Новая редакция ISO 27001: свежий взгляд на оценку рисков информационной безопасности?

Александр Дорофеев, CISSP, CISM, CISA, директор по развитию, НПО «Эшелон» Осенью 2013 г. вышла новая версия стандарта ISO 27001, которая с октября 2015 г. полностью заменит предыдущую версию – ISO/IEC 27001:2005. С выходом новой редакции в среде экспертов разгорелись споры относительно того, что требования к процессу оценки рисков в новом стандарте стали более обобщенными, а о некоторых ключевых элементах этого важного процесса разработчики стандарта и вовсе позабыли. Попробуем разобраться в «новых» требованиях новой редакции стандарта. Прежде чем погружаться в процесс оценки рисков, вспомним основные понятия из данной области. Риск определяется как воздействие неопределенности на достижение поставленных целей и зачастую рассматривается как комбинация вероятности события и его последствий[1]. Под оценкой рисков (risk assessment) понимается процесс, включающий в себя идентификацию рисков (risk identification), анализ рисков (risk analysis) и оценивания рисков (risk evaluation)[2]. Все три составляющие раскрываются в стандарте ISO/IEC 27001:2013 и будут рассмотрены ниже. Важно помнить и про так называемую обработку рисков (risk treatment), которая представляет собой выбор одной из следующих четырех опций: минимизация (внедрение контрмер), принятие (согласие), передача (страхование, аутсорсинг) и избежание (изменение процесса так, чтобы риск перестал быть актуальным). В большинстве случаев выбирается вариант минимизации, влекущий за собой внедрение организационных, технических и физических мер. Идеология управления рисками также подразумевает, что […]


Полная версия доступна только зарегистрированным пользователям !








 

ИД «Connect» © 2015-2016

Использование и копирование информации сайта www.connect-wit.ru возможно только с письменного разрешения редакции.

Техподдержка и обслуживание Роман Заргаров


Яндекс.Метрика
Яндекс.Метрика