ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

6 Планирование

 

6.1 Мероприятия по обработке рисков и возможностей

 

6.1.1 Политики информационной безопасности

Обзор

В подразделе 6.1 ИСО/МЭК 27001 говорится о планировании мероприятий по обработке всех типов рисков и возможностей, которые имеют отношение к СМИБ. Это ведет к оценке риска и планированию обработки риска.

ИСО/МЭК 27001 в процессе планирования подразделяет риски на две категории:

a) риски и возможности, относящиеся к ожидаемому(ым) результату(ам) СМИБ в целом;

b) риски ИБ, связанные с потерей конфиденциальности, целостности и доступности информации в рамках СМИБ.

Первая категория должна обрабатываться в соответствии с требованиями, определенными в ИСО/МЭК 27001, раздел 6 (общие положения). Риски, которые попадают в эту категорию, могут быть связаны с самой СМИБ, определением области действия СМИБ, обязательствами высшего руководства по обеспечению ИБ, ресурсами для эксплуатации СМИБ и т.д. Возможности, которые попадают в эту категорию, могут быть связаны с результатом(ами) СМИБ, коммерческой ценностью СМИБ, эффективностью рабочих процессов СМИБ и мерами обеспечения ИБ и т.д.

Вторая категория состоит из совокупности рисков, которые связаны с потерей конфиденциальности, целостности и доступности информации в рамках СМИБ. Эти риски должны обрабатываться в соответствии с 6.1.2 и 6.1.3.

Организации могут использовать разные методы для каждой категории.

Разделение требований по обработке рисков можно объяснить следующим образом:

- обеспечение поддержки совместимости с другими стандартами по системам менеджмента для тех организаций, в которых эти системы интегрированы для различных аспектов, таких как качество, окружающая среда и ИБ;

- требование к тому, чтобы организация определяла и применяла полные и подробные процессы для оценки и обработки рисков ИБ;

- подчеркивание, что управление рисками ИБ является ключевым элементом СМИБ.

В ИСО/МЭК 27001, пункт 6.1.1, приведены формулировки: "определить риски и возможности" и "обработать эти риски и возможности". Слово "определить" можно считать эквивалентным слову "оценивать", используемому в ИСО/МЭК 27001, пункт 6.1.2 (т.е. идентифицировать, анализировать и оценивать). Аналогично слово "обработать" можно считать эквивалентным слову "устранить", используемому в ИСО/МЭК 27001, пункт 6.1.3.

Необходимые мероприятия

При планировании СМИБ организация определяет риски и возможности, учитывая факторы, указанные в 4.1, и требования, указанные в 4.2.

Пояснение

При рассмотрении рисков и возможностей, относящихся к ожидаемому(ым) результату(ам) СМИБ, предполагается, что организация определяет их на основе внутренних и внешних факторов (см. 4.1) и требований заинтересованных сторон (см. 4.2). После чего организация осуществляет планирование своей СМИБ для того, чтобы:

a) обеспечить достижение ожидаемых результатов СМИБ, при этом риски ИБ должны быть известны владельцам рисков и обработаны до приемлемого уровня;

b) предотвратить или уменьшить нежелательные эффекты рисков, относящихся к ожидаемому(ым) результату(ам) СМИБ;

c) добиваться постоянного улучшения (см. 10.2), например, через соответствующие механизмы для выявления и исправления слабых мест в процессах управления или использования возможностей для улучшения ИБ.

Риски, относящиеся к перечислению a), могут быть связаны с непонятными процессами и обязанностями, плохой осведомленностью среди сотрудников, низкой вовлеченностью со стороны руководства и т.д. Риски, относящиеся к перечислению b), могут быть связаны с неэффективным управлением рисками или с плохой осведомленностью о них. Риски, относящиеся к перечислению c), могут быть связаны с неэффективным управлением документацией и процессами СМИБ.

