— основные термины ИБ;

— риски и угрозы ИБ;

— четкое определение инцидента ИБ: рекомендации по его обнаружению, устранению и отчетности;

— политики ИБ, стандарты и процедуры организации;

— сферы ответственности и каналы отчетности, связанные с ИБ;

— рекомендации по оказанию помощи в повышении уровня ИБ;

— рекомендации, связанные с нарушениями ИБ и отчетностью;

— координаты получения дополнительной информации.

Необходимо определить группу по обучению ИБ, которая может выполнять следующие задачи:

— создание и управление записями по ИБ;

— составление и управления материалами по обучению;

— проведение обучения.

Выходные данные:

— материалы по обучению в области ИБ;

— формирование программ обучения в области ИБ, включая роли и сферы ответственности;

— планы обучения в области ИБ;

— записи, показывающие результаты обучения работников в области ИБ.

5.4. Разработка окончательного плана проекта СУИБ

Исходные данные:

— выходные данные 2.4 — область действия и границы СУИБ;

— выходные данные 2.5 — политика СУИБ;

— выходные данные 5.1 — разработка системы ИБ;

— выходные данные 5.2 — разработка системы ИБ ИКТ и физических объектов;

— выходные данные 5.3 — разработка ИБ, связанной с СУИБ;

— ISO/IEC 27002 — правила СУИБ.

Рекомендации: Действия, требуемые для внедрения выбранных средств управления и выполнения других действий, связанных с системой СУИБ, должны быть оформлены в виде подробного плана внедрения как части конечного проекта СУИБ. Подробный план внедрения системы также может подкрепляться описаниями предложенных инструментов и методов внедрения.

Поскольку проект СУИБ включает множество различных ролей в организации, важно, чтобы действия были четко определены для ответственных сторон и план был распространен на ранних стадиях проекта во всей организации.

Выходные данные: Выходные данные этого действия представляют собой окончательный план проекта внедрения СУИБ.

5. Управление рисками иб (стандарт ISO/IEC 27005:2010)

В начале 2006 года был принят первый британский национальный стандарт в сфере управления рисками ИБ BS 7799—3, который в 2008 году получил статус международного стандарта ISO/IEC 27005 «ИТ. Методы защиты. Управление рисками ИБ».

Новый стандарт ISO/IEC 27005 заменил сразу две части морально устаревшего технического стандарта ISO/IEC TR 13335 (TR — technical report — технический отчет) «ИТ. Методы защиты»: часть 3 «Методы управления безопасностью ИТ» и часть 4 «Выбор защитных мер», на базе которых он и был разработан.

В 2011 году была принята последняя редакция стандарта ISO/IEC 27005, в котором были пересмотрены и обновлены в соответствии с требованиями следующих документов:

— ISO 31000:2009 — Управление рисками — Принципы и руководства;

— ISO/IEC 31010:2009 — Управление рисками — Методики оценки рисков;

— ISO Guide 73:2009 — Управление рисками — Словарь.

Систематический подход к управлению рисками ИБ необходим для того, чтобы идентифицировать потребности организации, касающиеся требований ИБ, и создать эффективную СУИБ.

Усилия по обеспечению ИБ должны эффективно и своевременно рассматривать риски там и тогда, где и когда это необходимо. Управление рисками ИБ должно быть неотъемлемой частью всех видов деятельности, связанных с УИБ, а также должен применяться для реализации и поддержки функционирования СУИБ организации.

Управление рисками ИБ должно быть непрерывным процессом. Данный процесс должен устанавливать контекст, поддерживать оценку и обработку рисков, обеспечивать использование плана обработки риска для реализации, содействовать выработке рекомендаций и решений.

Управление рисками ИБ связано с анализом того, что может произойти, и какими могут быть возможные последствия, прежде чем выработать решение о том, что и когда должно быть сделано для снижения риска до приемлемого уровня.

