ISMS

© Христо Тужаров,  

април 2009

 

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

УПРАВЛЕНИЕ НА РИСКА

МЕТОДОЛОГИЧНА БАЗА

СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА

ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА

СТАНДАРТ ISO/IEC 27005

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА

КЛАСИФИКАЦИЯ НА ЦЕННОСТИТЕ

ОЦЕНКА НА РИСКА

ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА

 

 

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

 

Определяне на контекста, съгласно ISO/IEC 27005

Включва обобщаване на цялата информация за организацията, имаща отношение към управление на риска и информационната сигурност.

Действия за определяне на контекста

Зависят от целите на управление на риска и включват (примерно):

  • Поддръжка на СУСИ;

  • Потвърждаване решимостта на ръководството;

  • Подготовка на план за непрекъснатост на бизнеса;

  • Подготовка на план за реакция на инциденти;

  • Описание на изискванията да сигурност на продукти, сервизи и механизми.

             Изходни документи и спецификации за определяне на контекста:

  • Основни критерии;

  • Област на дейност и граници;

  • Организация на процеса по управление на риска (включително ресурсите).

            Базови критерии за определяне на контекста:

  • Критерии за оценка на риска;

  • Критерии за оценка на въздействие върху риска;

  • Критерии за приемане на риска;

  • Необходими ресурси.

 Идентификация на риска, съгласно ISO/IEC 27005

Идентифицират се:

  • Активите;

  • Заплахите и източниците;

  • Уязвимостите;

  • Контролите (механизмите);

  • Вероятностите;

  • Въздействията.

Предварителна оценка на риска, съгласно ISO/IEC 27005

Оценяват се:

  • Активите;

  • Заплахите;

  • Уязвимостите;

  • Въздействията

  • Рисковете.

Сравнение на рисковете, съгласно ISO/IEC 27005

Използва информацията за приоритетност на рисковете, получена на етап анализ на риска за вземане на решения за бъдещи действия, включително:

  • Трябва ли да се предприемат специални дейности.

  • Определяне приоритети за обработка на рисковете, отчитащи оценените нива на риска.

Обработка на риска, съгласно ISO/IEC 27005

Възможни са следните действия:

1)   Намаляване на риска – риска се счита за неприемлив и за минимизирането му се реализират съответни механизми и средства за сигурност;

2)   Прехвърляне на риска – риска се счита занеприемлив и при определени условия (например, в рамките на застраховане или аутсорсинг) де преадресира към друга организация;

3)   Приемане на риска – риска се счита за осъзнато допустим (организацията приема възможните посредствия ) Обикновено в този случай, стойността на мерките за сигурност превишяват възможните потенциални загуби.

4)   Отказ от риска – отказване от бизнес процесите, явяващи се причина за риска (например отказване от електронни плащания по мрежата).