Когда организация стремится использовать возможности в своей деятельности, эта деятельность затем влияет на контекст организации (см. ИСО/МЭК 27001, 4.1) или на потребности и ожидания заинтересованных сторон (см. ИСО/МЭК 27001, 4.2) и может изменить риски для организации. Примерами возможностей могут быть: сосредоточение своего бизнеса на некоторых областях продуктов или услуг, разработка маркетинговой стратегии для некоторых географических регионов или расширение деловых партнерских отношений с другими организациями.

Возможности также существуют в постоянном улучшении процессов и документации СМИБ, наряду с оценкой ожидаемых результатов, предоставляемых СМИБ. Например, рассмотрение относительно новой СМИБ часто приводит к выявлению возможностей для уточнения процессов путем уточнения интерфейсов, сокращения административных накладных расходов, устранения частей процессов, которые не являются экономически эффективными, путем уточнения документации и внедрения новых информационных технологий.

Планирование в этом разделе включает определение:

d) мероприятий по обработке рисков и возможностей;

e) способа:

1) интеграции и внедрения этих мероприятий в процессы СМИБ;

2) оценивания эффективности этих мероприятий.

Руководство

Организация должна:

f) определить риски и возможности, которые могут повлиять на достижение целей, описанных в перечислениях a), b) и c), с учетом факторов, указанных в 4.1, и требований, указанных в 4.2;

g) разработать план для осуществления определенных мероприятий и оценить эффективность этих мероприятий; мероприятия должны планироваться с учетом интеграции процессов ИБ в существующие структуры и их документирования; все эти действия связаны с целями ИБ (подраздел 6.2), в отношении которых оцениваются и обрабатываются риски ИБ (см. 6.1.2 и 6.1.3).

Общие требования к постоянному улучшению СМИБ, установленные в подразделе 10.2 ИСО/МЭК 27001, подтверждаются требованиями, заданными в 6.1.1, а также другими соответствующими требованиями подраздела 5.1 ИСО/МЭК 27001, перечисление g), подраздела 5.2, перечисление d), подразделов 9.1, 9.2 и 9.3.

Мероприятия могут быть различными для стратегического, тактического и эксплуатационного уровней, для разных сайтов или для различных сервисов или систем.

Для выполнения требований 6.1.1 может быть использовано несколько подходов, два из которых:

- рассматривают риски и возможности, связанные с планированием, внедрением и эксплуатацией СМИБ отдельно от рисков ИБ;

- учитывают все риски одновременно.

Организация, которая интегрирует СМИБ в установленную систему менеджмента, может обнаружить, что требования этого раздела соответствуют существующей методологии бизнес-планирования организации. В этом случае следует позаботиться о том, чтобы методология охватывала все требования настоящего раздела.

Документированная информация об этих мероприятиях и их результатах является обязательной только в той форме и в той мере, в которой организация считает это необходимым для эффективности своей системы менеджмента (см. ИСО/МЭК 27001, 7.5, перечисление b)).

Дополнительная информация

Дополнительную информацию об управлении рисками можно найти в ИСО 31000.

6.1.2 Оценка риска информационной безопасности

Необходимые мероприятия

Организация определяет и применяет процесс оценки рисков ИБ.

Пояснение

Организация определяет процесс оценки риска ИБ, который:

a) устанавливает и поддерживает:

1) критерии принятия риска;

2) критерии для проведения оценки риска ИБ, которые могут включать критерии для оценки последствий и вероятности, а также правила для определения уровня риска;

b) гарантирует, что повторные оценки риска ИБ приводят к согласованным, действительным и сопоставимым результатам.

