Правила проведения внутреннего аудита информационной безопасности информационной системы «Система экстренного вызова при авариях и катастрофах на базе технологий gps/глонасс, umts/gsm»

Оценка рисков должна включать в себя систематический подход к оценке величины рисков (анализ рисков) и процесс сравнения рассчитанных рисков согласно критериям рисков в целях определения значимости рисков (оценка рисков).

Оценка рисков должна проводиться на регулярной основе для своевременного реагирования на изменения рисков и требований по безопасности и, например, изменения активов, угроз, степени защищенности, воздействия, оценки рисков, а также при значительных изменениях. Эти оценки рисков должны иметь систематический характер для получения сопоставимых и воспроизводимых результатов.

При этом в ходе аудита необходимо обратить внимание на наличие у объекта аудита следующих мероприятий:

1) выбора методики оценки рисков, выполнение идентификации рисков;

2) описания методов по определению ценности и критичности информации;

3) описания порядка мониторинга, пересмотра и изменения рисков ИБ;

4) описания методов и последовательности по определению рисков информационной безопасности объекта аудита;

5) описания метода и последовательности оценки выявленных рисков;

6) описания метода по обработке рисков;

7) описания метода и анализа угроз информационной безопасности и источники;

8) описания метода определения вероятности инцидента;

9) описания порядка обработки рисков с учетом корректировки, сохранения, избежание, разделение;

10) описания требований к периодичности пересмотра и переоценки рисков;

11) определения и оценку последствий в случае реализации риска;

12) определение ответственных лиц за ведение и обработку рисков;

13) описания порядка составления карты рисков;

14) описания порядка формирования плана мероприятий по управлению рисками по результатам оценки и анализа рисков.