ГОСТ Р ИСО/МЭК 27003—2012
Предполагается,что руководство дало поручение на внедрение СМИБ и область действия и политика
СМИБ определены, а также известны информационные активы и результаты оценки информационной безо
пасности.
Цель:
Определить методологию оценки риска, определить, проанализировать и оценить риски для инфор
мационной безопасности, чтобы выбрать варианты обработки риска и цели, а также меры и средства конт
роля и управления.
ISO/IEC 27001, ссылки с 4.2.1. с) по 4.2.1. j).
8.2 Проведение оценки риска
Действия
Необходимо провести оценку риска.
Исходные данные:
a) выходныеданные раздела 7, проведение анализа требований к информационной безопасности —
информация, касающаяся:
1Обобщенногосостояния информационной безопасности:
2 Определенных информационных активов;
b
)выходныеданные действий раздела 6. определениеобласти действия, границ и политики СМИБ —
документы:
1Область действия СМИБ;
2 Политика СМИБ;
c) ISO/IEC 27005:2008.
На рисунке 6 представлено описание фазы оценки риска.
Рекомендации
Оценка риска безопасности на предприятии для подкрепления областидействия СМИБ необходи
ма для успешного внедрения СМИБ в соответствии ISO/IEC 27001:2005. В результате оценки риска
необходимо:
a) определить угрозы и их источники;
b
) определить существующие и планируемые меры и средства контроля и управления:
c) определить уязвимости, которые могут в случае угрозы нанести ущерб активам или организации:
d) определить последствия потери конфиденциальности, сохранности, доступности, неотказуемости
или нарушения других требований к безопасности для активов;
e) оценить влияние на предприятие, которое может возникнуть в результате предполагаемых или
фактических инцидентов информационной безопасности;
0 оценить вероятность чрезвычайных сценариев;
д)оценить уровень риска;
h) сравнить уровни риска с критериями оценки и приемлемости рисков.
Участвовать в оценке рискадолжны лица, хорошо знающие цели организации и понимающие пробле
мы безопасности (например, хорошо представляющие, что в настоящее время важно с точки зрения угроз
по отношению к целям организации). Эти лица должны выбираться таким образом, чтобы представлять
широкий круг сотрудников организации (справочную информацию см. в приложении В).
Организация может использовать методологию оценки риска, которая является стандартной по отно
шению к проекту, компании или отрасли.
Выходные данные
Выходные данные этогодействия следующие:
a) описание методологий оценки риска;
b
) результаты оценки риска.
Дополнительная информация
Приложение В— информация по ролям и сферам ответственности.
П р и м е ч а н и е — Чрезвычайный сценарий — это описание угрозы, оказывающей влияние на
определенную уязвимость или несколько уязвимостей во время инцидента с информационной безопасностью. В
стандарте ISO/IEC 27001 описываются чрезвычайные сценарии, такие как «нарушения безопасности» (см.
ISO/IEC 27005:2008).
21