Присоединяйтесь!
Зарегистрированных пользователей портала: 506 280. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ. МЕНЕДЖМЕНТ РИСКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. ГОСТ Р ИСО/МЭК 27005-2010" (утв. Приказом Росстандарта от 30.11.2010 N 632-ст)

Дата документа30.11.2010
Статус документаДействует
МеткиПриказ · Гост · Стандарт · Гост р · Исо/мэк

    

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

 

Информационная технология

 

МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ

 

Менеджмент риска информационной безопасности

 

Information technology. Security techniques. Information security risk management

 

ГОСТ Р ИСО/МЭК 27005-2010

 

ОКС 35.040

 

Дата введения 2011-12-01

 

Предисловие

 
    Цели и принципы стандартизации в Российской Федерации установлены Федеральным законом от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании", а правила применения национальных стандартов Российской Федерации - ГОСТ Р 1.0-2004 "Стандартизация в Российской Федерации. Основные положения".
 

Сведения о стандарте

 
    1. ПОДГОТОВЛЕН Обществом с ограниченной ответственностью "Научно-производственная фирма "Кристалл" (ООО "НПФ "Кристалл"), Федеральным государственным учреждением "Государственный научно-исследовательский испытательный институт проблем технической защиты информации Федеральной службы по техническому и экспортному контролю" (ФГУ "ГНИИИ ПТЗИ ФСТЭК России") на основе собственного аутентичного перевода международного стандарта, указанного в пункте 4.
    2. ВНЕСЕН Управлением технического регулирования и стандартизации Федерального агентства по техническому регулированию и метрологии.
    3. УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 ноября 2010 г. N 632-ст.
    4. Настоящий стандарт идентичен международному стандарту ИСО/МЭК 27005:2008 "Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности" (ISO/IEC 27005:2008 "Information technology - Security techniques - Information security risk management").
    Наименование настоящего стандарта изменено относительно наименования указанного международного стандарта для приведения в соответствие с ГОСТ Р 1.5 (пункт 3.6).
    При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА.
    5. ВЗАМЕН ГОСТ Р ИСО/МЭК ТО 13335-3-2007 и ГОСТ Р ИСО/МЭК ТО 13335-4-2007.
    Информация об изменениях к настоящему стандарту публикуется в ежегодно издаваемом информационном указателе "Национальные стандарты", а текст изменений и поправок - в ежемесячно издаваемых информационных указателях "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ежемесячно издаваемом информационном указателе "Национальные стандарты". Соответствующая информация, уведомления и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет.
 

Введение

 
    Настоящий стандарт представляет руководство по менеджменту риска информационной безопасности (ИБ) в организации, поддерживая, в частности, требования к системе менеджмента информационной безопасности (СМИБ) в соответствии с ИСО/МЭК 27001. Однако настоящий стандарт не предоставляет какой-либо конкретной методологии по менеджменту риска информационной безопасности. Выбор подхода к менеджменту риска осуществляется организацией и зависит, например, от области применения СМИБ, контекста менеджмента риска или сферы деятельности. Ряд существующих методологий может использоваться в рамках структуры, описанной в настоящем стандарте для реализации требований СМИБ.
    Настоящий стандарт предназначен для руководителей и персонала, занимающегося в организации вопросами менеджмента риска информационной безопасности, а также, при необходимости, для внешних сторон, имеющих отношение к этому виду деятельности.
 

1. Область применения

 
    Настоящий стандарт представляет руководство по менеджменту риска информационной безопасности.
    Настоящий стандарт поддерживает общие концепции, определенные в ИСО/МЭК 27001, и предназначен для содействия адекватного обеспечения информационной безопасности на основе подхода, связанного с менеджментом риска.
    Знание концепций, моделей, процессов и терминологии, изложенных в ИСО/МЭК 27001 и ИСО/МЭК 27002, важно для полного понимания настоящего стандарта.
    Настоящий стандарт применим для организаций всех типов (например, коммерческих предприятий, государственных учреждений, некоммерческих организаций), планирующих осуществлять менеджмент рисков, которые могут скомпрометировать информационную безопасность организации.
 

