Требования стандарта практически служат руководством к внедрению системы менеджмента рисков.

 

Алгоритм оценки и принятия рисков

Этот алгоритм должен работать с регулярной периодичностью.

Стандарт позволяет проводить как качественную так и количественную оценку рисков. На практике многие риски трудно или невозможно оценить в количественном эквиваленте.

Методика по анализу рисков подробно описана в методике «ИТ-Грундшутц», в стандарте BSI 100-3. Стандарт бесплатно распространяется через Интернет (www.bsi.de).

 

 

МЕТОДИКА ВНЕДРЕНИЯ СМИБ «ИТ-ГРУНДШУТЦ»

 

Стандарт ISO/IEC 27001:2005 выдвигает требования к СМИБ, но не описывает методику внедрения. Предлагаю вниманию читателя одну из самых простых и надежных в применении методик.

Методика «ИТ-Грундшутц» - это методика по созданию СМИБ. Методика разработана германским правительственным федеральным офисом по информационной безопасности (BSI). Документы методики «ИТ-грундшутц» находятся в открытом доступе на сайте www.bsi.de. Методика «ИТ-Грундшутц» совместима с требованиями ISO/IEC 27001:2005. Методика содержит структурированный и практический подход, а также конкретные, подробно описанные мероприятия по реализации требований ISO/IEC 27001:2005.

 

 

Методика «ИТ-Грундшутц» - наименее затратная методика внедрения благодаря конкретно сформулированным стандартным мероприятиям по безопасности (каталоги базовой защиты) для самых разных аспектов информационной безопасности.

 

Методика базируется на следующих семи документах:

Стандарты: ISO/IEC 27001:2005. Системы менеджмента информационной безопасности. Требования. BSI 100-1.Системы менеджмента информационной безопасности. Рекомендации. BSI 100-2. Метододика «ИТ-грундшутц». Как, что и зачем делать, в общем виде. BSI 100-3. Анализ рисков на основе методики «ИТ-грундшутц». Позволяет внедрить систему управления рисками по требованиям ISO/IEC 27001:2005. Каталоги: Часть M. Модули. Описывает конкретные действия по разработке СМИБ. Например, раздел по разработке Политики по безопасности включает: Требования к Политике, Содержание политики, Варианты разработки политики, примеры целей по безопасности, которые вытекают из политики. Часть Т. Угрозы. Подробное описание угроз, использованных в Части М. Каталог угроз к многочисленным активам. Часть S. Методы защиты.Подробное описание методов защиты, использованных в Части М. Каталог мероприятий по снижению угроз. Каталоги постоянно обновляются.