СТ РК 34.029-2008
Информационная технология
Оценка и управление рисками
Содержание
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Основные положения
5. Процесс оценки рисков
6. Подходы к оценке рисков
Приложение А. Примеры угроз и уязвимостей
Приложение Б. Инструментальные средства и методы
Приложение. Библиография
Введение
Общие положения
Настоящий стандарт предназначен тем, кто участвует:
- в разработке и сопровождении Системы управления информационной безопасностью (СУИБ),
- в подготовке к сертификации СУИБ,
- в аудите СУИБ организации (аудиты первой стороны - такие, как внутренние аудиты, аудиты второй стороны, например, аудиты, выполняемые аудиторами заказчиков и аудиты третьей стороны, например, аудиты, выполняемые независимыми органами сертификации).
Важно, что результаты действий по оценке рисков используются организацией для объяснения и обоснования, в особенности в качестве важнейшей части процесса сертификации, почему были выбраны конкретные цели управления и средства управления из Приложения А, почему некоторые из них не были выбраны и (при необходимости) почему были выбраны средства управления в дополнение к тем, которые перечислены в стандарте СТ РК ИСО/МЭК 27001.
Понятие СУИБ
Система управления информационной безопасностью (СУИБ) представляет собой часть общей системы управления, основанную на оценке бизнес-рисков и предназначенную для разработки, реализации, эксплуатации, мониторинга, сопровождения и совершенствования информационной безопасности. Система управления включает в себя организационную структуру, политики, разработку планов, распределение ответственности, инструкции, процедуры, процессы и ресурсы. Область применения СУИБ может быть определена в терминах организации как целого или частей организации, охватывая важнейшие ресурсы, системы, приложения, сервисы, сети и технологии, используемые для обработки, хранения и передачи информации. При этом сама информация рассматривается в качестве ресурса. В настоящем стандарте подобная совокупность связанных с информацией элементов называется «информационной системой» или «информационными системами». В таком контексте СУИБ может охватывать:
- все информационные системы организации;
- некоторые информационные системы организации;
- отдельную информационную систему.
Область применения СУИБ, определяемая организацией, является предметом сертификации, как указано в таблице в конце данного раздела. Возможно, организации потребуется определить различные СУИБ для различных подразделений или аспектов своего бизнеса. Например, можно определить СУИБ для конкретных торговых отношений с другой компанией.
Еще одним примером может быть структуризация организацией своего бизнеса для обеспечения необходимой классификации деловых партнеров, что может быть осуществлено с помощью одной или нескольких различных СУИБ. Возможны различные сценарии, которые могут быть охвачены одной или несколькими СУИБ.
Модель ПРОК
