ГОСТ Р ИСО/ТО 13569-2007 Финансовые услуги. Рекомендации по информационной безопасности (с Поправкой)

     8.1 Процессы

Организации, желающие получить доступ к информации о состоянии своих дел по безопасности, должны внедрить один или несколько процессов анализа риска как часть программы обеспечения информационной безопасности. Эти процессы должны использоваться для оценки состояния безопасности всей организации, а также безопасности конкретных проектов, систем и продуктов. Поскольку стили руководства, масштаб и структура организаций различаются, могут потребоваться несколько стратегий для адаптации анализа риска к среде, в которой риск используется*.

_______________

* Дополнительную информацию можно найти в [2], [5], [20], [21].

Результатом процесса оценки риска должны быть рекомендации по снижению рисков безопасности организации до приемлемого уровня. Данные рекомендации должны способствовать выбору соответствующих защитных мер. Защитные меры являются результатом оценки и определения величины возможных потерь, которые могут произойти в случае использования идентифицированных уязвимостей системы одной или более угрозами. К активам организации, которые обычно подвергаются оценке риска, относят: аппаратуру и оборудование, прикладные программы, базы данных организации, системы связи и компьютерные операционные системы.