Критерии контроля активов и ресурсов организации

Содержание

Приложение А (справочное). Определение области применения и границ процесса менеджмента риска информационной безопасности

Настоящий стандарт представляет руководство по менеджменту риска информационной безопасности.Настоящий стандарт поддерживает общие концепции, определенные в ИСО/МЭК 27001, и предназначен для содействия адекватного обеспечения информационной безопасности на основе подхода, связанного с менеджментом риска.

Знание концепций, моделей, процессов и терминологии, изложенных в ИСО/МЭК 27001 и ИСО/МЭК 27002, важно для полного понимания настоящего стандарта.Настоящий стандарт применим для организаций всех типов (например, коммерческих предприятий, государственных учреждений, некоммерческих организаций), планирующих осуществлять менеджмент рисков, которые могут скомпрометировать информационную безопасность организации.

https://www.youtube.com/watch?v=ytadvertiseru

Приложение А (справочное)

А.1 Анализ организацииАнализ организации. Изучение организации дает возможность воспроизвести характерные элементы, определяющие особенности организации. Оно касается цели, бизнеса, назначения, ценностей и стратегий этой организации, которые должны быть определены наряду с элементами, способствующими их разработке (например, заключение контрагентских договоров).

Трудность такой деятельности заключается в полном понимании структуры организации. Определение ее реальной структуры дает понимание роли и значимости каждого подразделения в достижении целей организации.Пример – Тот факт, что ответственный за ИБ отчитывается перед высшим руководством, а не перед руководством ИТ, может указывать на участие высшего руководства в проблемах ИБ.

Основная цель организации. Основная цель организации может определяться сферой ее деятельности, сегментом рынка и др.Бизнес организации. Бизнес организации, определяемый техническими приемами, применяемыми ее сотрудниками и накопленным ими опытом (ноу-хау), дает ей возможность реализовывать свое назначение.

Он является специфичной областью деятельности организации и зачастую определяет культуру ее труда.Назначение организации. Организация достигает своей цели посредством реализации своего назначения. Для определения ее назначения должны быть определены предоставляемые сервисы и/или производимая продукция.

Ценность организации. Ценностями являются основные нормы или четко определенный кодекс поведения, выполняемые для осуществления бизнеса. Это может касаться персонала, отношений с внешними сторонами (например, клиентами), качества поставляемой продукции или предоставляемых сервисов.Пример – Рассмотрим организацию, целью которой является предоставление услуг населению, бизнесом – транспортные услуги, а назначение заключается в перевозке детей в школу и обратно.

Ее ценностями могут быть пунктуальность предоставления услуг и безопасность перевозок.Структура организации. Существуют разные типы структур:- филиальная структура, в которой каждое подразделение работает под началом руководителя подразделения, ответственного за принятие стратегических, административных и операционных решений, касающихся его подразделения;

– функциональная структура, в которой функциональные полномочия осуществляются относительно процедур, характера работы и, иногда, принятия решений или составления планов (например производство, ИТ, кадры, маркетинг и т.д.).Замечания:- подразделение, существующее в пределах организации с филиальной структурой, может быть организовано как функциональная структура и наоборот;

– структура организации, имеющей элементы обоих типов структуры, называется матричной. При любой организационной структуре могут различаться следующие уровни:- уровень принятия решений (определение стратегической ориентации);- уровень руководства (координация и менеджмент);- операционный уровень (виды деятельности, связанные с производством и поддержкой).

Диаграмма организации. Структура организации представляется схематически в виде диаграммы организации. При таком представлении следует выделять линии отчетности и делегирования полномочий, кроме того, следует также включать в диаграмму и другие связи, которые, даже если они не основываются на каких-либо формальных полномочиях, являются тем не менее линиями информационного потока.

А.2 Перечень ограничений, влияющих на организациюСледует учитывать все ограничения, влияющие на организацию и определяющие направленность ее ИБ. Источник ограничений может находиться в пределах организации, и в этом случае она имеет некоторый контроль над ними, или за пределами организации и, следовательно, не может контролироваться.

https://www.youtube.com/watch?v=upload

Наиболее важными являются ограничения ресурсов (бюджетных, кадровых) и ограничения, связанные с чрезвычайными обстоятельствами.Организация устанавливает свои цели (касающиеся ее бизнеса, режима работы и т.д.), способствующие выбору ее пути, возможно, на длительный период времени. Она определяет, какой организацией она хочет стать, и выбирает средства, которые для этого потребуются.

При выборе своего пути организация учитывает эволюцию методов и ноу-хау, пожелания пользователей, клиентов и др. Этот путь может быть выражен в форме стратегий эксплуатации или разработки с намерением, например, снизить эксплуатационные расходы, повысить качество обслуживания и т.д.Такие стратегии, вероятно, будут включать в себя информацию и информационные системы, способствующие их реализации.

Следовательно, свойства, касающиеся особенностей, назначения и стратегий организации, являются основополагающими элементами в анализе проблемы, поскольку нарушение аспекта ИБ может привести к переосмыслению целей этих стратегий. Кроме того, важно, чтобы предложения, касающиеся требований ИБ, находились в соответствии с правилами, режимами эксплуатации и средствами, применяемыми в организации.

Перечень включает в себя, но не ограничивается, следующие ограничения.Ограничения политического свойства. Они могут касаться правительственной администрации, общественных учреждений или любой организации, которая должна применять решения, принятые на государственном уровне. Такими обычно являются решения, касающиеся стратегии или эксплуатационной направленности, принятые правительственным подразделением или организацией, уполномоченной в соответствии с законодательством принимать решения, и которые должны быть выполнены.

Пример – Компьютеризация счетов или административных документов влечет за собой проблемы с информационной безопасностью.Ограничения стратегического свойства. Они могут возникать в результате запланированных или возможных изменений структуры или направленности организации. Они могут отражаться в стратегических или эксплуатационных планах организации.

Пример – Международное сотрудничество в области совместного использования чувствительной информации может потребовать соглашений, касающихся безопасного обмена.Территориальные ограничения. Структура и/или цель организации могут обусловливать определенные ограничения, такие, как распределение рабочих площадок по территории своей страны или за рубежом.

