Как посчитать риски ISO 27001

Как посчитать риски ISO 27001: краткий обзор методов

20405
Обновлено: 15.05.2023

Содержание:

  1. Информационная безопасность и стандарт.
  2. Как посчитать риски ISO 27001.
  3. Какой метод эффективнее?

Чтобы узнать, как посчитать риски ISO 27001 без опыта в этой сфере, обычно приходится пересмотреть десятки документов. С одной стороны, ISO 27001 дает свободу построения системы управления информационной безопасностью, с другой — заставляет самостоятельно искать решения многих вопросов. И менеджмент рисков в части их измерений и расчетов давно стал предметом споров среди заинтересованных лиц. Однако есть определенные универсальные методики.

Риски ISO 27001

Как посчитать риски ISO 27001

Важно: Риски — влияние неопределенности на цели.

Единой методики с формулами, показателями не существует. Во взаимосвязанном с ISO 27001 стандарте из этой же серии ISO IEC 27005:2011 описаны алгоритмы расчета рисков. Они нужны для снижения реализации угроз, их последствий, которые отображаются на бизнес-целях организации. Второй стандарт предлагает следующие методики измерений и расчетов:

  • Качественные — если риски невозможно оценить в количественном значении. Используется отдельная шкала с качественной характеристикой, например, низкий уровень, высокий, средний.
  • Количественные — когда их можно выразить в количественном значении. Например, неполадки отражаются на прибыли предприятия. Расчет покажет частоту их возникновения и предполагаемый финансовый ущерб. Итоговый показатель будет равен произведению этих двух величин.

Расчет и оценка рисков по ИСО 27001 по качественной характеристике подходит для первых этапов построения системы или при большом количестве потенциальных угроз. Тогда отсеиваются те, у которых возможные последствия равны или меньше допустимых. Для сравнения со шкалой проводится экспертная оценка с привлечением персонала, проведением интервью и т. д.

Риски ISO 27001. Как посчитать?

Какой метод эффективнее?

Количественный дает четкое понимание и больше влияет на руководство, без которого нивелировать последствия неопределенностей или минимизировать их появление очень сложно. Но и качественная оценка незаменима в некоторых случаях — посчитать риски ISO 27001 с помощью формул, к примеру, в инцидентах по причине человеческого фактора очень сложно. От результатов оценки зависят способы управления рисками: снижение, передача, принятие.

«Стандарт качества» поможет разобраться в риск-ориентированном менеджменте и формулировках стандарта. Оставьте заявку или задайте вопросы по телефону +375 29 630 52 83 нашим специалистам. Вас ждет бесплатная консультация!

Риски ISO 27001. Эффективность.

Вверх