2. Нормативные ссылки

 
    В настоящем стандарте использованы нормативные ссылки на следующие стандарты:
    ИСО/МЭК 27001:2005 Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования (ISO/IEC 27001:2005, Information technology - Security techniques - Information security management systems - Requirements)
    ИСО/МЭК 27002:2005 Информационная технология. Методы и средства обеспечения безопасности. Свод правил по менеджменту информационной безопасности (ISO/IEC 27002:2005, Information technology - Security techniques - Code of practice information security management)
 
    Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году. Если ссылочный стандарт заменен (изменен), то при пользовании настоящим стандартом следует руководствоваться заменяющим (измененным) стандартом. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, применяется в части, не затрагивающей эту ссылку.
 

3. Термины и определения

 
    В настоящем стандарте применены термины по ИСО/МЭК 27001, ИСО/МЭК 27002, а также следующие термины с соответствующими определениями:
    3.1. влияние (impact): Неблагоприятное изменение уровня достигнутых бизнес-целей.
    3.2. риск информационной безопасности (information security risk): Возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации.
 
    Примечание - Он измеряется исходя из комбинации вероятности события и его последствия.
 
    3.3. предотвращение риска (risk avoidance): Решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее.
    [ИСО/МЭК Руководство 73:2002] <*>
    


    <*> В Российской Федерации действует ГОСТ Р 51897.
 
    3.4. коммуникация риска (risk communication): Обмен информацией о риске или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами.
    [ИСО/МЭК Руководство 73:2002]
    3.5. количественная оценка риска (risk estimation): Процесс присвоения значений вероятности и последствий риска.
    [ИСО/МЭК Руководство 73:2002]
 
    Примечания
    1. В контексте данного национального стандарта количественная оценка риска рассматривается как деятельность (activity), а не как процесс (process).
    2. В контексте данного национального стандарта применительно к количественной оценке риска вместо термина "возможность, вероятность" (probability) используется термин "вероятность" (likelihood).
 
    3.6. идентификация риска (risk identification): Процесс нахождения, составления перечня и описания элементов риска.
    [ИСО/МЭК Руководство 73:2002]
 
    Примечание - В контексте данного национального стандарта применительно к идентификации риска вместо термина "процесс" (process) используется термин "деятельность" (activity).
 
    3.7. снижение риска (risk reduction): Действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском.
    [ИСО/МЭК Руководство 73:2002]
 
    Примечание - В контексте данного национального стандарта применительно к количественной оценке риска вместо термина "возможность, вероятность" (probability) используется термин "вероятность" (likelihood).
 
    3.8. сохранение риска (risk retention): Принятие бремени потерь или выгод от конкретного риска.
    [ИСО/МЭК Руководство 73:2002]
 
    Примечание - В контексте рисков ИБ применительно к сохранению риска рассматриваются только негативные последствия (потери).
 
    3.9. перенос риска (risk transfer): Разделение с другой стороной бремени потерь или выгод от риска.
    [ИСО/МЭК Руководство 73:2002]
 
    Примечание - В контексте рисков ИБ применительно к переносу риска рассматриваются только негативные последствия (потери).
 

