Материал: Sb96058
10. Правила обработки рисков
Снижение |
Правила |
Принятие |
|
риска |
риска |
||
обработки рисков |
|||
Передача |
Избежание |
||
|
|||
риска |
|
риска |
Результаты оценки рисков используютсяв качестве исходных данных при принятии решений по обработке рисков. Возможны следующие способы обработки рисков
После оценивания рисков комиссией должны быть сформированыпредложения по выбору способовобработкирисков
Решение о принятии/непринятии выбранных способов обработкирисков принимает руководитель компании
Факторами, которые могут оказывать влияние на процесс принятия решения, являются
Существующие |
Доступные ресурсы |
Возможность |
деловые |
(финансовые, материальные, |
реализации |
приоритеты |
человеческие и т. д.) |
защитных мер |
Снижение уровня риска заключается в подборе ивнедрении соответствующих защитных мер, позволяющих уменьшить величину риска до приемлемого уровня. Привыборе защитных мер необходимо учитывать стоимость их приобретения, разработки, внедрения, а также соотношение полученного
значения с величиной возможного ущерба врезультате реализации угрозы. Следует учитывать совместимость планируемых
к внедрению и уже используемых защитных мер, а также защитных мер, направленных на снижение других выявленных рисков
В ходе оценки своих возможностей при выборе защитных мер необходимо обратить внимание на
|
Наличие |
Наличие |
|
|
|
и возможность |
Наличие времени |
||
Наличие |
и возможность |
|||
использования |
на организацию |
|||
специалистов |
использования |
|||
технических |
и реализацию |
|||
по защите |
сертифицированных |
|||
средств и систем |
организационных |
|||
и контролю БИ, их |
технических средств |
|||
контроля |
и технических |
|||
профессиональную |
и систем защиты |
|||
эффективности |
мероприятий |
|||
подготовку |
конфиденциальной |
|||
мероприятий |
защиты |
|||
|
информации |
|||
|
защиты |
|
||
|
|
|
||
|
|
|||
Анализ и оценку реальных условийреализациимероприятий защиты |
||||
Передача риска третьей стороне может быть выбрана в случае, если сложно уменьшить 
риск до приемлемого уровня или контролировать его либо передача этого риска
экономическиболее оправдана
Избежание риска связано с отказом от использования объектовзащиты, в результате чего риск полностью исключается
16
11. Правила оценки остаточных рисков
После реализации решений по обработке рисков должна быть проведена оценка остаточных рисков
Оценка остаточных рисковосновывается как на результатах оценки рисков, так и на результатах обработки рисков. Правила определения величины остаточных рисков
аналогичны правилам анализа рисков
В случае если оценочная величина остаточного риска превышает приемлемый уровень риска, выбирается один из способовобработки рисков
всоответствиис правилами обработкирисков
Вцелом второй этаппланирования заканчивается подготовкой исходных данных для принятия решения
по организации защиты иконтроля БИ
17
12. Принятие решения по организации защиты |
|||||||
|
и контроля безопасности информации |
|
|||||
|
|
|
|
3-й этап |
|
|
|
|
|
Принятие решения |
|
|
|
||
|
|
по организации защиты |
|
|
|||
|
|
и контроля БИ |
|
|
|
||
|
|
Результатах |
|
|
|
|
|
|
идентификации |
|
|
|
|
|
|
|
организационных |
|
Перечне объектов, |
||||
|
и технических |
|
подлежащих защите |
||||
|