Пример – Включают в себя почтовую службу, посольства, банки, филиалы крупной промышленной группы и т.д.Ограничения, на возникновение которых влияет состояние экономики и политики. Функционирование организации может сильно изменяться вследствие определенных событий, таких, как забастовки или национальные или международные кризисы.

Пример – Некоторые сервисы могут продолжать функционирование даже во время серьезных кризисных ситуаций.Структурные ограничения. Тип структуры организации (филиальная, функциональная или другая) может иметь следствием определенную политику ИБ и организацию безопасности, адаптированную к структуре.Пример – Международная структура должна быть способна приводить в соответствие требования безопасности, принятые в каждой отдельной стране.Функциональные ограничения. Функциональные ограничения возникают непосредственно из основного или специфического назначения организации.

Пример – Организация, работающая круглосуточно, должна непрерывно обеспечивать доступность своих ресурсов.Ограничения, касающиеся персонала. Природа этих ограничений значительным образом варьируется. Они связаны с уровнем ответственности, наймом сотрудников, квалификацией, обучением, осведомленностью в вопросах безопасности, мотивацией, доступностью и т.д.

Пример – Персонал оборонной организации должен иметь соответствующий допуск к обработке информации ограниченного доступа.Ограничения, проистекающие из списка дел организации. Такие ограничения могут быть результатом реструктуризации или планирования новых национальных или международных политик, с установлением определенных конечных сроков.

Пример – Создание службы безопасности.Ограничения, связанные с методами. Методы, соответствующие ноу-хау организации, необходимо устанавливать в отношении таких аспектов, как планирование проекта, технические условия, разработка и т.д.Пример – Типичным ограничением такого рода является необходимость включения правовых обязательств организации в политику безопасности.

Ограничения культурного свойства. В некоторых организациях рабочие традиции или основной бизнес привели к созданию определенной культуры организации, которая может быть несовместима с мерами и средствами контроля и управления безопасностью. Такая культура является основной эталонной системой персонала и может определяться многими аспектами, включающими в себя образование, обучение, профессиональный опыт, работу, на которую распространяется жизненный опыт, мнения, философию, убеждения, чувства, социальный статус и т.д.

Бюджетные ограничения. Рекомендуемые меры и средства контроля и управления безопасностью могут иметь иногда очень высокую стоимость. Несмотря на то что не всегда уместно строить инвестирование безопасности на экономической эффективности, финансовые отделы организации требуют, как правило, экономического обоснования.

https://www.youtube.com/watch?v=ytcopyrightru

Пример – В организациях частного сектора и некоторых общественных организациях совокупные расходы на меры и средства контроля и управления безопасностью не должны превышать издержек от возможных последствий рисков. Высшее руководство должно поэтому оценивать и принимать просчитанные риски, если оно желает избежать чрезмерных расходов, связанных с обеспечением безопасности.

IAS 38 – актуальность для российской учетной практики

Критерии контроля активов и ресурсов организации

Нематериальные активы – одна из самых трудноопределимых учетных категорий. Если понимание того, что такое товары, материалы, основные средства можно считать достигнутым, то с нематериальными активами все обстоит гораздо сложнее.

Прежде всего, вызывает вопрос собственно критерий нематериальности. Нематериальными, то есть неосязаемыми, ресурсами являются дебиторская задолженность, счета организации в банках, расходы будущих периодов, бездокументарные ценные бумаги, товарные знаки, авторские права, результаты научных исследований и проектных разработок, компьютерные программы и многие, многие другие объекты. Все ли эти объекты можно считать нематериальными активами?

Сложность вызывает также определение объема прав, наличие которых дает основание для признания нематериального актива.

Кроме того, вызывает затруднения применение в рассматриваемом случае критерия доходности актива, например, если к нематериальным активам относить приобретенный гудвил предприятия.

Многовариантность и неоднозначность трактовки категории нематериальный актив, привела к тому, что в России к данному объекту учета несколько лет нормативными актами предписывалось относить учредительные расходы, в принципе, не являющиеся активами даже в рамках трактовки отечественного права.

Критерии контроля активов и ресурсов организации

В определенной степени удовлетворительным можно признать определение нематериального актива, согласно которому нематериальные активы – это внеоборотные немонетарные активы, не имеющие материальных носителей, и внеоборотные немонетарные активы, стоимость (цена) которых во много раз превосходит стоимость (цену) их материальных носителей.

Однако оно отнюдь не решает определенных выше проблем. Поэтому, пожалуй, пока единственно правильным определением данного понятия можно назвать следующее: нематериальными активами признаются объекты, которые согласно нормативным документам или иным регулятивам должны учитываться на счете “Нематериальные активы”.

Состав таких объектов в разных системах учета различен. МСФО дают самостоятельную трактовку нематериальных активов. Понимание позиции МСФО в данном вопросе имеет важное значение уже не только для бухгалтеров, ведущих учет по Международным стандартам. Знакомство с новой редакцией ПБУ 14 (подробнее см.

Однако наиболее существенные различия между российской практикой и МСФО в части нематериальных активов продолжают состоять в различиях границ, охватываемых этим понятием.

Эти границы формируются правилами признания нематериальных активов в учете, которые мы и рассмотрим в данной статье.

Приложение ДА(справочное)

https://www.youtube.com/watch?v=ytpolicyandsafetyru

Таблица ДА.1

Обозначение ссылочного международного стандарта

Степень соответствия

Обозначение и наименование соответствующего национального стандарта

ИСО/МЭК 27001:2005

IDT

ГОСТ Р ИСО/МЭК 27001-2006 “Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования”

ИСО/МЭК 27002:2005

*

ИСО/МЭК
Руководство 73:2002

MOD

ГОСТ Р 51897-2002 “Менеджмент риска. Термины и определения”

ИСО/МЭК 16085:2006

IDT

ГОСТ Р ИСО/МЭК 16085-2007 “Менеджмент риска. Применения в процессах жизненного цикла систем и программного обеспечения”

* Соответствующий национальный стандарт отсутствует. До его утверждения рекомендуется использовать перевод на русский язык данного международного стандарта. Перевод данного международного стандарта находится в Федеральном информационном фонде технических документов и регламентов.


