ГОСТ Р ИСО/МЭК 27001-2021. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

6 Планирование

 

6.1 Действия по рассмотрению рисков и возможностей

6.1.1 Общие положения

При планировании системы менеджмента информационной безопасности организация должна учитывать факторы, указанные в 4.1, и требования, приведенные в 4.2, а также определять подлежащие рассмотрению риски информационной безопасности и возможности организации для:

a) обеспечения уверенности в том, что система менеджмента информационной безопасности способна достичь намеченных результатов;

b) предотвращения или уменьшения нежелательных последствий <1>;

--------------------------------

<1> Например, реализации рисков информационной безопасности.

 

c) обеспечения постоянного улучшения <2>.

--------------------------------

<2> Например, уровня информационной безопасности.

 

Организация должна планировать:

d) действия по рассмотрению данных рисков и возможностей;

e) каким образом:

1) интегрировать и внедрять эти действия в процессы системы менеджмента информационной безопасности;

2) оценивать результативность этих действий.

6.1.2 Оценка рисков информационной безопасности

Организация должна определить и внедрить процесс оценки рисков информационной безопасности, который позволяет:

a) устанавливать и поддерживать критерии рисков информационной безопасности, включая:

1) критерии принятия рисков информационной безопасности;

2) критерии для проведения оценки рисков информационной безопасности;

b) обеспечивать уверенность в том, что повторные оценки рисков информационной безопасности дают непротиворечивые, достоверные и сопоставимые результаты;

c) идентифицировать риски информационной безопасности, т.е.:

1) применять процесс оценки рисков информационной безопасности для идентификации рисков, связанных с нарушением конфиденциальности, целостности и доступности информации в рамках области действия системы менеджмента информационной безопасности;

2) идентифицировать владельцев рисков информационной безопасности;

d) проводить анализ рисков информационной безопасности, т.е.:

1) оценивать потенциальные последствия, которые могут произойти в результате реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 c) 1);

2) оценивать реальную вероятность реализации рисков информационной безопасности, идентифицированных в соответствии с 6.1.2 c) 1);

3) определять уровни рисков информационной безопасности;

e) оценивать риски информационной безопасности, т.е.:

1) сравнивать результаты анализа рисков информационной безопасности с критериями рисков, установленными в соответствии с 6.1.2 a);

2) определять приоритетность обработки проанализированных рисков информационной безопасности.

Организация должна хранить документированную информацию о процессе оценки рисков информационной безопасности.

6.1.3 Обработка рисков информационной безопасности

Организация должна определить и применять процесс обработки рисков информационной безопасности:

a) для выбора подходящих вариантов обработки рисков информационной безопасности, учитывая результаты оценки рисков информационной безопасности;

b) определения всех мер и средств информационной безопасности, необходимых для реализации выбранного(ых) варианта(ов) обработки рисков информационной безопасности.

Примечание - При необходимости организация может разрабатывать меры обеспечения информационной безопасности или взять их из любого источника;

 

c) сравнения мер и средств информационной безопасности, определенных в соответствии с 6.1.3 b), с указанными в приложении A для проверки того, что никакие необходимые меры обеспечения информационной безопасности не были упущены.

Примечание 1 - Приложение A содержит базовый перечень мер и средств информационной безопасности и целей их применения. Пользователям настоящего стандарта следует обращаться к приложению A для обеспечения уверенности в том, что никакие необходимые меры обеспечения информационной безопасности не были упущены.

Примечание 2 - Цели применения мер и средств информационной безопасности неявным образом включены в выбранные меры обеспечения информационной безопасности. Приведенные в приложении A меры обеспечения информационной безопасности и цели их применения не являются исчерпывающими, и организация может рассматривать необходимость дополнительных мер и средств информационной безопасности и целей их применения;

 

d) подготовки ведомости применимости мер и средств информационной безопасности, которая содержит <1>:

--------------------------------

<1> Пункт 6.1.3 d) приведен с учетом технической правки к ISO/IEC 27001:2013.

 

- необходимые меры обеспечения информационной безопасности [см. 6.1.3 b) и c)];

- обоснования их применения;

- информацию о том, реализованы или нет необходимые меры обеспечения информационной безопасности;

- обоснования неприменения мер и средств информационной безопасности, представленных в приложении A;

e) разработки плана обработки рисков информационной безопасности;

f) согласования и (или) утверждения плана обработки рисков информационной безопасности и принятия остаточных рисков информационной безопасности владельцами рисков.

Организация должна хранить документированную информацию о процессе обработки рисков информационной безопасности.

Примечание - Процесс оценки и обработки рисков информационной безопасности в настоящем стандарте согласуется с принципами и общими рекомендациями, представленными в ИСО 31000 [5].