Процесс оценки риска ИБ затем определяется по следующим подпроцессам:

c) идентификация рисков ИБ:

1) идентификация рисков, связанных с потерей конфиденциальности, целостности и доступности информации в рамках СМИБ;

2) идентификация владельцев рисков, связанных с этими рисками, то есть определение и назначение лиц с соответствующими полномочиями и ответственностью за управление идентифицированными рисками;

d) анализ рисков ИБ:

1) оценка потенциальных последствий в случае реализации идентифицированных рисков, например прямых воздействий на бизнес, таких как денежные потери, или косвенных воздействий на бизнес, таких как ущерб репутации; оцененные последствия могут быть выражены количественными или качественными значениями;

2) оценка реальной вероятности возникновения идентифицированных рисков в количественных (то есть вероятность или частота) или качественных значениях;

3) определение уровня идентифицированного риска в виде заранее определенной комбинации оцененных последствий и вероятностей;

e) оценка рисков ИБ:

1) сравнение результатов анализа риска с критериями принятия риска, установленными ранее;

2) определение приоритетов анализируемых рисков для обработки рисков, то есть определение срочности обработки неприемлемых рисков и последовательности их обработки в том случае, если несколько рисков нуждаются в обработке.

Затем применяется процесс оценки риска ИБ.

Все этапы процесса оценки риска ИБ (см. 6.1.2), а также результаты его применения сохраняются организацией в виде документированной информации.

Руководство

Руководство по установлению критериев риска (см. 6.1.2, перечисление a))

Критерии риска ИБ должны быть установлены с учетом контекста организации и требований заинтересованных сторон и, с одной стороны, должны быть определены в соответствии с предпочтениями и восприятием рисков высшим руководством, а с другой стороны - должны предусматривать выполнимый и соответствующий процесс управления рисками.

Критерии риска ИБ должны быть установлены в соответствии с ожидаемым(и) результатом(ами) СМИБ.

В соответствии с пунктом 6.1.2, перечисление a) ИСО/МЭК 27001 должны быть установлены критерии оценки риска ИБ, которые включают оценку вероятности и последствий. Кроме того, должны быть установлены критерии приемлемости риска.

После установления критериев оценки последствий и вероятностей возникновения рисков ИБ организация должна установить метод их объединения для определения уровня риска. Последствия и вероятности могут быть выражены качественной, количественной или приближенной оценкой.

Следует отметить, что критерии приемлемости риска относятся к оценке риска (на этапе оценки, когда организация должна определить, является ли риск приемлемым или нет) и к мероприятиям по обработке риска (когда организация должна определить, является ли предложенная обработка риска достаточной для достижения приемлемого уровня риска).

Критерии принятия риска могут быть основаны на максимально допустимом уровне рисков, экономической целесообразности или на последствиях для организации.

Критерии принятия риска должны быть утверждены ответственным руководством.

Руководство по получению согласованных, действительных и сопоставимых результатов оценки рисков (см. 6.1.2. перечисление b))

Процесс оценки рисков должен основываться на методах и средствах, разработанных с достаточной детализацией, чтобы он приводил к согласованным, действительным, сопоставимым и проверяемым результатам.

Какой бы ни был выбран метод, процесс оценки риска ИБ должен обеспечивать:

- учет всех рисков на необходимом уровне детализации;

- последовательность и воспроизводимость результатов оценки (идентификация рисков, их анализ и оценка должны быть понятны третьей стороне, и результаты должны быть одинаковы, когда разные лица оценивают риски в том же контексте);

- сопоставимость результатов повторных оценок риска (т.е. можно определить, увеличивается или уменьшается уровень риска).

Несоответствия или расхождения в результатах, когда весь процесс или часть процесса оценки риска ИБ повторяется, может указывать на то, что выбранный метод оценки риска не является адекватным.

Руководство по идентификации рисков ИБ (см. 6.1.2. перечисление c))

Целью идентификации рисков является создание полного перечня рисков на основе тех событий, которые могут создавать, повышать, предупреждать, снижать, ускорять или приостанавливать достижение целей ИБ.

Идентификация риска - это процесс обнаружения, распознавания и описания рисков. Он включает в себя идентификацию источников риска, событий, их причин и потенциальных последствий.

