Содержание:
План обработки рисков нарушений информационной безопасности.
Общие положения
Настоящий План разработан в соответствии с требованиями рекомендаций в области стандартизации информационной безопасности.
Риск информационной безопасности — риск прямых или косвенных потерь в результате несоблюдения работниками организации установленных порядков и процедур обеспечения информационной безопасности, сбоев и отказов в функционировании информационных систем и оборудования, случайных или преднамеренных действий физических или юридических лиц, направленных против интересов организации.
Обработка риска нарушения информационной безопасности это процесс выбора и осуществления защитных мер, снижающих риск нарушения информационной безопасности, или мер по переносу, принятию или уходу от риска.
План определяет необходимые действия и процедуры, которым должна следовать организация при обработке рисков информационной безопасности.
Обработка рисков информационной безопасности
2.1. Степень влияния риска информационной безопасности
В зависимости от степени влияния риска информационной безопасности на финансовый результат деятельности организации различают следующие уровни рисков информационной безопасности:
- минимальный риск: финансовые потери отсутствуют или незначительны, нарушение информационной структуры локализовано в пределах автоматизированного рабочего места и не приводит к приостановке деятельности организации, время восстановления до одного часа;
- средний риск: финансовые потери незначительны, нарушение значительной части информационной структуры и приостановка деятельности организации, время восстановления до трех часов, финансовые затраты на восстановление незначительны;
- высокий риск: финансовые потери значительны, нарушение всей информационной структуры и приостановка деятельности организации, время восстановления до одних суток, финансовые затраты на восстановление средние;
- критический риск: критические финансовые потери, нарушение всей информационной структуры, время восстановления до нескольких недель, финансовые затраты на восстановление средние.
2.2. Способы обработки риска
2.2.1. Снижение риска
Действие: Уровень риска должен быть снижен посредством выбора средств защиты и контроля так, чтобы остаточный риск мог быть повторно оценен как допустимый.
Руководство по реализации: Должны быть выбраны соответствующие и обоснованные средства защиты и контроля для того, чтобы удовлетворять требованиям, идентифицированным с помощью оценки риска и процесса обработки риска. Такой выбор должен учитывать критерии принятия рисков, а также правовые, регулирующие и договорные требования. Этот выбор должен также принимать в расчет стоимость и период реализации средств защиты и контроля или технические аспекты и аспекты среды. Средства защиты и контроля могут обеспечивать один или несколько из следующих видов защиты: исправление, исключение, предупреждение, уменьшение влияния, сдерживание, обнаружение, восстановление, мониторинг и информированность.
Во время выбора средств защиты и контроля важно «взвешивать» стоимость приобретения, реализации, администрирования, функционирования, мониторинга и поддержки средств по отношению к ценности защищаемых активов.
Ограничениями при реализации способа «Снижение риска» являются:
- временные ограничения;
- финансовые ограничения;
- технические ограничения;
- операционные ограничения;
- юридические ограничения;
- простота использования;
- кадровые ограничения;
- ограничения, касающиеся интеграции новых и существующих средств контроля.
2.2.2. Сохранение риска
Действие: Решение сохранить риск, не предпринимая дальнейшего действия в зависимости от оценивания риска.
Руководство по реализации: Если уровень риска соответствует критериям принятия риска, то нет необходимости реализовывать дополнительные средства защиты и контроля и риск может быть сохранен.
2.2.3. Предотвращение риска
Действие: Следует отказаться от деятельности или условия, вызывающего конкретный риск.
Руководство по реализации: Когда идентифицированные риски являются высокими или критическими, а расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение о полном предотвращении риска путем прекращения программы или отказа от планируемой или существующей деятельности, или совокупности действий или изменения условий, при которых проводится деятельность (действия).
2.2.4. Перенос риска
Действие: Риск должен быть передан (перенесен) стороне, которая может наиболее эффективно осуществлять менеджмент конкретного риска.
Руководство по реализации: Перенос риска включает в себя решение разделить определенные риски с внешними сторонами.
Перенос может быть осуществлен:
- страхованием, которое будет поддерживать последствия;
- с помощью заключения договора субподряда (аутсорсинга) с «партнером», чья роль будет заключаться в проведении мониторинга информационной системы и осуществлении немедленных действий по прекращению атаки, прежде чем она приведет к определенному уровню ущерба.
2.2.5. Принятие риска информационной безопасности
Входные данные: План обработки риска и оценка остаточного риска является объектом решения руководства организации о принятии риска.