мероприятий |
|
|
|
|
|
|
|
|
защиты |
|
|
|
|
|
Приемлемости |
Для принятия решения |
|
Уровнях |
||||
рисков |
|
критичности ОЗ |
|||||
|
по организации защиты |
||||||
|
|
|
|
||||
|
|
|
|
и контроля |
|
|
|
|
|
|
безопасности |
|
|
|
|
|
|
информации должно |
|
|
|||
|
|
|
|
быть четкое |
|
|
|
|
|
представление |
|
|
|
||
Уровнях риска |
о следующих исходных |
|
Уровнях |
||||
|
|
данных |
|
|
|||
|
|
|
уязвимости ОЗ |
||||
|
|
|
|
|
|
||
|
|
Уровнях |
|
|
Уровнях |
|
|
|
|
|
|
вероятности |
|
||
|
возможного ущерба |
|
|
||||
|
реализации угроз |
|
|||||
|
|
|
|
|
|||
Решение оформляется в виде документа, которыйназывается |
|||||||
|
«План защитыи контроля безопасности информации» |
||||||
|
|
|
|
18 |
|
|
|
|
|
|
13. Разработка плана защиты и контроля безопасности информации |
|
|||
|
|
|
|
План защиты и контроляБИ состоитиз двух частей – |
|
||
|
|
|
|
пояснительной записки и графической части (прил. 8) |
|
||
|
|
|
Пояснительная |
|
Графическая |
||
|
записка включает |
|
часть включает |
||||
|
Цель защиты |
|
|
Основные задачизащиты |
План размещения ОЗ |
|
|
|
и контроля БИ |
|
|
|
и контроля |
|
|
|
|
|
|
(объекты ТСОИ, объекты |
Границу |
||
|
|
|
|
|
|
||
|
Планируемые |
|
|
|
|
ВТ, выделенные |
контролируемой зоны |
|
|
|
Объекты защиты |
помещения) |
|
||
|
мероприятия защиты |
|
|
||||
|
|
и контроля |
|
|
|||
|
и контроля |
|
|
|
|
|
|
|
|
|
|
|
Провода, кабели |
Размещение подстанции |
|
|
|
|
|
|
|
||
19 |
Ответственный |
|
|
|
и трубопроводы, |
электропитания |
|
|
Срокисполнения |
выходящие за пределы |
относительно |
||||
|
|
||||||
|
исполнитель |
|
|
||||
|
|
|
|
|
контролируемой зоны |
контролируемой зоны |
|
|
|
|
|
|
|
||
|
Привлекаемые силы |
|
Размещение устройства |
||||
|
|
и средства защиты |
|
заземления относительно |
|||
|
|
|
|
и контроля |
|
контролируемой зоны |
|
|
Пояснительная записка состоит |
Планируемые мероприятия защитного ресурса (организационные |
|||||
|
|
|
из трех разделов |
|
и технические) в своейсовокупностидолжныкомплексно обеспечивать защиту |
||
|
|
|
|
|
|
и контроль БИ. Вразработке мероприятийзащиты иконтроляБИ |
|
|
Обеспечение |
|
|
Обеспечение |
Обеспечение |
вышеперечисленных разделов плана должныучаствовать должностные лица |
|
|
|
|
(штатные инештатные), ответственные за обеспечение БИсогласно своим |
||||
|
конфиденциальности |
|
|
целостности |
доступа |
||
|
|
|
функциональным обязанностям. Перед утверждением плана целесообразно |
||||
|
информации |
|
|
информации |
к информации |
||
|
|
|
провестиего согласование с должностными лицами, |
||||
|
|
|
|
|
|
||
|
|
|
|
|
|
чьи подчиненные будут привлекаться креализации |
|
|
|
|
|
|
|
запланированных мероприятий |
|
|
|
|
|
|
|
19 |
|
14. Постановка задач, оказание помощи, контроль исполнения запланированных мероприятий и оценка их эффективности
4-й этап
Постановка задач
После утверждения плана защиты и контроля БИ осуществляется постановка задач на реализацию мероприятий защиты. Задачи могут ставиться устно либо письменно, в виде выписок из плана
с представлением ответственным исполнителям под роспись
5-й этап
Оказание помощи
На данном этапе решается, кому, когда, какая и вкаком объеме должна быть оказана помощь
6-й этап
Контроль исполнения запланированных мероприятий и оценка их эффективности
20