Для идентификации рисков ИБ обычно используют два подхода:

- подход, основанный на событиях и рассматривающий источники риска в общем виде. События могли произойти в прошлом или могут ожидаться в будущем. В первом случае они могут включать ретроспективные данные, во втором случае они могут основываться на теоретическом анализе и экспертных оценках;

- подход, основанный на идентификации активов, угроз безопасности информации и уязвимостей и рассматривающий два типа источников рисков: активы с их внутренними уязвимостями и активы, подвергающиеся угрозам безопасности информации. Рассматриваемые в данном случае потенциальные события представляют собой способы использования угрозами определенной уязвимости активов для воздействия на цели организации.

Оба подхода соответствуют принципам и общим руководствам по оценке рисков в ИСО 31000.

Также могут использоваться другие подходы для идентификации рисков, если они доказали аналогичную практическую полезность и если они могут гарантировать выполнение требований 6.1.2, перечисление b).

Примечание - Подход, основанный на активах, угрозах безопасности информации и уязвимостях, соответствует подходу идентификации риска ИБ, указанному в издании ИСО/МЭК 27001 2006 года, и совместим с требованиями версии 2020 года. Это гарантирует, что предыдущий вклад в идентификацию риска не будет потерян.

 

Рекомендуется, чтобы идентификация риска была достаточно детализированной при первой итерации оценки риска. Наличие высокого уровня детализации и четкого представления о рисках ИБ гораздо лучше, чем отсутствие представления вообще.

Руководство по анализу рисков ИБ (см. 6.1.2. перечисление d))

Целью анализа риска является определение уровня риска.

ИСО 31000 ссылается на ИСО/МЭК 27001 как на общую модель. ИСО/МЭК 27001 рекомендует, чтобы анализ риска основывался на оценке последствий, возникающих в результате реализации идентифицированного риска, и оценке вероятности возникновения таких последствий для определения уровня риска.

Методы анализа риска, основанные на вероятности и последствиях, могут быть:

- качественными с использованием шкалы качественных признаков (например, высокий, средний, низкий);

- количественными с использованием шкалы с числовыми значениями (например, денежные затраты, частота или вероятность возникновения);

- комбинированными, использующими качественные шкалы с присвоенными значениями.

Какой бы метод анализа риска ни использовался, следует учитывать уровень его объективности.

Существует несколько методов анализа рисков. Оба упомянутых выше подхода (подход на основе событий и подход, основанный на идентификации активов, угроз информационной безопасности и уязвимостей) могут быть пригодны для анализа рисков ИБ. Процесс идентификации и анализа рисков может быть наиболее эффективным, когда он осуществляется с помощью экспертов по соответствующим обсуждаемым рискам.

Руководство по оценке рисков ИБ (см. 6.1.2. перечисление e))

Оценка анализируемых рисков включает в себя использование процессов принятия решений в организации для сравнения оцененного уровня каждого риска с заранее определенными критериями приемлемости для определения вариантов обработки риска.

На этом заключительном этапе оценки риска проверяется, могут ли риски, которые были проанализированы на предыдущих этапах, быть приняты в соответствии с критериями приемлемости, определенными в 6.1.2, перечисление a), или они нуждаются в дальнейшей обработке. В 6.1.2, перечисление d), представлена информация о величине риска, но нет непосредственной информации о срочности реализации вариантов обработки риска. В зависимости от обстоятельств, при которых возникают риски, они могут иметь разные приоритеты для обработки. Следовательно, необходим ранжированный список рисков по возрастанию приоритетов.

Полезно сохранить дополнительную информацию об этих рисках на этапе идентификации рисков и анализа рисков для поддержки решений по обработке рисков.

Дополнительная информация

ИСО/МЭК 27005 представляет руководство по проведению оценки рисков ИБ.

6.1.3 Обработка риска информационной безопасности

Необходимые мероприятия

Организация определяет и применяет процесс обработки рисков ИБ.

