Какие методологии управления рисками ИБ существуют?

Основные методологии: ISO/IEC 27005 (международный стандарт риск-менеджмента ИБ), ГОСТ Р ИСО/МЭК 27001 (российский аналог ISO 27001), методика оценки угроз ФСТЭК России 2021 года, NIST SP 800-30 (США). В России для ГИС и КИИ обязательно применение методики ФСТЭК.

Кто отвечает за управление рисками ИБ в организации?

Ответственность за управление рисками ИБ несёт руководитель подразделения ИБ (CISO). Процесс вовлекает: владельцев бизнес-процессов (идентификация активов), ИТ-отдел (оценка технических рисков), юристов (правовые риски). Высший уровень — совет директоров или комитет по рискам.

Как часто нужно пересматривать реестр рисков?

Реестр рисков рекомендуется пересматривать: не реже одного раза в год (плановый пересмотр), после значительных изменений в ИТ-инфраструктуре, после инцидентов ИБ, при изменении законодательства (новые требования ФСТЭК, ФСБ). Для КИИ — в соответствии с планом обеспечения безопасности.

Что такое обработка рисков ИБ?

Обработка риска — выбор и применение мер по изменению риска. Варианты: снижение (внедрение защитных мер), принятие (риск в пределах допустимого), передача (страхование, аутсорсинг), избегание (отказ от рискованной деятельности). Остаточный риск фиксируется и принимается руководством.

Глоссарий ИБ

Управление рисками информационной безопасности

Управление рисками ИБ — систематический процесс выявления, оценки и снижения угроз безопасности организации. Основа: ISO 27001/27005, ГОСТ Р ИСО/МЭК 27001, методика ФСТЭК 2021.

Попробовать КиберОснова Все термины

Управление рисками ИБ — определение

Управление рисками информационной безопасности — систематический процесс идентификации, анализа, оценки и обработки рисков, связанных с нарушением конфиденциальности, целостности и доступности информации. Является ключевым элементом системы управления ИБ (СУИБ) по ISO 27001 и обязательным требованием для ГИС (Приказ ФСТЭК №17) и объектов КИИ (187-ФЗ).

Нормативная база: ГОСТ Р ИСО/МЭК 27005 (управление рисками ИБ),Методика оценки угроз ФСТЭК России 2021, NIST SP 800-30.

Этапы управления рисками ИБ

Идентификация активов — инвентаризация информационных ресурсов, ПО, оборудования и процессов
Идентификация угроз и уязвимостей — анализ БДУ ФСТЭК, CVE, внутренних уязвимостей
Оценка рисков — расчёт вероятности реализации угрозы и потенциального ущерба
Приоритизация — ранжирование рисков по критичности для бизнеса
Обработка рисков — снижение, принятие, передача или избегание
Мониторинг и пересмотр — регулярная актуализация реестра рисков

Автоматизация управления рисками в КиберОснова

Модуль управления рисками КиберОснова позволяет вести реестр рисков в едином интерфейсе: связывать риски с активами, угрозами из БДУ ФСТЭК, назначать ответственных и отслеживать статус обработки.

Встроенные методологии оценки (качественная и количественная) соответствуют требованиям российских регуляторов — ФСТЭК, ФСБ, ЦБ РФ.

Вопросы об управлении рисками ИБ

Связанные разделы

Автоматизируйте управление рисками ИБ

Реестр рисков, оценка по ФСТЭК/ISO 27005, контроль обработки — всё в КиберОснова.