Точный
Статус документа
Статус документа

ГОСТ Р 59516-2021 Информационные технологии (ИТ). Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности

     8 Система менеджмента информационной безопасности в страховании рисков

8.1 Обзор

ГОСТ Р ИСО/МЭК 27001 предоставляет организациям структурированный подход по внедрению системы менеджмента информационной безопасности (СМИБ), предназначенной для создания, внедрения, поддержания и постоянного развития комплекса мер обеспечения ИБ. Эффективная СМИБ позволяет организации:

- выявлять, анализировать и устранять риски ИБ;

- постоянно защищать организацию от угроз ИБ;

- анализировать и совершенствовать СМИБ, чтобы оперативно реагировать на динамику изменения угроз ИБ, появление новых уязвимостей и последствий для бизнеса.

СМИБ может предоставить страхователю и страховщику данные, информацию и документацию, которые могут быть использованы при формировании полиса страхования рисков ИБ, его обновлении, а также в течение всего срока его действия. Поскольку страхование рисков ИБ является вариантом распределения рисков, предоставление страховщику информации о СМИБ может способствовать разработке обоснованного варианта полиса страхования рисков ИБ.

8.2 Система менеджмента информационной безопасности как источник исходных данных для страхования

8.2.1 Система менеджмента информационной безопасности

СМИБ, которая создается, внедряется, поддерживается и постоянно совершенствуется в соответствии с ГОСТ Р ИСО/МЭК 27001, может служить источником исходных данных, могущих быть использованными при обосновании условий полиса страхования рисков ИБ, условий его обновления.

Страхователь должен собирать, систематизировать и сопоставлять результаты функционирования СМИБ (например, на основе ГОСТ Р ИСО/МЭК 27004 и ГОСТ Р ИСО/МЭК 27005) и представлять страховщику необходимые данные). В приложении А приводится перечень документов, которые могут служить в качестве исходных данных для принятия решения о страховании рисков ИБ. Структура исходных данных, источником которых является СМИБ приведена на рисунке 1.


Примечание - Фигуры на рисунке 1 относятся к соответствующим пунктам, приведенным в ГОСТ Р ИСО/МЭК 27001.

Рисунок 1 - Структура исходных данных, источником которых является СМИБ

8.2.2 Планирование

При планировании, страхователь определяет риски, которыми необходимо управлять, чтобы:

- СМИБ могла достичь намеченных результатов;

- предотвращать или уменьшать нежелательные эффекты;

- обеспечить постоянное улучшение результата.

Страхователь определяет и реализует процесс оценки и обработки рисков ИБ, а также принимает меры по хранению соответствующей документированной информации.

В планах управления рисками ИБ должны содержаться меры, которые страхователь считает необходимыми для их снижения. Такой контроль документируется в документе "Заявление о применимости" (SoA) страхователя.

8.2.3 Обеспечение

Лица, выполняющие работу по контролю деятельности страхователя и руководящие или участвующие в создании, внедрении, поддержании и постоянном совершенствовании СМИБ, должны знать:

- политики ИБ;

- их вклад в обеспечение эффективности СМИБ;

- последствия несоответствия требованиям СМИБ.