Содержание:
Чтобы узнать, как посчитать риски ISO 27001 без опыта в этой сфере, обычно приходится пересмотреть десятки документов. С одной стороны, ISO 27001 дает свободу построения системы управления информационной безопасностью, с другой — заставляет самостоятельно искать решения многих вопросов. И менеджмент рисков в части их измерений и расчетов давно стал предметом споров среди заинтересованных лиц. Однако есть определенные универсальные методики.
Как посчитать риски ISO 27001
Важно: Риски — влияние неопределенности на цели.
Единой методики с формулами, показателями не существует. Во взаимосвязанном с ISO 27001 стандарте из этой же серии ISO IEC 27005:2011 описаны алгоритмы расчета рисков. Они нужны для снижения реализации угроз, их последствий, которые отображаются на бизнес-целях организации. Второй стандарт предлагает следующие методики измерений и расчетов:
- Качественные — если риски невозможно оценить в количественном значении. Используется отдельная шкала с качественной характеристикой, например, низкий уровень, высокий, средний.
- Количественные — когда их можно выразить в количественном значении. Например, неполадки отражаются на прибыли предприятия. Расчет покажет частоту их возникновения и предполагаемый финансовый ущерб. Итоговый показатель будет равен произведению этих двух величин.
Расчет и оценка рисков по ИСО 27001 по качественной характеристике подходит для первых этапов построения системы или при большом количестве потенциальных угроз. Тогда отсеиваются те, у которых возможные последствия равны или меньше допустимых. Для сравнения со шкалой проводится экспертная оценка с привлечением персонала, проведением интервью и т. д.
Какой метод эффективнее?
Количественный дает четкое понимание и больше влияет на руководство, без которого нивелировать последствия неопределенностей или минимизировать их появление очень сложно. Но и качественная оценка незаменима в некоторых случаях — посчитать риски ISO 27001 с помощью формул, к примеру, в инцидентах по причине человеческого фактора очень сложно. От результатов оценки зависят способы управления рисками: снижение, передача, принятие.
«Стандарт качества» поможет разобраться в риск-ориентированном менеджменте и формулировках стандарта. Оставьте заявку или задайте вопросы по телефону +375 29 630 52 83 нашим специалистам. Вас ждет бесплатная консультация!