– описание требований ИБ для продукта, услуги или механизма.

Выходные данные: Спецификация основных критериев, сфера действия и границы, структура для процесса управления рисками ИБ.

1.1. Основные критерии

Должны быть разработаны следующие критерии управления рисками ИБ:

– оценки риска;

– воздействия риска;

– принятия риска.

Дополнительно организация должна оценить, доступны ли необходимые ресурсы для:

– выполнения оценки риска и установления плана обработки риска;

– определения и осуществления политики и процедуры, включая реализацию управления рисками;

– контроля мониторинга;

– мониторинга процесса управления рисками.

Критерии оценки риска

При разработке критериев оценки рисков необходимо учитывать следующее:

– стратегическая ценность обработки бизнес-информации;

– критичность затрагиваемых информационных активов;

– нормативно-правовые требования и договорные обязательства;

– важность для бизнеса доступности, конфиденциальности и целостности информации.

Кроме того, критерии оценки рисков могут использоваться для определения приоритетов для обработки рисков.

Критерии воздействия

Критерии воздействия должны разрабатываться и определяться, исходя из степени ущерба от события ИБ, учитывая следующее:

– уровень классификации информационного актива, на который оказывается влияние;

– нарушения ИБ (например, потеря конфиденциальности, целостности или доступности);

– ухудшение бизнес-операции;

– потеря ценности бизнеса и финансовой ценности;

– нарушение планов и конечных сроков;

– ущерб для репутации;

– нарушение нормативно-правовых или договорных требований.

Критерии принятия риска

Организация должна определять собственную шкалу уровней принятия риска.

При разработке критериев принятия риска следует учитывать, что они могут:

– включать многие пороговые значения с желаемым уровнем риска, но при условии, что при определённых обстоятельствах руководство будет принимать риски, находящиеся выше указанного уровня;

– выражаться как количественное соотношение оценённой выгоды к оценённому риску для бизнеса;

– включать требования для будущей дополнительной обработки, например, риск может быть принят, если имеется согласие на действия по его снижению до приемлемого уровня в рамках определённого периода времени.

Критерии принятия риска должны устанавливаться с учётом:

– критериев бизнеса;

– правовых и регулирующих аспектов;

– операций;

– технологий;

– финансов;

– социальных и гуманитарных факторов.

1.2. Область применения и границы

Область применения процесса УИБ необходимо определять для обеспечения того, чтобы все значимые активы принимались в расчёт при оценке риска. Кроме того, необходимо определять границы для рассмотрения тех рисков, источники которых могут находиться за данными границами.

При определении области применения и границ должна учитываться следующая информация, касающаяся организации:

– стратегические цели бизнеса организации, стратегии и политики;

– процессы бизнеса;

– функции и структура организации;

– нормативно-правовые и договорные требования;

– политика ИБ;

– общий подход к управлению рисками;

– информационные активы;

– местоположение организации и географические характеристики;

– ограничения, влияющие на организацию;

– социальная и культурная среда.

Примерами области применения управления рисками ИБ могут быть ИТ-приложение, ИТ– инфраструктура, бизнес-процесс или определённая часть организации.

1.3. Организационная структура

Необходимо устанавить организационную структуру организации и обязанности ответственных лиц для процесса управления рисками ИБ.

Главными ролями и обязанностями в такой структуре являются: