ГОСТ Р ИСО/МЭК 27003—2012
8.3 Выбор целой и средств управления
Действия
Необходимо определить варианты действий в случае возникновения риска, а также выбор соответ
ствующих средств управления, в соответствии с определенными вариантами действий в случае возникно
вения риска.
Исходные данные:
a) выходные данные действия 8.2. проведение оценки риска — результаты оценки риска:
b) ISO/IEC 27005:2008;
c) ISO/IEC 27002:2005.
Рекомендации
Важно определить соотношение меду рисками и выбранными вариантами обработки риска (напри
мер. план обработки риска), поскольку эти соотношения дают обобщение обработки риска. Возможные
варианты обработки рисков перечисляются встандарте ISO/IEC 27001:2005.4.2.1. f).
Приложение А к стандарту ISO/1EC 27001:2005 (нормативное) «Цели и меры (средства контроля)»
используется для выбора целей и средств управления действиями в случае возникновения риска. Если в
Приложении А нет подходящих целей и средств управления, следует определить и использоватьдополни
тельные цели, и меры, и средства контроля и управления. Важно продемонстрировать, как выбранные
меры и средства контроля и управления могут снизить риск, что требуется всоответствии с планом обра
ботки риска.
Данные, приведенные встандарте ISO/IEC 27001:2005, Приложение А. не являются исчерпывающи
ми. Для подкрепления потребностей конкретного предприятия, а также СМИБ можно определить меру и
средство контроля и управления, характерныедля данной отрасли.
В случае снижения риска установление соотношения между каждым риском и выбранными целями и
средствами управления является полезным для разработки внедрения СМИБ. Это соотношение можно
добавить в списоксоотношений между рисками и вариантами обработки рисков.
Для облегчения аудита организация должна составить перечень средств управления, выбранных как
подходящие и применимые для СМИБ организации. Этодаетдополнительные преимущества, связанные с
улучиенивмделовыхотношений, напримерэлектронный аутсорсинг, путем предоставления описания средств
управления на месте.
Важно знать о том. что описание средств управления с большой вероятностью может содержать
секретную информацию. Следовательно, соблюдать осторожность при предоставлении доступа к описа
нию средств управления как внутренним, так и внешним получателям. Фактически может возникнуть
необходимость учета информации, появляющейся в результате создания СМИБ. во время определения
активов.
Выходные данные
Выходные данные этогодействия следующие:
a) перечень выбранных целей и средств управления;
b
) план обработки риска, включающий:
1 Описание соотношения между рисками и выбранным вариантом обработки риска;
2 Описание соотношения между рисками и выбранными целями и средствами управления (особенно
в случае снижения риска).
Дополнительная информация
ISO/IEC 27002:2005.
8.4 Получение санкции руководства на внедрение и использование СМИБ
Действия
Необходимо получить санкцию руководства на внедрение СМИБ. а также документировать принятие
остаточных рисков.
Исходные данные:
a) выходные данные действий в 5.4. составление описания случая применения СМИБ для данного
предприятия и плана проекта для утверждения руководством — первоначальное утверждение руковод
ством проекта СМИБ:
b
) выходные данные действий в пункте 6. определение области действия, границ и политики СМИБ —
документы:
1 Политика и цели СМИБ.
2 Область действия СМИБ:
23