Примечание – В настоящей таблице использованы следующие условные обозначения степени соответствия стандарта:

– IDT – идентичные стандарты;

– MOD – модифицированные стандарты.

2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты*:__________________* Таблицу соответствия национальных (межгосударственных) стандартов международным см. по ссылке. – Примечание изготовителя базы данных.ИСО/МЭК 27001:2005 Информационная технология. Методы и средства обеспечения безопасности.

2005, Information technology – Security techniques – Code of practice information security management)Примечание – При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодно издаваемому информационному указателю “Национальные стандарты”, который опубликован по состоянию на 1 января текущего года, и по соответствующим ежемесячно издаваемым информационным указателям, опубликованным в текущем году.

Признание нематериального актива

Отдельно IAS 38 определяет критерии признания нематериального актива, то есть критерии принятия объекта к учету и отражения его в отчетности по статье “нематериальные активы”. Согласно стандарту нематериальный актив должен признаваться, если и только если:

  • вероятно, что будущие экономические выгоды, относящиеся к этому активу, поступят в организацию;
  • стоимость актива может быть надежно определена.

Критерии контроля активов и ресурсов организации

Согласно МСФО, организация должна оценить вероятность будущих экономических выгод, используя обоснованные и подкрепляемые допущения, отражающие наилучшую оценку администрацией набора экономических условий, которые будут существовать на протяжении срока полезной службы актива. Стандарт устанавливает, что организация должна использовать профессиональные суждения для оценки степени определенности, связываемой с поступлением будущих экономических выгод от использования актива, исходя из данных, имеющихся на дату первоначального признания, и отдавая приоритет данным из внешних источников.

И вот здесь необходимо отметить, что относительно критерия потенциальной доходности нематериального актива справедливо замечание, относящееся ко всем активам, признаваемым в рамках концепции МСФО, в целом. Оно состоит в том, что решение относительно возможности получения экономических выгод от эксплуатации актива относится к области профессионального суждения не бухгалтера, а менеджмента, принимающего решения, определяющие характер деятельности фирмы.

Возможность достоверной оценки означает возможность исчисления суммы денежных средств, в которую обошлось компании приобретения актива, и/или его справедливой стоимости.

Нематериальные активы могут быть получены организацией различными путями. IAS 38 порядок признания нематериальных активов, созданных самой организацией, регламентируется более строго, чем признание приобретенных объектов.

3 Термины и определения

3.1 влияние (impact): Неблагоприятное изменение уровня достигнутых бизнес-целей.

3.2 риск информационной безопасности (information security risk): Возможность того, что данная угроза сможет воспользоваться уязвимостью актива или группы активов и тем самым нанесет ущерб организации.Примечание – Он измеряется исходя из комбинации вероятности события и его последствия.

3.3 предотвращение риска (risk avoidance): Решение не быть вовлеченным в рискованную ситуацию или действие, предупреждающее вовлечение в нее.

[ИСО/МЭК Руководство 73:2002]*

________________* В Российской Федерации действует ГОСТ Р 51897.

3.4 коммуникация риска (risk communication): Обмен информацией о риске или совместное использование этой информации лицом, принимающим решение, и другими причастными сторонами.

[ИСО/МЭК Руководство 73:2002]

3.5 количественная оценка риска (risk estimation): Процесс присвоения значений вероятности и последствий риска.

[ИСО/МЭК Руководство 73:2002]

Критерии контроля активов и ресурсов организации

Примечания

1 В контексте данного национального стандарта количественная оценка риска рассматривается как деятельность (activity), а не как процесс (process).

2 В контексте данного национального стандарта применительно к количественной оценке риска вместо термина “возможность, вероятность” (probability) используется термин “вероятность” (likelihood).

3.6 идентификация риска (risk identification): Процесс нахождения, составления перечня и описания элементов риска.

[ИСО/МЭК Руководство 73:2002]

Примечание – В контексте данного национального стандарта применительно к идентификации риска вместо термина “процесс” (process) используется термин “деятельность” (activity).

3.7 снижение риска (risk reduction): Действия, предпринятые для уменьшения вероятности, негативных последствий или того и другого вместе, связанных с риском.

[ИСО/МЭК Руководство 73:2002]

Примечание – В контексте данного национального стандарта применительно к количественной оценке риска вместо термина “возможность, вероятность” (probability) используется термин “вероятность” (likelihood).

3.8 сохранение риска (risk retention): Принятие бремени потерь или выгод от конкретного риска.

[ИСО/МЭК Руководство 73:2002]

Примечание – В контексте рисков ИБ применительно к сохранению риска рассматриваются только негативные последствия (потери).

3.9 перенос риска (risk transfer): Разделение с другой стороной бремени потерь или выгод от риска.

[ИСО/МЭК Руководство 73:2002]

Примечание – В контексте рисков ИБ применительно к переносу риска рассматриваются только негативные последствия (потери).

Приложение ДА (справочное). Сведения о соответствии ссылочных международных стандартов ссылочным национальным стандартам Российской Федерации

Критерии контроля активов и ресурсов организации

Согласно IAS 38, в процессе создания нематериальных активов необходимо выделять два этапа – исследования и разработки.

Исследования – это оригинальные и плановые научные изыскания, предпринимаемые с целью получения новых научных или технических знаний.

Разработка – это применение научных открытий или других знаний для проектирования или конструирования новых или существенно улучшенных материалов, устройств, продуктов, процессов, систем или услуг до начала их коммерческого производства или применения.

Таким образом, в рамках рассмотренных положений МСФО результат исследований в процессе их осуществления никогда не может быть признан как нематериальный актив. В первую очередь, это связано с сомнительностью возможности получения в будущем выгод в связи с его наличием у компании. Результатом же разработок может стать создание компанией нематериального актива, который может быть признан в отчетности.

