Читаем Управление информационной безопасностью. Стандарты СУИБ (СИ) полностью

Факторы окружающей среды, такие как климатические условия, окружающая природная и городская география, могут влиять на выбор средств защиты. Например, обеспечение сейсмостойкости может быть необходимым в некоторых странах, но ненужным в других.

3.2. Сохранение риска

Если уровень риска соответствует критериям принятия риска, то нет необходимости реализовывать дополнительные средства контроля и риск может быть сохранен.

3.3. Предотвращение риска

Когда идентифицированные риски считаются слишком высокими или расходы на реализацию других вариантов обработки риска превышают выгоду, может быть принято решение об отказе от деятельности или изменении условий, при которых проводится эта деятельность.

Например, в отношении рисков, вызываемых стихийными бедствиями, наиболее выгодной альтернативой может быть физическое перемещение средств обработки информации туда, где этот риск не существует.

3.4. Перенос риска

Перенос риска — это передача риска сторонней организации, которая может наиболее эффективно управлять им. Перенос риска может создавать новые риски или модифицировать существующие, поэтому может быть необходима дополнительная обработка риска.

Перенос может быть осуществлён с помощью страхования, которое будет поддерживать последствия, или заключения договора с внешней организацией для проведения мониторинга системы и предотвращения угрозы, прежде чем она приведёт к ущербу.

Входные данные: План обработки риска и оценка остаточного риска являются объектами решения руководства организации о принятии риска.

Действие: Должно быть принято и формально зарегистрировано решение о принятии рисков и ответственности за это решение.

Руководство по реализации: После обработки риска необходимо определить остаточные риски и осуществить принятие риска. Если остаточные риски удовлетворяют критериям принятия риска организации, руководство принимает решение о принятии риска.

Если остаточные риски не удовлетворяют критериям принятия риска организации, возможны следующие варианты решения руководства:

— дальнейшая обработка риска до снижения его уровня до приемлемого;

— принятие риска с обязательным обоснованием такого решения.

Выходные данные: Перечень принятых рисков с обоснованием тех рисков, которые не соответствуют критериям принятия риска.

Входные данные: Вся информация о рисках, полученная в результате управления рисками.

Действие: Принимающие решение представители организации и внешних организаций должны обмениваться информацией о рисках и совместно ее использовать.

Руководство по реализации: Обмен информацией о рисках представляет собой деятельность, связанную с достижением соглашения всех участвующих сторон о том, как осуществлять совместное управление рисками путём использования всей известной информации о рисках.

Обмен информацией будет обеспечивать уверенность в том, что все участвующие стороны понимают, на основании чего принимаются решения и причины необходимости определённых действий. Необходимо обеспечить, чтобы осознание риска всеми сторонами, а также осознание ими выгод могло быть идентифицировано и задокументировано, а лежащие в основе причины были чётко поняты и учтены.

Обмен информацией должен осуществляться с целью достижения:

— обеспечения доверия к результатам управления рисками;

— сбора информации о рисках;

— совместного использования результатов оценки рисков и представления плана их обработки;

— предотвращения или снижения вероятности возникновения и последствий нарушений ИБ из-за отсутствия взаимопонимания между сторонами;

— поддержки принятия решений;

— получения новых знаний об ИБ;

— координации действий по реагированию для уменьшения последствий какого-либо инцидента;

— выработки чувства ответственности сторон по отношению к рискам;

— повышения осведомлённости.

Координация сторон может быть достигнута посредством формирования соответствующих коллегиальных органов (комитетов), на заседании которых могут проходить обсуждения вопросов о рисках и выработке решений по обработке и принятию рисков.

Выходные данные: Постоянное понимание и координация процесса управления рисками ИБ.

Цель мониторинга рисков состоит в наблюдении за прогрессом выполнения принятых планов (предотвращения рисков и смягчения их последствий), количественными параметрами, условиями, определяющими применение плана обработки рисков, и в информировании ответственных лиц в случае наступления риска.