4. Структура национального стандарта

 
    Настоящий стандарт содержит описание процесса менеджмента риска ИБ и связанных с ним видов деятельности.
    Предпосылки создания стандарта описаны в разделе 5.
    Обзор процесса менеджмента риска ИБ дается в разделе 6.
    Все виды деятельности, связанные с менеджментом риска ИБ, представленные в разделе 6, описываются далее в следующих разделах:
    - Установление контекста - в разделе 7.
    - Оценка риска - в разделе 8.
    - Обработка риска - в разделе 9.
    - Принятие риска - в разделе 10.
    - Коммуникация риска - в разделе 11.
    - Мониторинг и переоценка риска - в разделе 12.
    Дополнительная информация о видах деятельности, связанных с менеджментом риска ИБ, приведена в приложениях. Установлению контекста способствуют сведения из приложения А (определение области применения и границ процесса менеджмента риска ИБ). Определение и установление ценности активов и оценка влияния обсуждаются в приложении В (примеры, касающиеся активов), в приложении С приведены примеры типичных угроз и в приложении D - примеры типичных уязвимостей.
    Примеры подходов к оценке рисков ИБ представлены в приложении Е.
    Ограничения, касающиеся снижения риска, представлены в приложении F.
    Все виды деятельности, связанные с менеджментом риска, представленные в разделах 7-12, структурированы следующим образом:
    Входные данные. Определяется информация, необходимая для выполнения деятельности.
    Действие. Описывается деятельность.
    Руководство по реализации. Представляется руководство по выполнению действия. Некоторые рекомендации данных руководств могут не подходить ко всем случаям, поэтому могут быть более уместными иные варианты действий.
    Выходные данные. Описывается информация, полученная в результате выполнения деятельности.
 

5. Предпосылки создания стандарта

 
    Систематический подход к менеджменту риска ИБ необходим для того, чтобы идентифицировать потребности организации, касающиеся требований ИБ, и создать эффективную СМИБ. Этот подход должен соответствовать условиям деятельности организации и, в частности, должен быть согласован с общим менеджментом рисков в масштабе организации. Усилия по обеспечению безопасности должны обеспечивать эффективное и своевременное реагирование на риски там и тогда, где и когда это необходимо. Менеджмент риска ИБ должен быть неотъемлемой частью всех видов деятельности, связанных с менеджментом ИБ, и должен применяться как на этапе внедрения, так и в процессе повседневного использования СМИБ организации.
    Менеджмент риска ИБ должен быть непрерывным процессом. В рамках данного процесса следует устанавливать контекст, оценивать и обрабатывать риски, используя для реализации рекомендации и решения плана обработки рисков. До принятия решения о том, что и когда должно быть сделано для снижения риска до приемлемого уровня, в рамках менеджмента риска анализируется, что может произойти и какими могут быть возможные последствия.
    Менеджмент риска ИБ должен способствовать:
    - идентификации рисков;
    - оценке рисков, исходя из последствий их реализации для бизнеса и вероятности их возникновения;
    - осознанию и информированию о вероятности и последствиях рисков;
    - установлению приоритетов в рамках обработки рисков;
    - установлению приоритетов мероприятий по снижению имеющих место рисков;
    - привлечению причастных сторон к принятию решений о менеджменте риска и поддержанию их информированности о состоянии менеджмента риска;
    - эффективности проводимого мониторинга обработки рисков;
    - проведению регулярного мониторинга и пересмотра процесса менеджмента риска;
    - сбору информации для совершенствования менеджмента риска;
    - подготовке менеджеров и персонала по вопросам рисков и необходимых действий, предпринимаемых для их уменьшения.
    Процесс менеджмента риска ИБ может быть применен ко всей организации, к любой отдельной части организации (например, подразделению, филиалу, службе), к любой информационной системе, к имеющимся, планируемым или специфическим аспектам управления (например, к планированию непрерывности бизнеса).
 

6. Обзор процесса менеджмента риска информационной безопасности

 
    Процесс менеджмента риска ИБ состоит из установления контекста (раздел 7), оценки риска (раздел 8), обработки риска (раздел 9), принятия риска (раздел 10), коммуникаций риска (раздел 11), а также мониторинга и переоценки риска информационной безопасности (раздел 12).
    Как показано на рисунке 1, в процессе менеджмента риска ИБ процедуры оценки риска и/или обработки риска могут выполняться итеративно. Итеративный подход к проведению оценки риска может увеличить глубину и детализацию оценки при каждой последующей итерации. Итеративный подход позволяет сбалансированно затрачивать время и усилия на выбор мер и средств контроля и управления, в то же время по-прежнему обеспечивая соответствующую оценку высокоуровневых рисков.
 

