска (risk retention): Принятие бремени потерь или выгод от конкретного риска.

[ИСО/МЭК Руководство 73:2002]

Примечание - В контексте рисков информационной безопасности для сохранения риска рассматриваются только негативные последствия (потери).

3.9 перенос риска (risk transfer): Разделение с другой стороной бремени потерь или выгод от риска.

[ИСО/МЭК Руководство 73:2002]

Примечание - В контексте рисков информационной безопасности для переноса риска рассматриваются только негативные последствия (потери).

     4 Структура национального стандарта

Настоящий стандарт содержит описание процесса менеджмента риска информационной безопасности и связанных с ним видов деятельности.

Информация о предпосылках создания стандарта приводится в разделе 5.

Основной обзор процесса менеджмента риска информационной безопасности дается в разделе 6.

Все виды деятельности, связанные с менеджментом риска информационной безопасности, представленные в разделе 6, описываются далее в следующих разделах:

- Установление контекста - в разделе 7;     - Оценка риска - в разделе 8;

- Обработка риска - в разделе 9;

- Принятие риска - в разделе 10;

- Коммуникация риска - в разделе ;

- Мониторинг и пересмотр риска - в разделе 12.

Дополнительная информация о видах деятельности, связанных с менеджментом риска информационной безопасности, представлена в приложениях. Установление контекста рассматривается в приложении А (определение области применения и границ процесса менеджмента риска информационной безопасности). Идентификация и определение ценности активов и оценок влияния обсуждаются в приложении В (примеры, касающиеся активов), приложении С (примеры, касающиеся типичных угроз) и приложении D (примеры, касающиеся типичных уязвимостей)

Примеры подходов к оценке рисков информационной безопасности представлены в приложении E.

Ограничения, касающиеся снижения риска, представлены в приложении .

Все виды деятельности, связанные с менеджментом риска, представленные в разделах 7-12, сруктурированы следующим образом:

Входные данные: Идентифицируется любая информация, требуемая для выполнения деятельности.

Действие: Описывается деятельность.

Руководство по реализации: Предоставляется руководство по выполнению действия. Некоторые рекомендации данных руководств могут не подходить ко всем случаям, поэтому могут быть более уместными иные варианты действий.

Выходные данные: Идентифицируется любая информация, полученная после выполнения деятельности.

     5 Информация о предпосылках создания стандарта

Систематический подход к менеджменту риска информационной безопасности необходим для того, чтобы идентифицировать потребности организации, касающиеся требований информационной безопасности и создать эффективную систему менеджмента информационной безопасности (СМИБ). Этот подход должен быть применимым к среде организации и, в частности, должен поддерживать менеджмент рисков для всей организации. Усилия по обеспечению безопасности должны эффективно и своевременно рассматривать риски там и тогда, где и когда это необходимо. Менеджмент рисков информационной безопасности должен быть неотъемлемой частью всех видов деятельности, связанных с менеджментом информационной безопасности, а также должен применяться для реализации и поддержки функционирования СМИБ организации.

Менеджмент риска информационной безопасности должен быть непрерывным процессом. Данный процесс должен устанавливать контекст, поддерживать оценку и обработку рисков, обеспечивать использование плана обработки риска для реализации, содействовать выработке рекомендаций и решений. Менеджмент риска связан с анализом того, что может произойти, и какими могут быть возможные последствия, прежде чем выработать решение о том, что и когда должно быть сделано для снижения риска до приемлемого уровня.

Менеджмент риска информационной безопасности должен способствовать следующему:

- идентификации рисков;

- оценки рисков, исходя из последствий их реализации для бизнеса и вероятности их возникновения;

- изучения вероятности и потенциальных последствий данных рисков;

- установлению порядка приоритетов в рамках обработки рисков;

- установлению приоритетов мероприятий по снижению имеющих место рисков;