Общее правило, устанавливаемое IAS 38, состоит в том, что “ни один нематериальный актив, возникающий в ходе исследований (или на стадии исследований в рамках внутреннего проекта), не подлежит признанию. Затраты на исследования (или на стадию исследований в рамках внутреннего проекта) должны признаваться как расход в момент их возникновения”, то есть декапитализироваться в том отчетном периоде, в котором они были понесены.

https://www.youtube.com/watch?v=ytpressru

Примерами исследовательской деятельности, относимой к таковой IAS 38, являются:

  • деятельность, направленная на получение новых знаний;
  • поиск, оценка и окончательный отбор областей применения результатов исследований или других знаний;
  • поиск альтернативы материалам, устройствам, продуктам, процессам, системам или услугам;
  • формулирование, конструирование, оценка и окончательный отбор возможных альтернатив новым или улучшенным материалам, устройствам, продуктам, процессам, системам или услугам.

Что же касается разработок, то, согласно IAS 38, нематериальный актив, возникающий из разработок (или из стадии разработок в рамках внутреннего проекта), подлежит признанию тогда и только тогда, когда организация может продемонстрировать все из нижеследующего:

  • техническую осуществимость создания нематериального актива так, чтобы он был доступен для использования или продажи;
  • свое намерение создать нематериальный актив и использовать или продать его;
  • свою способность использовать или продать нематериальный актив;
  • то, как нематериальный актив будет создавать вероятные экономические выгоды. Среди прочего, организация должна продемонстрировать наличие рынка для результатов нематериального актива или самого нематериального актива, или, если предполагается его внутреннее использование, полезность такого нематериального актива;
  • доступность достаточных технических, финансовых и других ресурсов для завершения разработки и для использования или продажи нематериального актива;
  • способность надежно оценить затраты, относящиеся к нематериальному активу в ходе его разработки.

В Стандарте приводятся примеры деятельности по разработке:

  • проектирование, конструирование и тестирование допроизводственных образцов и моделей;
  • проектирование инструментов, шаблонов, форм и штампов, включающих новую технологию;
  • проектирование, конструирование и эксплуатация опытной установки, которая по экономическим масштабам не подходит для коммерческого производства.

– Установление контекста – в разделе 7.- Оценка риска – в разделе 8.- Обработка риска – в разделе 9.- Принятие риска – в разделе 10.- Коммуникация риска – в разделе 11.- Мониторинг и переоценка риска – в разделе 12.Дополнительная информация о видах деятельности, связанных с менеджментом риска ИБ, приведена в приложениях.

Установлению контекста способствуют сведения из приложения А (определение области применения и границ процесса менеджмента риска ИБ). Определение и установление ценности активов и оценка влияния обсуждаются в приложении В (примеры, касающиеся активов), в приложении С приведены примеры типичных угроз и в приложении D – примеры типичных уязвимостей.

Примеры подходов к оценке рисков ИБ представлены в приложении Е.Ограничения, касающиеся снижения риска, представлены в приложении F.Все виды деятельности, связанные с менеджментом риска, представленные в разделах 7-12, структурированы следующим образом:Входные данные. Определяется информация, необходимая для выполнения деятельности.Действие.

Критерии контроля активов и ресурсов организации

Описывается деятельность.Руководство по реализации. Представляется руководство по выполнению действия. Некоторые рекомендации данных руководств могут не подходить ко всем случаям, поэтому могут быть более уместными иные варианты действий.Выходные данные. Описывается информация, полученная в результате выполнения деятельности.

Систематический подход к менеджменту риска ИБ необходим для того, чтобы идентифицировать потребности организации, касающиеся требований ИБ, и создать эффективную СМИБ. Этот подход должен соответствовать условиям деятельности организации и, в частности, должен быть согласован с общим менеджментом рисков в масштабе организации.

Усилия по обеспечению безопасности должны обеспечивать эффективное и своевременное реагирование на риски там и тогда, где и когда это необходимо. Менеджмент риска ИБ должен быть неотъемлемой частью всех видов деятельности, связанных с менеджментом ИБ, и должен применяться как на этапе внедрения, так и в процессе повседневного использования СМИБ организации.

Менеджмент риска ИБ должен быть непрерывным процессом. В рамках данного процесса следует устанавливать контекст, оценивать и обрабатывать риски, используя для реализации рекомендации и решения плана обработки рисков. До принятия решения о том, что и когда должно быть сделано для снижения риска до приемлемого уровня, в рамках менеджмента риска анализируется, что может произойти и какими могут быть возможные последствия.

Менеджмент риска ИБ должен способствовать:- идентификации рисков;- оценке рисков, исходя из последствий их реализации для бизнеса и вероятности их возникновения;- осознанию и информированию о вероятности и последствиях рисков;- установлению приоритетов в рамках обработки рисков;- установлению приоритетов мероприятий по снижению имеющих место рисков;

– привлечению причастных сторон к принятию решений о менеджменте риска и поддержанию их информированности о состоянии менеджмента риска;- эффективности проводимого мониторинга обработки рисков;- проведению регулярного мониторинга и пересмотра процесса менеджмента риска;- сбору информации для совершенствования менеджмента риска;

https://www.youtube.com/watch?v=https:accounts.google.comServiceLogin

– подготовке менеджеров и персонала по вопросам рисков и необходимых действий, предпринимаемых для их уменьшения.Процесс менеджмента риска ИБ может быть применен ко всей организации, к любой отдельной части организации (например, подразделению, филиалу, службе), к любой информационной системе, к имеющимся, планируемым или специфическим аспектам управления (например, к планированию непрерывности бизнеса).

Таблица ДА.1

Границы категории нематериальные активы

Давая столь строгое определение критериев признания нематериальных активов как объекта учета, МСФО все же оставляет границы рассматриваемой категории весьма расплывчатыми. В связи с этим IAS 38 специально оговаривает, что созданные самой организацией торговые марки, знаки, титульные наименования, издательские права, списки клиентов и аналогичные объекты не подлежат признанию в качестве нематериальных активов, поскольку затраты на их создание нельзя четко отделить от затрат на ведение деятельности организации в целом, а также по сути являются элементами гудвила самой организации.

