План обработки рисков нарушений информационной безопасности.

1. Общие положения

Настоящий План разработан в соответствии с требованиями рекомендаций в области стандартизации информационной безопасности.

Риск информационной безопасности — риск прямых или косвенных потерь в результате несоблюдения работниками организации установленных порядков и процедур обеспечения информационной безопасности, сбоев и отказов в функционировании информационных систем и оборудования, случайных или преднамеренных действий физических или юридических лиц, направленных против интересов организации.

Обработка риска нарушения информационной безопасности это процесс выбора и осуществления защитных мер, снижающих риск нарушения информационной безопасности, или мер по переносу, принятию или уходу от риска.

План определяет необходимые действия и процедуры, которым должна следовать организация при обработке рисков информационной безопасности.

2. Обработка рисков информационной безопасности
   

2.1. Степень влияния риска информационной безопасности

В зависимости от степени влияния риска информационной безопасности на финансовый результат деятельности организации различают следующие уровни рисков информационной безопасности:

• минимальный риск: финансовые потери отсутствуют или незначительны, нарушение информационной структуры локализовано в пределах автоматизированного рабочего места и не приводит к приостановке деятельности организации, время восстановления до одного часа;
• средний риск: финансовые потери незначительны, нарушение значительной части информационной структуры и приостановка деятельности организации, время восстановления до трех часов, финансовые затраты на восстановление незначительны;
• высокий риск: финансовые потери значительны, нарушение всей информационной структуры и приостановка деятельности организации, время восстановления до одних суток, финансовые затраты на восстановление средние;
• критический риск: критические финансовые потери, нарушение всей информационной структуры, время восстановления до нескольких недель, финансовые затраты на восстановление средние.

2.2. Способы обработки риска

2.2.1. Снижение риска

Действие: Уровень риска должен быть снижен посредством выбора средств защиты и контроля так, чтобы остаточный риск мог быть повторно оценен как допустимый.

Руководство по реализации: Должны быть выбраны соответствующие и обоснованные средства защиты и контроля для того, чтобы удовлетворять требованиям, идентифицированным с помощью оценки риска и процесса обработки риска. Такой выбор должен учитывать критерии принятия рисков, а также правовые, регулирующие и договорные требования. Этот выбор должен также принимать в расчет стоимость и период реализации средств защиты и контроля или технические аспекты и аспекты среды. Средства защиты и контроля могут обеспечивать один или несколько из следующих видов защиты: исправление, исключение, предупреждение, уменьшение влияния, сдерживание, обнаружение, восстановление, мониторинг и информированность.

Во время выбора средств защиты и контроля важно «взвешивать» стоимость приобретения, реализации, администрирования, функционирования, мониторинга и поддержки средств по отношению к ценности защищаемых активов.

Ограничениями при реализации способа «Снижение риска» являются:

• временные ограничения;
• финансовые ограничения;
• технические ограничения;
• операционные ограничения;
• юридические ограничения;
• простота использования;
• кадровые ограничения;
• ограничения, касающиеся интеграции новых и существующих средств контроля.

2.2.2. Сохранение риска

Действие: Решение сохранить риск, не предпринимая дальнейшего действия в зависимости от оценивания риска.

Руководство по реализации: Если уровень риска соответствует критериям принятия риска, то нет необходимости реализовывать дополнительные средства защиты и контроля и риск может быть сохранен.

2.2.3. Предотвращение риска

Действие: Следует отказаться от деятельности или условия, вызывающего конкретный риск.
Руководство по реализации: Когда идентифицированные риски являются высокими или критическими, а расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение о полном предотвращении риска путем прекращения программы или отказа от планируемой или существующей деятельности, или совокупности действий или изменения условий, при которых проводится деятельность (действия).

2.2.4. Перенос риска

Действие: Риск должен быть передан (перенесен) стороне, которая может наиболее эффективно осуществлять менеджмент конкретного риска.
Руководство по реализации:  Перенос риска включает в себя решение разделить определенные риски с внешними сторонами.

Перенос может быть осуществлен:

• страхованием, которое будет поддерживать последствия;
• с помощью заключения договора субподряда (аутсорсинга) с «партнером», чья роль будет заключаться в проведении мониторинга информационной системы и осуществлении немедленных действий по прекращению атаки, прежде чем она приведет к определенному уровню ущерба.

