• (0)
    ISO-27001-ISO-22301-blog

    Блог по ISO 27001 и ISO 22301

    ИСО 27001, оценка и обработка рисков – 6 основных шагов

    Оценка рисков (часто называемая анализ рисков) является, возможно, наиболее сложной частью внедрения ИСО 27001; но в то же время оценка рисков (и их обработка) являются наиболее важным шагом в начале вашего проекта информационной безопасности – он устанавливает основы для информационной безопасности в вашей компании.

    Вопрос заключается в том – почему это так важно? Ответ довольно прост, несмотря на то, что не понимается многими людьми: основной философией ИСО 27001 является поиск инцидентов, которые могут произойти (т.е. оценка рисков) и затем выявление наиболее подходящих путей предотвращения таких инцидентов (т.к. обработка рисков). И не только это, вы также должны оценить важность каждого риска таким образом, чтобы вы могли сфокусироваться на наиболее важных рисках.

    Несмотря на то, что оценка и обработка (совместно с управлением рисками) являются сложной работой, она зачастую излишне мистифицируется. Эти 6 основных шагов прольют свет на то, что вы должны делать.

    1. Методика оценки рисков

    Это первый шаг в вашем путешествии по управлению рисками. Вам нужно определить правила, по которым вы собираетесь выполнять управление рисками, т.к. вы хотите делать это одинаково во всей организации – самая большая проблема с оценкой рисков возникает, если различные части организации выполняют оценку рисков различными способами. Поэтому вам необходимо определить, хотите вы оценивать риски качественно или количественно, какие шкалы вы будете использовать для качественной оценки, что будет приемлемым уровнем рисков и т.д.

    2. Внедрение оценки рисков

    После того, как вы узнаете правила, вы можете начать определять, какие возможные проблемы могут с вами случиться – вам необходимо перечислить все ваши активы, затем относящиеся к этим активам угрозы и уязвимости, оценить воздействие и вероятность для каждой совокупности актив/угроза/уязвимость и, в конечном счете, вычислить уровень риска.

    По моему опыту, компании обычно имеют представление только о 30% своих рисков. Поэтому, вы, возможно, найдете этот вид занятий довольно наглядным – когда вы заканчиваете, вы начнете высоко ценить предпринятые вами усилия.

    3. Внедрение обработки рисков

    Конечно, не все выявленные риски одинаковы – вы должны сфокусироваться на наиболее важных из них, так называемых «неприемлемых рисках».

    Существует 4 варианта, которые вы можете выбрать для нейтрализации каждого неприемлемого риска:

    1. Применение средств управления безопасностью из Приложения А в целях снижения рисков – см. эту статью Средства управления безопасностью из Приложения А ИСО 27001.
    2. Передать риск иной стороне – например, страховой компании путем покупки страхового полиса.
    3. Уклонение от риска путем прекращения деятельности, которая слишком рискована, или путем выполнения ее полностью в иной форме.
    4. Принятие риска — если, например, стоимость снижения данного риска может быть выше, чем нанесенный им ущерб.

    Здесь вам нужно подойти к вопросу творчески – как снизить риски с минимумом вложений. Это было бы очень легко, если бы ваш бюджет был бы безграничным, но этого никогда не случится. И я должен сказать вам, что, к сожалению, ваше руководство право – возможно достичь того же результата с меньшими деньгами – вам только нужно обрисовать, как.

    4. Отчет по Оценке Рисков СУИБ

    В отличие от предыдущих шагов этот довольно скучный – вам нужно задокументировать все, что вы сделали до настоящего времени. Не только для аудиторов, но вы можете захотеть проверить эти свои результаты в этом или в следующем году.

    5. Положение о Применимости

    Этот документ в действительности показывает профиль безопасности вашей компании – основываясь на результатах обработки рисков вам нужно перечислить все внедренные вами средства управления безопасностью, почему вы внедрили их и каким образом. Данный документ также очень важен, потому что сертификационный аудитор будет использовать его в качестве основного руководства при проведении аудита.

    Подробности данного документа смотрите в статье Важность Положения о Применимости для ИСО 27001.

    6. План Обработки Рисков

    Это шаг, где вы должны перейти от теории к практике. Давайте будем откровенными – все до настоящего времени, вся эта работа по управлению рисками была исключительно теоретической, но теперь настало время показать какие-нибудь конкретные результаты.

    Это является целью Плана Обработки Рисков – точно определить, кто будет внедрять каждое средство управления безопасностью, в какой промежуток времени, с каким бюджетом и т.д. Я предпочитаю называть этот документ «Планом по внедрению» или «Планом Действий», но давайте придерживаться терминологии, используемой в ИСО 27001.

    Как только вы написали этот документ, критически важно будет получить его одобрение у вашего руководства, поскольку внедрение всех средств управления безопасностью, которые вы здесь запланировали, потребует значительных времени и усилий (а также денег). А без их заинтересованности вы не достигните ничего из этого.

    Вот и все – вы начали ваше путешествие от полного незнания всех путей, как организовать вашу информационную безопасность, до получения очень ясной картины, что вам нужно сделать. Дело в том – что ИСО 27001 вынуждает вас проделать это путешествие на систематической основе.

    P.S. ИСО 27005 – как он может вам помочь?

    ИСО/МЭК 27005 является стандартом, посвященный исключительно управлению рисками информационной безопасности – это очень полезно, если вы хотите более глубоко разобраться в оценке и обработке рисков информационной безопасности – т.е. если вы хотите постоянно работать консультантом или, возможно, менеджером информационной безопасности или риск-менеджером. Однако, если вы обращаетесь к выполнению оценки рисков только раз год, этот стандарт, возможно, вам не нужен.

    Вы также можете проверить нашу Методику Оценки и Обработки Рисков.

    Мы благодарим Бахытжана Сейтмухамбетова за перевод на русский язык.

    Advisera Dejan Kosutic
    Автор
    Dejan Kosutic
    Dejan holds a number of certifications, including Certified Management Consultant, ISO 27001 Lead Auditor, ISO 9001 Lead Auditor, and Associate Business Continuity Professional. Dejan leads our team in managing several websites that specialize in supporting ISO and IT professionals in their understanding and successful implementation of top international standards. Dejan earned his MBA from Henley Management College, and has extensive experience in investment, insurance, and banking. He is renowned for his expertise in international standards for business continuity and information security – ISO 22301 & ISO 27001 – and for authoring several related web tutorials, documentation toolkits, and books.