Должны определяться нормативные требования, имеющие отношение к видам деятельности организации. К их числу могут быть отнесены законы, постановления, специальные инструкции, относящиеся к сфере деятельности организации или внутренним/внешним нормам. Это касается также договоров и соглашений и, в общем, любых обязательств юридического свойства.

А.4 Перечень ограничений, влияющих на область примененияПри определении ограничений желательно перечислить те из них, которые влияют на область применения, и определить те, на которые возможно некоторое воздействие. Они добавляются к ограничениям организации, перечисленным выше, и, возможно, могут изменить их.

Далее представляется перечень возможных типов ограничений, который не является исчерпывающим.Ограничения, возникающие из ранее существовавших процессов. Проекты приложений не обязательно разрабатываются одновременно. Некоторые из них зависят от ранее существовавших процессов. Даже если процесс может быть разбит на подпроцессы, не обязательно на данный процесс будут влиять все подпроцессы другого процесса.

Технические ограничения. Технические ограничения, относящиеся к инфраструктуре, в основном возникают от установленных аппаратных и программных средств, а также от помещений или площадок, где осуществляются процессы:- архивы (файлы) – требования, касающиеся организации, менеджмент носителей, менеджмент правил доступа и т.д.;

– общая архитектура – требования, касающиеся топологии (централизованная, распределенная, клиент-сервер), физическая архитектура и т.д.;- прикладные программы – требования, касающиеся проектирования специфичного программного обеспечения, рыночные стандарты и т.д.;- пакеты программ – требования, касающиеся стандартов, уровня оценки, качества, соответствия нормам, безопасности и т.д.;

– аппаратные средства – требования, касающиеся стандартов, качества, соответствия нормам и т.д.;- сети связи – требования, касающиеся покрытия, стандартов, емкости, надежности и т.д.;- инфраструктура сооружений и инженерных коммуникаций – требования, касающиеся гражданского строительства, конструкций, высокого напряжения, низкого напряжения и т.д.

Финансовые ограничения. Реализация мер и средств контроля и управления безопасностью часто ограничивается тем бюджетом, который может выделить организация. Однако финансовое ограничение должно по-прежнему оставаться последним, подлежащим рассмотрению, поскольку вопрос о выделении бюджетных средств на безопасность может быть решен на основе анализа безопасности.

Ограничения, связанные со средой. Они обусловлены географической или экономической средой, в которых процессы реализуются: страна, климат, природные риски, территориальное расположение, состояние экономики и др.Ограничения по времени. Время, необходимое для реализации мер и средств контроля и управления безопасностью, должно определяться с учетом возможности модернизации информационной системы.

Если на реализацию затрачивается очень много времени, то риски, для которых разрабатывались меры и средства контроля и управления, могут измениться. Время является определяющим фактором при принятии решений и выборе приоритетов.Ограничения, касающиеся методов. Методы, соответствующие ноу-хау организации, должны использоваться в отношении планирования проекта, технических условий, разработки и др.

Организационные ограничения. Различные ограничения могут следовать из требований организации, а именно:- эксплуатация – требования, касающиеся длительности производственного цикла, предоставления услуг, наблюдения, мониторинга, планов действий в чрезвычайных ситуациях, ухудшения работы и др.;- поддержка – требования к поиску неисправностей, связанных с инцидентом, превентивным действиям, быстрому исправлению и др.;

– менеджмент кадровых ресурсов – требования, касающиеся обучения операторов и пользователей, квалификации, необходимой для таких должностей, как системный администратор или администратор данных и др.;- административный менеджмент – требования, касающиеся обязанностей и др.;- менеджмент разработки – требования, касающиеся инструментальных средств разработки, систем автоматизированной разработки программ, планов приемочного контроля, обеспечения организации и др.;- менеджмент внешних отношений – требования, касающиеся формирования отношений с третьими сторонами, договоров и т.д.

МСФО IAS 38: итоги

Мы рассмотрели положения IAS 38, связанные с определением и признанием нематериальных активов.

Самым существенным отличием положений МСФО от предписаний ПБУ 14 здесь является то, что наличие исключительных прав на нематериальный актив не рассматривается Стандартом как необходимое условие его признания.

Возможность соблюдения соответствия критерию контроля над активом и потенциальной доходности в МСФО также связывается с наличием у компании определенного объема юридических (законодательно определенных) прав на него.

Однако, обеспечивая фирме возможность извлечения экономических выгод от наличия нематериального актива, они не обязательно должны носить исключительный характер. Это отличие значительно расширяет круг объектов, затраты на которые могут быть капитализированы в учете в результате признания их в качестве нематериальных активов.

Также важным моментом является проводимое МСФО разграничение между понятиями определения какого-либо объекта как нематериального актива и признания его в учете как отражаемого по соответствующей статье актива баланса.

Это положение говорит о возможности признания нематериальных активов в качестве иных объектов учета (элементов отчетности), например, товаров.

Приложение А (справочное). Определение области применения и границ процесса менеджмента риска информационной безопасности

https://www.youtube.com/watch?v=ytcreatorsru

Процесс менеджмента риска ИБ состоит из установления контекста (раздел 7), оценки риска (раздел 8), обработки риска (раздел 9), принятия риска (раздел 10), коммуникаций риска (раздел 11), а также мониторинга и переоценки риска информационной безопасности (раздел 12).Как показано на рисунке 1, в процессе менеджмента риска ИБ процедуры оценки риска и/или обработки риска могут выполняться итеративно.

Итеративный подход к проведению оценки риска может увеличить глубину и детализацию оценки при каждой последующей итерации. Итеративный подход позволяет сбалансированно затрачивать время и усилия на выбор мер и средств контроля и управления, в то же время по-прежнему обеспечивая соответствующую оценку высокоуровневых рисков.

