На этапе планирования СУИБ осуществляются установление контекста, оценка риска, разработка плана обработки риска и принятие риска. На этапе реализации СУИБ осуществляются действия по снижению риска до приемлемого уровня в соответствии с планом обработки риска. На этапе проверки СУИБ осуществляются мониторинг и пересмотр обработки риска по результатам обработки инцидентов и изменений обстоятельств. На этапе улучшения СУИБ осуществляются любые корректирующие действия по усовершенствованию, включая повторное инициирование процесса управления рисками ИБ.

Следующая таблица суммирует действия по управлению рисками ИБ, относящиеся к 4-м этапам функционирования СУИБ:

1. Установление контекста (сферы применения)

Входные данные: Вся информация об организации, уместная для установления сферы применения управления рисками ИБ.

Действие: Для установления контекста организации необходимо определить:

— основные критерии управления рисками;

— сферы действия и границы;

— организационную структуру управления рисками.

Руководство по реализации: Необходимо определить цель управления рисками ИБ, так как она влияет на общий процесс и на сферу применения, в частности. Этой целью может быть:

— поддержка СУИБ;

— правовое соответствие и свидетельство должного внимания;

— подготовка плана обеспечения непрерывности бизнеса;

— подготовка плана реагирования на инциденты;

— описание требований ИБ для продукта, услуги или механизма.

Выходные данные: Спецификация основных критериев, сфера действия и границы, структура для процесса управления рисками ИБ.

1.1. Основные критерии

Должны быть разработаны следующие критерии управления рисками ИБ:

— оценки риска;

— воздействия риска;

— принятия риска.

Дополнительно организация должна оценить, доступны ли необходимые ресурсы для:

— выполнения оценки риска и установления плана обработки риска;

— определения и осуществления политики и процедуры, включая реализацию управления рисками;

— контроля мониторинга;

— мониторинга процесса управления рисками.

Критерии оценки риска

При разработке критериев оценки рисков необходимо учитывать следующее:

— стратегическая ценность обработки бизнес-информации;

— критичность затрагиваемых информационных активов;

— нормативно-правовые требования и договорные обязательства;

— важность для бизнеса доступности, конфиденциальности и целостности информации.

Кроме того, критерии оценки рисков могут использоваться для определения приоритетов для обработки рисков.

Критерии воздействия

Критерии воздействия должны разрабатываться и определяться, исходя из степени ущерба от события ИБ, учитывая следующее:

— уровень классификации информационного актива, на который оказывается влияние;

— нарушения ИБ (например, потеря конфиденциальности, целостности или доступности);

— ухудшение бизнес-операции;

— потеря ценности бизнеса и финансовой ценности;

— нарушение планов и конечных сроков;

— ущерб для репутации;

— нарушение нормативно-правовых или договорных требований.

Критерии принятия риска

Организация должна определять собственную шкалу уровней принятия риска.

При разработке критериев принятия риска следует учитывать, что они могут:

— включать многие пороговые значения с желаемым уровнем риска, но при условии, что при определённых обстоятельствах руководство будет принимать риски, находящиеся выше указанного уровня;

— выражаться как количественное соотношение оценённой выгоды к оценённому риску для бизнеса;

— включать требования для будущей дополнительной обработки, например, риск может быть принят, если имеется согласие на действия по его снижению до приемлемого уровня в рамках определённого периода времени.

Критерии принятия риска должны устанавливаться с учётом:

— критериев бизнеса;

— правовых и регулирующих аспектов;

— операций;

— технологий;

— финансов;

— социальных и гуманитарных факторов.

1.2. Область применения и границы

Область применения процесса УИБ необходимо определять для обеспечения того, чтобы все значимые активы принимались в расчёт при оценке риска. Кроме того, необходимо определять границы для рассмотрения тех рисков, источники которых могут находиться за данными границами.

При определении области применения и границ должна учитываться следующая информация, касающаяся организации:

— стратегические цели бизнеса организации, стратегии и политики;

— процессы бизнеса;

— функции и структура организации;

— нормативно-правовые и договорные требования;

— политика ИБ;