ГОСТ Р ИСО/МЭК 27005—2010
Четыре варианта обработки риска не являются взаимоисключающими. В отдельных случаях органи
зация может получить значительную выгоду от объединения вариантов, таких, как снижение вероятности
риска, уменьшение последствий и перенос или сохранение любого остаточного риска.
Некоторые варианты обработки риска могут быть эффективными для болеечем одного риска (напри
мер обучение и осведомленность в части ИБ). План обработки риска должен четко определять порядок
приоритетов, при соблюдении которого должна реализовываться обработка отдельного риска. Порядок
приоритетов может устанавливаться с использованием различных методов, включая ранжирование рис
ков и анализ «затраты—выгоды». В обязанности руководства входит принятие решения о балансе между
затратами на реализацию мер и средств контроля и управления и бюджетными отчислениями.
При определении существующих мер и средств контроля и управления может быть установлено, что
существующие меры и средства контроля и управления превышают текущую потребность в показателях
сравнения затрат, включая поддержку. В случае удаления избыточных или ненужных мер и средств кон
троля и управления (особенно, если расходы на их поддержку велики) должны учитываться факторы ИБ и
стоимости. Поскольку меры и средства контроля и управления оказывают влияниедруг на друга, удале
ние избыточных мер и средств контроля и управления может в итоге снизить эффективность использова
ния всех оставшихся мер и средств обеспечения безопасности. Кроме того, может быть менее затратным
оставить избыточные или ненужные средства контроля, чем удалить их.
Для разных вариантов обработки риска должно учитываться:
- как риск осознается затрагиваемыми сторонами:
- наиболее подходящие способы обмена информацией с этими сторонами.
Установление контекста (см. 7.2 «Основные критерии») предоставляет информацию о законодатель
ных и нормативных требованиях, которым необходимо следовать организации. Отказ от следования ука
занным требованиям является риском для организаций, поэтомудолжны быть рассмотрены варианты ре
шений. ограничивающие эту возможность. Все ограничения — организационные, технические, структур
ные и др.. которые определяются в течение деятельности, связанной с установлением контекста, следует
учитывать в течение обработки риска.
После уточнения плана обработки риска необходимо определить остаточные риски. Это включает
обновление или повторную операцию оценки риска с учетом ожидаемого эффекта от предполагаемой
обработки риска. Если остаточные риски по-прежнему не будут удовлетворять критериям принятия риска
организации, может возникнуть необходимость в дополнительной итерации обработки риска, прежде чем
перейти к принятию риска.
Выходные данные. План обработки риска и остаточные риски - предмет обсуждения для принятия
решения руководством организации.
9.2 Снижение риска
Действие. Уровень риска должен быть снижен путем выбора меры и средства контроля и управления
так. чтобы остаточный риск могбыть повторно оценен какдопустимый.
Руководство
по
реализации. Должны быть выбраны соответствующие и обоснованные меры и сред
ства контроля и управления, чтобы удовлетворять требованиям, определенным путем оценки и обработки
рисков. Такой выбордолжен учитывать критерии принятия рисков, а также законодательные, нормативные
и договорные требования. При выборе должны также учитываться стоимость и время реализации мер и
средств контроля и управления или технические аспекты, аспекты среды и культурные аспекты. С помо
щью соответствующим образом выбранных мер и средств контроля безопасности зачастую можно снизить
общие расходы владельца системы.
В целом меры и средства контроля и управления могут обеспечивать один или несколько из перечис
ленных видов защиты: исправление, исключение, предупреждение, уменьшение влияния, сдерживание,
обнаружение, восстановление, мониторинг и информированность. Во время выбора мер и средств контро ля
и управления важно установить баланс междустоимостью приобретения, реализации, администрирова ния.
функционирования, мониторинга и поддержки мер и средств контроля и управления и ценностью
защищаемых активов. Кроме того, необходимо учитывать рентабельность инвестиций с точки зрения сни
жения риска, и потенциалдля использования новых возможностей бизнеса, предоставляемых определен
ными мерами и средствами контроля и управления. Дополнительноследует обратить внимание на специ
ализированные навыки, которые могут потребоватьсядля определения и реализации новых мер и средств
контроля и управления или модификации существующих.
В ИСО/МЭК 27002 дается подробная информация по выбору мер и средств контроля и управления.
16