Приложение В (справочное). Определение и установление ценности активов и оценка влияния

7.1 Общие положения

Входные данные. Вся информация об организации, имеющая отношение к установлению контекста менеджмента риска ИБ.Действие. Должен быть установлен контекст менеджмента риска ИБ, что включает определение основных критериев, необходимых для менеджмента риска ИБ (в соответствии с 7.2), определение области применения и границ (в соответствии с 7.

3), а также создание соответствующей организационной структуры, занимающейся менеджментом риска ИБ (в соответствии с 7.4).Руководство по реализации. Необходимо определить цель менеджмента риска ИБ, так как она влияет на общий процесс и на установление контекста в частности. Этой целью может быть:- поддержка СМИБ;

– исполнение законодательно-нормативных требований и подтверждение проявленной организацией разумной предосторожности;- подготовка плана обеспечения непрерывности бизнеса;- подготовка плана реагирования на инциденты;- описание требований ИБ для продукта, услуги или механизма.Руководство по реализации для элементов установления контекста, необходимых для поддержки СМИБ, обсуждается в 7.2, 7.3 и 7.4.

Примечание – В ИСО/МЭК 27001 не используется термин “контекст”. Однако весь раздел 7 данного стандарта связан с требованиями “определение сферы действия и границ СМИБ” [см. 4.2.1, перечисление a)], “определение политики СМИБ” [см. 4.2.1, перечисление b)] и “определение подхода к оценке риска” [см. 4.2.

В зависимости от области применения, объекта и целей менеджмента риска могут применяться разные подходы. Подходы, используемые на каждой из итераций, могут также различаться. Должен быть выбран или разработан соответствующий подход к оценке риска, учитывающий основные критерии, каковыми являются: критерии оценки риска, критерии влияния, критерии принятия риска.

Кроме того, организация должна оценивать, имеются ли необходимые ресурсы для:- выполнения оценки рисков и создания плана по обработке рисков;- определения и реализации политик и процедур, включая реализацию выбранных мер и средств контроля и управления;- мониторинга мер и средств контроля и управления;

– мониторинга процесса менеджмента риска ИБ.Примечание – См. также ИСО/МЭК 27001 (пункт 5.2.1) относительно обеспечения ресурсов для реализации и функционирования СМИБ.Критерии оценки рисковДолжны быть разработаны критерии для оценки рисков информационной безопасности организации с учетом:- стратегической ценности обработки бизнес-информации;

– критичности затронутых информационных активов;- законодательно-нормативных требований и договорных обязательств;- оперативного значения и значения для бизнеса доступности, конфиденциальности и целостности;- ожидания и реакции причастных сторон, а также негативных последствий для нематериальных активов и репутации.

Кроме того, критерии оценки рисков могут использоваться для определения приоритетов при обработке рисков.Критерии влиянияКритерии влияния должны разрабатываться и определяться исходя из степени ущерба или величины расходов, понесенных организацией вследствие события, связанного с ИБ, с учетом:- уровня классификации информационного актива, на который оказывается влияние;

– нарушения планов и конечных сроков; – ущерба для репутации;- нарушения законодательных, нормативных или договорных требований.Примечание – См. также ИСО/МЭК 27001 [пункт 4.2.1, перечисление d) 4)] относительно определения критериев влияния возможной утраты конфиденциальности, целостности и доступности активов.

– критерии принятия риска могут включать ряд пороговых значений, когда указывается желаемый целевой уровень риска, но при условии, что при определенных обстоятельствах высшее руководство будет принимать риски, находящиеся выше этого уровня;- критерии принятия риска могут выражаться как соотношение количественно оцененной прибыли (или иной выгоды бизнеса) к количественно оцененному риску;

– различные критерии принятия риска могут применяться к различным классам риска, например, могут не приниматься риски, связанные с неисполнением законодательно-нормативных требований, в то время как принятие рисков высокого уровня может быть допустимо, если это определено договорным обязательством;- критерии принятия риска могут включать требования о проведении в будущем дополнительной обработки риска, например, риск может быть принят, если принято решение и взяты обязательства предпринять меры по его снижению до приемлемого уровня в течение определенного периода времени.

https://www.youtube.com/watch?v=ytaboutru

Критерии принятия риска могут различаться в зависимости от того, насколько долго, предположительно, риск будет существовать, например, риск может быть связан с временной или кратковременной деятельностью. Критерии принятия риска должны устанавливаться с учетом следующего:- критериев бизнеса;- особенностей законодательно-нормативной среды;

– операций;- технологий;- финансов;- социальных и гуманитарных факторов.Примечание – Критерии принятия риска соответствуют “критериям принятия рисков и определению приемлемого уровня риска”, определенным в ИСО/МЭК 27001 [см. пункт 4.2.1, перечисление с) 2)].Более подробную информацию можно найти в приложении А.

Организация должна определять область применения и границы менеджмента риска ИБ.Область применения процесса менеджмента ИБ необходимо определять для того, чтобы все значимые активы принимались в расчет при оценке риска. Кроме того, необходимо определять границы [см. также ИСО/МЭК 27001, пункт 4.2.1, перечисление а)] для рассмотрения тех рисков, источники которых могут находиться за данными границами.

Должна быть собрана информация об организации для определения параметров среды, в которой функционирует организация, и их влияния на процесс менеджмента риска ИБ.При определении области применения и границ должна учитываться следующая информация, касающаяся организации:- стратегические цели бизнеса организации, стратегии и политики;

– бизнес-процессы;- функции и структура организации;- правовые, нормативные и договорные требования, применимые к организации;- политика ИБ организации;- общий подход организации к менеджменту риска;- информационные активы;- местоположение организации, ее подразделений и филиалов, а также их географические характеристики;

– ограничения, влияющие на организацию;- ожидания причастных сторон;- социокультурная среда;- интерфейсы (т. е. обмен информацией с внешней средой).Кроме того, организация должна обосновывать каждое исключение из области применения. Примерами области применения менеджмента риска могут быть ИТ-приложение, ИТ-инфраструктура, бизнес-процесс или определенная часть организации.