 

Конец первой или последующих итераций

 

Рисунок 1 - Процесс менеджмента риска информационной безопасности

 
    Сначала устанавливается контекст, а затем проводится оценка риска. Если при этом удается получить достаточную информацию для эффективного определения действий, требуемых для снижения риска до приемлемого уровня, то задача выполнена, после чего следует обработка риска. Если информация является недостаточной, то проводится очередная итерация оценки риска в условиях пересмотренного контекста (например, критериев оценки рисков, критериев принятия рисков или критериев влияния), возможно в ограниченной части полной предметной области (см. рисунок 1, первая точка принятия решения).
    Эффективность обработки риска зависит от результатов оценки риска. Обработка риска может не обеспечить сразу же приемлемый уровень остаточного риска. В этой ситуации потребуется, если необходимо, еще одна итерация оценки риска с измененными параметрами контекста (например, критериев оценки риска, принятия риска и влияния), за которой последует очередная процедура обработки риска (см. рисунок 1, вторая точка принятия решения).
    Процедура принятия риска должна обеспечивать однозначное принятие остаточных рисков руководством организации. Это особенно важно в ситуации, когда корректирующие меры не предпринимаются или их принятие откладывается, например, из-за стоимости.
    В процессе менеджмента риска ИБ важно, чтобы о рисках и их обработке информировались соответствующие руководители и операционные сотрудники. Даже до обработки рисков информация об идентифицированных рисках может быть очень ценной для менеджмента инцидентов и может способствовать снижению потенциального ущерба. Осведомленность руководства и персонала о рисках, о характере мер и средств, применяемых для снижения рисков, и о проблемных областях в организации помогает максимально эффективно отреагировать на инциденты и непредвиденные события. Детализированные результаты каждого вида деятельности, входящего в процесс менеджмента риска ИБ, а также результаты, полученные из двух точек принятия решений о рисках, должны быть документированы.
    В ИСО/МЭК 27001 определяется, какие меры и средства, реализуемые в рамках области применения, границ и контекста СМИБ, должны выбираться и применяться с учетом риска. Применение процесса менеджмента риска ИБ дает возможность выполнить это требование. Существует много подходов, посредством которых этот процесс может быть успешно внедрен в организации. В каждом случае применения этого процесса организация должна использовать тот подход, который наилучшим образом соответствует конкретным обстоятельствам.
    В СМИБ установление контекста, оценка риска, разработка плана обработки риска и принятие риска являются частью фазы "планирование". В фазе "осуществление" СМИБ процедуры и меры, требуемые для снижения риска до приемлемого уровня, реализуются в соответствии с планом обработки риска. В фазе "проверка" СМИБ руководство определяет потребность в повторной оценке и обработке риска в свете инцидентов и изменившихся обстоятельств. В фазе "действие" осуществляются любые необходимые работы, включая дополнительное выполнение процесса менеджмента риска ИБ.
    В таблице 1 показана взаимосвязь процедур менеджмента риска с четырьмя фазами процесса СМИБ.
 

Таблица 1

 

Соотношение системы менеджмента информационной безопасности и процесса менеджмента риска информационной безопасности

 

Процесс СМИБПроцесс менеджмента риска ИБ
ПланированиеУстановление контекста
Оценка риска
Планирование обработки риска
Принятие риска
ОсуществлениеРеализация плана обработки риска
ПроверкаПроведение непрерывного мониторинга и переоценки рисков
ДействиеПоддержка и усовершенствование процесса менеджмента риска ИБ

 

7. Установление контекста

 

