---

Скачать книгу

---

вимог цього стандарту керування ризиками складається з 4-х етапів:

      1) визначення критеріїв;

      2) аналіз ризиків;

      3) обробка ризиків;

      4) прийняття ризиків.

      Кінцевою метою керування ризиком є мінімізація ризику. Мета мінімізації ризику полягає в тому, що застосування ефективних заходів захисту призводить до прийняття залишкового ризику.

      Мінімізація ризику складається з трьох частин:

      – визначення областей, де ризик неприйнятний;

      – вибір ефективних заходів захисту;

      – оцінювання заходів захисту та визначення прийнятності залишкового ризику.

      2.1. Визначення критеріїв

      На цьому етапі використовуються дані обстеження всіх середовищ ІТС з метою визначення того, які інформаційні та технічні ресурси зі складу ІТС і з якою детальністю повинні розглядатися в процесі керування ризиком. Крім того, необхідно розробити критерії оцінки ризиків, впливу на активи та прийняття ризиків.

      Критерії оцінки ризику повинні розроблятися, враховуючи наступне:

      – стратегічна цінність обробки інформації;

      – критичність інформаційних активів;

      – нормативно-правові вимоги та договірні зобов'язання;

      – важливість доступності, конфіденційності та цілісності інформації.

      Крім того, критерії оцінки ризиків можуть використовуватися також для визначення пріоритетів для обробки ризиків.

      Критерії впливу повинні розроблятися, виходячи з міри збитку, враховуючи наступне:

      – цінність інформаційного активу, на який виявлений вплив;

      – порушення властивості інформації (втрата конфіденційності, цілісності або доступності);

      – погіршення бізнес-операції;

      – втрата цінності бізнесу та фінансової цінності;

      – порушення планів і кінцевих термінів;

      – збиток для репутації;

      – порушення нормативно-правових вимог або договірних зобов'язань.

      Критерії прийняття ризику повинні встановлюватися з урахуванням:

      – критеріїв якості бізнес-процесів;

      – нормативно-правових і договірних аспектів;

      – операцій;

      – технологій;

      – фінансів;

      – соціальних і гуманітарних чинників.

      При розробці критеріїв прийняття ризику слід враховувати, що вони можуть:

      – включати багато порогових значень з бажаним рівнем ризику, але за умови, що при певних обставинах керівництво прийматиме риски, що знаходяться вище вказаного рівня;

      – визначатися як кількісне співвідношення оціненої вигоди до оціненого ризику для бізнесу;

      – включати вимоги для майбутньої додаткової обробки, наприклад, ризик може бути прийнятий, якщо є згода на дії щодо його зниження до прийнятного рівня у рамках певного періоду часу.

      2.2. Аналіз ризиків складається з таких заходів:

      – ідентифікація ризиків;

      – вимірювання ризиків;

      – оцінювання

---

Скачать книгу