2.2.5. Принятие риска информационной безопасности

Входные данные: План обработки риска и оценка остаточного риска является объектом решения руководства организации о принятии риска.

Действие: Должно быть принято и формально зарегистрировано решение о принятии рисков и ответственности за это решение.

Руководство по реализации: Критерии принятия риска могут быть более многогранным аспектом, чем просто определение того, находится ли остаточный риск выше или ниже единого порогового значения.

В некоторых случаях уровень остаточного риска может не соответствовать критериям принятия риска, поскольку применяемые критерии не учитывают превалирующие обстоятельства. Например, может быть доказано, что необходимо принимать риски по причине выгод, связанных с рисками, которые могут быть очень привлекательными, или потому, что расходы, связанные со снижением риска, очень высоки. Не всегда возможно пересмотреть критерии принятия риска своевременно. В таких случаях лица, принимающие решения обязаны принять риски, которые не соответствуют стандартным критериям принятия. Если это необходимо, лицо, принимающее решение, должно явным образом прокомментировать риски и включить обоснование для решения, превышающего стандартный критерий принятия рисков.

Выходные данные: Перечень принятых рисков с обоснованием тех рисков, которые не соответствуют стандартным критериям принятия риска организации.

2.2.6. Коммуникация риска информационной безопасности

Входные данные: Вся информация о рисках, полученная в результате действий по менеджменту риска.

Действие: Принимающие решение лица и другие причастные стороны должны обмениваться и/или совместно использовать информацию о риске.
Руководство по реализации: Коммуникация риска представляет собой деятельность, связанную с достижением соглашения о том, как осуществлять менеджмент рисков путем обмена и/или совместного использования информации о риске между лицами, принимающими решения, и другими причастными сторонами (например, заключение соглашений с другими причастными сторонами о возможности отзыва (замены, исправления) ошибочной информации в приемлемый промежуток времени).
Эффективная коммуникация между причастными сторонами имеет большое значение, поскольку она может оказывать существенное влияние на решения, которые должны быть приняты. Коммуникация будет обеспечивать уверенность в том, что лица, отвечающие за осуществление менеджмента риска, и лица, относящиеся к заинтересованным кругам, понимают основу, на которой принимаются решения, и причины необходимости определенных действий. Коммуникация является двунаправленной.
Выходные данные: Постоянное понимание процесса менеджмента риска информационной безопасности организации.

3. Распределение ролей по реализации плана обработки рисков

3.1. Руководство организации:

• определяет правила и процедуры управления рисками;
• рассматривает и принимает решения по вопросам повышения безопасности организации и его клиентов;
• оценивает риски, влияющие на достижение поставленных целей, и принимает меры, обеспечивающие реагирование на меняющиеся обстоятельства и условия в целях обеспечения эффективности оценки рисков;
• определяет организационно – штатную структуру организации.

3.2. Департамент экономической безопасности:

• участвует в разработке и апробации методик оценки риска информационной безопасности;
• проводит мониторинг, анализ и оценку рисков информационной безопасности;
• участвует в подготовке информации о результатах мониторинга риска информационной безопасности в составе операционного риска;
• готовит предложения по коррекции методики оценки рисков информационной безопасности;
• готовит предложения по разработке и внедрению мер, процедур, механизмов и технологий по ограничению и снижению рисков информационной безопасности;
• участвует в реализации (внедрении) защитных мер;
• осуществляет контроль реализованных защитных мер;
• разрабатывает внутренние положения организации по рискам информационной безопасности.

3.3. Управление по анализу и контролю за рисками:

• осуществляет сбор и введение в аналитическую базу данных информации о состоянии риска информационной безопасности в составе операционного риска;
• проводит оценку операционного риска;
• осуществляет контроль за соблюдением установленных лимитов показателей, используемых для мониторинга операционного риска;
• регулярно представляет Комитету по рискам отчеты;
• осуществляет разработку и внедрение мер, процедур, механизмов и технологий по ограничению и снижению операционного риска.

3.4. Работник организации:

• оказывает содействие в проведении мониторинга, анализа и оценки рисков информационной безопасности;
• докладывает непосредственному начальнику о выявленных факторах рисков информационной безопасности.

4. Заключение

Настоящий План является примерным и в каждом конкретном случае должен учитывать особенности текущей ситуации.

Скачать ZIP файл (22660)

Пригодились документы — поставь «лайк» или поддержи сайт материально: