Определянето на остатъчния риск е изискване на т.6.1.3.f от ISO/IEC 27001:2022. и е част от процеса на въздействие върху риска.
Какво е остатъчен риск?
Остатъчният риск е рискът, оставащ след въздействие върху риска. На практика не е възможно напълно премахване на всички рискове. Следователно, дори и след въздействието някои рискове ще останата на определено ниво или така наречено остатъчен риск. Въпросът е, че организацията трябва да е наясно дали планираното въздействие върху риска е достатъчно или не е. За да се разбере това е необходимо остатъчният риск да се оцени.
Оценяване на остатъчния риск
Остатъчният риск обикновено се оценява по същия начин, по който се оценяват първоначално определените рискове – използва се същата методология, същите скали на оценяване. Различното е, че при оценяването трябва да се вземе предвид влиянието на приложеното въздействие(механизми за контрол или друг вид въздействие). В резултат на въздействието обикновено вероятността от появата на инцидент е намаляла и/или последствията са по-малки.
Кое е приемливо ниво на риска?
Както стана ясно, целта на остатъчния риск е да се установи дали планираното въздействие е достатъчно, но как да се разбере кое е достатъчно?
Няма конкретно изискване на ISO/IEC 27001, което да определя приемливото ниво на риска. Това е въпрос на решение на организацията, което зависи от нейното виждане – дали е добре да работи във високо рискова среда, където вероятността да се случи инцидент е голяма, или е по-добре да работи при по-високо ниво на сигурност, където рискът е по-малък и съответно вероятността за възникване на инциденти е по-малка. Всяка организация трябва да реши кое е подходящо за нея предвид нейните обстоятелства и възможности.
Управление на остатъчния риск
В зависимост от получените резултати за нивото на остатъчния риск са възможни следните варианти на действие:
- нивото на остатъчния риск е под приемливото ниво на риск – ефектът от въздействието е достатъчно и не са необходими допълнителни действия;
- нивото на остатъчния риск е над приемливото ниво на риск – ефектът от въздействието не е достатъчен и е необходимо да се приложат други по-добри начини за намаляване на този риск;
- нивото на остатъчния риск е над приемливото ниво на риск и разходите за намаляване на този риск биха били по-високи от последствията. Единствения вариант в този случай е да се приемат високите нива на риск.
Когато се вземе решение за прилагане на допълнително въздействие, това означава ще е необходимо преоценяване на остатъчите рискове предвид прилагане на новите мерки.
Важен момент в управлението на остатъчния риск е участието на ръководството. То трябва да е наясно с рисковете за сигурността на информацията, пред които се изправя организацията, дори и след прилагането на различните механизми за тяхното намаляване.
0 отговори на "Какво е остатъчен риск?"