Управление рисками ИБ должно способствовать следующему:

— идентификации рисков;

— оценке рисков, исходя из последствий их реализации для бизнеса и вероятности их возникновения;

— изучению вероятности и потенциальных последствий данных рисков;

— установлению порядка приоритетов в рамках обработки рисков;

— установлению приоритетов мероприятий по снижению имеющих место рисков;

— привлечению заинтересованных сторон к принятию решений об управлении рисками и поддержанию их информированности о состоянии управления рисками;

— эффективности проводимого мониторинга обработки рисков;

— проведению регулярного мониторинга и пересмотра процесса управления рисками;

— сбору информации для усовершенствования подхода к управлению рисками;

— подготовке менеджеров и персонала в сфере управления рисками и необходимых действий, предпринимаемых для их уменьшения.

Стандарт содержит описание процесса управления рисками ИБ и связанных с ним видов деятельности, основной обзор которых даётся в разделе 6.

Все действия по управлению рисками ИБ описываются в следующих разделах:

1) установление контекста (сферы применения) — в разделе 7;

2) оценка риска — в разделе 8;

3) обработка риска — в разделе 9;

4) принятие риска — в разделе 10;

5) обмен информацией о рисках — в разделе 11;

6) мониторинг и улучшение — в разделе 12.

Все составляющие управления рисками в каждом разделе структурированы в виде входных данных, действий, руководства по реализации и выходных данных.

Входные данные: идентифицируется любая информация, требуемая для выполнения деятельности.

Действие: описывается деятельность.

Руководство по реализации: предоставляется руководство по выполнению действия.

Выходные данные: идентифицируется любая информация, полученная после выполнения деятельности.

Процесс управления рисками ИБ может быть итеративным для таких видов деятельности, как оценка риска и/или обработка риска. Итеративный подход к проведению оценки риска может увеличить глубину и детализацию оценки при каждой итерации. Итеративный подход даёт хороший баланс между уменьшением времени и усилия, затрачиваемого на определение средств контроля, в то же время, по-прежнему обеспечивая уверенность в том, что высокоуровневые риски рассматриваются соответствующим образом.

Контекст впервые устанавливается тогда, когда проводится оценка высокоуровневого риска. Если она обеспечивает достаточную информацию для эффективного определения действий, требуемых для снижения риска до приемлемого уровня, то задача является выполненной и следует обработка риска. Если информация является недостаточной, то проводится другая итерация оценки риска с помощью пересмотренного контекста (например, критерии оценки рисков, критерии принятия рисков или критерии влияния), возможно на ограниченных частях полной области применения (точка принятия решения о приемлемости риска № 1).

Эффективность обработки риска зависит от результатов оценки риска. Возможно, что обработка риска не будет сразу же приводить к приемлемому уровню остаточного риска. В этой ситуации может потребоваться, если необходимо, другая итерация оценки риска с изменёнными параметрами контекста (например, оценка риска, принятие риска или критерии влияния), за которой последует дополнительная обработка риска (точка принятия решения о приемлемости риска № 2).

Деятельность по принятию риска должна обеспечивать уверенность в том, что остаточные риски однозначно принимаются руководством организации. Это особенно важно в ситуации, когда внедрение средств контроля не осуществляется или откладывается, например, из-за стоимости.

Важно, чтобы во время всего процесса управления рисками ИБ и их обработки осуществлялся обмен информацией относительно риска между руководством и персоналом. Даже до обработки рисков информация об идентифицированных рисках может быть очень ценной для осуществления управления инцидентами и может способствовать снижению потенциального ущерба.

На этапе планирования СУИБ осуществляются установление контекста, оценка риска, разработка плана обработки риска и принятие риска. На этапе реализации СУИБ осуществляются действия по снижению риска до приемлемого уровня в соответствии с планом обработки риска. На этапе проверки СУИБ осуществляются мониторинг и пересмотр обработки риска по результатам обработки инцидентов и изменений обстоятельств. На этапе улучшения СУИБ