ISMS

© Христо Тужаров,  

април 2009

 

ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА

 

[Home] [Съдържание] [Бизнес консултации] [Инфопедия] [Асеневци]

 

УПРАВЛЕНИЕ НА РИСКА

МЕТОДОЛОГИЧНА БАЗА

СТАНДАРТИЗАЦИЯ НА УПРАВЛЕНИЕ НА РИСКА

ИЗИСКВАНИЯ НА ISO 27001 ЗА УПРАВЛЕНИЕ НА РИСКА

СТАНДАРТ ISO/IEC 27005

МОДЕЛ ЗА  УПРАВЛЕНИЕ НА РИСКА ПО ISO/IEC 27005

МЕТОДОЛОГИЯ ЗА УПРАВЛЕНИЕ НА РИСКА

КЛАСИФИКАЦИЯ НА ЦЕННОСТИТЕ

ОЦЕНКА НА РИСКА

ПРИМЕРЕН ПОДХОД ЗА ОЦЕНКА НА РИСКА

 

Изисквания на ISO 27001 за управление на риска в СУСИ (ISMS)

 

 

 

 

4.2.1. Създаване на СУСИ

 

с) Да определи подхода за преценяване на риска на организацията.

 

1)  Да  определи   метод  за   преценяване  на   риска,   който  е  подходящ  за  СУСИ   и идентифицираната сигурност на информацията за организацията и е в съответствие с изискванията на нормативните актове.

 

2)  Да определи критерии за приемане на рисковете и да идентифицира приемливите нива на риск (виж точка 5.1 Г)).

 

Избраният метод за преценяване на риска трябва да гарантира, че преценяването дава сравними и възпроизводими резултати.

 

ЗАБЕЛЕЖКА: Има различни методики за преценяване на риска. Примери за такива методики са разгледани в ISO 13335-3, Информационни технологии. Ръководство за управление на сигурността на ТГ. Техники за управление на сигурността на ИТ.

 

d) Да идентифицира рисковете.

 

1)  Да идентифицира активите в обхвата на приложение на СУСИ и собствениците2) на тези активи.

        

                           собственик - означава физическо лице или обект, одобрено от ръководството да носи отговорността за контрол на производството, разработването, поддържането, използването и сигурността на активите. Терминът „собственик" не означава, че лицето има действителни права на собственост на актива.

 

2)  Да дентифицира заплахите за тези активи.

 

3)  Да идентифицира уязвимостите, които могат да бъдат използвани от заплахите.

 

4)  Да идентифицира въздействието, което загубата на поверителност, цялостност и наличност може да окаже върху активите.

 

е)    Да анализира и оцени рисковете.

 

1)            Да оцени вредата за дейностите на организацията вследствие на пробив в сигурността, като се вземат предвид потенциалните последици от загубата на поверителност, цялостност и наличност на активите.

 

2)     Да  оцени  практическата  вероятност да  възникне  пробив  в сигурността  от гледна точка  на преобладаващите заплахи, уязвими места и въздействия, свързани с тези активи и прилаганите механизми за контрол.

 

3)     Да оцени нивата на рисковете.

 

4)     Да определи дали рисковете са приемливи или се налага въздействие чрез критериите, посочени в  4.2.1 с)2).

 

     f)     Да идентифицира и да оцени възможности за въздействие върху риска.

 

Възможните действия включват:

1)  прилагане на подходящи механизми за контрол;

2)  познаване  и  обективно приемане  на  рисковете единствено  в случай,  че те точно  отговарят на политиката и критериите за приемливост на риска на организацията (виж точка 4.2.1 с)2));

3)  избягване на рискове;

4)  прехвърляне   на   рисковете,   свързани   с   дейността,   на   трети   страни   например застрахователи, доставчици.

 

       g)   Да изберат цели по контрола и механизми за контрол за въздействието върху риска.

 

Трябва да се изберат и внедрят цели по контрола и механизми за контрол, които да отговарят на изискванията на процесите на преценяване и въздействие върху риска. При избора трябва да се вземат предвид критериите за приемане на риска (виж точка 4.2.1 с)2)), както и изискванията на нормативните актове и договорните изисквания.