Действие: Должно быть принято и формально зарегистрировано решение о принятии рисков и ответственности за это решение.
Руководство по реализации: Критерии принятия риска могут быть более многогранным аспектом, чем просто определение того, находится ли остаточный риск выше или ниже единого порогового значения.
В некоторых случаях уровень остаточного риска может не соответствовать критериям принятия риска, поскольку применяемые критерии не учитывают превалирующие обстоятельства. Например, может быть доказано, что необходимо принимать риски по причине выгод, связанных с рисками, которые могут быть очень привлекательными, или потому, что расходы, связанные со снижением риска, очень высоки. Не всегда возможно пересмотреть критерии принятия риска своевременно. В таких случаях лица, принимающие решения обязаны принять риски, которые не соответствуют стандартным критериям принятия. Если это необходимо, лицо, принимающее решение, должно явным образом прокомментировать риски и включить обоснование для решения, превышающего стандартный критерий принятия рисков.
Выходные данные: Перечень принятых рисков с обоснованием тех рисков, которые не соответствуют стандартным критериям принятия риска организации.
2.2.6. Коммуникация риска информационной безопасности
Входные данные: Вся информация о рисках, полученная в результате действий по менеджменту риска.
Действие: Принимающие решение лица и другие причастные стороны должны обмениваться и/или совместно использовать информацию о риске.
Руководство по реализации: Коммуникация риска представляет собой деятельность, связанную с достижением соглашения о том, как осуществлять менеджмент рисков путем обмена и/или совместного использования информации о риске между лицами, принимающими решения, и другими причастными сторонами (например, заключение соглашений с другими причастными сторонами о возможности отзыва (замены, исправления) ошибочной информации в приемлемый промежуток времени).
Эффективная коммуникация между причастными сторонами имеет большое значение, поскольку она может оказывать существенное влияние на решения, которые должны быть приняты. Коммуникация будет обеспечивать уверенность в том, что лица, отвечающие за осуществление менеджмента риска, и лица, относящиеся к заинтересованным кругам, понимают основу, на которой принимаются решения, и причины необходимости определенных действий. Коммуникация является двунаправленной.
Выходные данные: Постоянное понимание процесса менеджмента риска информационной безопасности организации.
Распределение ролей по реализации плана обработки рисков
3.1. Руководство организации:
- определяет правила и процедуры управления рисками;
- рассматривает и принимает решения по вопросам повышения безопасности организации и его клиентов;
- оценивает риски, влияющие на достижение поставленных целей, и принимает меры, обеспечивающие реагирование на меняющиеся обстоятельства и условия в целях обеспечения эффективности оценки рисков;
- определяет организационно – штатную структуру организации.
3.2. Департамент экономической безопасности:
- участвует в разработке и апробации методик оценки риска информационной безопасности;
- проводит мониторинг, анализ и оценку рисков информационной безопасности;
- участвует в подготовке информации о результатах мониторинга риска информационной безопасности в составе операционного риска;
- готовит предложения по коррекции методики оценки рисков информационной безопасности;
- готовит предложения по разработке и внедрению мер, процедур, механизмов и технологий по ограничению и снижению рисков информационной безопасности;
- участвует в реализации (внедрении) защитных мер;
- осуществляет контроль реализованных защитных мер;
- разрабатывает внутренние положения организации по рискам информационной безопасности.
3.3. Управление по анализу и контролю за рисками:
- осуществляет сбор и введение в аналитическую базу данных информации о состоянии риска информационной безопасности в составе операционного риска;
- проводит оценку операционного риска;
- осуществляет контроль за соблюдением установленных лимитов показателей, используемых для мониторинга операционного риска;
- регулярно представляет Комитету по рискам отчеты;
- осуществляет разработку и внедрение мер, процедур, механизмов и технологий по ограничению и снижению операционного риска.
3.4. Работник организации:
- оказывает содействие в проведении мониторинга, анализа и оценки рисков информационной безопасности;
- докладывает непосредственному начальнику о выявленных факторах рисков информационной безопасности.
Заключение
Настоящий План является примерным и в каждом конкретном случае должен учитывать особенности текущей ситуации.
Скачать ZIP файл (22660)
Пригодились документы — поставь «лайк» или поддержи сайт материально:
Где делают это УКП-66, для кого, как будто ни у кого оно не работает. В паспорте про Марий Эл пишут (Столица Йошкар-Ола). Для кого делается устройство для какой страны?
Действительно?
Пасиб. скачал