Пояснение

Обработка риска ИБ - это общий процесс выбора вариантов обработки риска, определения соответствующих мер обеспечения ИБ для реализации таких вариантов, формулирования плана обработки риска и получения одобрения плана обработки риска от владельца(ев) риска.

Все этапы процесса обработки риска ИБ (см. 6.1.3), а также результаты его применения сохраняются организацией в виде документированной информации.

Руководство

Руководство по вариантам обработки риска ИБ (см. 6.1.3. перечисление a))

Варианты обработки риска:

a) избежание риска путем принятия решения не начинать или не продолжать деятельность, которая порождает риск, или устранение источника риска (например, закрытие системы электронной коммерции);

b) взятие на себя дополнительных рисков или увеличение рисков для того, чтобы воспользоваться бизнес-возможностями (например, открытие системы электронной коммерции);

c) модификация риска путем изменения вероятности (например, уменьшение уязвимостей) или/и последствий (например, разнообразие активов);

d) разделение риска с другими сторонами посредством страхования, заключения субподряда или финансирования риска;

e) сохранение риска на основе критериев принятия риска или обоснованного решения (например, поддержание существующей системы электронной коммерции в исходном виде).

Каждый отдельный риск должен быть обработан в соответствии с целями ИБ одним или несколькими вариантами, чтобы соответствовать критериям приемлемости риска.

Руководство по определению необходимых мер обеспечения ИБ (см. 6.1.3. перечисление b))

Особое внимание следует уделить определению необходимых мер обеспечения ИБ. Любую меру следует определять на основе ранее оцененных рисков ИБ. Если организация имеет низкую оценку риска ИБ, то у нее ограничивается выбор мер обеспечения ИБ.

Соответствующее определение мер обеспечивает:

f) включение всех необходимых мер обеспечения ИБ и исключение ненужных мер;

g) разработку необходимых мер, удовлетворяющих требуемому объему и глубине защиты.

Вследствие плохого выбора мер обеспечения ИБ предлагаемая обработка рисков ИБ может быть:

h) нерезультативной;

i) неэффективной и, следовательно, неоправданно дорогой.

В целях обеспечения результативной и эффективной обработки рисков ИБ важно иметь возможность наглядно показывать связь между необходимыми мерами обеспечения ИБ, результатами оценки рисков и процессами обработки рисков.

Для достижения требуемого плана обработки рисков ИБ может потребоваться использование нескольких мер обеспечения ИБ. Например, если выбран вариант с изменением последствий определенного события, могут потребоваться меры для быстрого обнаружения этого события, а также меры для реагирования и восстановления после него.

При определении мер обеспечения ИБ организация должна принимать во внимание те меры, которые необходимы для услуг, предоставляемых внешними поставщиками, например приложения, процессы и функции. Как правило, эти меры устанавливаются путем включения требований ИБ в соглашения с этими поставщиками, включая способы получения информации и о том, в какой степени эти требования выполняются (например, право на аудит). Могут быть ситуации, когда организация желает определить и описать подробные меры обеспечения ИБ как часть своей собственной СМИБ, даже если они выполняются внешними поставщиками. Независимо от принятого подхода организация всегда должна учитывать меры обеспечения ИБ, требуемые для поставщиков, при определении мер для своей СМИБ.

Руководство по сравнению мер обеспечения ИБ ИСО/МЭК 27001, приложение A (см. 6.1.3. перечисление c))

В приложении A ИСО/МЭК 27001 содержится исчерпывающий перечень целей и мер обеспечения ИБ. Пользователям настоящего стандарта рекомендуется использовать приложение A ИСО/МЭК 27001 в целях получения общего представления о мерах. Это гарантирует, что все необходимые меры обеспечения ИБ не будут упущены из виду. По сравнению с приложением A ИСО/МЭК 27001 также можно идентифицировать альтернативные меры обеспечения ИБ, определенные в 6.1.3, перечисление b), которые могут быть более эффективными при изменении риска ИБ.

