ISMS

© Христо Тужаров,  

април 2009

 

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

УПРАВЛЕНИЕ НА РИСКА

МЕТОДОЛОГИЧНА БАЗА

СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА

ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА

СТАНДАРТ ISO/IEC 27005

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА

КЛАСИФИКАЦИЯ НА ЦЕННОСТИТЕ

ОЦЕНКА НА РИСКА

ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА

 

 

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

 

Определяне на контекста, съгласно ISO/IEC 27005

Включва обобщаване на цялата информация за организацията, имаща отношение към управление на риска и информационната сигурност.

Действия за определяне на контекста

Зависят от целите на управление на риска и включват (примерно):

 • Поддръжка на СУСИ;

 • Потвърждаване решимостта на ръководството;

 • Подготовка на план за непрекъснатост на бизнеса;

 • Подготовка на план за реакция на инциденти;

 • Описание на изискванията да сигурност на продукти, сервизи и механизми.

             Изходни документи и спецификации за определяне на контекста:

 • Основни критерии;

 • Област на дейност и граници;

 • Организация на процеса по управление на риска (включително ресурсите).

            Базови критерии за определяне на контекста:

 • Критерии за оценка на риска;

 • Критерии за оценка на въздействие върху риска;

 • Критерии за приемане на риска;

 • Необходими ресурси.

 Идентификация на риска, съгласно ISO/IEC 27005

Идентифицират се:

 • Активите;

 • Заплахите и източниците;

 • Уязвимостите;

 • Контролите (механизмите);

 • Вероятностите;

 • Въздействията.

Предварителна оценка на риска, съгласно ISO/IEC 27005

Оценяват се:

 • Активите;

 • Заплахите;

 • Уязвимостите;

 • Въздействията

 • Рисковете.

Сравнение на рисковете, съгласно ISO/IEC 27005

Използва информацията за приоритетност на рисковете, получена на етап анализ на риска за вземане на решения за бъдещи действия, включително:

 • Трябва ли да се предприемат специални дейности.

 • Определяне приоритети за обработка на рисковете, отчитащи оценените нива на риска.

Обработка на риска, съгласно ISO/IEC 27005

Възможни са следните действия:

1)   Намаляване на риска – риска се счита за неприемлив и за минимизирането му се реализират съответни механизми и средства за сигурност;

2)   Прехвърляне на риска – риска се счита занеприемлив и при определени условия (например, в рамките на застраховане или аутсорсинг) де преадресира към друга организация;

3)   Приемане на риска – риска се счита за осъзнато допустим (организацията приема възможните посредствия ) Обикновено в този случай, стойността на мерките за сигурност превишяват възможните потенциални загуби.

4)   Отказ от риска – отказване от бизнес процесите, явяващи се причина за риска (например отказване от електронни плащания по мрежата).