ГОСТ Р ИСО/МЭК 19770-1-2021. Национальный стандарт Российской Федерации. Информационные технологии. Управление ИТ-активами. Часть 1. Системы управления ИТ-активами. Требования

6 Планирование

 

6.1 Действия по устранению рисков и возможности для системы управления ИТ-активами

 

6.1.1 Общие положения

При планировании системы управления ИТ-активами организация должна учитывать проблемы, указанные в 4.1, и требования, указанные в 4.2, определять риски и возможности, которые необходимо учитывать, для:

- уверенности в том, что система управления ИТ-активами может достичь запланированных результатов;

- предотвращения или уменьшения нежелательных последствий; а также

- достижения постоянного улучшения.

Организация должна спланировать:

a) действия по устранению этих рисков и возможностей с учетом того, как эти риски и возможности могут изменяться со временем;

b) каким образом:

- интегрировать и внедрять действия в процессы своей системы управления ИТ-активами; а также

- оценить эффективность этих действий.

6.1.2 Оценка рисков ИТ-активов

Организация должна определить и применить процесс оценки рисков ИТ-активов, который:

a) устанавливает и поддерживает критерии риска ИТ-активов, которые включают:

1) критерии принятия риска; и

2) критерии для выполнения оценки рисков ИТ-активов;

b) обеспечивает, чтобы повторные оценки риска ИТ-активов давали согласованные, действительные и сопоставимые результаты;

c) идентифицирует риски ИТ-активов:

1) применяет процесс оценки рисков ИТ-активов для выявления всех соответствующих рисков, в том числе:

a риски, связанные с потерей конфиденциальности, целостности и доступности для ИТ-активов, входящих в охват системы управления ИТ-активами;

b риски непрерывности бизнеса;

c риски по соответствию правовым и нормативным требованиям;

d риски, связанные с соблюдением договорных обязательств, включая риск соответствия лицензионным соглашениям; а также

2) определяет владельцев риска.

Примечание - Риски, связанные с информацией, содержащейся в ИТ-активах, могут оцениваться в соответствии с требованиями ИСО/МЭК 27001 по оценке рисков. Руководство по проведению оценок рисков информационной безопасности приведено в ИСО/МЭК 27005;

 

d) анализирует риски ИТ-активов:

1) оценивает потенциальные последствия, которые могли бы возникнуть, если риски, идентифицированные в 6.1.2 c) 1) материализовались;

2) оценивает реальную вероятность возникновения рисков, идентифицированных в 6.1.2 c) 1); а также

3) определяет уровни риска;

e) оценивает риски ИТ-активов:

1) сравнивает результаты анализа рисков с критериями риска, установленными в 6.1.2 a);

2) определяет приоритет проанализированных рисков для обработки рисков.

Организация должна хранить документированную информацию о процессе оценки рисков ИТ-активов.

6.1.3 Обработка рисков ИТ-активов

Организация должна определить и применить процесс обработки рисков ИТ-активов для того, чтобы:

a) выбрать надлежащие меры по снижению рисков ИТ-активов с учетом результатов оценки рисков.

Примечание - Организации могут разрабатывать меры по смягчению рисков по мере необходимости или идентифицировать их из любого источника;

 

b) определить все контроли, необходимые для реализации выбранного варианта(-ов) обработки рисков ИТ-активов.

Примечание - Организации могут разрабатывать контроли по мере необходимости или идентифицировать их из любого источника;

 

c) сформулировать план обработки рисков ИТ-активов; а также

d) получить от владельцев ИТ-активов одобрение плана обработки рисков ИТ-активов и принятие остаточных рисков ИТ-активов.

Организация должна хранить документированную информацию о процессе обработки рисков ИТ-активов.

Примечание - Процесс оценки и обработки рисков в настоящем стандарте согласуется с принципами и общими указаниями, приведенными в ИСО 31000, а также с требованиями, указанными в ИСО/МЭК 27001:2013, 6.1.2 и 6.1.3.