Цели этих мер косвенным образом включены в выбранные меры обеспечения ИБ. Перечисленные в приложении A ИСО/МЭК 27001 цели не являются исчерпывающими, при необходимости следует использовать дополнительные цели и меры обеспечения ИБ.

Не каждую меру обеспечения ИБ в рамках приложения A ИСО/МЭК 27001 необходимо включать в СМИБ. Если мера не способствует модификации риска, она должна быть исключена с соответствующим обоснованием.

Руководство по созданию Положения о применимости (см. 6.1.3. перечисление d))

Положение о применимости содержит:

- все необходимые меры обеспечения ИБ (см. 6.1.3, перечисления b) и c)) и для каждой меры:

- обоснование ее включения;

- информация о ее реализации (например, полностью реализована, в процессе реализации, еще не реализована);

- обоснование исключения любой из мер ИСО/МЭК 27001, приложение A.

Обоснованием для включения меры в СМИБ является ее влияние на модификацию риска ИБ. Ссылки на результаты оценки рисков ИБ и план обработки рисков должны быть достаточными наряду с предполагаемыми изменениями риска в результате реализации мер обеспечения ИБ.

Обоснование исключения мер обеспечения ИБ, содержащихся в приложении A ИСО/МЭК 27001, может включать следующее:

- было установлено, что мера не является необходимой для реализации выбранного(ых) варианта(ов) обработки риска ИБ;

- мера не применима, потому что она выходит за рамки СМИБ (например, в ИСО/МЭК 27001:2013 мера A.14.2.7 "Разработка с использованием аутсорсинга" не применима, если вся разработка систем в организации осуществляется собственными силами);

- мера нейтрализуется другой пользовательской мерой (например, в ИСО/МЭК 27001:2013 мера A.8.3.1 "Управление сменными носителями информации" может быть исключена, если пользовательская мера запрещает использование сменных носителей).

Примечание - Пользовательская мера - это мера, не включенная в приложение A ИСО/МЭК 27001.

 

Эффективное Положение о применимости может быть сформировано в виде таблицы, содержащей в строках все 114 мер обеспечения ИБ ИСО/МЭК 27001, приложение A, плюс строки с дополнительными мерами, которые не упомянуты в приложении A ИСО/МЭК 27001, если это необходимо. Одна графа таблицы может указывать на необходимость меры для реализации варианта(ов) обработки риска или ее исключение. Следующая графа может содержать обоснование для включения или исключения меры обеспечения ИБ. Последняя графа таблицы может показывать текущий статус реализации меры обеспечения ИБ. Можно использовать дополнительные графы, например для детализации, которые не требуются в соответствии с ИСО/МЭК 27001, но которые обычно полезны для последующих проверок; детализация может представлять собой более подробное описание того, как реализована мера обеспечения ИБ, или перекрестную ссылку на более подробное описание и документированную информацию или политику, относящуюся к реализации этой меры.

Несмотря на то, что это не является конкретным требованием ИСО/МЭК 27001, организации могут посчитать целесообразным включить ответственность за функционирование каждой меры, содержащейся в Положении о применимости.

Руководство по разработке плана обработки рисков ИБ (см. 6.1.3. перечисление e))

ИСО/МЭК 27001 не определяет структуру или содержание плана обработки рисков ИБ. Однако план должен быть разработан на основе результатов 6.1.3, перечисления a) - c). Таким образом, для каждого обработанного риска в плане должно быть задокументировано:

- выбранный(е) вариант(ы) обработки риска;

- необходимая(ые) мера(ы) обеспечения ИБ;

- статус реализации.

Документ также может включать в себя:

- владельца(ев) рисков;

- ожидаемый остаточный риск после реализации мероприятий.

Если какое-либо мероприятие требуется выполнить в соответствии с планом обработки риска, то оно должно быть запланировано с указанием ответственности и сроков завершения (см. подраздел 6.2); план мероприятий может быть представлен в виде списка этих мероприятий.

