ГОСТ Р ИСО/МЭК 27001—2006
2)разработать критерии принятия риска и определить приемлемые уровни риска [см. 5.1, пере
числение f)J.
Выбранная методология оценки риска должна обеспечивать сравнимые и воспроизводимые
результаты.
П р и м е ч а н и е — Имеются различные методологии оценки риска. Примеры таки* методологий даны в
ИСО/МЭК ТО 13335-3:1998 «Руководство по управлению безопасностью информационных технологий. Часть 3. Ме
тоды управления безопасностью информационных технологий» (7);
d) идентифицировать риски, для чего необходимо:
1) идентифицировать активы в пределах области функционирования СМИБ и определить вла
дельцев1’ этих активов;
2) идентифицироватьугрозы этим активам,
3) идентифицировать уязвимости активов, которые могут быть использованы угрозами;
4) идентифицироватьпоследствия воздействия наактивы в результате возможной утраты конфи
денциальности. целостности идоступности активов;
e) проанализировать иоценитьриски, для чего необходимо:
1) оценить ущербдлядеятельности организации, который может быть нанесен в результате сбоя
обеспечениябезопасности, с учетом возможныхпоследствий нарушенияконфиденциальности, целост
ности или доступности активов.
2) оценить реальную вероятность сбоя обеспечения безопасности с учетом превалирующих
угроз, уязвимостей и их последствий, связанных с этими активами, а также с учетом применяемых мер
управления безопасностью:
3) оценить уровни рисков.
4) определить, являютсялириски приемлемыми или требуютобработкис использованием крите
риевдопустимости рисков, установленных в4.2.1. перечисление с);
0 определить иоценить различные варианты обработки рисков.
Возможныедействия:
1) применение подходящих мер управления;
2) сознательное и объективное принятие рисков при условии, что они полностью соответствуют
требованиям политики и критериям организации в отношении принятия рисков [см. 4.2.1. перечисле
ние. с), 2)];
3) избежание рисков;
4) передача соответствующих деловых рисков сторонним организациям, например страховщи
кам или поставщикам;
д) выбрать цели и меры управления для обработки рисков.
Целии меры управлениядолжны бытьвыбраны иреализованы так.чтобы удовлетворятьтребова
ниям. определенным в процессе оценки и обработки рисков. Этот выбор должен учитывать критерии
принятия рисков[см.4.2.1. перечислениес). 2)]. атакженормативно-правовыетребованияидоговорные
обязательства.
Цели имерыуправлениядолжны бытьвыбраны согласноприложениюАкакчасть процесса оценки
иобработки рисков исоответствовать требованиям этого процесса.
Перечень целей и мер управления, приведенный в приложении А, не является исчерпывающим, а
потому могут быть выбраныдополнительные цели имеры управления.
П р и м е ч а н и е — Приложение А содержит подробный перечень целей и мер управления, обычно исполь
зуемых в организациях. Рекомендуется использовать этот перечень в качестве исходных данных, позволяющих вы
брать рациональный вариант мер управления и контроля,
h) получить утверждение руководством предполагаемых остаточных рисков;
i) получить разрешение руководства на внедрениеи эксплуатацию СМИБ;
j) подготовить Положение о применимости, которое включает в себя следующее;
1) цели и меры управления, выбранные в 4.2.1, перечислениед), иобоснование этого выбора;
2) цели и меры управления, реализованные в настоящее время [см. 4.2.1. перечисление е), 2)];
3) перечень исключенных целей и мер управления, указанных в приложении А. и процедуру
обоснования их исключения.
11 Здесь и далее термин «владелец* определяет лицо или организацию, которые имеют утвержденные руко
водством обязательства по контролю за производством, разработкой, поддержкой, использованием и безопаснос
тью активов. Термин «владелец* не означает, что лицо действительно имеет какие-либо права собственности на
актив.
4