Настоящий стандарт содержит описание процесса менеджмента риска ИБ и связанных с ним видов деятельности.
Предпосылки создания стандарта описаны в разделе 5.
Обзор процесса менеджмента риска ИБ дается в разделе 6.
Все виды деятельности, связанные с менеджментом риска ИБ, представленные в разделе 6, описываются далее в следующих разделах:
- Установление контекста - в разделе 7.
- Оценка риска - в разделе 8.
- Обработка риска - в разделе 9.
- Принятие риска - в разделе 10.
- Коммуникация риска - в разделе 11.
- Мониторинг и переоценка риска - в разделе 12.
Дополнительная информация о видах деятельности, связанных с менеджментом риска ИБ, приведена в приложениях. Установлению контекста способствуют сведения из приложения А (определение области применения и границ процесса менеджмента риска ИБ). Определение и установление ценности активов и оценка влияния обсуждаются в приложении В (примеры, касающиеся активов), в приложении С приведены примеры типичных угроз и в приложении D - примеры типичных уязвимостей.
Примеры подходов к оценке рисков ИБ представлены в приложении Е.
Ограничения, касающиеся снижения риска, представлены в приложении F.
Все виды деятельности, связанные с менеджментом риска, представленные в разделах 7-12, структурированы следующим образом:
Входные данные. Определяется информация, необходимая для выполнения деятельности.
Действие. Описывается деятельность.
Руководство по реализации. Представляется руководство по выполнению действия. Некоторые рекомендации данных руководств могут не подходить ко всем случаям, поэтому могут быть более уместными иные варианты действий.
Выходные данные. Описывается информация, полученная в результате выполнения деятельности.