7.1. Общие положения

 
    Входные данные. Вся информация об организации, имеющая отношение к установлению контекста менеджмента риска ИБ.
    Действие. Должен быть установлен контекст менеджмента риска ИБ, что включает определение основных критериев, необходимых для менеджмента риска ИБ (в соответствии с 7.2), определение области применения и границ (в соответствии с 7.3), а также создание соответствующей организационной структуры, занимающейся менеджментом риска ИБ (в соответствии с 7.4).
    Руководство по реализации. Необходимо определить цель менеджмента риска ИБ, так как она влияет на общий процесс и на установление контекста в частности. Этой целью может быть:
    - поддержка СМИБ;
    - исполнение законодательно-нормативных требований и подтверждение проявленной организацией разумной предосторожности;
    - подготовка плана обеспечения непрерывности бизнеса;
    - подготовка плана реагирования на инциденты;
    - описание требований ИБ для продукта, услуги или механизма.
    Руководство по реализации для элементов установления контекста, необходимых для поддержки СМИБ, обсуждается в 7.2, 7.3 и 7.4.
 
    Примечание - В ИСО/МЭК 27001 не используется термин "контекст". Однако весь раздел 7 данного стандарта связан с требованиями "определение сферы действия и границ СМИБ" [см. 4.2.1, перечисление a)], "определение политики СМИБ" [см. 4.2.1, перечисление b)] и "определение подхода к оценке риска" [см. 4.2.1, перечисление с)], установленными в ИСО/МЭК 27001.
 
    Выходные данные. Спецификация основных критериев, сфера действия и границы, организационная структура для процесса менеджмента риска ИБ.
 

7.2. Основные критерии

 
    В зависимости от области применения, объекта и целей менеджмента риска могут применяться разные подходы. Подходы, используемые на каждой из итераций, могут также различаться. Должен быть выбран или разработан соответствующий подход к оценке риска, учитывающий основные критерии, каковыми являются: критерии оценки риска, критерии влияния, критерии принятия риска.
    Кроме того, организация должна оценивать, имеются ли необходимые ресурсы для:
    - выполнения оценки рисков и создания плана по обработке рисков;
    - определения и реализации политик и процедур, включая реализацию выбранных мер и средств контроля и управления;
    - мониторинга мер и средств контроля и управления;
    - мониторинга процесса менеджмента риска ИБ.
 
    Примечание - См. также ИСО/МЭК 27001 (пункт 5.2.1) относительно обеспечения ресурсов для реализации и функционирования СМИБ.
 

Критерии оценки рисков

 
    Должны быть разработаны критерии для оценки рисков информационной безопасности организации с учетом:
    - стратегической ценности обработки бизнес-информации;
    - критичности затронутых информационных активов;
    - законодательно-нормативных требований и договорных обязательств;
    - оперативного значения и значения для бизнеса доступности, конфиденциальности и целостности;
    - ожидания и реакции причастных сторон, а также негативных последствий для нематериальных активов и репутации.
    Кроме того, критерии оценки рисков могут использоваться для определения приоритетов при обработке рисков.
 

Критерии влияния

 
    Критерии влияния должны разрабатываться и определяться исходя из степени ущерба или величины расходов, понесенных организацией вследствие события, связанного с ИБ, с учетом:
    - уровня классификации информационного актива, на который оказывается влияние;
    - нарушения ИБ (например, утрата конфиденциальности, целостности и доступности);
    - нарушения оперативной деятельности (как собственной, так и третьих сторон);
    - потери ценности бизнеса и финансовой ценности;
    - нарушения планов и конечных сроков;
    - ущерба для репутации;
    - нарушения законодательных, нормативных или договорных требований.
 
    Примечание - См. также ИСО/МЭК 27001 [пункт 4.2.1, перечисление d) 4)] относительно определения критериев влияния возможной утраты конфиденциальности, целостности и доступности активов.
 

Критерии принятия риска

 
    Критерии принятия риска должны быть разработаны и определены.