вимог цього стандарту керування ризиками складається з 4-х етапів:
1) визначення критеріїв;
2) аналіз ризиків;
3) обробка ризиків;
4) прийняття ризиків.
Кінцевою метою керування ризиком є мінімізація ризику. Мета мінімізації ризику полягає в тому, що застосування ефективних заходів захисту призводить до прийняття залишкового ризику.
Мінімізація ризику складається з трьох частин:
– визначення областей, де ризик неприйнятний;
– вибір ефективних заходів захисту;
– оцінювання заходів захисту та визначення прийнятності залишкового ризику.
2.1. Визначення критеріїв
На цьому етапі використовуються дані обстеження всіх середовищ ІТС з метою визначення того, які інформаційні та технічні ресурси зі складу ІТС і з якою детальністю повинні розглядатися в процесі керування ризиком. Крім того, необхідно розробити критерії оцінки ризиків, впливу на активи та прийняття ризиків.
Критерії оцінки ризику повинні розроблятися, враховуючи наступне:
– стратегічна цінність обробки інформації;
– критичність інформаційних активів;
– нормативно-правові вимоги та договірні зобов'язання;
– важливість доступності, конфіденційності та цілісності інформації.
Крім того, критерії оцінки ризиків можуть використовуватися також для визначення пріоритетів для обробки ризиків.
Критерії впливу повинні розроблятися, виходячи з міри збитку, враховуючи наступне:
– цінність інформаційного активу, на який виявлений вплив;
– порушення властивості інформації (втрата конфіденційності, цілісності або доступності);
– погіршення бізнес-операції;
– втрата цінності бізнесу та фінансової цінності;
– порушення планів і кінцевих термінів;
– збиток для репутації;
– порушення нормативно-правових вимог або договірних зобов'язань.
Критерії прийняття ризику повинні встановлюватися з урахуванням:
– критеріїв якості бізнес-процесів;
– нормативно-правових і договірних аспектів;
– операцій;
– технологій;
– фінансів;
– соціальних і гуманітарних чинників.
При розробці критеріїв прийняття ризику слід враховувати, що вони можуть:
– включати багато порогових значень з бажаним рівнем ризику, але за умови, що при певних обставинах керівництво прийматиме риски, що знаходяться вище вказаного рівня;
– визначатися як кількісне співвідношення оціненої вигоди до оціненого ризику для бізнесу;
– включати вимоги для майбутньої додаткової обробки, наприклад, ризик може бути прийнятий, якщо є згода на дії щодо його зниження до прийнятного рівня у рамках певного періоду часу.
2.2. Аналіз ризиків складається з таких заходів:
– ідентифікація ризиків;
– вимірювання ризиків;
– оцінювання