ГОСТ Р ИСО/МЭК 27003-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации

8.2 Оценка риска информационной безопасности

 

Необходимые мероприятия

Организация проводит оценку рисков ИБ и сохраняет документированную информацию о ее результатах.

Пояснение

При проведении оценки риска ИБ организация выполняет процесс, определенный в 6.1.2. Эти оценки выполняются либо в соответствии с заранее определенным планом, либо в ответ на значительные изменения или инциденты ИБ. Результаты оценок риска ИБ сохраняются в виде документированной информации в качестве доказательства того, что процесс, определенный в 6.1.2, был выполнен в соответствии с требованиями.

Документированная информация, полученная в результате оценки рисков ИБ, важна для обработки рисков ИБ, а также важна для оценки эффективности (см. раздел 9).

Руководство

Организации должны иметь план проведения оценки рисков ИБ.

В случае каких-либо значительных изменений СМИБ (или ее контекста) или инцидентов ИБ организация должна определить:

a) какие из этих изменений или инцидентов требуют дополнительной оценки риска ИБ;

b) чем вызвано проведение этих оценок.

Уровень детализации в идентификации рисков должен постепенно уточняться в ходе дальнейших итераций оценки рисков ИБ в контексте постоянного улучшения СМИБ. Масштабная оценка рисков ИБ должна проводиться не реже одного раза в год.

Дополнительная информация

ИСО/МЭК 27005 предоставляет руководство по проведению оценки рисков ИБ.