0

Как се въздейства върху риска съгласно ISO/IEC 27001:2022?

ISO/IEC 27001

Въздействието върху риска за сигурността на информацията е втората важна част от процеса на управление на риска съгласно ISO/IEC 27001:2022. Повече за първата част можете да прочетете в статията: Как се оценява риска за сигурността на информацията?

Целта на въздействието върху риска е организацията да се предпази от възникването на рисковете определени по време на етап оценяване на риска. В повечето случаи това означава намаляване на риска чрез намаляване на вероятността от възникване на инцидент или намаляване на последствията върху активите. Въздействието е насочено към онези рискове, които организацията е оценила като неприемливи. Не е реалистично да се мисли, че организацията може да въздейства спрямо всички определени рискове. Тук се намесват фактори като стратегии и инвестиции: Доколко една организация е склонна да инвестира за намаляване на риска и в каква среда може да си позволи да работи, по-високо рискова или по-малко.

Изисквания

Изискванията по отношение на въздействие върху риска са посочени в т.6.1.3 от ISO/IEC 27001:2022. Стандартът изисква организацията да определи процес на въздействие спрямо риска, който включва:

  • как ще се изберат опциите за въздействие върху риска;
  • как ще се определят подходящите механизми за контрол;
  • сравнение на определените механизми за контрол с Приложение А на ISO/IEC 27001;
  • съставяне на декларация за приложимост;
  • съставяне на план за въздействие върху риска;
  • одобрение на плана и приемане на остатъчния риск.

Основната задача на процеса на въздействие върху риска е да се избере една или повече опции за третиране на всеки неприемлив риск, т.е. да се вземе решение как да се смекчат определените рискове.

Какви са опциите за въздействие върху риска?

След като рисковете са оценени и е ясно кои от тях са неприемливи се преминава към следващия етап – вземане на решение за въздействие върху риска. Според стандарт ISO/IEC 27005:2022 опциите са четири:

  • избягване на риска, чрез вземане на решение за спиране на дейностите, които пораждат риск.;
  • промяна на риска чрез промяна на вероятността за възникване на събитие или промяна на тежестта на последствието. Това е най-често използваната опция и включва прилагане на механизмите за контрол от Приложение А на ISO/IEC 27001:2022, както и всички други контроли, които организацията определя като подходящи;
  • приемане на риска, чрез информиран избор. Това е най-малко желаната опция и означава, че организацията приема определения риск, без да направи нищо. Желателно е тази опция да се използва, само ако разходите за намаляване на риска биха били по-големи от щетите, които инцидентът би нанесъл;
  • споделяне на риска, чрез разпределяне на отговорността с други страни, например чрез застраховане. Лошото в случая е, че тази опция не въздейства върху самия риск.

Oпциите за въздействие върху риска трябва да бъдат избирани на базата на резултатите от оценяването на риска, очакваните разходи за прилагане на тези опции и очакваните ползи от тях.

Важно условие е, въздействието да бъде приоритизирано според нивата на риска, времевите ограничения и последователността на прилагане на съответните мерки.

Избор на механизми за контрол

Преди да се започне с процеса на избор на механизмите за контрол е необходимо наличието на информация за неприемливите рискове и за наличния бюджет, тъй като за прилагането на голяма част от механизмите са нужни инвестиции.

Когато се избират механизми за контрол се обръща внимание на следното:

  • какъв ефект има тази контрола върху вероятността или последствията от този риск;
  • по какъв начин контролата поддържа нивото на риска.

Друга особеност, която се взема предвид при избора на подходящи механизми за контрол е, че те се класифицират в три групи:

  • preventive(превантивни) – имат за цел да предотвратят възникването на събитие за сигурността на информацията, което може да доведе до възникването на едно или повече последствия;
  • detective(откриващи) – имат за цел да открият настъпването на събитие за сигурността на информацията;
  • corrective(коригиращи) – имат за цел да ограничат последствията от събитие, свързано със сигурността на информацията.

Повече информация за атрибутите на механизмите за контрол, можете да научите от стандарт ISO/IEC 27002:2022.

Решението кои механизми за контрол да се приложат е стъпка, в която е необходимо да се включат специалисти в съответната област, например системен администратор по ИТ въпроси, или ръководител ЧР по въпроси, свързани с персонала, а дори и с висшето ръководство, когато става въпрос за по-сериозни инвестиции.

Прилагането на избраните механизми за контрол най-често е свързано с:

  • определяне на нови правила, които се документират в планове, политики, процедури, инструкции;
  • внедряване на нова техника или технология;
  • промяна в организационната структура с цел въвеждане на нова длъжност или промяна на отговорности и др.

Механизми за контрол – Приложение А на ISO/IEC 27001:2022

След като са избрани подходящите котроли, стандартът изисква организацията да ги сравни с представените в Приложение А на ISO/IEC 27001:2022, с цел да провери дали няма пропуснати контроли. Важен момент тук е, че Приложение А не съдържа изчерпателен списък на механизмите за контрол. Възможно е организацията да е избрала да прилага механизми за контрол представени от други източници. Но за целите на сертификация на СУСИ е необходимо да се провери и потвърди кои котроли от Приложение А ще се прилагат и кои не.

Декларация за приложимост

Резултатите от предходната стъпка позволяват организацията да състави своята декларация за приложимост. Тя е задължителен елемент според т.6.1.3.d от ISO/IEC 27001:2022 и показва подхода на конкретната организация по отношение на сигурността на информацията.

План за въздействие върху риска

Планът за въздействие върху риска е следващият задължителен елемент съгласно т.6.1.3.е, който се съставя след попълване на декларацията за приложимост. За да не става объркване, най-добре е за плана да се мисли като за „план за действие“: какво трябва да се направи, от кого, в какъв срок, какви ресурси ще са необходими, как ще се разбере, че дейностите са изпълнени. Ако разглеждаме декларацията за приложимост като стратегически документ, който определя профила на организацията по отношение на сигурността на информацията, то планът за въздействие върху риска е планът за изпълнение на тази стратегия.

Изискване на ISO/IEC 27001:2022 е планът за въздействие върху риска да получи одобрение от собствениците на риск. Освен това, планът трябва да бъде одобрен от ръководството, защото изпълнението на планираните дейности отнема време, усилия и пари, за които ръководството трябва да е наясно. Без ангажимент от страна на ръководството, планът е обречен на провал.

Остатъчен риск

Друго изискване на ISO/IEC 27001:2022 е да се приемат остатъчните рискове.  Остатъчният риск е този риск, който остава след прилагане на избраните механизми за контрол. Определянето на нивото на остатъчния риск се извършва съвместно със собствениците на риск. Оценяването обикновенно се извършва по същата методология, която е използвана по-рано при оценяване на идентифицираните рискове, като се вземат предвид планираните въздействия върху неприемливите рискове. Например, ако даден риск първоначално е оценен с последствие(3) + вероятност(5) = ниво на риска(8), то остатъчният риск може да се оцени с (5) = последствия (2) + вероятност (3), предвид планираните действия за намаляване на риска.

Идеята зад изчисляването на остатъчния риск е, че организацията трябва да знае каква част от общия риск трябва да поеме, независимо от положените усилия.

 

Източник на изображението

08.02.2023

0 отговори на "Как се въздейства върху риска съгласно ISO/IEC 27001:2022?"

Публикувай коментар

Вашият имейл адрес няма да бъде публикуван.

E-mail бюлетин

* със записването си за бюлетина, Вие приемате нашата Политика за поверителност.

Категории

© Качеството ЕООД. Всички права запазени

Изработка на уеб сайт от Vipe Studio