 

От приложение А трябва да се изберат цели по контрола и механизми за контрол, които да могат да покрият набелязаните изисквания.

 

Списъкът с цели по контрола и механизми за контрол в приложение А не е изчерпателен и могат да бъдат добавени и други.

 

ЗАБЕЛЕЖКА: Приложение А съдържа обширен списък с най-често срещаните в организациите цели по контрола и механизми за контрол. Ползвателите на този международен стандарт трябва да се насочат към приложение А като отправна точка при избора на механизми за контрол, за да са сигурни, че няма да пропуснат важни механизми.

 

h) Да получи одобрението на ръководството за предложените остатъчни рискове.

 

i)  Да бъде упълномощена от ръководството за внедряване и функциониране на СУСИ.

 

     j)  Да разработи декларация за приложимост.

Разработената декларация за приложимост трябва да включва следното:

 

1)  целите по контрола и механизмите за контрол, избрани в 4.2.1 д), и причините за техния избор;

2) внедрените в момента цели по контрола и механизми за контрол (виж точка 4.2.1е)2)); и

3) изключването на някои от целите по контрола или някои от механизмите за контрол,
описани в приложение А, и документирана обосновка за тяхното изключване.

 

ЗАБЕЛЕЖКА: Декларацията за приложимост представя накратко решенията, касаещи въздействието върху риска. Обосновката за изключването на някои механизми за контрол осигурява кръстосана проверка, че липсата им не е по невнимание.

 

4.2.2  Внедряване и функциониране на СУСИ

Организацията трябва да направи следното:

 

а) Да разработи план за въздействие върху риска, който идентифицира подходящите управленски действия, ресурси, отговорности и приоритети за управлението на рисковете, свързани със сигурността на информацията (виж точка 5).

 

Ь) Да внедри плана за въздействие върху риска, за да постигне идентифицираните цели по контрола, което включва предвиждане на финансиране и разпределение на роли и отговорности.

 

    с)   Да внедри механизмите за контрол, избрани в 4.2.1 д), за да постигне целите по контрола.

 

d) Да определи как да се измерва ефикасността на избраните единични или групи от механизми за контрол и да посочи как да се използват тези измервания за оценяване ефикасността на механизмите за контрол с цел получаване на сравними и възпроизводими резултати (виж точка 4.2.3 с).

 

ЗАБЕЛЕЖКА: Измерването на ефикасността на механизмите за контрол дава възможност на ръководителите и персонала да преценят колко добре тези механизми постигат планираните цели на контрола.

 

4.2.3. Наблюдение и преглед на СУСИ

 

d Да извършва преглед на преценяването на риска на планирани интервали и преглед на нивата на остатъчния и приемливия риск, като се вземат предвид настъпилите промени в:

 

1)    организацията;

2)     технологиите;

3)     целите на дейностите и процесите;

4)     идентифицираните заплахи;

5)     ефикасността на внедрените механизми за контрол; и

външни събития като промени, произтичащи от изменения в нормативната база, променени
договорни задължения и промени в социалния климат.

 

4.2.4. Поддържане и подобряване на СУСИ

 

 b) Да предприема подходящи коригиращи и превантивни действия в съответствие с точки 8.2 и 8.3. Да прилага натрупания собствен опит в сигурността и извлечените поуки от опита на други организации.

 

с) Да съобщава за действията и подобренията на всички заинтересовани страни, като степента на разкриваните детайли зависи от обстоятелствата и където е уместно, постигане на споразумение как да се продължи.

4.3. Изисквания към документацията

с)      описание на методиката за преценяване на риска (виж точка 4.2.1.с));

е)      доклад за преценяване на риска (виж точка 4.2.1.с) до (виж точка 4.2.1.д));

            f)   план за въздействие върху риска  

 

5.1. Ангажимент на ръководството

 

f) определяне на критерии за приeмане на рискове и приемливо ниво на риск.