Точный
Статус документа
Статус документа

ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

     4.2 Обработка рисков безопасности


Прежде чем рассмотреть обработку некоего риска, организация должна выбрать критерии определения приемлемости или неприемлемости рисков. Риски могут быть приняты, если, например они оцениваются как низкие, или когда стоимость обработки невыгодна для организации. Такие решения необходимо регистрировать.

В отношении каждого из выявленных рисков, вслед за оценкой рисков, необходимо принимать решение по его обработке. Возможные варианты обработки рисков включают в себя:

a) применение соответствующих мер и средств контроля и управления для снижения рисков;

b) сознательное и объективное принятие рисков в том случае, если они, несомненно, удовлетворяют политике и критериям организации в отношении принятия рисков;

c) предотвращение рисков путем недопущения действий, которые могут стать причиной возникновения рисков;

d) перенос взаимодействующих рисков путем разделения их с другими сторонами, например страховщиками или поставщиками.

Что касается тех рисков, в отношении которых было принято решение об их обработке с применением соответствующих мер и средств контроля и управления, эти меры и средства контроля и управления следует выбирать и реализовывать таким образом, чтобы они соответствовали требованиям, идентифицированным оценкой рисков. Меры и средства контроля и управления должны обеспечивать уверенность в том, что эти риски снижены до приемлемого уровня, принимая во внимание:

а) требования и ограничения национальных и международных законов и норм;

b) цели организации;

c) эксплуатационные требования и ограничения;

d) стоимость реализации и эксплуатации в отношении снижаемых рисков должна оставаться пропорциональной требованиям и ограничениям организации;

e) необходимость сохранения баланса между инвестициями в реализацию и эксплуатацию мер и средств контроля и управления и ущербом, который может иметь место в результате недостаточной безопасности.

Меры и средства контроля и управления могут быть выбраны из настоящего стандарта или других совокупностей мер и средств контроля и управления, могут быть созданы новые меры и средства контроля и управления с целью удовлетворения специфических потребностей организации. Необходимо признать, что некоторые меры и средства контроля и управления не могут быть применены для каждой информационной системы или среды, и не могут быть применены для всех организаций. В качестве примера, в 10.1.3 описывается, как обязанности могут быть разделены, чтобы предотвратить мошенничество и ошибки. В небольших организациях может отсутствовать возможность разделения всех обязанностей, и могут потребоваться другие способы достижения той же самой цели управления. В качестве другого примера в 10.10 описывается способ осуществления мониторинга работы системы и сбора доказательств. Описанные меры и средства контроля и управления, например регистрация событий, могут вступать в противоречие с действующим законодательством, например по обеспечению конфиденциальности в отношении клиентов или на рабочем месте.

Меры и средства контроля и управления информационной безопасности должны рассматриваться на этапе спецификации и разработки системных и проектных требований. Отказ от этого может приводить к дополнительным расходам и менее эффективным решениям, а в худшем случае, к неспособности достижения адекватной безопасности.

Следует иметь в виду, что никакая совокупность мер и средств контроля и управления не может достигать полной безопасности, и что необходимо реализовывать дополнительные действия по менеджменту, чтобы осуществлять мониторинг, оценку и повышение действенности и эффективности мер и средств контроля и управления безопасности для поддержки целей организации.