Эффективный план обработки рисков ИБ может быть разработан в виде таблицы, в которой отсортированы риски, выявленные в ходе оценки рисков, с указанием всех определенных мер обеспечения ИБ.

Например, в этой таблице могут быть графы, в которых указаны имена лиц, ответственных за обеспечение мер ИБ. В других графах могут быть указаны дата реализации этих мер, информация о том, как мера (или процесс) должна функционировать, и целевой статус ее реализации.

В качестве примера рассмотрим кражу мобильного телефона. Последствиями этого являются потеря доступности и потенциальное нежелательное раскрытие информации. Если оценка риска показала, что его уровень является неприемлемым, организация может принять решение об изменении вероятности или последствий риска.

Чтобы изменить вероятность потери или кражи мобильного телефона, организация может определить, какие подходящие меры обеспечения ИБ обяжут сотрудников посредством политики в отношении мобильных устройств следить за мобильными телефонами и периодически проверять их на предмет потерь.

Чтобы изменить последствия от потери или кражи мобильного телефона, организация может определить такие меры, как:

- процесс управления инцидентами, чтобы пользователи могли сообщать о потере;

- удаленное управление мобильными устройствами для удаления данных телефона в случае его потери;

- план резервного копирования мобильных устройств для восстановления данных телефона.

Подготавливая свое Положение о применимости (см 6.1.3, перечисление d)), организация может включать выбранные ею меры обеспечения ИБ (политика в отношении мобильных устройств и удаленного управления мобильными устройствами), основываясь на влиянии изменения вероятности и последствий от потери или кражи мобильного телефона, что приводит к снижению остаточного риска.

Сравнивая эти меры с теми, которые перечислены в ИСО/МЭК 27001, приложение A (см. 6.1.3, перечисление c)), можно увидеть, что политика в отношении мобильных устройств присутствует в ИСО/МЭК 27001, A.6.2.1, но мера "Управление мобильными устройствами" непосредственно с ней не связана и должна рассматриваться как дополнительная пользовательская мера обеспечения ИБ. Если управление мобильными устройствами и другие меры определены как необходимые меры в плане обработки рисков информационной безопасности организации, их следует включить в Положение о применимости ("Руководство по созданию положения о применимости" (см. 6.1.3, перечисление b)).

Если организация нацелена на еще большее снижение риска, то она может рассмотреть политику управления доступом из ИСО/МЭК 27001, A.9.1.1, а именно определить, чего ей не хватает для управления доступом к мобильным телефонам, и изменить свою политику в отношении мобильных устройств, чтобы ввести использование ПИН-кодов на всех мобильных телефонах. Это должно стать дополнительной мерой обеспечения ИБ для изменения последствий от потерь или кражи мобильных телефонов.

При разработке плана обработки рисков ИБ (см. 6.1.3, перечисление e)) организация должна включить мероприятия по реализации политики в отношении мобильных устройств и управления мобильными устройствами, а также распределить обязанности и временные рамки.

Руководство по получению одобрения владельцев рисков (см. 6.1.3. перечисление f))

При разработке плана обработки рисков ИБ организация должна получить разрешение от владельцев риска. Такое разрешение должно основываться на определенных критериях принятия рисков или на их обоснованном принятии, если есть какие-либо отклонения от них.

С помощью процессов управления организация должна фиксировать принятие владельцем остаточных рисков и одобрение руководством плана обработки рисков.

Например, принятие владельцем риска может быть задокументировано путем внесения исправлений в план обработки риска, описанный в руководстве 6.1.3, перечисление e), в графах, указывающих на эффективность мер обеспечения ИБ, а также на остаточный риск и одобрение владельца риска.

Дополнительная информация

Дополнительную информацию об обработке рисков можно найти в ИСО/МЭК 27005 и ИСО 31000.