Для процесса менеджмента риска ИБ необходимо устанавливать и поддерживать организационную структуру и распределение обязанностей. Ниже перечисляются основные роли и области ответственности, присущие этой организационной структуре:- разработка процесса менеджмента риска ИБ, подходящего для данной организации;

– выявление и изучение причастных сторон;- определение ролей и обязанностей всех сторон, как внутренних, так и внешних по отношению к организации;- установление требуемых взаимосвязей между организацией и причастными сторонами, а также взаимодействия с высокоуровневыми функциями менеджмента риска организации (например, менеджмента операционного риска), а также взаимодействия с другими значимыми проектами и видами деятельности;

– определение путей передачи принятия решений на более высокий уровень и/или другим специалистам;- определение подлежащих ведению документов.Эта организационная структура должна одобряться соответствующим руководством организации.Примечание – ИСО/МЭК 27001 требует определения и выделения ресурсов, необходимых для установления, реализации, функционирования, мониторинга, пересмотра, поддержки и улучшения СМИБ [см. пункт 5.2.1, перечисление а)]. Организационная структура для операций менеджмента риска может рассматриваться как один из ресурсов, требуемых ИСО/МЭК 27001.

Приложение В(справочное)

В.1 Примеры определения активовДля установления ценности активов организация должна в первую очередь определить все свои активы на соответствующем уровне детализации. Могут различаться два вида активов:- основные активы, включающие бизнес-процессы, бизнес-деятельность и информацию;- вспомогательные (поддерживающие) активы, от которых зависят основные составные части области применения всех типов, включающие аппаратные средства, программное обеспечение, сеть, персонал, место функционирования организации, структуру организации.

В.1.1 Определение основных активовДанная деятельность заключается в определении основных активов (бизнес-процессы и бизнес-деятельность, информация). Такое определение осуществляется сотрудниками совместной рабочей группы, участвующими в процессе (руководители, специалисты в сфере информационных систем и пользователи).

Основными активами обычно являются базовые процессы и информация о деятельности организации в ее сфере действия. Могут рассматриваться также и другие основные активы, такие, как процессы жизнедеятельности организации, которые будут иметь отношение к формированию политики ИБ или плана непрерывности бизнеса.

Приложение D (справочное). Уязвимости и методы оценки уязвимости

Примечание – В ИСО/МЭК 27001 деятельность по оценке риска определяется как процесс.Входные данные. Установленные основные критерии, сфера действия и границы, структура процесса менеджмента риска информационной безопасности, принятые для организации.Действие. Риски должны быть идентифицированы, количественно или качественно охарактеризованы, для них должны быть назначены приоритеты в соответствии с критериями оценки риска и целями организации.

Руководство по реализации. Риск представляет собой комбинацию последствий, вытекающих из нежелательного события и вероятности возникновения события. Оценка риска количественно или качественно характеризует риски и дает возможность руководителям назначать для них приоритеты в соответствии с осознаваемой ими серьезностью или другими установленными критериями.

Процесс оценки риска состоит из:- анализа риска (в соответствии с 8.2), включающего идентификацию риска (в соответствии с 8.2.1) и установление значения риска (в соответствии с 8.2.2);- оценки риска (в соответствии с 8.3).В процессе оценки риска устанавливается ценность информационных активов, выявляются потенциальные угрозы и уязвимости, которые существуют или могут существовать, определяются существующие меры и средства контроля и управления и их воздействие на идентифицированные риски, определяются возможные последствия и, наконец, назначаются приоритеты установленным рискам, а также осуществляется их ранжирование по критериям оценки риска, зафиксированным при установлении контекста.

Оценка риска часто проводится за две (или более) итерации. Сначала проводится высокоуровневая оценка для идентификации потенциально высоких рисков, служащих основанием для дальнейшей оценки. Следующая итерация может включать дальнейшее углубленное рассмотрение потенциально высоких рисков. В тех случаях, когда полученная информация недостаточна для оценки риска, проводится более детальный анализ, возможно, по отдельным частям сферы действия, и, возможно, с использованием иного метода.

8.2 Анализ риска

https://www.youtube.com/watch?v=ytdevru

8.2.1 Идентификация риска

8.2.1.1 Введение в идентификацию рискаЦель идентификации риска – определить, что могло бы произойти при нанесении возможного ущерба, и получить представление о том, как, где и почему мог иметь место этот ущерб. Этапы, описанные ниже, должны объединять входные данные для деятельности по количественной оценке риска.Примечание – Виды деятельности, описанные ниже, могут быть выполнены в различном порядке, в зависимости от применяемой методологии.

8.2.1.2 Определение активовВходные данные. Сфера действия и границы проведения оценки риска, перечень, включающий владельцев, местоположение, функцию и т.д.Действие. Должны быть определены активы, входящие в установленную сферу действия [связано с ИСО/МЭК 27001, пункт 4.2.1, перечисление d) 1)].Руководство по реализации.

Активом является что-либо, имеющее ценность для организации и, следовательно, нуждающееся в защите. При определении активов следует иметь в виду, что информационная система состоит не только из аппаратных и программных средств.Определение активов следует проводить с соответствующей степенью детализации, обеспечивающей информацию, достаточную для оценки риска.

Степень детализации, используемая при определении активов, влияет на общий объем информации, собранной во время оценки риска. Эта информация может быть более детализирована при последующих итерациях оценки риска.Для установления учетности и ответственности в отношении каждого актива должен быть определен владелец.

Владелец актива может не обладать правами собственности на актив, но он несет ответственность за его получение, разработку, поддержку, использование и безопасность. Чаще всего владелец актива является наиболее подходящим лицом, способным определить реальную ценность актива для организации (см. 8.2.

Выходные данные. Перечень активов, подлежащих менеджменту риска, и перечень бизнес-процессов, связанных с активами, а также их значимость.

8.2.1.3 Определение угрозВходные данные. Информация об угрозах, полученная в результате анализа инцидента от владельцев активов, пользователей, а также из других источников, включая списки внешних угроз.Действие. Угрозы и их источники должны быть определены [связано с ИСО/МЭК 27001, пункт 4.2.1, перечисление d) 2)].

Руководство по реализации. Угроза может причинить ущерб активам организации, таким как информация, процессы и системы. Угрозы могут возникать в результате природных явлений или действий людей, они могут быть случайными или умышленными. Должны быть установлены и случайные, и преднамеренные источники угроз.

Угрозы могут проистекать как из самой организации, так и из источника вне ее пределов. Угрозы должны определяться в общем и по виду (например, неавторизованные действия, физический ущерб, технические сбои), а затем, где это уместно, отдельные угрозы определяются внутри родового класса. Это означает, что ни одна угроза, включая неожиданные угрозы, не будет упущена, но объем требуемой работы, несмотря на это, сокращается.

Некоторые угрозы могут влиять более чем на один актив. В таких случаях они могут быть причиной различных влияний в зависимости от того, на какие активы оказывается воздействие.Входные данные для определения и количественной оценки вероятности возникновения угроз (см. 8.2.2.3) могут быть получены от владельцев активов или пользователей, персонала отдела кадров, руководства организации и специалистов в области ИБ, экспертов в области физической безопасности, специалистов юридического отдела и других структур, а также от юридических организаций, метеорологических служб, страховых компаний, национальных правительственных учреждений.

При анализе угроз должны учитываться аспекты среды и культуры.Опыт, извлеченный из инцидентов, и предыдущие оценки угроз должны быть учтены в текущей оценке. При необходимости для заполнения перечня общих угроз может быть целесообразным справиться в других реестрах угроз (возможно, специфичных для конкретной организации или бизнеса).

Списки угроз и их статистику можно получить от промышленных предприятий, федерального правительства, юридических организаций, страховых компаний и т.д.Используя списки угроз или результаты предыдущих оценок угроз, не следует забывать о том, что происходит постоянная смена значимых угроз, особенно, если изменяются бизнес-среда или информационные системы.

Более подробную информацию о типах угроз можно найти в приложении С.Выходные данные. Перечень угроз с определением их вида и источника.

8.2.1.4 Определение существующих мер и средств контроля и управленияВходные данные. Документация по мерам и средствам контроля и управления, планы по реализации обработки риска.Действие. Должны быть определены существующие и планируемые меры и средства контроля и управления.Руководство по реализации.

Во избежание лишней работы или расходов, например, при дублировании мер и средств контроля и управления, необходимо определить существующие меры и средства контроля и управления. Кроме того, при определении существующих мер и средств контроля и управления следует провести проверку, чтобы убедиться в правильности функционирования мер и средств контроля и управления – обращение к существующим отчетам по аудиту СМИБ должны сокращать время, затрачиваемое на решение этой задачи.

Ненадлежащее функционирование мер и средств контроля и управления может стать причиной уязвимости. Следует уделить внимание ситуации, когда выбранные меры и средства контроля и управления (или стратегия) не выполняют своих функций, и для эффективного и своевременного реагирования на идентифицированные риски требуются дополнительные меры и средства контроля и управления.

В СМИБ, в соответствии с ИСО/МЭК 27001, это поддерживается измерением эффективности мер и средств контроля и управления. Один из способов количественной оценки действия мер и средств контроля и управления – выявить, как оно снижает вероятность возникновения угрозы, затрудняет использование уязвимости и возможности влияния инцидента.

Проверки, проводимые руководством, и отчеты по аудиту также обеспечивают информацию об эффективности существующих мер и средств контроля и управления.Меры и средства контроля и управления, которые планируется реализовать в соответствии с планами реализации обработки риска, должны быть определены тем же самым способом, который уже был реализован.

Существующие или планируемые меры и средства контроля и управления могут быть отнесены к разряду неэффективных, недостаточных или необоснованных. Если их посчитали необоснованными или недостаточными, меру и средство контроля и управления необходимо подвергнуть проверке, чтобы определить, подлежат ли они удалению, замене более подходящими, или стоит оставить их, например, из соображений стоимости.

Для определения существующих или планируемых мер и средств контроля и управления могут быть полезны следующие мероприятия:- просмотр документов, содержащих информацию о средствах контроля (например, планы обработки рисков), если процессы менеджмента ИБ документированы должным образом, то информация о всех существующих или планируемых мерах и средствах контроля и управления, а также о состоянии их реализации должна быть доступна;

– проверка, проводимая совместно с сотрудниками, отвечающими за ИБ (например, сотрудником, занимающимся обеспечением ИБ, сотрудником, отвечающим за безопасность информационной системы, комендантом здания или руководителем работ) и пользователями, касающаяся того, какие меры и средства контроля и управления действительно реализованы для рассматриваемого информационного процесса или информационной системы;

– обход здания с целью осмотра физических средств контроля, сравнение существующих средств контроля с перечнем тех, которые должны быть реализованы, и проверка существующих средств контроля на предмет правильной и эффективной работы;- рассмотрение результатов внутренних аудитов.Выходные данные. Перечень всех существующих и планируемых мер и средств контроля и управления, их нахождение и состояние использования.

9 Обработка риска информационной безопасности

Входные данные. Перечень рисков с назначенными приоритетами в соответствии с критериями оценки рисков, касающимися сценариев инцидентов, которые приводят к этим рискам.Действие. Должны быть выбраны меры и средства контроля и управления для снижения, сохранения, предотвращения или переноса рисков, а также определен план обработки рисков.

https://www.youtube.com/watch?v=https:tv.youtube.com

Руководство по реализации. Для обработки риска имеется четыре варианта: снижение риска (см. 9.2), сохранение риска (см. 9.3), предотвращение риска (см. 9.4) и перенос риска (см. 9.5).Примечание – В ИСО/МЭК 27001 [см. пункт 4.2.1, перечисление f) 2)] вместо термина “сохранение риска” (“retaining risk”) используется термин “принятие риска” (“accepting risk”).На рисунке 2 иллюстрируется деятельность по обработке риска в рамках процесса менеджмента риска ИБ.

Поделиться:
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

Adblock detector