Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27005-2010 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности

     7.2 Основные критерии


В зависимости от области применения, объекта и целей менеджмента риска могут применяться разные подходы. Подходы, используемые на каждой из итераций, могут также различаться. Должен быть выбран или разработан соответствующий подход к оценке риска, учитывающий основные критерии, каковыми являются: критерии оценки риска, критерии влияния, критерии принятия риска.

Кроме того, организация должна оценивать, имеются ли необходимые ресурсы для:

- выполнения оценки рисков и создания плана по обработке рисков;

- определения и реализации политик и процедур, включая реализацию выбранных мер и средств контроля и управления;

- мониторинга мер и средств контроля и управления;

- мониторинга процесса менеджмента риска ИБ.

Примечание - См. также ИСО/МЭК 27001 (пункт 5.2.1) относительно обеспечения ресурсов для реализации и функционирования СМИБ.


Критерии оценки рисков

Должны быть разработаны критерии для оценки рисков информационной безопасности организации с учетом:

- стратегической ценности обработки бизнес-информации;

- критичности затронутых информационных активов;

- законодательно-нормативных требований и договорных обязательств;

- оперативного значения и значения для бизнеса доступности, конфиденциальности и целостности;

- ожидания и реакции причастных сторон, а также негативных последствий для нематериальных активов и репутации.

Кроме того, критерии оценки рисков могут использоваться для определения приоритетов при обработке рисков.

Критерии влияния

Критерии влияния должны разрабатываться и определяться исходя из степени ущерба или величины расходов, понесенных организацией вследствие события, связанного с ИБ, с учетом:

- уровня классификации информационного актива, на который оказывается влияние;

- нарушения ИБ (например, утрата конфиденциальности, целостности и доступности);

- нарушения оперативной деятельности (как собственной, так и третьих сторон);

- потери ценности бизнеса и финансовой ценности;

- нарушения планов и конечных сроков;

- ущерба для репутации;

- нарушения законодательных, нормативных или договорных требований.

Примечание - См. также ИСО/МЭК 27001 [пункт 4.2.1, перечисление d) 4)] относительно определения критериев влияния возможной утраты конфиденциальности, целостности и доступности активов.


Критерии принятия риска

Критерии принятия риска должны быть разработаны и определены. Критерии принятия риска зачастую зависят от политик, намерений, целей организации и интересов причастных сторон.

Организация должна определять собственные шкалы для уровней принятия риска. При разработке следует учитывать следующее: