— изменение ценности активов, например, вследствие изменившихся бизнес-требований;
— новых угроз, которые могут быть активными вне и внутри организации, и которые ещё не оценивались;
— вероятности того, что новые или увеличившиеся уязвимости могут позволить угрозам их использовать;
— идентифицированные уязвимости для определения тех уязвимостей, которые становятся подверженными новым или повторно возникающим угрозам;
— повышенное влияние последствий оценённых угроз, уязвимостей и рисков, объединение которых имеет результатом неприемлемый уровень риска;
— инциденты ИБ.
Мониторинг рисков важен для эффективной реализации действий, запланированных на предыдущих этапах. Он обеспечивает своевременное исполнение превентивных мер и планов по смягчению последствий и выполняется с помощью признаков, указывающих на возможность то, что события риска произошли или произойдут в ближайшее время.
Примеры параметров, к которым могут быть привязаны признаки рисков и за которыми может проводиться мониторинг:
— количество «открытых» (найденных и неисправленных) ошибок системы;
— среднее за неделю количество сверхурочных часов работы на одного сотрудника;
— еженедельное количество изменений в требованиях к разрабатываемой системе;
— изменения бизнес-процессов;
— своевременность выделения требуемых ресурсов;
— техническое обеспечение работ.
Мониторинг и улучшение рисков является последним этапом управления рисками и включет следующие мероприятия:
— мониторинг и пересмотр рисков;
— анализ и улучшение управления рисками.
6.1. Пересмотр рисков
Входные данные: Вся информация о рисках, полученная в результате управления рисками.
Действие: Риски и их факторы (ценность активов, угрозы, уязвимости, вероятность риска) должны подвергаться мониторингу и пересмотру с целью идентификации любых изменений на ранней стадии.
Руководство по реализации: Пересмотр рисков должен проводиться регулярно, согласно расписанию, составленному на этапе планирования. В процессе мониторинга рисков может возникать необходимость в проведении идентификации новых рисков, пересмотре состояния известных рисков и планировании дополнительных мероприятий по обработке рисков.
Выходные данные: Непрерывное согласование управления рисками с бизнес-целями и критериями принятия риска.
6.2. Анализ и улучшение
Входные данные: Вся информация о рисках, полученная в результате управления рисками.
Действие: Процесс управления рисками должен постоянно подвергаться анализу и улучшению.
Руководство по реализации: Постоянный анализ необходим для обеспечения уверенности в том, что результаты оценки и обработки рисков, а также план обработки рисками соответствуют реальным обстоятельствам. Необходимо регулярно проверять, что критерии измерения риска и его элементов по-прежнему остаются действительными и согласующимися с бизнес-целями, стратегиями и политиками ИБ.
Эта деятельность должна уделять внимание:
— правовой сфере и условиям окружающей среды;
— сфере конкуренции;
— подходу к оценке риска;
— ценности и категориям активов;
— критериям влияния на активы и процессы;
— критериям оценки риска;
— критериям принятия риска;
— полной стоимости эксплуатации активов;
— необходимым ресурсам.
Организация должна обеспечивать уверенность в том, что ресурсы оценки и обработки рисков постоянно доступны для пересмотра рисков, рассмотрения новых или изменившихся угроз и уязвимостей и соответствующего уведомления руководства.
Анализ должен обеспечить изменение или улучшение подхода, методологии или инструментальных средств, используемых в зависимости от:
— идентифицированных изменений;
— итерации оценки риска;
— цели процесса управления рисками (например, непрерывность бизнеса, устойчивость к инцидентам, совместимость);
— объекта процесса управления рисками (например, организация, бизнес-подразделение, информация, приложение, подключение к Интернет).
Выходные данные
Непрерывная значимость процесса управления рисками ИБ для бизнес-целей организации.
6. Управление инцидентами иб
(стандарт ISO/IEC 27035:2011)
В 2004 году Британским институтом стандартов был опубликован стандарт ISO/IEC TR 18044 «ИТ. Методы защиты. Управление инцидентами ИБ». В дальнейшем на его базе подкомитетом SC 27 «Методы защиты» совместного технического комитета ISO/IEC JTC 1 «Информационная технология» был разработан международный стандарт ISO/IEC 27035 «ИТ. Методы защиты. Управление инцидентами ИБ», который был опубликован в 2011 году.